[Gelöst] Wenn ein ISP meint Fritzboxen Kaskadieren zu müssen...

[rspecht]

Hallo Leute,

ich habe leider keinen besseren Titel gefunden.
Das hier behandelt eine Übergangslösung die wohl ein Jahr oder länger Bestand haben wird, da das versprochene Glasfaser auf sich warten lässt.

Die Firma Pfalzconnect hat bei Firma A Internet über DSL bereit gestellt -> Fritzbox A.
Nun kommt Firma B in das Gebäude und wird statt an eine eigene DSL Leitung mit ihrer Fritzbox B an die Fritzbox A geklemmt und das Internet geforwarded (Die Fritzbox hat dafür eine Funktion).

Wir (Firma B) haben nun ein UBNT Sicherheitsgateway Pro (USG) installiert - die Fritzbox B darf ich seitens ISP nicht entfernen. Was dann mit den Telefonnummern passieren würde sei mal dahin gestellt - ich hätte die FB hinter das USG geklemmt.

Vom Aufbau her schauts wie folgt aus:
ISP -> Fritzbox A -> Netz 192.168.178.0 -> Fritzbox B -> Netz 192.168.179.0 -> USG -> Netz 192.168.1.0
Internet gibts in allen 3 Netzen.

Nun will ich eine Portweiterleitung an dem USG einrichten - aber das klappt nicht. Also habe ich testweise ein VOIP Telefon direkt an der Fritzbox (quasi im 192.168.179.0er Netz) und dessen IP wurde als Exposed Host gesetzt. Gebe ich nun im Netz der Firma die IP der Fritzbox B aus dem 192.168.178.0er Netz ein, kommt Website nicht gefunden.
Also klemmt es doch schon da... Wie debugge ich so etwas?

Egal welche Fritzbox ich mit dem Webinterface auf "WAN-Seite" freischalte - ich erreiche auch nicht diese Seite.

Alles in allem keksen mich diese Kisten an und ich hoffe irgendwann alles mit dem UGS machen zu können.

meine Debugversuche von innen nach außen: tracert auf eine hetzner IP.
Da kommen säuberlich beide Fritzboxen und das Security Gateway. Die erste externe IP ist dann 185.113.6.254

Ich hoffe ihr könnt mir helfen.

Liebe Grüße
rspecht

 

[Joe_57]

Das wir so nicht funktioniern.
Das Netz 192.168.179.0 ist normalerweise das Gast-Netz auf jeder FRITZ!Box.
Somit greifen alle Box-internen Firewall-Regeln.
Such dir lieber ein anderes Netz aus....

 

[rspecht]

Hey Joe,

vielen Dank für den Hinweis.... Das sollte dieses komische Interface doch von allein melden. Nunja - es ist nun im 192.168.200.0 Netz und geht immer noch nicht. Wie könnte man debuggen bis wohin man kommt? Scheunentore von vorne nach hinten öffnen und probieren oder gibt es noch einen besseren Weg?

Viele Grüße

 

[PeterPawn]

Ich habe schon meine Probleme, "das Thema" zu verstehen.

Was genau klappt denn bei

Nun will ich eine Portweiterleitung an dem USG einrichten - aber das klappt nicht.

nicht und für welches Gerät hinter dem USG soll denn diese Freigabe eingerichtet werden?

Was ist denn "das Netz der Firma"?`Soll das die 192.168.1.0/24 sein? Wenn sich von dort die FRITZ!Box B unter der IP-Adresse 192.168.178.irgendwas nicht erreichen läßt, liegt das sicherlich daran, daß es sich hier ja aus Sicht von FRITZ!Box B um die externe IP-Adresse (also ihr WAN-Interface) handelt und da ist die Box bis zur passenden Einstellung eher schweigsam. Unter der (neuen) 192.168.200.1 sollte FRITZ!Box B ja nun auch aus dem Netz 192.168.1.0/24 erreichbar sein.

