[Problem] Fritz!Box 7390: NAT Loopback ermöglichen

bos4fb

Neuer User
Mitglied seit
3 Okt 2006
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo,

damit ich die gespeicherten Zugangsdaten für den Zugriff via https auf meinen Server innerhalb des Fritzbox-Netzwerkes nicht umstellen muss, habe ich in der Zugriffssoftware meinserver.dyndns.org als Zugangspunkt hinterlegt. Egal, ob ich in meinen internen Netzwerk oder von ausserhalb auf den Server zugegriffen habe, es hat mit der bisherigen FB 7270 super geklappt.

Mit der FB 7390 kann ich nun auf einmal nur noch von ausserhalb auf den Server zugreifen, aber ich kann über die dnynds-Adresse nicht mehr von innerhalb meines Netzerkes zugreifen, weil dies diese Loopback auf dem WAN-Interface in der FB 7390 wohl gesperrt ist.

Weiß jemand, welche Konfigurationsdatei ich via telnet wie anpassen muss, damit dies wieder geht?

Bin auch für jeden anderen Tipp dankbar.

Danke
bos

PS: Die Umstellung war notwendig, weil die 7270 nicht die volle bandbreite des KD100mbit-Anschlusses ermöglicht hat.
 
Ja, und zwar wie folgt:

Guten Tag Herr Schadl,

vielen Dank für Ihre Anfrage zur FRITZ!Box.

Werden DNS-Anfragen für eigene Domainnamen, wie z.B. den DynDNS-Namen der FRITZ!Box selbst, über die FRITZ!Box nicht mehr beantwortet, ist das kein Fehler der FRITZ!Box. Vielmehr handelt es sich um ein Sicherheitsmerkmal der FRITZ!Box zum Schutz vor so genannten "DNS-Rebindung Attacken".

Löst ein öffentlicher DNS-Server einen Domainnamen auf eine IP-Adresse aus dem lokalen Netzwerkbereich der FRITZ!Box auf, blockiert der DNS-Server der FRITZ!Box diese DNS-Antwort und leitet sie nicht weiter. Dadurch verhindert die FRITZ!Box, dass Angreifer mittels getarnter Nameserver über ein DNS-Rebinding Zugriff auf das Heimnetz von Nutzern erlangen können.

Hilft mir natürlich nur soweit, dass AVM mir hierzu keine Lösung bieten kann.
 
Laut dieser Antwort wird nicht die IP-Adresse gesperrt, sondern die DNS-Auflösung.

Kannst Du das testen? Was passiert, wenn Du von intern ein Ping auf den dnsdyn-Namen machst? Insbesondere, wird die IP-Adresse angezeigt oder nicht?
 
Nslookup löst [email protected] als korrekte WAN-IP auf.
Ping endet mit "Zeitüberschreitung", Zielhost nicht erreichbar.
 
Problem bekannt

Hallo, Bos4fb!

Das Problem ist inzwischen bekannt. Ich habe die Situation praktisch genauso erlebt, wie Du sie oben selbst geschildert hast. Mit meiner alten „Fritzbox Fon Wlan 7170” gab's nie ein Problem, bei der neuen „Fritzbox Fon Wlan 7390” war plötzlich der Aufruf der eigenen Dyndns-Adresse (oder der zugrundeliegenden Ip-Adresse) aus dem Netzwerk heraus nicht mehr möglich.

Im Ip-Phone-Forum habe ich gelernt, daß man mit „iptables” nachhelfen kann. Bis einschließlich zur Firmware-Version 84.04.89 war bei der 7390 das Paket „iptables” sogar von Haus schon im Linux-Kern der Box integriert. Seit der Version 84.04.90 ist das nicht mehr der Fall, aber man kann es selbst ergänzen, z.B. mit Freetz.

