[Gelöst] IP-Client-Modus keine Portweiterleitung - Geht da was mit Freetz?

neustadt

Neuer User
Mitglied seit
2 Mai 2013
Beiträge
27
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bin umgezogen und habe hier eine Glasfaserverbindung zum Gebäude. Internet dementsprächend fix und Dank synchronem Up- und Downstream ist mein kleiner Homeserver ordentlich angegebunden. Allerdings aktuell nur theoretisch, denn was muss ich auf der AVM Seite lesen: "Portfreigaben und eingehende VPN-Verbindungen stehen im IP-Client-Modus nicht zur Verfügung." Na Super! :(
Ich habe meine FritzBox schon länger gefreezt und habe versucht die Freigaben und Firewall so zu aktivieren. Leider vergeblich. Gibt es wirklich keine Möglichkeit die FB im IP-Client-Modus dazu zu bewegen NAT zu betreiben?

Meine Konfiguration:
FB 7570 Firmware-Version: 75.04.92 | Freetz-2.0-11794M
Anschluß: Internetzugang über LAN1
Betriebsart: Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
Zugangsdaten: Zugangsdaten werden nicht benötigt (IP)
 
Zuletzt bearbeitet:
Als IP Client nein, nur im Routerbetrieb. Die FB routet als Client nichts und ist nur wie nen PC, Handy ect.
 
Du willst NATten, aber nicht routen?! Die Kombination geht schon netzwerktheoretisch nicht, nur anders herum.
 
Nur hast Du den Router Modus ausgewählt?!? Wie kommst Du auf IP-Client?

Hat denn die FB eine öffentliche IP?

Hast Du überhaupt mal versucht, Freigaben einzurichten?
 
Gibt es wirklich keine Möglichkeit die FB im IP-Client-Modus dazu zu bewegen NAT zu betreiben?

Meine Konfiguration:
FB 7570 Firmware-Version: 75.04.92 | Freetz-2.0-11794M
Anschluß: Internetzugang über LAN1
Betriebsart: Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
Da du ja keinen IP-Client-Modus nutzt, ist deine Frage wirklich nur theoretischer Natur. Dein kleiner Homeserver ist auch ordentlich angebunden. Oder hast du ein anderes Problem?
 
Ich hab den IP-Client Begriff von AVM übernommen. Meine Fritzbox hängt an LAN1 direkt an einer RJ45 Dose die aus der Wand kommt und baut über diese eine IP Verbindung zum Provider auf. Seine Adresse bekommt sie über DHCP, IP-Client macht insofern also Sinn.
Routen tut die FB ohne weiteres. Ich komme mit allen Geräten ins Internet. Nur NAT macht sie nicht. Freigaben lassen sich einrichten, allerdings funktionieren sie nicht. Habs über Fritz als auch Freetz versucht.
Wie gesagt schreibt AVM ja auch, dass Freigaben nur funktionieren, wenn eine Verbindung über das DSL Modem aufgebaut wird. Ich dachte das ließe sich evt. per Freetz, bzw. BusyBox umgehen. Man müsste warscheinlich nur die Firewall Regeln auf die Ethernet-Ports anwenden.

EDIT: Ich muss mir wohl IP-Tables in meinen Freetzfirmware backen: http://freetz.org/wiki/packages/iptables
Wäre schön wenn mir jemand bestätigen könnte, dass das so geht.
 
Zuletzt bearbeitet:
Seine Adresse bekommt sie über DHCP, IP-Client macht insofern also Sinn.
Nein, das ist Unsinn. IP-Client wäre die Box nur, wenn du sie so einrichten würdest.
Wenn die Freigaben nicht funktionieren, liegt das bestimmt an dem vorgeschalteten Router des Providers. Stichwort: CGN
 
Zuletzt bearbeitet:
Ich komme mit allen Geräten ins Internet. Nur NAT macht sie nicht.

Das ist in 99% aller Anschlüsse ein Widerspruch.