Irgendwie ist die Beschreibung in #1 zwar wortreich, aber schwer nachvollziehbar ... keine Ahnung, ob es nur mir so geht.

Vielleicht solltest Du das noch einmal neu angehen ... diesmal dann gleich mit dem nunmehr verwendeten Subnetz 192.168.200.0/24 für das LAN der FRITZ!Box B.

Die Reservierung von 192.168.179.0/24 für das Gastnetz ist nicht mehr so fix wie früher, man geht aber Problemen tatsächlich besser von vorneherein aus dem Weg und meidet bei der (eigenen) LAN-Konfiguration einer FRITZ!Box alles von 192.168.178.0/24 bis (inkl.) 192.168.189.0/24 - zumindest dann, wenn man mit mehr als einer FRITZ!Box konfrontiert ist.

 

[rspecht]

So, ich habe es mal etwas besser dokumentiert.



Aktuell: Rechner aus dem 192.168.1.0/24 Subnetz kommen an das VOIP Telefon im 192.168.200.0/24er Subnetz (klar - Internet geht ja auch)

Rechner aus dem 192.168.178.0/24 Subnetz kommen NICHT an das VOIP Telefon - obwohl es als Exposed Host in der Fritzbox B steht.

Viele Grüße und schonmal danke an alle Helfer bis hier

//edit by stoney: Bild geschrumpft

 

[PeterPawn]

Die Telefonie (zumindest VoIP) in der FRITZ!Box B muß mehr oder weniger komplett deaktiviert sein (bei der Gelegenheit kannst Du vielleicht noch Modell(e) und Firmware-Version(en) ergänzen, denn da gibt es auch deutliche Unterschiede), weil ansonsten beim Start des "voipd" die SIP- und ein paar RTP-Ports (konkret 5060 für SIP und 7078-8010 - siehe "voip_forwardrules" in der "ar7.cfg", z.B. in einer Export-Datei) auf die Box selbst "geforwarded" werden (ich liebe solche Wörter) und nie bis zum "exposed host" kommen. Ob der "voipd" gestartet ist und welche Weiterleitungen aktiv sind (auch intern), steht in den Support-Daten im PCP-Abschnitt - da braucht man nicht mit anderen Kommandos suchen.

Wenn ich das jetzt richtig sehe, geht es gar nicht darum, an dem USG irgendeine Freigabe zu machen, wie es noch oben beschrieben wurde?

PS: Das gilt für FRITZ!Box A und deren Portweiterleitung natürlich genauso ... aber man muß bei der FRITZ!Box auch nicht zwangsläufig Port 5060 für SIP verwenden, solange der Provider mitspielt und man die Portweiterleitungen für ausgehende Verbindungen beim SIP offen hält (SIP-Ping mit "OPTIONS" oder "REGISTER").

PPS: Einige Versionen des FRITZ!OS haben bekannte Probleme mit der Freigabe für "exposed hosts" ... wenn das eine 06.83 sein sollte in FRITZ!Box B, würde ich das als denkbaren Grund auch in Erwägung ziehen. Ob und wann das konkret behoben wurde, sollte AVM im Support wieder wissen ... wobei der aktuelle Zustand (auch für einen "exposed host") wieder im PCP-Status in der Support-Datei zu finden sein sollte.

 

[rspecht]

Also das Voip Telefon wählt sich in die Fritzbox ein - das ist aber nur Nebensache. Ich habe es nur hergenommen da es auf port 80 ein Webinterface bereit stellt.
Später soll Port 8080 vom Internet aus zum Cloudkey durchgereicht werden - das dürfte aber einfach gehen wenn ich soweit komme dass das Webinterface des VOIP Telefons von ausen sichtbar ist.