Siehe hierzu:Wenn Du z.B. problemlos von „innen” und von „außen” auf meinserver.dyndns.org:5000 zugreifen möchtest, kannst Du dies mit „iptables” folgendermaßen erreichen:
Code:
iptables -t nat -A PREROUTING -i lan -p tcp -d meinserver.dyndns.org --dport 5000 -j DNAT --to 192.168.178.XYZ:5000
iptables -t nat -A POSTROUTING -o lan -p tcp --dport 5000 -m iprange --src-range 192.168.178.2-192.168.178.253 --dst-range 192.168.178.2-192.168.178.253 -j MASQUERADE
Dabei ist 192.168.178.XYZ die interne Ip-Adresse des Rechners, an den die Anfrage an meinserver.dyndns.org weitergeleitet werden soll. Der Ip-Bereich 192.168.178.2-192.168.178.253 in der zweiten Anweisung gibt an, welche Absender-Ip-Adressen im lokalen Netzwerk in Frage kommen. Dies ist erforderlich, damit die Antworten von 192.168.178.XYZ auch wirklich dem richtigen Absender zugeleitet werden.

Natürlich kannst Du das Ganze entsprechend für andere bzw. weitere Anschlüsse (Ports) einrichten.

Wenn Du alles richtig konfiguriert hast, kannst Du wieder, wie gewohnt, sowohl von „innen” als auch von „außen” auf meinserver.dyndns.org:5000 zugreifen.
 
@gmeyer: Danke für den Link, ja, das ist das problem, aber ein Downgade auf .84 macht auch bei mir wegen der Nutzung von VoIP keinen Sinn.

@Herbie_2005: Das klingt doch schon mal vielversprechend, nur mit Freetz jetzt ein eigenes Mod zu erstellen ist bei manchen auch nicht geglückt. ich könnte demnach zurück zu .89 (im Moment habe ich die .91 drauf) und dann iptables anpassen, richtig?

1. Wo finde cih die entsprechende config-Datei für iptables?
2. Bleiben alle meine Einstellungen beim downgrade auf .89 (von .91) erhalten (Portweiterleitungen, SIP-Accounts, etc.)?
 
Hi!

Nun ja, das Freetz-Paket „iptables” funktioniert bei mir ganz gut. Die Iptables-Anweisungen, die ich benötige (siehe oben), habe ich in der Datei „rc.custom” von Freetz untergebracht.
  1. Wo Du (ohne Freetz) die Konfiigurationsdatei für „iptables” genau findest, weiß ich momentan selbst nicht. Wie gesagt, ich hab's ja anders gemacht.

  2. Inwieweit Deine EInstellungen bei einem Downgrade erhalten bleiben, kann ich Dir gerade nicht sagen. Hab schon lang kein Downgrade mehr durchgeführt.
 
Komischerweise funktioniert bei mir der Zugriff auf alle Applikationen von "innen" über den DynDNS-Namen bzw. die externe IP problemlos, auch ohne Modifikationen. Nur eben "ping" geht nicht.

Der Sonderfall bei mir ist aber, dass alle internen Clients einen alten Lancom-Router als DNS/DHCP-Server benutzen (wegen der Schwächen der AVM-Implementierung in diesem Bereich), der nicht mehr als Router läuft, und der wiederum eine DNS-Weiterleitung an meine 7390 (Router) für externe Namen macht. Vielleicht hängt es ja damit zusammen, obwohl ich es mir nicht vorstellen kann. Ich kann deshalb das Problem nicht nachvollziehen.

@bos4fb:
Was passiert denn, wenn du von "innen" einen Connect probierst?
z.B.
Code:
C:\>ftp meinname.dnsalias.com
Verbindung mit meinname.dnsalias.com wurde hergestellt.
220 FRITZ!BoxFonWLAN7390 FTP server ready.
Benutzer (meinname.dnsalias.com:(none)):
Nicht das hier?
Gruß
Gerhard
 
Zuletzt bearbeitet von einem Moderator:
Laut bos4fb ist das Problem nicht die Namensauflösung, und wenn Du direkt die IP-Adresse angibst, dann spielt die Namensauflösung sowieso keine Rolle mehr.
 
eben. Deshalb wundere ich mich, dass es bei bos4fb nicht auch so gehen sollte.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.