Unitymedia Zugriff auf 6490 (statische IP, RIP)

[Gast20846]

Hallo,

der Betreff schildert das Problem leider nicht ganz. So sieht es aus:

Clients -- 7490 -- 6490 -- Unitymedia

Ich habe eine statische IP gebucht und auch konfiguriert. Die 7490 hat die .158 und die 6490 die .157

Ich komme ins Internet, alles funktioniert. Ich kann mit jedem Client die 7490 sowie die 6490 pingen (natürlich die public IP, bei der 7490 auch die internet IP, klar). Ich komme aber ums verrecken nicht von einem Client auf das Webinterface der 6490. Es ist alles für myfritz konfiguriert, deas Webinterface lauscht auf Port 47938. Der Zugriff von außerhalb funktioniert, via WLAN der 6490 auch (klassich via fritz.box). Aber sobald ich hinter der 7490 bin komm ich nicht dran. Ich steig gerade nicht durch, wo das Problem liegt. Wenn ich die IP pingen kann, der Port offensichtlich offen ist, warum komm ich dann per IPort von hinter der 7490 nicht auf die 6490?

Hat mir jemand einen Denkanstoß?

Danke
vsnap

 

[tq1199]

Wenn ich die IP pingen kann, der Port offensichtlich offen ist, ...

"offen" bedeutet, dass Du den Port scannen kannst? ... oder wie hast Du festgestellt, dass der Port offen ist?

 

[Gast20846]

Hallo,

von extern kann ich mich ja auf den Port verbinden und einloggen. Extern, im Sinne von aus einem anderen Netz (LTE,..)

Gruß
vsnap

P.S. ich habe noch einen Portstcan von außen laufen lassen, der bestätigt auch, dass der Port offen ist.

 

[tq1199]

von extern kann ich mich ja auf den Port verbinden und einloggen. Extern, im Sinne von aus einem anderen Netz (LTE,..)

Das mit den extern habe/hatte ich schon verstanden, aber darum geht es ja nicht.

Du schreibst doch ganz klar was Du willst:

Wenn ich die IP pingen kann, der Port offensichtlich offen ist, warum komm ich dann per IPort von hinter der 7490 nicht auf die 6490?

Daher meine Frage, wie hast Du festgestellt, dass von hinter der 7490 betrachtet, der Port offen ist?

Heißt das auch, dass Du die IP, von hinter der 7490, gar nicht pingen kannst?

 

[tq1199]

P.S. ich habe noch einen Portstcan von außen laufen lassen, der bestätigt auch, dass der Port offen ist.

Naja, der Port ist _nur_ von außen offen, ... dann solltest Du das auch so schreiben.

 

[Gast20846]

doch, das kann ich. Ping funktioniert.

Das Ding ist ja, ich kann weder via 443, noch 80 nich dem Port von extern zugreifen, wenn ich hinter der 7490 bin. Das bereitet mir ja Kopfzerbrechen. Ich kann es mir nur so erklären, dass durch die Konfiguration in der 6490, bei der die 7490 als exposed Host eingetragen ist, keinerlei Zugriff mehr auf die 6490 erlaubt ist.

 

[tq1199]

doch, das kann ich. Ping funktioniert.

..., keinerlei Zugriff mehr auf die 6490 erlaubt ist.

D. h. Du kannst von hinter der 7490, die 6490 per icmp (Ping) über ihre öffentliche/externe IPv4-Adresse erreichen? Aber Du kannst von hinter der 7490, die 6490 per tcp (z. B. den lauschenden TCP-Port 443) über die öffentliche/externe IPv4-Adresse nicht erreichen?

Wenn das so ist, dann würde das mit dem "keinerlei Zugriff", nicht stimmen.

 

[Gast20846]

Das hast du, genau genommen, recht.

 

[tq1199]

... auf das Webinterface der 6490. Es ist alles für myfritz konfiguriert, deas Webinterface lauscht auf Port 47938. ...