Beide Boxen sind 7490er mit Softwareversion 6.93

 

[PeterPawn]

Dann fange doch einfach mal damit an, eine Freigabe in FRITZ!Box B von irgendeinem anderen externen Port (also nicht Port 80, da ist das FRITZ!OS manchmal auch zickig) auf den Port 80 des Telefons einzurichten und wirf die Idee mit dem "exposed host" über Bord. Wenn Du dann von einer 178.irgendwas den Port 80 des Telefons kriegst, bist Du einen Schritt weiter und kannst in FRITZ!Box A die Freigabe vom WAN auf den Port der FRITZ!Box B einrichten ... wobei Du das auch gleich automatisch machen lassen kannst, wenn Du FRITZ!Box B in der FRITZ!Box A das Recht für "selbständige Portfreigaben" einräumst.

Das ist ohnehin keine wirklich professionelle Lösung (bzw. immer nur die zweitbeste, wenn es nichts anderes gibt und das können die FRITZ!Boxen mit PCP nun wirklich besser) mit so einem "exposed host", weil alle parallel laufenden Geräte durch einen kompromitterten Server als Relay ebenfalls gefährdet werden.

 

[rspecht]

Hey PeterPawn,

dank dir - hab nun in Fritzbox 1 alles mögliche per Hand weitergeleitet. An die komme ich halt nur schwer dran. Und nun kann ich an Fritzbox 2 auch nochmal alles weiterleiten und dann wird hoffentlich mein USG von außen erreichbar sein.
Zum Thema Sicherheit: Die Fritzboxen sind mir wurscht - ich habe extra das UBNT Gerät gekauft um eine richtige Firewall zu haben. Diese baut auch das VPN auf und wird sonst alles machen - daher sollen die Fritzboxen vorher am besten alles durchreichen damit ich keine 10 Baustellen zu konfigurieren habe. Nun scheint es aber zu gehen. Wenn alles richtig läuft gebe ich Entwarnung.

Fakt: Exposed Host taugt nix und die Funktion könnte AVM löschen.
Besser wie früher alles per Hand weitergeben.

Gruß

 

[Flole]

Die Fritzboxen sind mir wurscht - ich habe extra das UBNT Gerät gekauft um eine richtige Firewall zu haben. Diese baut auch das VPN auf und wird sonst alles machen - daher sollen die Fritzboxen vorher am besten alles durchreichen damit ich keine 10 Baustellen zu konfigurieren habe.

Dann schalte die FritzBox in den Modem Modus, schmeiß die zweite raus und schon hast du kein 3 Fach NAT (das ist ja völlig wahnsinnig, gerade in einer Firma sollte man sowas ja eigentlich vermeiden) sondern die Firewall hat direkt die externe IP und kann damit tun und lassen was sie will.

 

[PeterPawn]

@Flole:
Hast Du #1 auch gelesen?

 

[Flole]

Jo hab ich gelesen, genauso wie das TKG wo der Netzabschlusspunkt definiert ist, und zwar als passiver netzabscluss. Dementsprechend darf ich alles dahinter entfernen, auch alle fritzboxen die mir da hingestellt werden. Außer natürlich der Netzabschlusspunkt ist nach der Fritzbox, dann ist der ISP aber für die Verantwortlich und das ist hier ja scheinbar nicht der Fall. Damit hättest du zumindest nur noch eine FB, und das NAT Problem ist etwas entspannter.

 

[PeterPawn]

Ich lese hier aber auch etwas von Firmen und daß Firma A Internet hat und Firma B über diesen Anschluß mitversorgt wird (aber getrennt ist). Die Alternative "kein Anschluß" dürfte deutlich weniger gewünscht sein (es wird schon Zwänge geben, z.B. keine freie Cu-DA, ansonsten wäre ja ein zweiter Anschluß logischer) und die Konsequenz aus dem vorgeschlagenen "Zusammenstreichen" der Boxen, daß dann Firma A und Firma B sich ein Netz teilen, dürfte auch nur sehr selten wirklich das Gewollte sein.

