[Problem] Port 443 wird intern nicht freigegeben für Portforwarding

[PeterPawn]

deren DynDNS-Adresse per HTTPS ohne Portnummer

Da hast Du mich mißverstanden ... ich sprach an dieser Stelle nur davon, daß ich die Erreichbarkeit des Ports 443 aus dem LAN für sinnvoll (und notwendig) erachte ... u.a. hier nachzulesen:

https://www.bsi.bund.de/SharedDocs/...E7D1503CC.2_cid360?__blob=publicationFile&v=2

Punkt 4.1.1

IF the router offers configuration through a web interface (local website provided by the router and accessed with a browser by the user) login to access the configuration SHOULD be secured using HTTPS and only cipher suites recommended in [TR-02102-2] [...] SHOULD be used.

Die Tatsache, daß AVM diesen Zugriff per TLS derzeit noch nicht erzwingt, steht meiner Freude nur in geringem Maße entgegen ... allerdings wäre diese zugegebenermaßen noch größer, wenn AVM beim HTTPS-Zugriff einen HSTS-Header senden würde und man damit (auch ohne Weiter-/Umleitung im FRITZ!OS) durch den Browser zur Benutzung von TLS (da braucht's dann auch wieder den Standardport) "angehalten" wird. Allerdings braucht es dazu noch ein paar weitere Vorbereitungen durch AVM und das FRITZ!Box-Zertifikat, das sich mit jeder neuen externen IP-Adresse ändert (und auch intern genutzt wird), ist da dann wieder das genaue Gegenteil von "nützlich".

Ich halte den derzeitigen Zustand bei der Behandlung von Port 443 für Weiterleitungen also auch für nicht günstig und bin sehr dafür, daß AVM diesen expliziten Sonderfall (Zugriff aus dem LAN, aber mit der externen Adresse der Box UND es existiert eine Weiterleitung für den Port 443 auf einen Client im LAN) noch nachbessert ... aber ich sehe das eben auch als Fehler und nicht "by design" und halte diesen Fehler (angesichts der besonderen Umstände, die ein solcher Zugriff darstellt) für verzeihlich und würde ihn nicht als "Praktikantenfehler" einordnen. Die Eingangsvoraussetzungen, um die Entscheidung für oder gegen NAT-Hairpinning zu treffen, sind schon einigermaßen komplex.

 

[andilao]

Ja, fehlinterpretiert, daher auch die ungläubige Nachfrage mit Spuren von Ironie/Sarkasmus.

Praktikantenfehler war tatsächlich ein zu schwaches Wort dafür. Eine generelle Entscheidung gegen NAT-Hairpinning wäre eher eine "strategische Fehlentscheidung" und zumindest bei mir das Aus für Fritzboxen in Umgebungen ohne eigene DNS-Server.

 

[egnurg]

in meinem System betrifft das nicht nur den Port 443 sondern auch andere.
Anscheinend nicht nur den Namen sondern auch Zugriffe auf die IP-Adresse direkt:

Beispiel:

FTP freigegeben für eine Wetterstation, Port 60111
Weiterleitung intern auf eine Synology-Box.
Da werden alle 30min die aktuellen Daten eingespielt.
Zum Testen hatte ich den Account intern mit WinSCP eingerichtet.
Verbindung vom Testrechner INTERN : kein Zugriff, weder mit Domainname noch mit fester IP-Adresse
Von extern: kein Problem


eMail-Server über remote.meinDomainName oder feste IP-Adresse:


eMails empfangen/versenden, Kalenderabgleich vom Handy funktioniert einwandfrei solange man nicht in WLAN-Reichweite ist - Zugriff von aussen.
sobald man im WLAN eingebucht ist funktioniert der Versand/Empfang von eMails NICHT mehr.
Offensichtlich werden alle Ports auf die Fritzbox umgeleitet wenn man "von innen" drauf zugreift.
WLAN aus - Mailversand klappt.

Ich kann aber nicht jedesmal das WLAN manuell ein/ausschalten nur um nach eMails zu suchen da noch andere Dienste am Handy laufen die nur über WLAN funktionieren.

Seltsamerweise geht es auch NICHT mit der externen IP-Adresse!

ich habe eine feste IP-Adresse, kein DynDNS.
Das ging bis vorgestern mit 6.50 (gammelalt). Jetzt wurde ich auf 6.75 umgestellt (warum nicht gleich die 7er die angeblich bei KabelBW ausgerollt wird?) und seither funktioniert es nicht mehr. 8-(

Eintragungen im DNS-Rebind-Schutz bringen keine Änderungen.

Ich würde mir ja sogar eine 6590 kaufen wenn es an der gammeligen Software der Kabel-BW-Box liegt.
Aber anscheinend haben das Problem alle Boxen?