Du willst doch Portfreigaben, also eine Ausnahme in der NAT.
Hat dein FB überhaupt eine öffentliche IP-Adresse? Was zeigt sie auf der Übersichtsseite für eine IP?
 
Ich hab den IP-Client Begriff von AVM übernommen. Meine Fritzbox hängt an LAN1 direkt an einer RJ45 Dose die aus der Wand kommt und baut über diese eine IP Verbindung zum Provider auf. Seine Adresse bekommt sie über DHCP, IP-Client macht insofern also Sinn.
Das sagt jetzt aber immer noch nichts darüber aus ob du die 7490 als IP-Client oder Router betreibst. Wenn sie so eingerichtet sein sollte wie in #1 beschrieben (Externes Modem oder Router >> Internetverbindung selbst aufbauen >> Zugangsdaten: Nein >> IP-Adresse automatisch über DHCP beziehen) ist sie als NAT-Router und nicht als IP-Client konfiguriert, in diesem Modus kann man Portweiterleitungen einrichten.

Ist sie dagegen wirklich als IP-Client eingerichtet (Externes Modem oder Router >> Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus) >> IP-Adresse automatisch über DHCP beziehen) ist dagegen logischerweise keine Postweiterleitung einstellbar da die Box dann kein NAT-Router ist.

Routen tut die FB ohne weiteres. Ich komme mit allen Geräten ins Internet. Nur NAT macht sie nicht.
Ähem, das kann so nicht korrekt sein bzw. verstehst du da etwas nicht richtig. Entweder NAT-Router oder nicht (bei IPv4). Also entweder macht sie NAT und "routet" (Router-Modus) oder sie macht kein NAT und "routet" nicht (IP-Client-Modus).

Freigaben lassen sich einrichten,
Aha, also doch?

allerdings funktionieren sie nicht.
Genauer? Handelt es sich beim Anschluss evtl. um einen CGN (Carrier-grade-NAT) Anschluss? Welche IPv4-Adresse wird der 7490 per DHCP vom Provider überhaupt zugewiesen? Wenn öffentliche (und keine private oder aus dem 100.64.0.0-Bereich), ist die IPv4-Adresse überhaupt identisch zu der die ein externer Service (z.B. http://www.heise.de/netze/tools/meine-ip-adresse/) ermittelt?

Wie gesagt schreibt AVM ja auch, dass Freigaben nur funktionieren, wenn eine Verbindung über das DSL Modem aufgebaut wird.
Nein, das hast du falsch gelesen/interpretiert, es ist absolut nicht relevant ob das DSL-Modem der FritzBox verwendet wird oder nicht sondern ob die FritzBox als IP-Client oder als Router eingerichtet ist. Als Router kann sie auch per LAN1 (ohne DSL-Modem) eingerichtet werden (so läuft meine 7390 am Glasfaseranschluss schließlich auch incl. Portweiterleitungen), Freetz, BusyBox o.ä. ist dafür absolut nicht notwendig.
 
Hm. Ok dann habe ich wohl ein anderes Problem und daher die AVM Erklärung falsch interpretiert. Mit dem Begriff IP-Client habe ich eine WAN Verbindung asoziiert.
Ich betreibe meine FB somit im NAT-Routing Modus. Dass NAT _an sich_ auf der FB betrieben wird, damit mein privates Netz geroutet werden kann ist mir schon bewußt. Was ich damit sagen wollte ist, dass ich meine eigenen Regeln für eingehende Verbindungen - aka Portforwarding - nicht umgesetzten werden.
Genauer? Handelt es sich beim Anschluss evtl. um einen CGN (Carrier-grade-NAT) Anschluss? Welche IPv4-Adresse wird der 7490 per DHCP vom Provider überhaupt zugewiesen? Wenn öffentliche (und keine private oder aus dem 100.64.0.0-Bereich), ist die IPv4-Adresse überhaupt identisch zu der die ein externer Service (z.B. http://www.heise.de/netze/tools/meine-ip-adresse/) ermittelt?
Danke für den hilfreichen Kommentar. Ja ich habe anscheinend einen CGN Anschluß. Die per DHCP zugewiesene IP4 Adresse ist eine private (10.32.5.254) und damit nicht identisch zu meiner öffentlichen.
Allerdings scheint mir das Problem weiterhin an meiner FB zu liegen. Schließe ich einen Rechner direkt an das Providernetz an, so werden keine Ports geblockt. Oder müssen hier die NATs der Provider-Router und meiner FB aufeinander abgestimmt sein?
Also wenn der Thread ernst gemeint ist frage ich mich wie da überhaupt freetz auf die Box gekommen ist ohne das Teil zu zerschießen.
Lol. Als wenn Softwareinstallation etwas mit Netzwerkkentnissen zu tun hätte.
 
Allerdings scheint mir das Problem weiterhin an meiner FB zu liegen. Schließe ich einen Rechner direkt an das Providernetz an, so werden keine Ports geblockt. Oder müssen hier die NATs der Provider-Router und meiner FB aufeinander abgestimmt sein?
Ich würde das auch gerne mal bei mir testen ... allerdings weiß ich nicht, was ich machen soll, um "einen Rechner direkt an das Providernetz" anzuschließen.

Wenn ich das dann geschafft habe (also einen PC unter Zuhilfenahme eines Netzwerkkabels mit der RJ45-Buchse an der Wand verbunden habe und der ggf. sogar per DHCP eine Adresse aus einem 10.32.5.irgendwas-Netz bezogen hat), was muß ich dann machen, um zu der Feststellung "es werden keine Ports geblockt" zu gelangen?

Sind das jetzt "ausgehende Ports" oder reden wir hier von eingehenden Verbindungen? Bei letzterem, welche eingehenden Verbindungen sind Dir denn mit dem angeschlossenen Rechner geglückt? Ich hatte bisher die "Freigaben" einer FRITZ!Box immer mehr mit eingehenden Verbindungen assoziiert ... :gruebel:

Das wirklich Witzige ist allerdings, daß es tatsächlich einen Mechanismus für solche Portfreigaben auch bei CGN gäbe, das nennt sich dann "Port Control Protocol" (PCP, nicht mit Engelsstaub verwechseln, steht in RFC 6887) und ist von AVM zumindest in Ansätzen in der Firmware integriert. Ob, wann und wie das jemals auf den Kunden losgelassen wird (die Provider müssen es natürlich auch unterstützen, sonst bringt es ja nichts), steht aber wohl in den Sternen ...
 
Ich würde das auch gerne mal bei mir testen ... allerdings weiß ich nicht, was ich machen soll, um "einen Rechner direkt an das Providernetz" anzuschließen.

So wie du schon geschrieben hast. Du musst einfach nur deine Netzwerkverbindung auf DHCP/Automatisch stellen und dich an die Buchse hängen. Wenn du anschließend nicht ins Internet kommst, kann es sein dass dein Provider einen MAC-Filter einsetzt. Dann musst du denen noch die MAC-Adresse deines Netzwerkadapters zukommen lassen. Findest du unter Windows im cmd-promt mittels "ipconfig /all" und unter OSX & Linux mittels "ifconfig". Bei mein Provider kann ich die Adresse bequem über eine Intranetseite übermitteln.
Anschließend startest du einen Dienst von dem du weißt auf welchem Port er läuft, z.B. einen kleinen portablen FTP-Server unter Windows. Und läßt anschließend einen Online-Portscanner auf Port 21 über deine IP laufen. Das sind dann eingehende Verbindung - aka Freigaben unter FritzOS.

Das wirklich Witzige ist allerdings, daß es tatsächlich einen Mechanismus für solche Portfreigaben auch bei CGN gäbe, das nennt sich dann "Port Control Protocol" (PCP, nicht mit Engelsstaub verwechseln, steht in RFC 6887) und ist von AVM zumindest in Ansätzen in der Firmware integriert. Ob, wann und wie das jemals auf den Kunden losgelassen wird (die Provider müssen es natürlich auch unterstützen, sonst bringt es ja nichts), steht aber wohl in den Sternen ...
Ich lese gerade, dass mein Provider gegen Aufpreis oder in der nächst höheren Geschwindigkeit öffentliche Adressen vergibt. Sprich solang sie damit Geld verdienen wirds wohl mit gratis PCP nichts. Ich behaupte mal, dass bevor IPv4 in Europa so knapp wird, dass die Provider keine öffentlichen Vergeben können, sich IPv6 durchgesetzt haben wird.
 
Zuletzt bearbeitet:
Und läßt anschließend einen Online-Portscanner auf Port 21 über deine IP laufen. Das sind dann eingehende Verbindung - aka Freigaben unter FritzOS.
Gesetzt den Fall, mein Provider setzt auf ein CGN (das wäre bei einer 10.0.0.0-Adresse mit irgendeiner Maske >8 als Client-Adresse per DHCP ja der Fall (auch als NAT444 bezeichnet), denn diese würde zum - nach RFC 1918 - nicht öffentlich zu routenden reservierten Pool gehören), hätte ich dann die Adresse dieses Gateways (das würde der Online-Scanner doch abfragen, oder?) für mich alleine und würde jeder dort nicht als "rejected" per ICMP abgelehnte offene Port 21 tatsächlich zu meinem gestarteten Dienst führen?

Was passiert denn jetzt eigentlich, wenn noch jemand anderes auch bei diesem Provider Kunde ist und selbst einen FTP-Server startet? Wie weiß denn jetzt der Provider, welcher Kunde da gemeint ist, wenn auf TCP-Port 21 (das müßte ja die Steuerverbindung für eine FTP-Verbindung sein, ich glaube jedenfalls, daß die da TCP verwenden und nicht UDP, aber das ist wohl auch reserviert) jetzt eine eingehende Verbindung an seinem Gateway ankommt?

Ich will nämlich nicht, daß am Ende jemand anderes immer wieder versucht, sich an meinem FTP-Server anzumelden, das hatte ich mal (war glaube ich irgendwas aus China oder so) und da hat der Server immer so "invalid username and/or password"-Nachrichten irgendwo protokolliert, da mußte ich das dann abschalten (also natürlich das Protokoll, nicht den Server).

Ich habe aber auch gelesen, daß so Leute mit CGN sogar richtige Probleme haben ... da soll sowas wie FTP-Server ja gar nicht gehen: http://chrisgrundemann.com/index.php/2011/nat444-cgn-lsn-breaks/

Ich behaupte mal, dass bevor IPv4 in Europa so knapp wird, dass die Provider keine öffentlichen Vergeben können, sich IPv6 durchgesetzt haben wird.
Ist das nicht heute schon knapp und ist das nicht auch der/ein Grund, warum kleinere Provider (mit wenigen/kleinen IPv4-Adressblöcken) nicht mehr jedem Kunden automatisch eine öffentliche IPv4-Adresse per DHCP zuweisen? Ich hatte das irgendwie in dieser Richtung verstanden.

Wenn diese Adressen eine knappe Ressource sind, dann werden die wahrscheinlich in der Kalkulation eines kleinen oder mittleren Anschlusses nicht enthalten sein (vielleicht ist das darum dann auch billiger) und dann ist das mit dem Aufpreis oder der Verfügbarkeit erst bei einem "richtigen Anschluß", wenn es eine "nächsthöhere Geschwindigkeit" bei Dir gibt, ja eine nachvollziehbare Kalkulation.