 

[Flole]

Ja das schon, aber dann ist man ja auch darauf angewiesen das die Firma die Ports weiterleitet. Ich hätte die Fritzbox einfach rausgeschmissen und die Firewall direkt angeschlossen, dann hast du ja deine Trennung und wenn sich der ISP beschwert dann verweis auf das TKG und das dies alles nicht mehr seine Zuständigkeit ist. Und wenn doch dann soll der sich darum kümmern und das ganze so machen das die Ports alle an dem Anschluss ankommen.

 

[PeterPawn]

Wie man in #9 nachlesen kann, befindet sich FRITZ!Box A gar nicht im direkten Einflußbereich des TO und er muß offenbar über Dritte dort "zugreifen".

Wenn hier Firma B das USG kauft und installieren will, muß das Firma A ja noch nicht automatisch auch recht sein (sonst hätte die es ja schon machen können) und es gäbe so viele Möglichkeiten, eine FRITZ!Box hier als Edge-Router (schon vom Provider her) zu konfigurieren (bis hin zur "Netzwerkbrücke" für zwei weitere FRITZ!Boxen, denn wenn Firma A tatsächlich das Netz 192.168.178.0/24 verwenden sollte, kann Firma B da ja überall zugreifen - also erscheint es mir irgendwie logischer, daß hinter der ersten 7490 zwei andere parallel hängen, von denen jeweils eine für jede Firma da und zugänglich ist), daß man auch dann erst mal abklären müßte, was da wirklich passiert (Pfalzconnect ist nun sicherlich auch kein "Standard-Provider") ... ich halte solche pauschalen Vorschläge (ohne entsprechende Überlegungen, was da alles schiefgehen kann) eher für gefährlich.

Zwar macht der TO hier nicht den Eindruck, daß man ihm einfach etwas "aufschwatzen" kann ... aber es gibt ja auch noch andere Leser und selbst wenn so ein Aufbau mit einer richtig guten Firewall hinter einem Modem, wo dann die Firewall getrennte Netze für die Firmen bereitstellt, sinnvoll sein mag, sollte man die "gewachsenen Strukturen" nicht ganz aus den Augen verlieren.

In meinen Augen ist es jedenfalls einigermaßen unprofessionell, wenn irgendwo "ein Techniker" einrückt und erst mal alles (nach seiner eigenen Ansicht) vom Kopf auf die Füße stellen will und dann geht am Ende gar nichts mehr ... die Schuld daran trägt dann aber auch nicht etwa dieser Techniker, der ohne Sinn und Verstand und Durchblick und Plan erst mal anfing, sondern all die Idioten, die da vor ihm schon dran waren und sich am besten das Lehrgeld zurückzahlen lassen sollten, weil das alles bisher eher zufällig nur funktionierte.

Wer das für übertrieben hält, hat solche Leute nur noch nicht "in Echtzeit" erlebt ...

 

[rspecht]

Wie man in #9 nachlesen kann, befindet sich FRITZ!Box A gar nicht im direkten Einflußbereich des TO und er muß offenbar über Dritte dort "zugreifen".

Genau - FB A darf ich nur Programmieren wenn der Chef von Firma A daneben steht. Da macht dieses rumprobieren richtig Spaß.

... also erscheint es mir irgendwie logischer, daß hinter der ersten 7490 zwei andere parallel hängen, von denen jeweils eine für jede Firma da und zugänglich ist)...

Ja... diese Bastellösung soll nur für den Übergang sein. Das Gebäude ist ein Neubau und es liegen schon Leerrohre für Glasfaser in beide Firmenräumlichkeiten. Da sich die Internetbereitstellung eh schon ewig hinzieht gehe ich davon aus dass wir noch lange aufs Glasfaser warten müssen und mit dieser Bastellösung begnügen.

(Pfalzconnect ist nun sicherlich auch kein "Standard-Provider")

Oh ja...

