Fritzbox nicht aus Internet erreichbar (via myfritz)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

starbright

Mitglied
Mitglied seit
9 Sep 2007
Beiträge
547
Punkte für Reaktionen
4
Punkte
18
Hallo, ich hab in einer 7362SL den Dienst myfritz eingerichtet. Da steht dann auch im Web-IF
Internetzugrif auf box via HTTPS aktiviert.
TCP Port für HTTPS: 48510.

Die IP wird über den Dienst richtig augelöst, (ping geht), aber die Anmeldeseite will sich nicht öffnen.
Nun ist der Port ja kein Standardport - allerdings hab ich keinen aktiv eingestellt. Liegt es daran?

Ich hab mit nmap -pN einen Scan gemacht - Ergebnis:
Not shown: 997 filtered ports
PORT STATE SERVICE
113/tcp closed ident
1080/tcp closed socks
5060/tcp open sip

Ok, dann wurdert mich das nicht - aber was hab ich vergessen? Ich hab zuerst gedacht ich müsste den Port noch unter
Internet/Freigaben einrichten (kann ich jetzt leider grad nicht testen) - aber bei einer anderen (meiner) Fritzbox die aus dem Netz zugreifbar ist (mit Handy getestet) ist das auch nicht manuell eingerichtet worden - und trotzdem geht es. Was stimmt denn da nicht !?!?
Was ich noch als Unterschied sehe - bei der Box die geht wird die IP über ein (anderes) dyndns übermittelt und der Port ist 443 - aber zumindest mit ersterem kann es ja nichts zu tun haben.
 
Moinsen


Heutzutage ist der Typ des Anschlusses und die Art des Zugriffs auschlaggebend für ein Erfolgserlebnis.

[_] IPv4
[_] IPv6 & IPv4 natives Dual Stack (DS)
[_] IPv6 & IPv4 Dual Stack Lite (DS-Lite)

Diese Seite ...
https://test-ipv6.com/
...könnte es erkennen.
Einmal aus dem Heimnetz, und besonders interessant, vom Mobile über Mobilfunkinternet oder andere (WLAN-Hotspots, etc.) Netze.

Apropos nmap
Wenn du schon den Port kennst, solltest du nicht nur die ersten Tausend den Standardscan, sondern etwas gezielter scannen...
nmap -p48510 your.net
...dann gehs auch schneller ;)

Denn,...
Not shown: 997 filtered ports
...ist bei mir...
443/tcp filtered https
 
Zuletzt bearbeitet:
Nur kurz: Die Fritzbox die sich fern konfigurieren soll steht nicht bei mir.

Ich verstehe das so dass man das aus dem Netz wo die Fritzbox steht macht. Bei mir selbst kommt:

Keine IPv6-Adresse erkannt
Es scheint, als hätten Sie nur eine IPv4-fähige Internetverbindung. Sie werden nicht in der Lage sein, Webseiten, welche nur via IPv6 verfügbar sind, zu erreichen.
..
Ihr DNS Server (wahrscheinlich von Ihrem ISP betrieben) scheint über IPv6-Internetzugriff zu verfügen.


Test mit IPv4 DNS-Eintrag Okay (0.293s) verwende ipv4
Test mit IPv6 DNS-Eintrag schlecht (0.135s)
Test mit Dual Stack DNS-Eintrag Okay (0.219s) verwende ipv4
Test mit Dual Stack und große Pakete Okay (0.055s) verwende ipv4
Test IPv4 ohne DNS übersprungen (0.085s)
Test IPv6 ohne DNS übersprungen (0.024s)
Test große IPv6-Pakete schlecht (0.134s)
Test ob der DNS-Server des ISP IPv6 unterstützt Okay (0.259s) verwende ipv4
IPv4-Dienstleister finden Okay (0.821s) verwende ipv4 ASN 3320
IPv6-Dienstleister finden schlecht (0.343s)


Da die Fritzbox steht leider entfernt, ich muss da für jeden Schritt jemand instruieren - wäre gut ich könnte dann auch gleich die nötige Aktion übermitteln in einem Rutsch machen. Provider ist dort glaube ich 1&1.
Also welche Aktion wäre denn nötig in welchem Fall?