Evtl. hat das, was mit myfritz zu tun. Teste mal von einem fremden Internetanschluss, ob deine FB6490 auf dem TCP-Port 8089 lauscht und wenn ja, ob dieser TCP-Port 8089, vom fremden Internetanschluss gescannt werden kann.
Wenn ja, dann mach mal von einem Client hinter der FB7490 einen Portscan auf die externe/öffentliche IPv4-Adresse der FB6490 und den TCP-Port 8089. Z. B.:

<i>
</i>nc -zv <externe-IPv4-Adresse-FB6490> 8089

(oder gleichwertig).

 

[Gast20846]

von extern ist die 8089 nicht erreichbar, nc gibt nichts zurück.

 

[tq1199]

von extern ist die 8089 nicht erreichbar, nc gibt nichts zurück.

OK, ... ist es deine eigene FB6490? Versuch dann mal mit dem TCP-Port 5060 (statt 8089).

 

[Gast20846]

Nein, die ist von Unitymedia. 5060 bringt auch nichts zurück.

 

[tq1199]

Nein, die ist von Unitymedia. 5060 bringt auch nichts zurück.

Hmm ... Hast Du in beiden Fällen, von einem fremden/anderen Internetanschluss gescannt?

 

[Gast20846]

moment...

von intern (hinter 7490 geht nichts) von anderem Anschluss kommt bei der 8089 was zurück.

Ich hab mich glaub selbst überholt. Lass es mich nochmal in Ruhe durchgehen...

 

[tq1199]

ja, klar.

OK. Hast Du die Möglichkeit, temporär myfritz nicht zu benutzen (d. h. in deiner FB6490 zu deaktivieren) und statt dessen, einen "klassischen" ddns-Providder für den Zugriff von außen zu konfigurieren?

 

[Gast20846]

Also..

von hinter der 7490 ist tote Hose. Da geht garnichts. Von extern geht der 8089 (mit nc). Ich brauch myfritz nicht zu umgehen, das ist imo nur ein schicker ddns. Ich kann mich auch problemlos mit der externen IP und Port verbinden, da ist myfritz außen vor (sofern ich von extern komme).

Zusammengefasst: Die Fritz ist erreichbar, aber nur von außerhalb. Sobald ich mit einer IP aus meinem Subnet bzw. von meiner statischen IP komme (die 7490 macht ja ein NAT auf diese) geht es nicht.

Gruß
vsnap

 

[tq1199]

von hinter der 7490 ist tote Hose. Da geht garnichts. ...

D. h., auch der Ping (icmp) nicht? (siehe oben).

EDIT:

Dann hat das evtl. was mit RIP zu tun, denn über meine statische IPv4-Adresse (Bridge-Anschluss) funktioniert der Zugriff auf die externe IPv4-Adresse der FB-cable:

<i>
</i>nc -zv 95.###.###.### 8089
Connection to 95.###.###.### 8089 port [tcp/*] succeeded!

... aber via CMTS. Z. B.:

<i>
</i>:~ $ mtr -4nr -c 2 -i 2 95.###.###.###
Start: Tue Jan 30 11:30:29 2018
HOST: xxxxxx Loss% Snt Last Avg Best Wrst StDev 1.|-- 37.##.##.1 0.0% 2 8.3 8.2 8.1 8.3 0.0 2.|-- 95.###.###.### 0.0% 2 21.3 21.3 21.3 21.3 0.0

Mach mal einen traceroute auf die FB6490 , vom Client hinter der FB7490:

<i>
</i>mtr -4nr -c 2 -i 2 <externe-IPv4-Adresse-FB6490>

(oder gleichwertig).

BTW: myfritz ist mehr als nur ein ddns-Dienst.

 

[Gast20846]

Ping geht, hatte ich ja eingangs geschrieben.

Mit dem Bridge Anschluss war das auch kein Problem. Ich sehe daher die Ursache auch nur noch in RIP, kann es mir aber nicht erklären. Warum geht ein Ping durch, wenn das Webinterface nicht geht.

Ich hatte jetzt nur Windows zum testen. Ergebnis ist, dass der erste Hop meine 7490 ist, dann kommt der 2te (und letzte Hop) af "b2b-IP-Adresse.unitymedia.biz" (IP-Adresse), sprich b2b-212.212.212.212.unitymedia.biz (212.212.212.212)

Wird icmp bei RIP anders behandelt?