Zwar macht der TO hier nicht den Eindruck, daß man ihm einfach etwas "aufschwatzen" kann ...

Hoffe ich doch
Ich habe da meine Vorstellungen. Die Netzwerkbetreuung ist nur ein Freundschaftsdienst und Netzwerke gehörten nur am Rande zu meinem Studium. Ich komme eigentlich aus der Elektrotechnikecke, habe aber schon ewig mit Netzwerken im privaten Bereich zu tun - man steigert sich halt rein.
Ich will halt eine echte Firewall - ich will Geräte vom Internet aussperren können, Ports sperren können und vor allem auf VLANs aufziehen um z.B. VOIP von LAN von WLAN usw trennen können.
In einer Firma mit regem Kundenbesuch gehört auch ein System mit Radius Server zum Standard. All das kann mir die Fritzbox nicht bieten.
Daher habe ich zwischen einer pfSense Box oder halt den Unifi Zeugs geschwankt und mich letztendlich wegen der zentralen Verwaltung für Ubiquiti entschieden. Bisher schaut das Zeug auch super aus - und wenn man mal unter die Haube schauen will hilft der SSH Zugang (Wo ist der an der FB? )

Zum Projektstand bisher:
Ich musste einige Ports in beiden Fritzboxen freigeben - das exposed Host Zeug brachte mich nicht weiter.
Nun konnte ich aber schon die Konfiguration beider Standorte zusammenführen. VPN lässt noch auf sich warten, da muss ich mal schauen wo es klemmt.
Wenn alles läuft kann ich auch mal detailliert die Portfreigaben niederschreiben - wenn jemand ein ähnlichen Aufbau hat.

Vielen Dank schonmal
und Viele Grüße

 

[rspecht]

Hallo Liebe Leute,
ich mal wieder

Es gibt neues an der Front...
Nachdem ich Exposed Host abgeschaltet habe und alle Portweiterleitungen per Hand gesetzt hab kann zumindest die Fritzbox Firma B mit der Fritzbox 3 per VPN tunneln.
Bei den USG klemmt auch noch einiges, da bin ich mit einem passenden Forum in Kontakt.
Als Übergangslösung schaut es nun so aus:


Jetzt habe ich hier folgendes Problem:
Client B muss auf Serverdienste von Client A zugreifen - der Einfachheit halber erst mal HTTP.
Das USG Pro hat ein Routing von 192.168.0.0/24 über 192.168.200.201 drin - damit alles sauber definiert ist.

Nun komme ich mit einem Client B an die 192.168.0.5 (Fritzbox 3 Interface) dran.
Wenn ich nun aber einen Client A aufrufen möchte kommt eine Zeitüberschreitung.

Wie schau ich der Fritte unter die Haube? Sprich in die Routingtabelle?

Tante Edit:
Ich hab nun die Fritzbox 3 und das USG verbunden. Gleiches Thema -> da passiert was in der FB3.

//edit by stoney: Bild geschrumpft


Viele Grüße

 

[rspecht]

siehe Thread weiter unten - auf anraten von Peter Pawn neu verfasst.

 

[PeterPawn]

Nur wird hier wieder niemand Deinen Ausführungen wirklich folgen können ... von "Kabel DE" ist hier zum ersten Mal die Rede und welcher Router am Ende "im Modem Modus" ist, wird auch nicht wirklich klar und man ist aufs Rätseln und auf Vermutungen angewiesen.

Eine zweite USG (damit ein VPN zwischen diesen beiden aufgemacht werden kann) gibt es auch in keiner der bisherigen Erklärungen ... das VPN wurde zwischen zwei FRITZ!Boxen betrieben nach dem Bild in #17 und es gibt da auch nur eine Firewall. Warum jemand aus "den USG" in #17 die Existenz eines zweiten ableiten und das nicht für einen simplen Tippfehler beim "n" anstelle eines "m" halten sollte, ist mir zumindest vollkommen unklar.