 

[andilao]

Nur zum Vergleich: FRITZ!Box 6490 Cable (kdg) mit FRITZ!OS: 07.01 (noch) ohne das Problem (Provider-Box, Provider-Firmware-Update).

Schau erst mal unter Diagnose - Sicherheit, was aus den Ports geworden ist - Boxen unter Provider-Kontrolle machen bei einem Update die seltsamsten Sachen.

 

[egnurg]

die Ports sind da und werden auch korrekt angezeigt. Sind von aussen auch erreichbar. Nur eben nicht von innen. Der Unitymedia/Kabel-BW Service meldet sich nicht, AVM hat eine Servicedatei von der Box angefordert.

 

[PeterPawn]

Da scheint (mal wieder oder immer noch?) einiges durcheinander zu sein beim PCP und beim NAT-Loopback - an anderen Stellen beschreiben Benutzer, daß der Port 443 (bzw. das AVM-GUI der Box) bei ihnen auch aus dem WAN erreichbar wäre, obwohl sie einen abweichenden Port konfiguriert haben - denkbar, daß dort die "Freigabe" für alle Ports existiert, so wie vielleicht bei @egnurg jeder Zugriff auf die externe Adresse nicht im NAT-Loopback (bei freigebenem Client), sondern auf der Box selbst landet.

Ich würde hier nach einem Update erst einmal hingehen und alle aktiven Portfreigaben entfernen (die werden mittlerweile ja bei den "landevices" gespeichert, wenn es um LAN-Clients geht, während die Freigaben auf die Box selbst weiterhin in "internet_forwardrules" (bzw. "voip_forwardrules") stehen), die Box neu starten und die Freigaben neu einrichten. Ist zwar bei dem einen oder anderen sicherlich viel Arbeit ... aber sicherlich immer noch schneller als das Warten auf eine Lösung durch AVM. Auch wenn es keine Erfolgsgarantie gibt ... einen Versuch ist es sicherlich wert.

Denn es ist wohl so, daß AVM da weiterhin "bastelt" ... bei mir klappt jedenfalls (mit 141.07.08-66226) sogar die (von Hand eingestellte) Weiterleitung über "internet_forwardrules" in der "ar7.cfg" für Port 443 auf einen Client im LAN der 7490 (und zwar sowohl von außen als auch von innen, auch wenn "außen" nur ein anderes VLAN ist, weil ich die Box als LAN1-Router teste).

Stelle ich dieselbe Freigabe per GUI ein (dann landet sie im "landevices"-Abschnitt der "ar7.cfg"), funktioniert es nicht mehr. Das steht nun wieder der früheren Feststellung, daß AVM die Einträge in "internet_forwardrules" nicht mehr korrekt auswertet seit der Einführung von PCP, diametral gegenüber ... daher meine Einschätzung, daß AVM daran "schraubt" und bei dem derzeitigen Kuddelmuddel (07.04 vs. 07.08-Labor vs. 07.10 vs. alte Versionen, etc.) blickt vermutlich auch AVM selbst nicht mehr immer durch, welcher Code da nun gerade in welcher Version landet und wie sich das als "Gesamtkunstwerk" verhält.

 

[egnurg]

nur zur Info: eine Lösung habe ich noch nicht gefunden aber eine kleine Abhilfe damit ich auf meinen eigenen Server wieder zugreifen kann, vielleicht hilft es ja anderen:
einfach bei einem Windows-Rechner in der hosts-Datei für www.xxxx die interne IP des Servers eingetragen, dann werden alle Zugriffe schon vor der Fritz-Box umgeleitet. Damit kann ich zumindest von diesem PC wieder auf den eigenen Webserver.

Leider hift das nicht für Handy und sonstige Geräte die wechselweise von aussen oder übers WLAN zugreifen.
Evtl. kann man da netzintern einen Proxy dazwischenschalten und die IP-Adressen verbiegen.
Keine schöne Lösung aber eine Abhilfe.


Unitymedia/Kabel-BW und AVM sind dran. Bin gespannt ob es da eine Lösung gibt.

 

[egnurg]

noch ein kleines Update:
AVM und Unitymedia (Business) haben sich redlich bemüht aber es gab leider bisher keine Lösung.
Da habe ich den lokalen host-Eintrag einfach auf meinen Pi-Hole DNS-Server übertragen.

Einfach dort in /etc/hosts den Eintrag
[lokale IP] [domainname]
eingetragen, evtl. Clients neu starten oder DNS flush, dann funktioniert das netzwerkweit.
Und die Fritzbox bekommt das garnicht mehr mit

 

[CWempe]

Gibt es hierzu Neuigkeiten?

Ich habe vor kurzen die finale 07.11 auf meiner 7490 installiert und stehe jetzt vor demselben Problem.

 

[NDiIPP]

Bisher ist imo nur der manuelle Weg bekannt, eine funktionierende Portfreigabe für Port 443 einzurichten (siehe Beitrag #26, 3. Absatz).