Aber was soll dass, ich bekomme ja eine IPv4 Adresse von der Fritzbox und anpingen und scannen läßt sie sich auch. Ist nicht der "nicht offene Port" das Problem?
 
starbright schrieb:
Aber was soll dass
Zum Vergrößern anklicken....
DU hast also eine erreichbare IPv4, gut, aber wo willst du hin? IPv6 ist dir versperrt.
starbright schrieb:
Ich verstehe das so dass man das aus dem Netz wo die Fritzbox steht macht.
Zum Vergrößern anklicken....
Auch, aber ich meinte eben jedes beteiligte Gerät.
Wenn der Anschluss, den du erreichen willst, nur eine öffentlich erreichbare IPv6 hat (DS-Lite) ist "Deine IPv4 Technologie" schlichtweg veraltet.
...auch für das etwas betagtere AVM-VPN (nur IPv4).
 
Zuletzt bearbeitet:
Der Port für das GUI wird auf der WAN-Seite nur dann freigeschaltet (ich gehe davon aus, daß die Box eine aktuelle Firmware hat), wenn es auch mind. einen Benutzer gibt, der über das Recht "Anmeldung aus dem Internet" verfügt. Das muß kein administrativer Benutzer sein, solange es nur um die Portfreigabe an sich geht ... schließlich nutzen "/myfritz" und "/nas" denselben Port. Aber für die GUI-Anmeldeseite KÖNNTE das durchaus erforderlich sein - was AVM da konkret in der letzten Release-Version verwendet hat bei der Abfrage in Lua vor der Anzeige der Seite, weiß ich aus dem Kopf nicht mehr.

Aber der Zusammenhang zwischen dem fehlenden Benutzer mit entsprechenden Rechten und der nicht eingerichteten Freigabe ist "verbürgt" - letzter Fall war dann hier: https://www.ip-phone-forum.de/threads/1-internet-anschluss-3-haushalte-webzugriff.306402/ der @DoenerDennis mit seiner stundenlangen Suche, der das auch nicht verstehen konnte/wollte, weil das früher ja mal anders war.

Ehe also der Nächste jetzt "stundenlang sucht", wäre vielleicht ein kurzer Blick auf die konfigurierten Benutzer ein kleiner, kaum bei der weiteren Suche aufhaltender, Versuch einer Prüfung auf eine weitere, mögliche Ursache, wenn da der GUI-Port auf der WAN-Seite nicht freigeschaltet ist.
 
TR-069 ?
...ansonsten sei mal nicht so pingelig und streich einfach mal das s mit [s]s[/s]ich
...kennste das Feature?
 
Wäre doch aber mal was innovatives, wenn ich das nicht mehr machen muß, sondern die FB das selber macht, aber so wie ich das will. ;)
 
Hast du auch wieder Recht.
 
Diese Sache sollte man auch beachten, falls noch nicht geschehen:
# Neue und verbesserte Funktionen in FRITZ!OS 6.80
...
## Sicherheit
- **NEU:** Bestimmte Einstellungen und Funktionen erfordern eine zusätzliche Bestätigung des Anwenders am Ort der FRITZ!Box
Zum Vergrößern anklicken....
Oder es muss halt abgeschaltet werden.
 
Also: Die Fritzbox die von fern konfiguriert werden soll.... (klar, oder?) ... also deren Web-IF läßt sich nicht öffnen.

Jetzt wurde was mit ipv4/6 ins Spiel gebracht.
koyaanisqatsi schrieb:
DU hast also eine erreichbare IPv4, gut, aber wo willst du hin? IPv6 ist dir versperrt.

Auch, aber ich meinte eben jedes beteiligte Gerät.
Wenn der Anschluss, den du erreichen willst, nur eine öffentlich erreichbare IPv6 hat (DS-Lite) ist "Deine IPv4 Technologie" schlichtweg veraltet.
...auch für das etwas betagtere AVM-VPN (nur IPv4).
Zum Vergrößern anklicken....
Ich verstehe das nicht. MyFritz liefert doch eine IPv4 Adresse und die ist pingbar, was soll das mit ipv6? Weswegen soll deren Web-IF nicht aufrufbar sein wenn sie pingbar ist? Das hat doch meines beschränkten Wissens nichts mit v4/v6 zu tun und wenn doch - was bitte? Und wenn jetzt die entfernte Box nur eine v6 Adresse hätte, warum kann ich sie dann scannen? Sorry - sicher fehlt mir hier Wissen, aber das verstehe ich echt nicht.

