Portfreigabe & OpenVPN

[MaxMuster]

... geht denn diese "echte" Weiterleitung? Kannst du damit deinen Rechner aus dem Internet erreichen?

Jörg

 

[for0nes]

kann jetzt nicht speziell für emule testen,

ich hab auf der Clientbox (sollte eigentlich der Server werden) einen Port freigegeben für Remotedesktop (willkürlich Port 20000+). Ich kann mich von hier dahin verbinden.
Solte also gehen.
Ich versuch gleichmal die alte FW.

Danke für Eure Geduld!

 

[sf3978]

Mich wundert etwas, das in der FirewallGUI keine Regeln für VoIP zu sehen sind...

In der Firewall-GUI sieht man nur das was bei den forwardrules eingetragen ist. z. B.:

forwardrules = 
                                       "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN", 
                                       "udp 0.0.0.0:4672 192.168.100.10:4672 0 # eMule

Die VoIP-forwardrules stehn in der ar7.cfg an einer anderen Stelle:

voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";

 

[cando]

Schau dir mal die ar7.cfg genauer an, ich glaube VoIP & tr069 haben eine eigene Section, die gehen komplett an der LAN / DSL Firewall vorbei...

Der User soll die ja auch nichts ändern können. AVM hat auch kein Portforwarding durch den User auf die Fritz vorgesehen. Normalerweise sperrt AVM nur die Broadcast Ports und ein paar NBT / Windows Management Ports nach aussen, sonst ist alles offen, damit jedes Programm von innen nach aussen alles machen kann, die Gegenrichtung ist grundsätzlich offen, schutz bietet nur das NAT.

Wie die Config im ATA Modus als Router aussieht, weiss ich nicht, kann man aber sicher nachsehen. Ich nehme mal an, dass auch da auf private IP Adressen durch den dsld ge-NAT-ed wird. Die Box wird man ohne mod nativ zum richtigen Layer3 Router wohl nicht machen können.

 

[for0nes]

Hallo,

ich habe die Stelle mit den VoIP auch in meiner ar7.cfg gefunden.
Steht da auch genauo drin.

 

[sf3978]

Schau dir mal die ar7.cfg genauer an, ich glaube VoIP & tr069 haben eine eigene Section, die gehen komplett an der LAN / DSL Firewall vorbei...

Beim Scannen einer FB7170 (kein ATA-Modus!) mit nmap über das Internet bzw. über das AVM-IPsec-VPN wird der TCP-Port 5060 als offen angezeigt, der UDP-Port 5060 wird gar nicht angezeigt.

Mit der AVM-FirewallGUI kann man aber den TCP-Port 5060 (sip) der Box schließen/blocken.

 

[cando]

Ja, ich glaube die AVM Firewall greift additiv auch bei Port-forwarding Regeln (z.B. ind Intranet), müsste man aber noch mal verifizieren.

Nur die kann man im Original Interface von AVM gar nicht konfigurieren. Das geht nur mit freetz oder durch den Trick telnet + Patch ar7.cfg oder über Einstellungen Sichern + Bearbeiten / Rücksichern (Datei per Prüfsumme geschützt!).

Wer es wirklich sicher und ohne Überraschungen haben will, kann mit iptables nachhelfen...

 

[MaxMuster]

Die VoIP-forwardrules stehn in der ar7.cfg an einer anderen Stelle

... tja, wahrscheinlich liegt das an meiner "veralteten" Box, aber bei meiner FBF-Firmware (06.04.49) ist auch das (zusätzlich) noch in den "normalen" forward-rules drin. Diese anderen forwarding Einträge sind zumindest dort auch in der "default ar7.cfg" nicht drin sondern werden scheinbar erst später erzeugt...


Jörg

 

[RalfFriedl]

Beim Scannen ... mit nmap ... wird der TCP-Port 5060 als offen angezeigt, der UDP-Port 5060 wird gar nicht angezeigt.

Erstens wird mit nmap ohne weitere Optionen nur TCP gescannt und UDP nicht.
Zweitens ist das Scannen von UDP-Ports prinzipiell problematisch (die Hintergründe werden irgendwo in der Dokumentation von nmap erklärt). Allgemein gesagt kann man weder mit Sicherheit feststellen, daß ein UDP Port offen ist, noch daß er geschlossen ist.