 

[HabNeFritzbox]

Kann weiterhin Problem nicht nachvollziehen, weder intern noch extern habe ich Probleme auf 443 oder andere Ports zuzugreifen auf meinem NAS usw.

 

[HalliHalloSchat]

Ich habe Version 7.11 am laufen.

Seit ein paar Tagen habe ich ebenfalls das Problem, das meine 443 Weiterleitung nur über extern funktioniert, nicht mehr aus dem internen wlan / lan.

Reboot brachte kein Erfolg.

Bei mir brachte es zum Erfolg, dass ich die ipv6 Funktion der Fritzbox deaktiviert habe. Nach einem reboot hat es wieder funktioniert.

Vielleicht kann dies jemand bestätigen?!?

 

[HabNeFritzbox]

Wenn per externen Hostnamen zugegriffen hast, ist DNS Rebindschutz dein Schlagwort für Suche.

 

[HalliHalloSchat]

Ich habe die Verbindungen per Browser genutzt.
Ich habe die Verbindung mit diversen Apps genutzt, die ebenfalls über einen Domainnamen darauf zugreifen.
Auch ein paar Laptopprogramme hatten Probleme.

Wie gesagt, nichts bewusst umgestellt, auf einmal gab es Probleme. Nach abschalten der IPv6, da mir vorher diese in der Fritz Übersicht nicht aufgefallen war. Evtl. hat der Provider etwas umgestellt. Nach abschalten gehen die Verbindungen wieder wie gewohnt. Von extern wie auch wieder von intern.

Der rebind Schutz ist nicht eingestellt. Will ja nicht auf die Box zugreifen, sondern durch die Box durch auf meine Server, die per Freigabe freigegeben sind.

 

[HabNeFritzbox]

Wie du aus deinem Netzwerk über externe Hostnamen intern zugreifst ist egal, es greift offensichtlich die genannte Funktion. In dem Fall also korrekt wie es bei dir läuft. Solltest dich also mit der Funktion vertraut machen.

 

[HalliHalloSchat]

Also ich habe den DNS Rebind Schutz nur für die Domainnamen gesetzt, mit dem ich auf die FritzBox zugreifen möchte. Intern sowie extern.

FritzBox.MeineDomain.de

Wenn ich den Rebind Schutz nicht setze, kommt die FritzBox mit: DNS-RebindSchutz aktiv und lässt mich nicht auf die Box. Wenn ich dann den Rebind Schutz auf FritzBox.MeineDomain.de setze, dann komme ich von extern auf meine FritzBox.

Wieso sollte ich meine dahinterliegenden Dienste auch darauf setzen?

www.MeinDomain.de
mail.MeinDomain.de
calender.MeinDomain.de
FotoServer.MeinDomain.de
svn.MeinDomain.de
home.MeinDomain.de
sync.MeinDomain.de
info.MeinDomain.de
ftp.MeinDomain.de
sshbox.MeinDomain.de
web.MeinDomain.de
usw. usw.
Alle diese Einträge zeigen über meinen Provider auf den MyFritz-Namen als CNAME. Diese Dienste werden mit Port 443 auf meinen Home-Server umgeleitet, der mit virtuellen Servern auf die unterschiedlichen Namen mit der entsprechenden website reagiert.

Womit muss ich mich nun beschäftigen?
Es funktioniert genau so wie ich es möchte, warum sollte an dieser Konfig etwas verkehrt sein? Gibt es da weitere Vorteile/Optimierungspotenzial/Performanceverbesserung?

 

[HabNeFritzbox]

Wenn die Funktion nicht nutzt ist es korrekt dass es nicht geht.

Verwende einfach nur mal MeineDomain.de, sollte alle Subdomains enthalten.

Mach einfach nen nslookup auf den Hostnamen auf den Zugreifen willst, wenn dort nach 2 Sekunden Fehler kommt hat die Funktion gegriffen. Mit Ausnahme solltest direkt entsprechende IP kommen.

 

[kleinkariert]

Verwende einfach nur mal MeineDomain.de

Das funktioniert leider nicht.

Allen Boxen im VPN-Verbund habe ich per DNS-Server Namen wie box1.meinedomain.vpn etc. vergeben, damit ich immer in der Adresszeile des Browsers sehen kann, wo ich bin. Wenn ich box1. weglasse, bin ich sofort raus und muss wieder per IP-Adresse auf die Box.

 

[HabNeFritzbox]

Wie es testen kannst hab ich ja beschrieben, also ggf. alle Namen und ggf. in allen Boxen pflegen. IPv6 geht eh nicht im VPN von AVM.

 

[HalliHalloSchat]

bekomme keine Fehler per nslookup. Werden alle sofort aufgelöst. Ob die nun in der rebind Schutz drin stehen oder nicht, macht anscheinend keinen Unterschied. Oder ist ein reboot der box notwendig?