PeterPawn schrieb:
Der Port für das GUI wird auf der WAN-Seite nur dann freigeschaltet (ich gehe davon aus, daß die Box eine aktuelle Firmware hat), wenn es auch mind. einen Benutzer gibt, der über das Recht "Anmeldung aus dem Internet" verfügt. Das muß kein administrativer Benutzer sein, solange es nur um die Portfreigabe an sich geht ... schließlich nutzen "/myfritz" und "/nas" denselben Port. Aber für die GUI-Anmeldeseite KÖNNTE das durchaus erforderlich sein - was AVM da konkret in der letzten Release-Version verwendet hat bei der Abfrage in Lua vor der Anzeige der Seite, weiß ich aus dem Kopf nicht mehr.

Aber der Zusammenhang zwischen dem fehlenden Benutzer mit entsprechenden Rechten und der nicht eingerichteten Freigabe ist "verbürgt" - letzter Fall war dann hier: https://www.ip-phone-forum.de/threads/1-internet-anschluss-3-haushalte-webzugriff.306402/ der @DoenerDennis mit seiner stundenlangen Suche, der das auch nicht verstehen konnte/wollte, weil das früher ja mal anders war.

Ehe also der Nächste jetzt "stundenlang sucht", wäre vielleicht ein kurzer Blick auf die konfigurierten Benutzer ein kleiner, kaum bei der weiteren Suche aufhaltender, Versuch einer Prüfung auf eine weitere, mögliche Ursache, wenn da der GUI-Port auf der WAN-Seite nicht freigeschaltet ist.
Zum Vergrößern anklicken....
Ich würde gern mehr infos rausrücken, aber ich hab nicht mehr. DIe Firmware ist aktuell. Das mit dem Bestätigen könnte ein Problem sein, vielleicht ist der Screenshot den ich bekommen hab noch nicht wirklich "übernommen" (von wegen Zugriff über Https ist aktiviert).
Aber das man den Port nicht noch extra freigeben muss, dass könnt ihr bestätigen? MIst, man kann eben erst was einrichten, wenn man an die Box rankommt .... :(
Danke schon mal.
 
Noch einmal ... die Anzeige bei "Internetzugriff über HTTPS aktiviert" interessiert die Box so lange nicht, wie es keinen Benutzer gibt, der das Recht zur "Anmeldung aus dem Internet" hat.

Das muß dann halt in der Benutzerverwaltung nachgesehen/eingerichtet werden - auch wenn die Anmeldung ggf. generell auf "Nur mit Kennwort" steht, braucht es EINEN zusätzlichen Account mit dem erwähnten Recht.

Erst dann wird die Portfreigabe (auf dem angezeigten Port) auch tatsächlich aktiviert. Das ist seit einiger Zeit schon so ... seit wann genau, weiß ich aus dem Stand auch nicht mehr. Ich meine mich zu erinnern, daß ich das zum ersten Mal bei der 7580 in einer Labor-Reihe festgestellt und dann auch hier beschrieben habe - nur suche ich das jetzt nicht extra raus, wann das war.

Mir persönlich reicht es im Moment zu wissen, daß es so ist ... und wenn ich immer wieder etwas lese, daß da jemand (unverständlicherweise) nicht auf das GUI aus dem WAN zugreifen kann, fällt mir - neben anderen Stolpersteinen - halt dieser Punkt ein.

Wenn ich mich nicht irre, ist der "Standardmodus" bei der Anmeldung bei AVM eben immer noch "Nur mit Kennwort" (das seit einiger Zeit auch auf dem Typenschild steht) und solange da niemand die Anmeldung umstellt (was dann wieder nur mit einem passenden Account funktioniert) oder gesondert einen passenden Account einrichtet, funktioniert auch die Freigabe des GUI ins WAN nicht.

Da geht es also gar nicht um "mehr Infos" ... man muß/sollte einfach nur mal nachsehen, ob da tatsächlich so ein Benutzer konfiguriert ist.

Das erkennt man notfalls auch in einer Sicherungsdatei, weil das betreffende Attribut eines Benutzers (secobj_access_rights_readwrite_from_everywhere) nicht verschlüsselt ist in dieser Datei und man es im Klartext ablesen kann. Der betreffende Nutzer darf/soll dabei NICHT die ID 100 oder 101 haben, das sind die "Spezial-Benutzer" für die anderen beiden Modi bei der Anmeldung.
 
Wenn ich mein Gegenüber in den nächsten Tagen noch mal für einen Test bewegen kann werd ich das Resultat berichten. Danke schon mal vorab.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 802 (Mitglieder: 42, Gäste: 760)

Neueste Beiträge

Statistik des Forums

Themen
246,155
Beiträge
2,247,029
Mitglieder
373,674
Neuestes Mitglied
Jens_120
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück