Moin zusammen. Ich find' nix dazu, bin ich blind?
Netzwerk: DSL <> [FB7490] <> "LAN0" <> [OpenWRT-Router] <> "LAN10"
FB7490: aktuelles FritzOS 7.57; 10.0.0.1 im LAN0
LAN0 = 10.0.0.0/24
OpenWRT-Router: aktuell, 10.0.0.2 im LAN0, 10.0.10.1 im LAN10
LAN10 = 10.0.10.0/24
In der FB statische Route auf 10.0.10.0/24 via 10.0.0.2
Firewall auf OWRT und kann dort beobachten, was ankommt (und abprallt, oder auch nicht; jedenfalls: WENN was kommt sehe ich DASS was ankommt).
Das Problem liegt NICHT am OWRT, sondern am Verhalten der Fritz, wie im Folgenden zu sehen.
/EDIT/
das Problem scheint NUR zu bestehen, wenn die interne Ziel-IP NICHT im Netz der Fritzbox liegt, s.u.
/EDIT/
So, nun will ich eigentlich nur ganz einfach: Port 80 und 443 von außen an eine IP 10.0.10.104 im Subnetz hinter OWRT durchstellen.
Diese Maske:
[Edit Novize: Riesenbild auf Vorschau reduziert - siehe Forumsregeln]
Trage ich "Port extern gewünscht" = 443 UND "Port am Gerät" wie oben mit 9443 ein kommen die Requests von außen (LTE, Handy, einfaches "curl" mit entspr. Port) an der FW vom OWRT an. FB stellt also extern:443=>ziel(via10.0.0.2):9443 "korrekt" durch. Was OWRT aka 10.0.0.2 dann damit macht ist Sache der dortigen Firewall. Ich lasse dort absichtlich erstmal "abprallen" um eben im Log dort zu sehen, OB die Pakete bis zum OWRT kommen oder in der FB "verenden".
Trage ich statt dessen als Zielport direkt 443 ein, sollte die FB doch genauso extern 443 (den nimmt sie ja im obigen Fall korrekt von außen an!) an den OWRT 443 durchstellen.
DAS macht sie aber NICHT. Why not!?
443=>9443 = OK
443=>443 = nö.
Einzige Idee wäre: Unter "Internet > Freigaben > FritzBox-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert". Die ist aber natürlich NICHT aktiviert. Wenn sie es wäre, dann hätte ich verstanden, dass die Fritz dann wohl "externeIP:443" für ihren eigenen Webserver nach außen anbietet. Aber ohne den Haken!?
Analog für Port 80.
"Port Extern gewünscht" 80; "Port an Gerät" = 80 (also 80=>80) => nö
81 => 80 => nö
81 => 81 = OK
80 => 8081 => OK
=> Sobald der ZielPort ein anderer als 80 bzw 443 ist geht es. Nur für diese beiden eben nicht.
/EDIT/
eben noch getestet: Ziel-Host im LAN0, also mit 10.0.0.x-IP im Netz der Fritz. DANN werden auch Pakete 80=>80 sowie 443=>443 korrekt durchgestellt.
/EDIT/
Warum kann ich nicht mit 9443 oder 50443 oder sonstwas als Zielports leben? Könnte ich vielleicht... aber... warum sollte ich? Port ist port.
Tatsächlich: auf dem Ziel-Host läuft ein Dienst mit Zertifikat, welches bei Erneuerung alle 3 Monate eine "Challenge" beim Issuer triggert, der daraufhin versucht, meine dyndns-Domain:80 & :443 zu erreichen. Vermutlich könnte man das umkonfigurieren... aber nochmal, warum sollte man das "müssen", nur weil die Fritte sich bei diesen beiden Ports "in den Weg stellt"
Der andere Work-Around wäre: Auf der Fritz eben 80 => 8081; und auf OpenWRT statt eines "Lochs" auf dem richtigen Port (80) in der Firewall ein "Rück-Forwarding" 8081=>80. Aber, warum sollte ich.
Ist das ein Bug in FritzOS, oder ein "Feature" das (bzw dessen Notwendigkeit) ich nicht verstehe?