Solange ein Provider dabei schon bei der Bestellung mit offenen Karten spielt, kann man ihm das wohl kaum ankreiden. Es gibt einige Kabelprovider (und wohl auch einige DSL-Provider wie EWETEL), wo das sogar ausdrücklich im Kleingedruckten (aka Leistungsbeschreibung) steht, daß man an einigen Anschlüssen keine Serverdienste betreiben kann - obwohl schon "betreiben darf" reichen würde, es wäre schon lustig, wenn ein Kunde das "keine Serverdienste" akzeptiert und sich hinterher darüber beschwert, daß seine FRITZ!Box nicht per Fernwartung erreichbar ist und auch sein Telefon sich nicht an seiner FRITZ!Box von extern anmelden kann. Am Ende ist eben selbst eine eingehende VPN-Verbindung der Definition nach ein "Serverdienst" ... selbst wenn das einige Kunden vielleicht nicht auf Anhieb verstehen, wenn sie es so in einer Leistungsbeschreibung lesen (so sie das überhaupt tun).

EDIT: Das liest sich tatsächlich etwas merkwürdig ... als würde ich neustadt nicht ernst nehmen. Das war aber gar nicht meine Absicht, ich wollte nur an die Stelle des Dozierens, wie das funktioniert und warum die Aussage "keine Ports geblockt" eigentlich nicht richtig ist/sein kann oder im falschen Kontext erfolgt, den Versuch setzen, mit ein paar Hinweisen die eigene Erkenntnis zu fördern, denn mein Credo ist "Nur selber denken (vorher lesen) macht schlau(er).". Ich habe also die Hoffnung, daß sich beim Fragesteller von selbst die Erkenntnis durchsetzt, daß da etwas durcheinander geworfen wurde und wo das tatsächliche Problem liegt ... das soll(te) kein "auf den Arm nehmen" werden. Ich habe allerdings ein paar "so" zuviel oben eingestreut, dadurch klingt das eher unbeholfen als "ich weiß es auch nicht genau". Da habe ich mir also selbst etwas "ins Knie geschossen" und überlege mir das beim nächsten Mal besser. Vielleicht kann man den beabsichtigten Zweck ja trotzdem erreichen ... ;)
 
Zuletzt bearbeitet:
PCP löst ja das Grundproblem trotzdem nicht - es gibt nur einen Port und viele Nutzer. Port 80 (bzw. 21, etc) wird dann meistbietend versteigert? ;)
 
PCP löst ja das Grundproblem trotzdem nicht - es gibt nur einen Port und viele Nutzer. Port 80 (bzw. 21, etc) wird dann meistbietend versteigert? ;)
Nicht für den Betrieb eines öffentlichen Servers (beim Zugriff mit "old fashioned tools"), das ist wohl wahr ... aber für eingehende Verbindungen in einem CGN-Szenario (halt auf einem anderen Port als dem "gewöhnlichen"), ist es schon eine Lösung und gerade in Verbindung mit MyFRITZ! könnte es bei einem DS-Lite-Anschluß ja tatsächlich den Zugriff auf die eigene FRITZ!Box auch von einem IPv4-only-Netzwerk ermöglichen, wenn eben die MyFRITZ!-Adresse (als Kombination aus Adresse/Port, was sie ja jetzt auch schon ist, wenn man einen anderen Port als 443 für extern verwendet) dort entsprechend mit dem vom PCP reservierten Port - und der IP-Adresse des entsprechenden Endpoints beim Provider - hinterlegt / verlinkt wird. Über entsprechende SRV-Records im DynDNS wäre das sogar ohne "Link" machbar, nur für die automatische Abfrage, unter welcher Adresse und welchem Port der FTP-Server einer bestimmten FRITZ!Box erreichbar ist. Es wäre also (für DS-Lite-Anschlüsse und solange nicht alle Netze IPv6 unterstützen) tatsächlich auch in einem "Server-Szenario" ein Fortschritt. Daß dann einige "dumb clients" ggf. eine Erweiterung um die Auswertung von SRV-Records des DNS benötigen würden (nur wenn kein Record existiert, nimmt man den IANA-Port), um mit solchen Angeboten umgehen zu können, steht auf einem anderen Blatt, aber die technischen Voraussetzungen wären erfüllt.
 
Gesetzt den Fall, mein Provider setzt auf ein CGN (das wäre bei einer 10.0.0.0-Adresse mit irgendeiner Maske >8 als Client-Adresse per DHCP ja der Fall (auch als NAT444 bezeichnet), denn diese würde zum - nach RFC 1918 - nicht öffentlich zu routenden reservierten Pool gehören), hätte ich dann die Adresse dieses Gateways (das würde der Online-Scanner doch abfragen, oder?) für mich alleine und würde jeder dort nicht als "rejected" per ICMP abgelehnte offene Port 21 tatsächlich zu meinem gestarteten Dienst führen?

Danke, habs verstanden. Ich bin nicht selbst darauf gekommen, dass ich mir die zugewiesene öffentliche Adresse mit anderen Kunden teile. Was ja der eigentliche Sinn vom CGN ist.

Ich behaupte mal, dass bevor IPv4 in Europa so knapp wird, dass die Provider keine öffentlichen Vergeben können, sich IPv6 durchgesetzt haben wird.
Ist das nicht heute schon knapp und ist das nicht auch der/ein Grund, warum kleinere Provider (mit wenigen/kleinen IPv4-Adressblöcken) nicht mehr jedem Kunden automatisch eine öffentliche IPv4-Adresse per DHCP zuweisen? Ich hatte das irgendwie in dieser Richtung verstanden.

Meine Benotung lag auf können. Sprich solange sie gegen einen Aufpreis öffentliche Adressen zur Verfügung stellen, wird sich eine Technik wie PCP wohl nicht schnell verbreiten. Auch wenn sich damit also nur ungängige Portnummern für private Dienste verteilen lassen.

EDIT: Das liest sich tatsächlich etwas merkwürdig ... als würde ich neustadt nicht ernst nehmen.
Habe deinen Post vor dem bearbeiten zwar nicht gelesen, aber alles gut. :)
 
Zuletzt bearbeitet:
Ist das nicht heute schon knapp (IPv4 Adressen)
Das dachte ich auch. Nur wundert es mich, daß 1&1 fast jedem Kunden (außer den magentafarbenen) gleich 2 davon gibt. Die müssen wohl noch zu viele haben ;)
 
Zuletzt bearbeitet:
Die müssen wohl noch zu viele haben
Ich dachte auch mehr so an Firmen wie Telecolumbus (beim Aufkauf kleinerer Anbieter und der Umstellung auf das TC-Netz klemmt es ja offenbar ab und an, wie man auch hier schon lesen konnte) oder komDSL in Franken/Thüringen, wo die IP-Adressen (zumindest nach Internet-Angaben) schon echte Mangelware sein dürften, wenn die nicht noch ein paar Segmente kaufen können (nur ein Beispiel und ich habe keine Ahnung, ob bzw. wie knapp es dort wirklich ist, aber offiziell haben sie halt nur wenige IPv4-Adressen, deshalb müssen sie bei mir immer als Beispiel herhalten). Aber da die Kundenzahl (regionaler Anbieter, m.W. Ableger des Energieversorgers) überschaubar ist, dürfte ein "run" auf die Adressen eher nicht zu erwarten sein ... und wenn jeder 20. Anschluß beim "Normaluser" eine eingehende Verbindung brauchen sollte, wäre das für mich schon sehr viel und sehr überraschend.
 
Aber stell dir mal vor wieviele IPv4 Adressen man übrig hätte, wenn 1&1 jedem Kunden nur eine gibt, so wie es alle anderen Anbieter auch machen. Das sollten doch schon ein paar Millionen sein.

Aber ich hatte hier im Forum auch mal erfahren, daß an einer UNI (oder ist das sogar an jeder?) jeder Student eine öffentlich IPv4 bekommt. Da habe ich mich auch gefragt wofür? Die UNI's müssen sich auch rechtzeitig mit mehr als genügend IPv4 eingedeckt haben.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.