FritzBox 7050 Hinter Checkpoint VPN Router

[tjestr]

Hallo,
ich betreibe die Fritzbox hinter einem Checkpoint VPN Router.

Die Fritzbox nutzt die Internetverbindung über LAN A (Checkpoint VPN Router)

Fritzbox:
DHCP: OFF
IP: 192.168.10.2
Gateway: 192.168.10.1

Router:
DHCP: OFF
IP: 192.168.10.1

Die Fritzbox ist zudem im DMZ des Routers. Des Weiteren ist der Port 5060 (UDP) an die Fritzbox geforwarded.

Nun funktioniert VOIP leider nicht mehr. Als Fehlermeldung bekomme ich folgendes:

"Anmeldung der Internetrufnummer (<Rufnummer>) war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung."

Im log meines Routers finde ich geblockte Requests von 10000er destinations Ports. Als Source Ports ist der 5060er angegeben.

Bitte um Hilfestellung.

Mfg

 

[frank_m24]

Hallo,

Fritzbox:
DHCP: OFF
IP: 192.168.10.2
Gateway: 192.168.10.1

Da fehlen die DNS Server. Du könntest einfach auch 192.168.10.1 als DNS Server angeben, wenn der Checkpoint VPN Router als DNS Proxy arbeitet (wahrscheinlich).

Ist die Fritz in der DMZ, musst du wahrscheinlich keine Ports mehr extra forwarden.

Viele Grüße

Frank

 

[tjestr]

In der Fritzbox ist der VPN Router als DNS eingetragen (192.168.0.1)

Des Weiteren wird NAT gehided.

Noch zur Info. Mein VOIP Anbieter ist Freenet.

Im Web-Interface wird angezeigt, dass Internettelefonie nicht registriert sei.

Verbindungslog meines Routers:

Source:UDP 194.97.54.97:5060 Destination:192.168.10.2:10221 (fritzbox)
Source:UDP 194.97.54.97:5060 Destination:192.168.10.2:10219 (fritzbox)
Source:UDP 192.168.10.2:5060 (fritzbox) Destination:194.97.4.42:3478
Source:UDP 192.168.0.1:1029 Destination:194.97.173.124:53 (DNS)
Source:UDP 192.168.0.1:7077 Destination:194.97.173.124:53 (DNS)
Source:UDP 192.168.10.2:5060 (fritzbox) Destination:194.97.54.97:5060 (SIP)

 

[frank_m24]

Hallo,

Wieso hat die Fritz eine IP aus dem Subnetz 192.168.10.0/24, aber als DNS Server 192.168.0.1 eingetragen? Das kann nicht funktionieren.

Was ist denn 192.168.0.0/24 für ein Subnetz? Aus dem Subnetz tauchen ja auch Log Einträge auf. Hast du möglicherweise zwei Subnetze konfiguriert? Warum? Und vor allem: wie? Nicht, das es da Mischmasch gibt ...

Viele Grüße

Frank

 

[tjestr]

Ich habe die nun wieder in ein Netz gehängt.
Das Subnetz war nur eine zusätzliche Sicherungsmaßnahme.
Das zusätzliche Subnetz konnte ich über eine zusätzliche DMZ Ethernet-Schnittstelle an meine Router einrichten.

Nun ist aber auch die Fritzbox unter 192.168.0.2 und der Router unter 192.168.0.1 zu erreichen. Funktionieren tut es trotzdem nicht.

 

[frank_m24]

Hallo,

klinke dich mal per telnet auf die Box und überprüfe per pings und traceroutes, ob sie sauber ins Netz kommt.

Viele Grüße

Frank

 

[Joe_57]

Sorry, vielleicht verstehe ich da was falsch, aber

ich hab irgendwann mal gelernt, dass Adressen aus 192.168.x.x, die sich im Subnetz 255.255.255.0 (Class C) befinden, von jedem öffentlichen DNS-Server sofort ins Computer-Nirwana befördert werden (Privater Adressbereich).

Wozu da also noch eine DMZ aufbauen, die ja eh schon existiert?

Trag doch einfach bei den Clients den entsprechenden DNS-Server und das Gateway ein, wo sie physikalisch auch angeschlossen sind, und gut is.

