Unitymedia [Business]FB 6490 Zugriff auf Portweiterleitung aus dem Intranet

[fant]

Hallo zusammen,

wir haben im Verein einen Business-Anschluss mit einer FB 6490. Nun fiel mir auf, dass ich aus dem Intranet meine Mails nicht abrufen kann, wenn die feste externe Adresse des Anschlusses als Mailserver eingetragen wird. Aus dem Handy-Netz und bei mir von zu Hause aus klappt das ohne Probleme.

Nun habe ich etwas mit nmap analysiert.

Zugriff von aussen:

<i>
</i>map scan report for xxx.yyy.de (aa.bb.cc.dd.ee)
Host is up (0.047s latency).
rDNS record for aa.bb.cc.dd: b2b-aa-bb-cc-dd.unitymedia.biz
Not shown: 992 filtered ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
8089/tcp open unknown

Zugriff von innen:

<i>
</i>map scan report for xxx.yyy.de (aa.bb.cc.dd.ee)
Host is up (0.047s latency).
rDNS record for aa.bb.cc.dd: b2b-aa-bb-cc-dd.unitymedia.biz
Not shown: 994 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
5060/tcp open sip
8089/tcp open unknown
8181/tcp open unknown
10012/tcp open unknown

Wie man sieht, fehlen die Einträge für den SSH-Server, den Webserver und den Mailserver. Es sind keine Firewall-Regeln aktiv, die das erklären. Das Problem tritt auf, seit uns das neue Zugangsverfahren und damit eine neue FritzBox samt neuer IP zugeteilt wurde.

Hat irgendjemand das gleiche dumme Problem und konnte es lösen? Wenn ja, dann könnte ich Hilfe gebrauchen...

Hawedieehre.
Fant

 

[tq1199]

Nun habe ich etwas mit nmap analysiert.

Zugriff von aussen:

<i>
</i>22/tcp open ssh
465/tcp open smtps
587/tcp open submission
993/tcp open imaps

Zugriff von innen:

<i>
</i>8181/tcp open unknown
10012/tcp open unknown

Dann Versuch mal von innen mit:

<i>
</i>nmap -sS aa.bb.cc.dd.ee -p22,465,587,993

Welches Betriebssystem hast Du auf dem Gerät mit dem Du den Zugriff von innen machst?

EDIT:

Welches Betriebssystem hat der Server in deinem Intranet?

EDIT 2:

Den TCP-Port 80 kannst Du ja von innen und von außen erreichen. Sind das dann 2 verschiedene Server (Geräte) die Du mit dem Port 80 erreichen kannst? Evtl. von außen den Server und von innen die FritzBox? Hast Du auch den Port 80 in deiner FritzBox weitergeleitet? Wenn nicht, warum ist der Port 80 der FritzBox von außen (d. h. aus dem Internet ) erreichbar?

BTW: Welches Gerät bzw. welcher Server lauscht auf den TCP-Port 8181 und 10012?

 

[addicted]

Die Fritzbox unterstützt das vermutlich nicht, weil Sie die Port-Weiterleitungen an das Interface bindet statt an die IP-Adresse.
Man könnte das mit Split-DNS lösen (im internen Netz erhält man für den Hostnamen eine andere, interne IP-Adresse), muss dafür aber erstmal einen eigenen DNS-Server aufsetzen.

Prinzipiell wäre es vermutlich geschickter, hinter der FB einen eigenen Router zu betreiben, über den man bessere Kontrolle hat.

 

[fant]

Danke für die Antworten. Also die alte Kabel- FritzBox könnte das ohne Probleme. Auch meine 7390 am DSL und die 7590 machen das.

Ich gehe davon aus, dass das am Kabelanbieter liegt.

Nochmals zur Klarstellung : Beide Nmap-Aufrufe wurden an die externe Adresse der Fritte abgesetzt. Einer von einem Server hinter der FritzBox (der auch Webserver ist, darum ist Port 80 und Port 443 reingereicht) und einer hinter einer DSL-FritzBox aus Telekomnetz.