Netzwerk: DSL <> [FB7490] <> "LAN0" <> [OpenWRT-Router] <> "LAN10"
FB7490: aktuelles FritzOS 7.57; 10.0.0.1 im LAN0
LAN0 = 10.0.0.0/24
OpenWRT-Router: aktuell, 10.0.0.2 im LAN0, 10.0.10.1 im LAN10
LAN10 = 10.0.10.0/24
In der FB statische Route auf 10.0.10.0/24 via 10.0.0.2
Firewall auf OWRT und kann dort beobachten, was ankommt (und abprallt, oder auch nicht; jedenfalls: WENN was kommt sehe ich DASS was ankommt).
Das Problem liegt NICHT am OWRT, sondern am Verhalten der Fritz, wie im Folgenden zu sehen.
/EDIT/
das Problem scheint NUR zu bestehen, wenn die interne Ziel-IP NICHT im Netz der Fritzbox liegt, s.u.
/EDIT/
So, nun will ich eigentlich nur ganz einfach: Port 80 und 443 von außen an eine IP 10.0.10.104 im Subnetz hinter OWRT durchstellen.
Diese Maske:
[Edit Novize: Riesenbild auf Vorschau reduziert - siehe Forumsregeln]
Trage ich "Port extern gewünscht" = 443 UND "Port am Gerät" wie oben mit 9443 ein kommen die Requests von außen (LTE, Handy, einfaches "curl" mit entspr. Port) an der FW vom OWRT an. FB stellt also extern:443=>ziel(via10.0.0.2):9443 "korrekt" durch. Was OWRT aka 10.0.0.2 dann damit macht ist Sache der dortigen Firewall. Ich lasse dort absichtlich erstmal "abprallen" um eben im Log dort zu sehen, OB die Pakete bis zum OWRT kommen oder in der FB "verenden".
Trage ich statt dessen als Zielport direkt 443 ein, sollte die FB doch genauso extern 443 (den nimmt sie ja im obigen Fall korrekt von außen an!) an den OWRT 443 durchstellen.
DAS macht sie aber NICHT. Why not!?
443=>9443 = OK
443=>443 = nö.
Einzige Idee wäre: Unter "Internet > Freigaben > FritzBox-Dienste" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert". Die ist aber natürlich NICHT aktiviert. Wenn sie es wäre, dann hätte ich verstanden, dass die Fritz dann wohl "externeIP:443" für ihren eigenen Webserver nach außen anbietet. Aber ohne den Haken!?
Analog für Port 80.
"Port Extern gewünscht" 80; "Port an Gerät" = 80 (also 80=>80) => nö
81 => 80 => nö
81 => 81 = OK
80 => 8081 => OK
=> Sobald der ZielPort ein anderer als 80 bzw 443 ist geht es. Nur für diese beiden eben nicht.
/EDIT/
eben noch getestet: Ziel-Host im LAN0, also mit 10.0.0.x-IP im Netz der Fritz. DANN werden auch Pakete 80=>80 sowie 443=>443 korrekt durchgestellt.
/EDIT/
Warum kann ich nicht mit 9443 oder 50443 oder sonstwas als Zielports leben? Könnte ich vielleicht... aber... warum sollte ich? Port ist port.
Tatsächlich: auf dem Ziel-Host läuft ein Dienst mit Zertifikat, welches bei Erneuerung alle 3 Monate eine "Challenge" beim Issuer triggert, der daraufhin versucht, meine dyndns-Domain:80 & :443 zu erreichen. Vermutlich könnte man das umkonfigurieren... aber nochmal, warum sollte man das "müssen", nur weil die Fritte sich bei diesen beiden Ports "in den Weg stellt"
Der andere Work-Around wäre: Auf der Fritz eben 80 => 8081; und auf OpenWRT statt eines "Lochs" auf dem richtigen Port (80) in der Firewall ein "Rück-Forwarding" 8081=>80. Aber, warum sollte ich.
Ist das ein Bug in FritzOS, oder ein "Feature" das (bzw dessen Notwendigkeit) ich nicht verstehe?
Zuletzt bearbeitet von einem Moderator: