[Problem] Portweiterleitungen auf die Box verschwinden von selbst

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
687
Punkte für Reaktionen
4
Punkte
18
Hallo zusammen,

ich habe gestern ein neues image gebaut auf meiner 7490 wie sonst auch immer Portweiterleitungen in der ar7.cfg eingerichtet (unter internet_forwardrules).
Diese verschwinden nach einer bestimmten Zeit (nach einer oder einigen Stunden) "automatisch.

Ich weiß nicht, ob da ein Zusammenhang besteht.
In dem neuen Image habe ich AVM-Forwarding eingebaut.
Es funktioniert aber nicht, wie erwartet.
Wenn ich, wie beschrieben, im AVM UI eine Weiterleitung auf die Box einrichte (egal ob https oder ftp), so erscheint diese nicht und wird auch nicht angelegt.
Erst wenn ich meine eigenen Weiterleitungen in der ar7.cfg sehe ich die im Freetz UI.

Woran kann das liegen?

Gruß
maceis
 
Das ist nun wirklich (a) nicht neu und (b) besprochen und gelöst in anderen Threads.
 
Ja richtig, allerdings m. E. nur teilweise.
Warum Portweiterleitungen (z. B: https), die im AVM UI eingerichtet werden, habe ich noch nicht verstanden und auch nirgends gefunden.
 
Weil AVM bei Änderungen an "internet_forwardrules" nicht mehr interessiert, was Du da selbst einstellst (und das beim nächsten Schreiben der "ar7.cfg" i.d.R. ohnehin wieder Geschichte ist).

Der "ctlmgr" kümmert sich offenbar seit der Einführung von PCP selbst darum, daß die von ihm benötigten Freigaben (inkl. FTP) auch beim PCP-Daemon bekannt sind und von diesem eingerichtet werden ... jedenfalls würde ich meinerseits die Ausgabe von "showpcpinfo" und das beobachtete Phänomen, daß man bei "internet_forwardrules" jetzt einstellen kann, was man will und daraus dann doch keine Freigabe wird, dahingehend interpretieren.

Auch die Feststellung, daß die "AVM-eigene" Freigabe für den FTP-Server (für die Control-Verbindung, die Data-Verbindung wird dynamisch aufgemacht vom "ftpd") gar nicht mehr in der "ar7.cfg" überhaupt "vermerkt" wird, spricht irgendwie für diese Annahme.

Aber Du kannst ja mal bei AVM nachfragen, was tatsächlich die Ursache ist ... man muß ansonsten halt schlußfolgern (aus verschiedenen Beobachtungen) und das kann durchaus falsch sein.
 
Ja, Danke.

Ich möchte an dieser Stelle noch den Hinweis geben, dass der erste Satz auf dem Freetz UI auf der Seite AVM_Forwarding m. E. irreführend ist:
"Diese Oberfläche benötigt mindestens eine aktive Weiterleitung auf die Box. Z.B. kann (temporär) der HTTPS Zugriff in der AVM-GUI erlaubt werden (Internet -> Freigaben -> FRITZBox-Dienste)."
Jedenfalls hat das bei mir nicht erwartungsgemäß funktioniert.

Gruß
maceis
 
Theoretisch müßte man das Firewall-Paket in Freetz vermutlich komplett deaktivieren, wenn die Basis eine AVM-Version mit PCP ist. Dann funktioniert da praktisch nichts mehr richtig.

Man müßte für solche Aufgaben in Freetz eigentlich ein gesondertes Programm schreiben (die IOCTL-Aufrufe für den "kdsld" sind ja nachzulesen, z.B. in den Quellen des "ftpd"), mit dem man Ports auf die Box selbst freischalten kann und dann dieses Programm eben - je nach Notwendigkeit, ich weiß nicht, ob diese Freigaben bei "Neu verbinden" dann wieder verschwinden - an den richtigen Stellen aufrufen.

Das Ändern in der "ar7.cfg" ist ohnehin "old school" und auch wenn heute die Verwendung (oder auch der "Mißbrauch") von "voip_forwardrules" (oder auch von "vpn_forwardrules", wobei dafür der "avmike" laufen muß und das braucht mind. eine aktive VPN-Verbindung) noch möglich ist, kann das morgen schon wieder anders aussehen.

Da ist dann (meines Erachtens) eine tatsächlich von den AVM-Einstellungen getrennte Verwaltung der Freigaben für die mit Freetz zusätzlich eingerichteten Services die bessere Lösung - wenn man das dem "inetd"-Daemon der BusyBox noch beibiegt, kann der auf der FRITZ!Box sogar die Ports für Services anmelden, die über ihn gestartet werden sollen (was dann "port hijacking" wieder schwieriger macht).
 
Klingt alles gut (zumindest soweit ich es verstanden habe ;)), überschreitet aber meine bescheidenen Kenntnisse und Fähigkeiten.
Ich hab´s wieder mal nur hingefrickelt, indem ich den ctlmgr beendet habe, bevor ich die von mir benötigten internet_forwardrules in die ar7.cfg eingetragen habe.
Diese funktionieren jetzt soweit und erscheinen sogar im Freetz UI.
Ob das jetzt wieder nur bis zum nächsten (oder übernächsten ...) Update der Fall ist, wird die Zukunft zeigen.

Ich würde die ganzen Abläufe und Zusammenhänge je gerne besser verstehen, u. a. um mir selbst besser helfen zu können und einige eigene Ideen umzusetzen. Leider fehlen mir dafür die Kenntnisse und auch die Zeit, so tief einzusteigen.

Gruß
maceis
 
Hättest du die Güte so einen Thread zu verlinken

Danke

Ich sehe das Problem auch nicht als "gelöst" an.
Und zwar derart nicht, dass ich trotz mehrerer Stunden lesen und suchen letzten Endes darauf ausgewichen bin, den Webserver auf mein NAS zu packen, anstatt ihn lokal in der Fritzbox zu betreiben.
Es hat bei mir – trotz viel Erfahrung – einfach nicht funktioniert.
 
Ich sehe das Problem auch nicht als "gelöst" an.
Das kann zwar jeder selbst so einschätzen, wie er möchte - aber eine funktionierende Beschreibung der zu änderden Stelle und eine funktionierende Beschreibung des Weges dorthin (es ist halt wichtig, daß man beim Editieren der "ar7.cfg" ein paar Hinweise beachtet) geht (in meinen Augen) auch als "Lösung" durch.

Wenn Du dann irgendwie ausweichst auf eine andere Lösung, ist das auch Deine (legitime) Entscheidung und die Feststellung:
Es hat bei mir – trotz viel Erfahrung – einfach nicht funktioniert.
ist nicht mal dazu geeignet, daß man Dir einen Hinweis geben könnte, was Du eventuell (das passiert auch den Erfahrensten - ja, manchmal gerade diesen, weil sie dann alte Erkenntnisse anwenden wollen, die so gar nicht mehr gültig sind und sie häufig gegen neuere Erkenntnisse "immun" sind ... ging ja schließlich bisher auch immer so) falsch gemacht haben könntest, denn daran kann man eben genau nicht sehen, was Du im Verlauf dieser vielen Stunden der Suche und des Lesens gelesen, verstanden und dann probiert hast.

Ansonsten ändert AVM an dieser Stelle offenbar ständig ... bei der 7580 habe ich gerade erst beschrieben, daß die eigene Weiterleitung des FRITZ!OS für den HTTPS-Port gar nicht mehr in der "ar7.cfg" auftaucht und damit das FRITZ!OS selbst den Eintrag "internet_forwardrules" wohl spätestens ab Version 07.00 nicht mehr benutzt.

Die Konsequenz, das Paket zur automatischen Einrichtung von Portweiterleitungen (auf die Box selbst -> avm_forwarding) für die Versionen zu deaktivieren, bei denen es nicht mehr funktioniert, ist auch gezogen in Freetz (habe ich in #6 "ins Gespräch gebracht") ... was will man mehr? Wenn AVM da ändert und es nicht mehr funktioniert, ist das eben "Schicksal" - auch das war ja vorauszusehen (#6 ab dritter Absatz).

Man kann sich weiterhin mit manuellen Einträgen in der "ar7.cfg" behelfen (der Weg über die "vpn.cfg" funktioniert wahrscheinlich in 07.00 auch nicht mehr, wenn man den ersten Berichten glaubt), sofern man diese auf dem richtigen Weg einrichtet und dafür die richtige Variable verwendet. Mehrere "Erfolgsmeldungen" in dieser Richtung sollten Beleg genug sein und wenn es bei einem selbst nicht funktioniert, überprüft man i.d.R. erst einmal das eigene Vorgehen, bevor man sich zu der Feststellung hinreißen läßt: "Geht nicht." - oder man spezifiziert es genauer: "Geht bei mir nicht.".

Das ist dann für spätere Leser eben ein Unterschied, ob jemand behauptet, eine beschriebene Lösung würde generell nicht (mehr) funktionieren oder ob man als Leser selbst die Überlegung, ob derjenige das wohl alles richtig gemacht hat, in die eigene Entscheidung einfließen lassen kann. Daß es sich bei diesen Weiterleitungen um ein sehr "dynamisches Thema" handelt, verkompliziert das zwar etwas, aber deshalb schreibt man bei sich ändernden Erkenntnissen ja dazu, für welche Version diese gelten.

Wenn das dann bei einer "geht bei mir nicht"-Beschreibung auch noch steht (notfalls recycelt man ein paar Lettern aus einem alten Beitrag, wenn deren Knappheit sich zum Hindernis entwickeln könnte), kann auch der Leser (auch der, der ggf. antworten würde) erkennen, um welche Version es sich handelt und sich dann überlegen, ob bzw. was da geändert wurde von AVM.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.