Es geht also nicht um den internen, sondern um den externen Zugriff. Beispiel: Handy mit Email-Programm hat externen Adresse des Mailserver eingetragen. Dann geht alles aus einem beliebigen WLAN- oder GSM-Netz. Wenn ich jetzt aber mit diesem Handy ins WLAN der KabelBW-Fritte gehe, dann erreiche ich den plötzlich den Server nicht mehr, obwohl der interne Aufruf von Nameserver die korrekte Antwort erhält. Also ist ein interner zusätzlicher Nameserver nicht hilfreich. Das haben wir zwar, aber daran liegt es nicht. Die von NS geliefert IP passt.

Danke für die Unterstützung und Eure Mühe. Ich hoffe, das geht noch so weiter, bis das Problem gelöst ist...

Hawedieehre
Fsnt

 

[fant]

Ach so, vergessen...

Ich konnte auf dem internen Router natürlich pre-routing mit Firewall-Regeln machen, aber das kann eigentlich nicht Sinn der Sache sein. Jeder dumme Router kann das. Auch die teuren Lancoms haben damit keinerlei Probleme.

Hawedieehre
Fant

 

[fant]

So, nun zu Euren Fragen:

Alle Rechner laufen unter Linux. Klar, der Intranet-Port 80 ist das FB-WebFrontend. Das passt auch, kein Problem. Im externen Port 80 zeigt sich der Webserver, der im Intranet ist. Fritten ist von außen nicht erreichbar.

Auf 8181 und 10012 lauscht von mir nichts. Das ist auch so ein Punkt. Ich vermute, dass ist so Fernwartungskram der KabelBW ist, das kommt nicht von mir.

Ich bin kein Netzwerk-Neuling , darum nervt mich das ja so.

Hawedieehre.
Fant

 

[tq1199]

Auf 8181 und 10012 lauscht von mir nichts. Das ist auch so ein Punkt. Ich vermute, dass ist so Fernwartungskram der KabelBW ist, das kommt nicht von mir.

Nein, das ist kein Fernwartungskram von KabelBW, denn es ist ja nur aus deinem Intranet erreichbar und nicht aus dem Internet.
Für die Fernwartung ist der TCP-Port 8089 (... der aus dem Internet und aus dem Intranet erreichbar ist).

 

[fant]

Gutes Argument, dann verstehe ich das noch weniger.

Also irgendwas scheint da ziemlich schief zu laufen...

Hawedieehre.
Fant

 

[Andreas1969]

Dieses RIP Gelumpe ist schon der Knaller :wand:

https://de.wikipedia.org/wiki/Routing_Information_Protocol

 

[boba]

Die Ausgabe von nmap zeigt nicht die Portweiterleitungen, sondern das Verhalten der Ports auf den Zielmaschinen, auf die die Portweiterleitungen zeigen. Wenn dort Firewallregeln Pakete verwerfen oder das Routing so eingestellt ist, dass Pakete nicht zurückgeroutet werden, dann kommt es zu Unterschieden zwischen innen und außen. Also man müsste die Firewall-Regeln auf dem Mailserver untersuchen, wenn der Mailserver nicht konsistent antwortet.

Die Quell-Adresse ist einmal eine von innen und einmal eine von außen. Ich habe den nmap Test auch bei mir mal ausgeführt, und ich habe auch Inkonsistenzen zwischen innen und außen. Ich konnte die alle jedoch über Firewall-Regeln erklären, die auf den Maschinen liegen. Ich habe dort IP-Bereiche spezifiziert, die zugreifen dürfen - öffentliche Unitymedia-Adressen hingegen sind nicht dabei, so dass ich auf mich selbst über meine öffentliche Unitymedia-Adresse nicht zugreifen darf. Von meinem vps im Hosteurope-RZ hingegen schon, oder auch aus der Firma. Möglicherweise hast du ja auch sowas. Ich rede hier von der Firewall und vom Routing auf den Servern, also bei dir auf dem Mailserver. Nicht von der Firewall auf der Fritzbox.

Zum Verstehen was passiert hat mir ein tcpdump auf dem Mailserver geholfen. Da habe ich gesehen wann welche Pakete mit welchen Quell- und Zieladressen auf den weitergeleiteten Ports aufschlagen bzw. rausgehen.

 

[fant]

Das mit dem tcpdump ist eine gute Anregung, muss ich mal machen. Eigentlich hat der Mailserver keine Einschränkungen - wieso auch, er soll ja aus dem Internet erreichbar sein. Von außen geht es ja, und weder das Intranet noch das Unitymedia-Netz sind nicht ausgenommen, weder per Firewall noch per Regel auf dem Mailserver.