 

[sf3978]

Erstens wird mit nmap ohne weitere Optionen nur TCP gescannt und UDP nicht.
Zweitens ist das Scannen von UDP-Ports prinzipiell problematisch (die Hintergründe werden irgendwo in der Dokumentation von nmap erklärt). Allgemein gesagt kann man weder mit Sicherheit feststellen, daß ein UDP Port offen ist, noch daß er geschlossen ist.

Das ist Alles richtig was Du hier schreibst. In meinem Beitrag habe ich aber nichts Gegenteiliges behauptet. Wie man UDP-Ports scannt ist bekannt. Als Dokumentation benutze ich die Manpages aus FreeBSD und Linux sowie anderes Infomaterial zu nmap, aus dem Internet. Gerade weil man UDP-Ports nicht sicher scannen kann, habe ich geschrieben, dass der UDP-Port 5060 gar nicht angezeigt wird.

Und so habe ich die UDP-Ports der fernen FritzBox, extern gescannt:

# nmap -v -PN -s[B][COLOR="Red"]U[/COLOR][/B] <dyndns.adresse>

Starting Nmap 4.68 ( http://nmap.org ) at 2009-02-11 14:11 CET
Initiating Parallel DNS resolution of 1 host. at 14:12
Completed Parallel DNS resolution of 1 host. at 14:12, 0.03s elapsed
Initiating UDP Scan at 14:12
Scanning yyyy.l.xxxx-pool.de (xxx.xxx.xxx.xxx) [1488 ports]
UDP Scan Timing: About 9.78% done; ETC: 14:17 (0:04:40 remaining)
Completed UDP Scan at 14:12, 43.34s elapsed (1488 total ports)
Host yyyy.l.xxxx-pool.de (xxx.xxx.xxx.xxx) appears to be up ... good.
Interesting ports on yyyy.l.xxxx-pool.de (xxx.xxx.xxx.xxx):
Not shown: 1478 open|filtered ports
PORT     STATE    SERVICE
111/udp  filtered rpcbind
135/udp  filtered msrpc
136/udp  filtered profile
137/udp  filtered netbios-ns
138/udp  filtered netbios-dgm
139/udp  filtered netbios-ssn
140/udp  filtered emfis-data
161/udp  filtered snmp
162/udp  filtered snmptrap
7100/udp closed   font-service

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 68.278 seconds
           Raw packets sent: 2966 (83.048KB) | Rcvd: 10 (560B)

Danke.

 

[RalfFriedl]

Wenn das schon bekannt ist, dann umso besser, wobei es nicht unbedingt jeder weiß, der mitliest.

Aus der Anzeige oben "Not shown: 1478 open|filtered ports" würde ich übrigens entnehmen, daß der Port 5060 "open|filtered" ist, also offen oder gefiltert. Wobei ich mich dann frage, was diese Ports von den anderen unterscheidet, bei denen nur filtered angezeigt wird.

Im Zweifelsfall ist der Port 5060 offen, aber es wird nicht auf Pakete reagiert, wenn diese nicht als SIP-Pakete erkannt werden.

 

[sf3978]

Mit

# nmap -v -PN -sU <dyndns.adresse> -p 5060

kann man auch geziehlt den UDP-Port 5060 der FritzBox scannen:
Ergebnis:

PORT     STATE         SERVICE
5060/udp [B]open|filtered[/B] sip

Port-Bereiche -p

Um bestimmte Ports oder Bereiche zu untersuchen, können diese mit der Option -p bestimmt werden. Einzelne Ports werden als -p 22 notiert, Bereiche können mit -p 40-45, 100-120 angegeben werden.

 

[for0nes]

ich hab jetzt die VPN-Verbindung zw. 2 Boxen hinbekommen.
Wieso steht eigentlich nirgends in den Anleitungen, das man den static.key der Client an den Server anpassen muss?!?:blonk:

naja jetzt läufts...

Danke an alle!

 

[MaxMuster]

Mit nirgends meinst du aber nicht das Freetz-Wiki oder das "alte" Wiki hier, denn in beiden steht:

[B]Static Key[/B]
[...]
beide Seiten verwenden [B]den selben[/B] statischen Schlüssel zur Authentifizierung

(Hervorhebung von mir) ;-) ;-)


Jörg

 

[for0nes]

Habe mich im Großen&Ganzen an diese Anleitung gehalten:
http://www.ip-phone-forum.de/showpost.php?p=531364

Egal, kann ich auch überlesen haben.

Thema kann für mich dadurch geschlossen werden!