Die Beschreibung wirkt dadurch schon irgendwie "verhuscht" und man gewinnt eher den Eindruck, daß Du die Informationen, die Du in einem anderen Forum zu den USG weitergegeben hast, mit denen verwechselst, die Du hier hinterlassen hattest.

Das macht das Ganze dann eben nicht wirklich verständlich - selbst wenn man eine ungefähre Ahnung kriegen könnte, sofern man sich einiges zusammenreimt. Aber als echte Hilfe für spätere Leser würde ich das - nicht böse sein, vielleicht einfach selbst noch einmal (unbefangen) nachlesen oder jemand anderen damit beauftragen, der die VPN-Verbindung auch nicht eingerichtet hat - in diesem Zustand eher nicht ansehen.

 

[rspecht]

Hallo Leute,
da ich solche offenen Enden in Threads immer "hasse" hier meine Lösung:

Ich habe am Standort A - Mit den Clients A die Fritzbox eine weitere Internetleitung aktiviert. Die oben angesprochene Fritzbox 3 ist eine Fallbackleitung der Telekom und macht eigentlich nur VoIP - das tut sie nun auch wieder.
Dazu gekommen ist ein Kabel Deutschland Anschluss mit Hitron CVE30360 Router. Dahinter klemmt ein zweites USG Pro. Somit wieder doppeltes NAT - nun am Standort A.
Ich hab mich nun mit Kabel DE bzw. Vodafone angelegt und mir eine IPv4 IP geben lassen. Nach einigem hin und her war dann der Router im Modem Modus und mein USG "direkt" im WWW. Somit ist Standort A wieder an dem Punkt wo er auch mit der Telekomanbindung über die Fritzbox 3 war - nur mit USG als Router.
Die Routingprobleme wurden durch den Wechsel von Fritzbox 3 auf das USG niedergelegt. Da konnte auch kein Reset der Fritzbox helfen

Nun Wählen sich erstmal die Clients auf der Gegenseite als "Roadwarrior" in den USG am Standort B (der mit der ehemaligen Fritzbox 3) ein. Das geschieht direkt über die Windows 7 bzw. 10 VPN Einwahl.
Das läuft nun super performant und so werd ich es lassen bis der Standort B (Clients B) endlich ohne NAT da steht. Laut ISP sollte FTTH bald kommen... man ist gespannt.

Ich könnte nun die USG's miteinander verbinden - das müsste ich aber über die Konsole machen da Ubiquiti immer noch keine dynamischen Hostnamen im VPN unterstützt. Finde ich schade - ist aber auf deren Roadmap (sicher an Stelle 1233123123123 oder später )

Abschließend ist zu sagen das die USGs oder vergl. Produkte von Bintec ihr Geld Wert sind - die VPN Performance über l2tp ist schon genial.

Zu dem eingangs erwähnten Thema Fritzbox nun alle Fettnäpfchen welche ich (teilweise gezwungenermaßen) mitgenommen hatte:

-> Fritzbox Firma B war vom ISP auf beiden Seiten im gleichen Subnetz, wodurch kein Routing stattfinden konnte und auch keine Ports weitergeleitet werden konnten.
-> Darauf wurde die Fritzbox Firma B umkonfiguriert und ins 192.168.179.0/24 Netz gezogen -> Gastnetzwerk mit entsprechenden restriktionen.
-> Als diese FB endlich im 192.168.200.0/24 Netz war wurden Exposed Hosts angelegt was nicht funktionierte. Mit Portweiterleitungen ging es dann.
-> Die Fritzbox muss VPN deaktiviert haben. Bei mir ging es erst als ich VPN aktivierte und dann deaktivierte. Danach die Portweiterleitungen prüfen da die durch aktives VPN in der Fritte umgelegt werden.

Ich hoffe so war das ganze halbwegs verständlich

@PeterPawn ich hoffe nun passt es. Will doch ein gewünschter Forenteilnehmer bleiben