Update: laut tcpdump kommt nix auf dem Mailserver, wenn ich von innen auf die externe Adresse zugreife mit telnet aa.bb.cc.dd 25!

Präziseres nmap liefert:

<i>
</i>nmap -sS servername.verein.de -p22,465,587,993
Starting Nmap 7.01 ( https://nmap.org ) at 2019-02-23 16:47 CET
Nmap scan report for servername.verein.de (aa.bb.cc.dd)
Host is up (0.047s latency).
rDNS record for aa.bb.cc.dd: b2b-aa-bb-cc-dd.unitymedia.biz
PORT STATE SERVICE
22/tcp closed ssh
465/tcp closed smtps
587/tcp closed submission
993/tcp closed imaps

Ich habe es gerade von der Uni aus probiert - geht wunderbar. Bei mir zuhause geht das mit den Zugriff auf mich selbst - DSL Telekom. Blöd aber auch...

Hawedieehre.
Fant

 

[boba]

Was (nur) Port 25 angeht, da gibts noch eine spezielle Filterung auf der Fritzbox für von innen kommende Verbindungen: Internet->Filter->Listen->E-Mail-Filter über Port 25 aktiv. Das muss man deaktivieren, wenn man aus dem Intranet heraus Mails auf den Port 25 verschicken will (und das willst du ja: du gehst aus dem Netz heraus und kommst direkt wieder rein, wenn du auf die öffentliche Adresse der Fritzbox schickst). Normal kann man den Filter aktiv lassen, weil man ja nicht mehr wirklich auf Port 25 verschickt, sondern mittels Authentifizierung auf Port 587.

 

[addicted]

Ich gehe davon aus, dass das am Kabelanbieter liegt.

Was hat der Anbieter mit Deinem internen Netz zu tun?

Nochmals zur Klarstellung : [blablabla]
Es geht also nicht um den internen, sondern um den externen Zugriff.
[blablabla]
mit diesem Handy ins WLAN der KabelBW-Fritte gehe, dann erreiche ich den plötzlich den Server nicht mehr,

Und jetzt erklär mir mal, wieso das plötzlich ein externer Aufruf sein soll. "WLAN der KabelBW-Fritte" ist sehr intern.

obwohl der interne Aufruf von Nameserver die korrekte Antwort erhält. Also ist ein interner zusätzlicher Nameserver nicht hilfreich. Das haben wir zwar, aber daran liegt es nicht. Die von NS geliefert IP passt.

Mit einem NS unter eigener Kontrolle kann man eben eine andere IP-Adresse für interne Verbindungen liefern - eine, bei der die Verbindung nicht durch eine Port-Weiterleitung muss.

Ich konnte auf dem internen Router natürlich pre-routing mit Firewall-Regeln machen

Von irgendeinem anderen Router als der Fritzbox hast Du noch nie etwas erwähnt. Und auf der Fritzbox kannst Du halt nur die normalen Port-Weiterleitungen machen, keine eigenen Firewall-Regeln.
Also, was ist da noch für ein Gerät im Einsatz? Und kannst Du mal bitte die verschiedenen Netze und IP-Adressen nennen und wo überall NAT gemacht wird?

 

[tq1199]

Das Problem tritt auf, seit uns das neue Zugangsverfahren und damit eine neue FritzBox samt neuer IP zugeteilt wurde.

Hast Du mit dem Business-Tarif auch zusätzlich eine feste/statische externe/öffentliche IPv4-Adresse bekommen? Wenn ja, welches Gerät (als border device) hat z. Zt. diese statische IP4-Adresse zugewiesen bekommen?

 

[fant]

Feste IP ja, aber das hatten wir auch schon vor der System Umstellung. Die feste IPv4-Adresse hat die FritzBox, der Rest ist per Nat-Portforward realisiert. Wir haben also kein Subnet bekommen, sondern nur eine einzige feste IP.

Der Intranet-Router verteilt die VLANs passend, aber ohne NAT. Echtes Routing und die FritzBox kennt die Subnetze samt zugehörigen Gateways. Das ist sicher nicht das Problem. Das ging ja vorher auch und Zugriff in den Rest des Internets geht ja wunderbar. Nur der Zugriff auf "mich selbst" hakt. edit: Das ist ebenfalls ein Linux-System.

Hawedieehre.
Fant

 

[addicted]

Ich bleibe dabei, dass die Port-Weiterleitung bei der Fritzbox ans Interface gebunden ist und es deshalb nicht klappt. Mag sein, dass es an RIP liegt, aber das spielt ja letztlich keine Rolle.
Erstell mal den Supportdatenexport (oder wie das heißt, was man an AVM schicken kann) aus der Fritzbox, vielleicht ist da die Firewall-Konfiguration etwas detaillierter enthalten, so dass man es sehen/kontrollieren könnte.

 

[tq1199]

Feste IP ja, aber das hatten wir auch schon vor der System Umstellung. Die feste IPv4-Adresse hat die FritzBox, der Rest ist per Nat-Portforward realisiert. Wir haben also kein Subnet bekommen, sondern nur eine einzige feste IP.

Dann schau mal nach ob deine Konstellation nicht trotzdem 2 externe IPv4-Adressen hat (eine statische und eine dynamische).
Evtl. auch in der Support-Datei der FritzBox nachschauen.

Der Intranet-Router verteilt ...

Hättest Du die feste/statische externe IPv4-Adresse nicht via Bridge-Anschluss, dem Intranet-Router zuweisen können?

Die Portweiterleitung geht dann von der FritzBox zum Intranet-Router. Könntest Du evtl. auf dem Intranet-Router, mit z. B. tcpdump sniffen, ob beim Zugriff aus dem Intranet die Datenpakete dort ankommen bzw. diesen passieren? Wenn nicht, dann hat sich durch die Umstellung, am Hairpin-NAT (NAT-Loopback) der FritzBox etwas geändert.

 

[fant]

Danke für die detaillierte Beschreibung. Auf der Vorgänger-Box und am alten Anschluss, den KabelBW ohne Vorankündigung einfach geändert hat, ging alles tadellos. Wo muss ich in der Support Datei nachschauen?

Schlagwort "Bridgeanschluss": Das ist mir tatsächlich nicht geläufig. Ich habe ein wenig bei Dr. Internet angefragt. Ich hätte kein Problem damit, im Internet direkt diese Software-Router bereitzustellen. Aber laut einigen Aussagen wird das von aktiv gesperrt. Deiner Signatur entnehme ich, dass Du das so laufen hast. Wie wurde das umgestellt und funktioniert in dieser Konfiguration die Telefonie der FitzBox noch?

Hawedieehre.
Fant

 

[fant]

Korrektur, ich habe das hier gefunden:


Am LAN-Port 3 hängt das Intranet. Das war vorher aktiviert - jetzt ist es deaktiviert, aber das hat nichts am Verhalten verändert. Aber das wäre doch der richtige Bereich. Was müsste ich hier eintragen, damit das funktioniert? Wird mit die externe Adresse auf dem Router im Intranet (nicht FB) dann von extern per DHCP vergeben oder muss ich diese Adresse hart selbst vergeben?

Hawedieehre.
Fant

 

[tq1199]

Auf der Vorgänger-Box und am alten Anschluss, den KabelBW ohne Vorankündigung einfach geändert hat, ging alles tadellos.

Das verstehe ich jetzt nicht, denn ich habe auch noch einen "alten" Business-Tarif (... _ohne_ RIP-Modus und mit einer zusätzlichen festen IPv4-Adresse für das border device am Bridge-Anschluss) mit der "alten" FB6360-cable und will auch keine Umstellung. Wenn UM/KabelBW mir die neue FB6490 zuschicken würde, würde ich diese vom Paketdienst nicht annehmen und zurück gehen lassen.

Schlagwort "Bridgeanschluss": Das ist mir tatsächlich nicht geläufig. Ich habe ein wenig bei Dr. Internet angefragt. Ich hätte kein Problem damit, im Internet direkt diese Software-Router bereitzustellen. Aber laut einigen Aussagen wird das von aktiv gesperrt. Deiner Signatur entnehme ich, dass Du das so laufen hast. Wie wurde das umgestellt und funktioniert in dieser Konfiguration die Telefonie der FitzBox noch?

Mit einer (zusätzlichen) statischen IPv4-Adresse und dem RIP-Modus kannst Du neben deiner FritzBox auch ein Gerät, das direkt im Internet ist, betreiben. Ich weiß jetzt aber nicht ob dafür ein LAN-Port der FritzBox als Bridge-Anschluss konfiguriert sein muss. Ich denke eher nicht. Denn im RIP-Modus wird die (entsprechend konfigurierte) FritzBox mit ihrer externen IPv4-Adresse, als gateway für das "border device" mit der statischen IPv4-Adresse fungieren bzw. konfiguriert sein.
Die Telefonie der FritzBox-cable sollte mit dieser Konfiguration/Konstellation funktionieren.

 

[tq1199]

Wird mit die externe Adresse auf dem Router im Intranet (nicht FB) dann von extern per DHCP vergeben oder muss ich diese Adresse hart selbst vergeben?

Wenn Du den RIP-Modus hast wird die per DHCP zugewiesen. Wie war das vor der Umstellung? Hattest Du eine (zusätzliche) externe/statische IPv4-Adresse, die nicht per DHCP zugewiesen worden ist?

 

[fant]

Nein, hatte ich nicht. Die einzige feste Adresse ist und war, im Moment und vorher, die der Fritzbox. RIP-Modus finde ich nicht, ich weiß leider nicht, wie und wo ich das einstellen kann. Hier die Kabel-Konfiguration:

Hawedieehre.
Fant

 

[tq1199]

Nein, hatte ich nicht. Die einzige feste Adresse ist und war, im Moment und vorher, die der Fritzbox.

Naja, auch wenn Du nur eine externe IPv4-Adresse hattest (und das mit der FB), wenn Du schreibst, dass diese fest war, dann musste das _gesondert konfiguriert_ bzw. veranlasst/beantragt werden. Denn der "alte" Business-Tarif von KabelBW war ohne feste externe IPv4-Adresse.

RIP-Modus finde ich nicht, ich weiß leider nicht, wie und wo ich das einstellen kann.

Siehe z. B. diesen Thread bzgl. RIP-Modus: https://www.unitymediaforum.de/viewtopic.php?f=90&t=35707&p=416941&hilit=RIP#p416941

https://www.unitymediaforum.de/viewtopic.php?f=53&t=36765&p=398472&hilit=RIP#p398459

https://www.unitymediaforum.de/viewtopic.php?f=90&t=37210

Ich weiß aber nicht ob es den RIP-Modus betreffend, noch Unterschiede zwischen BaWü und NRW/Hessen gibt.

 

[fant]

Der Business-Vertrag wurde gewählt, um einerseits IPV4 zu bekommen, weil sonst der Zugriff von außen nicht bei allen funktioniert. Zweitens war die feste IP mit dabei. Bekomme ich dann jetzt automatisch eine zweite IP für meinen "internen" Router bzw. weitere alle Geräte, die ich dann an den Bridge-Port-Anschluss klemme? Die sind ja dann, wenn ich das recht verstehe, direkt im Internet erreichbar - ohne Portweiterleitung.

Hawedieehre.
Fant

 

[tq1199]

Zweitens war die feste IP mit dabei.

Ja, die feste IP war mit im Preis (Tarif) beinhaltet, aber sie war nicht automatisch eingerichtet/konfiguriert. Was ja jetzt auch nicht mehr wichtig ist, denn Du hast ja kein 2. border device am Bridge-Anschluss deiner FB-cable benutzt. Für die Nutzung bzw. das Funktionieren deiner "alten" Konstellation/Konfiguration war es egal ob die FritzBox eine statische oder eine dynamische externe IPv4-Adresse hat.

Bekomme ich dann jetzt automatisch eine zweite IP für meinen "internen" Router bzw. weitere alle Geräte, die ich dann an den Bridge-Port-Anschluss klemme? Die sind ja dann, wenn ich das recht verstehe, direkt im Internet erreichbar - ohne Portweiterleitung.

Ich würde mich an deiner stelle jetzt an UM wenden. Die sollen dir schriftlich mitteilen _was_ an deinem Internetanschluss (Business-Tarif) _geändert worden ist_ und welche Möglichkeiten es jetzt (nach dieser Änderung) für die Konfiguration und Nutzung deines Internetanschlusses gibt.