Joe

 

[tjestr]

So sieht der Traceroute aus:

--------------------------------------------------------------------------
traceroute to google.de (66.102.9.104), 30 hops max, 40 byte packets
1 my.firewall (192.168.0.1) 0 ms 0 ms 0 ms
2 * * *
3 G5-0.hmb2-g.mcbone.net (62.104.195.133) 30 ms 40 ms 30 ms
4 L0.hmb2-g2.mcbone.net (62.104.191.144) 40 ms 30 ms 40 ms
5 lo0-0.hnv2-j2.mcbone.net (62.104.191.206) 40 ms 40 ms 40 ms
6 ge-2-0-0-0.dus2-j2.mcbone.net (62.104.191.195) 40 ms 40 ms 40 ms
7 ge-3-0-0-0.ffm4-j2.mcbone.net (62.104.191.191) 40 ms 50 ms 40 ms
8 de-cix10.net.google.com (80.81.192.108) 40 ms 50 ms 50 ms
9 72.14.232.208 (72.14.232.208) 50 ms 50 ms 50 ms
10 216.239.48.146 (216.239.48.146) 80 ms 80 ms 80 ms
11 72.14.232.239 (72.14.232.239) 90 ms 90 ms 80 ms
12 64.233.174.18 (64.233.174.18) 90 ms 90 ms 90 ms
13 66.102.9.104 (66.102.9.104) 90 ms 80 ms 90 ms

--------------------------------------------------------------------------

 

[frank_m24]

Hallo,

tja, merkwürdig. Vielleicht hat es tatsächlich was mit der DMZ Konfiguration zu tun :noidea: . Das traceroute sieht jedenfalls ok aus.

Viele Grüße

Frank

 

[tjestr]

Müssen denn noch irgendwelche Ports geforwarded werden?

 

[frank_m24]

Hallo,

das liegt dran.
Normalerweise sollte die Box hinter einem NAT Router problemlos funktionieren, da sie STUN beherrscht. In deinem Log in Beitrag #3 sieht man sogar schon Pakete an den Freenet STUN Server.

Das Problem ist: STUN funktioniert nicht hinter Router mit symmetrischen NAT. In dem Fall müssen Ports freigegeben werden, und zwar die Ports:
5060 - 5069 UDP
7077 - 7087 UDP
an die IP der Fritz.

Viele Grüße

Frank

 

[tjestr]

Sind die Ports bei Freenet nicht anders?
Bzw. funktioniert das so nicht.

 

[frank_m24]

Hallo,

die Ports werden nicht von Freenet bestimmt, sondern von der Fritzbox.

Gibt es Port- oder Protokollsperren nach außen? Vielleicht dürfen Clients nur mit bestimmten Protokollen oder auf bestimmten Ports nach draußen kommunizieren? Dann geht vielleicht traceroute, aber SIP und RTP geht nicht.

Viele Grüße

Frank

 

[tjestr]

Habe noch eine Einstellung namens HIDE NAT gefunden.
Kann dieses nicht auch auswirkungen haben?

 

[frank_m24]

Hallo,

klar. Keine Ahnung, was die macht.

Viele Grüße

Frank

 

[tjestr]

Hier noch mal ein Log aus den Aktiven Verbindungen meines Routers:

UDP 194.97.54.97 5060 192.168.0.2 (fritzbox) 10000
UDP 192.168.0.2 (fritzbox) 7078 194.97.4.42 3478
UDP 192.168.0.2 (fritzbox) 7079 194.97.4.42 3478
UDP 192.168.0.2 (fritzbox) 5060 194.97.4.42 3478
UDP 192.168.0.1 1065 194.97.173.124 53 (DNS)
UDP 192.168.0.2 (fritzbox) 5060 194.97.54.97 5060 (SIP)

 

[tjestr]

Hat jemand noch eine Idee,
oder ist es langsam nicht eventuell einfacher, die Fritzbox vor den anderen router zu hängen, bei der Fritzbox den Router als Exposed Host einzutragen und somit die Firewall des Routers zu nutzen? (Natürlich werden die Clients hinter den Router geschaltet.)

 

[frank_m24]

Hallo,

aus VoIP Sicht ist die Lösung natürlich ideal. Folgende Punkte solltest du aber bedenken:
- Welches DSL Modem benutzt zur Zeit? Die Modems der Box sind nicht die besten; sie sind zwar nicht wirklich schlecht, aber es gibt bessere. Vor allem an DSL Anschlüssen syncen einige andere Modems mit höherer Geschwindigkeit. Du kannst aber auch die Fritzbox mit dem anderen Modem gemeinsam betreiben.
- Wenn du die VPN Funktionalität des Checkpoint VPN Routers nutzen willst, dann musst du bedenken, dass diese jetzt über eine NAT Verbindung aufgebaut werden müssen. Vor allem bei IPSec Verbindungen kann das Ärger machen, Stichwort NAT-T. PPTP ist kein Problem. Mache dich bei IPSec Verbindungen vorher schlau, ob alle beteiligten Clients und Server das unterstützen.

Viele Grüße

Frank