 

[tq1199]

Ergebnis ist, dass der erste Hop meine 7490 ist, dann kommt der 2te (und letzte Hop) af "b2b-IP-Adresse.unitymedia.biz" (IP-Adresse), sprich b2b-212.212.212.212.unitymedia.biz (212.212.212.212)

Wie ist der 2. Hop wenn Du ein traceroute zu heise.de machst?

Naja, gerade weil icmp geht, meinte ich ja das mal ohne myfritz zu machen.

EDIT:

icmp ist layer 3 und tcp ist layer 4. Das könnte bei RIP dann schon der Grund bzw. die Ursache sein.

EDIT 2:

BTW: Ist der traceroute den Du machst, nicht auf icmp basiert? Denn wenn der Ping (icmp) funktioniert, dann sollte m. E. doch auch ein icmp-basierter traceroute funktionieren.

 

[Gast20846]

Der 2. hop ändert sich auch bei heise.de nicht.

Ich glaub ich frag mal bei AVM nach, vielleicht können die mir das erklären...

 

[tq1199]

... (und letzte Hop) af "b2b-IP-Adresse.unitymedia.biz" (IP-Adresse), sprich b2b-212.212.212.212.unitymedia.biz (212.212.212.212)

Wenn Du für "b2b-IP-Adresse.unitymedia.biz" die Namensauflösung (DNS) machst, wird dann die externe/öffentliche IPv4-Adresse der FB6490 angezeigt?

<i>
</i>host -t A b2b-IP-Adresse.unitymedia.biz

Da es der letzte Hop ist, heißt das, dass das traceroute vollständig und richtig ausgeführt wird?

 

[johnripper]

Du wirst von Clients hinter deiner 7490 (die eine öffentliche IP) nicht auf das interne Webinterface der 6490 kommen. Die 7490 kann das nicht routen, weil auf der Bridge der 6490 das 192.168.178er-Netz nicht anliegt. Hier wird nur die öffentliche IPv4 durchgereicht.

Das würde nur mit einem Multi WAN Router gehen
WAN1<->Bridge der 6490: öffentliches Netz
WAN2<->Non-Bridge-Port der 6490: lokales Netz der 6490 bspw 192.168.178.0/24

Auch auf das externe Webinterface kommst du nicht von Clients hinter der 7490, weil das Routing nicht funktioniert. Ich habe das nicht weiter untersucht, aber ich glaube das liegt entweder an dem Routing in der FB selbst oder an einer Firewall in der FB.
Edit: oder ein Logikfehler in der IP/Port Kombination bspw erwartet die FB ein Paket mit öffentlicher IP auf dem Port, tatsächlich kommt aber eins mit public IP.

Lösung auch hier siehe oben.

Abgesehen davon würde ich das Webinterface der FB nicht nach extern freigeben.

Gesendet von meinem SM-G935F mit Tapatalk

 

[tq1199]

Auch auf das externe Webinterface kommst du nicht von Clients hinter der 7490, weil das Routing nicht funktioniert. Ich habe das nicht weiter untersucht, aber ich glaube das liegt entweder an dem Routing in der FB selbst oder an einer Firewall in der FB.

Dann wird diese Firewall, die icmp-Pakete aber durchlassen, denn der Ping von einem Client hinter der FB7490 zur externen/öffentlichen IPv4-Adresse der FB6490 funktioniert ja (lt. TE).

Edit: oder ein Logikfehler in der IP/Port Kombination bspw erwartet die FB ein Paket mit öffentlicher IP auf dem Port, tatsächlich kommt aber eins mit public IP.

Was ist hier der Unterschied zwischen "öffentlich" und "public"?

 

[Gast20846]

Ich denke er meinte "privat" statt "public"

aber ich gebe johnripper recht, genau das ist auch meine Meinung. Ich werde mal ein Ticket bei AVM aufmachen, wenn ich die Lust habe, das alles nochmal runterzutippen.

Gruß
vsnap

 

[Gast20846]

Ticket ist eröffnet und hierher verlinkt... Gruß an AVM