- Eigenes Heimnetz nicht erreichbar Beitrag #26
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Werde ich später ausprobieren und die Ergebnisse hier posten, Danke!
Unitymedia Eigenes Heimnetz nicht erreichbar
Diskutiere Eigenes Heimnetz nicht erreichbar im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Werde ich später ausprobieren und die Ergebnisse hier posten, Danke!
Werde ich später ausprobieren und die Ergebnisse hier posten, Danke!
- Eigenes Heimnetz nicht erreichbar Beitrag #27
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Zusätzlich zum tcpdump auf deinem Webserver, könntest Du auch noch wireshark mit dem richtigen Filter auf deinem PC (Win10) benutzen, um zu sehen ob der PC evtl. eine Rückantwort vom Router bekommt (... wenn er den Webserver auf dem Port 443 nicht erreichan kann).
- Eigenes Heimnetz nicht erreichbar Beitrag #28
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Scan mit anderer öffentlicher IP:
Code:
Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-30 16:25 Mitteleuropõische Zeit
Nmap scan report for www.xxxxxxx.de (xx.xx.xx.xx)
Host is up (0.037s latency).
rDNS record for xx.xx.xx.xx: ip-xx.xx.xx.xx.um38.pools.vodafone-ip.de
Not shown: 999 filtered tcp ports (no-response)
PORT STATE SERVICE
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 5.29 secondsOutput Synology:
Code:
tcpdump -n -i eth0 tcp port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:25:40.722696 IP 84.17.49.21.51033 > 192.168.10.5.443: Flags [S], seq 35459899 60, win 1024, options [mss 1286], length 0
16:25:40.722757 IP 192.168.10.5.443 > 84.17.49.21.51033: Flags [S.], seq 6517412 09, ack 3545989961, win 5880, options [mss 1960], length 0
16:25:42.369467 IP 84.17.49.21.51294 > 192.168.10.5.443: Flags [S], seq 14899527 22, win 1024, options [mss 1286], length 0
16:25:42.369548 IP 192.168.10.5.443 > 84.17.49.21.51294: Flags [S.], seq 6837445 57, ack 1489952723, win 5880, options [mss 1960], length 0
16:25:42.378204 IP 84.17.49.21.51289 > 192.168.10.5.443: Flags [S], seq 14897561 19, win 1024, options [mss 1286], length 0
16:25:42.378288 IP 192.168.10.5.443 > 84.17.49.21.51289: Flags [S.], seq 6831282 29, ack 1489756120, win 5880, options [mss 1960], length 0
16:25:43.671472 IP 84.17.49.21.51296 > 192.168.10.5.443: Flags [S], seq 14898216 48, win 1024, options [mss 1286], length 0
16:25:43.671553 IP 192.168.10.5.443 > 84.17.49.21.51296: Flags [S.], seq 7129527 13, ack 1489821649, win 5880, options [mss 1960], length 0
16:25:44.978292 IP 84.17.49.21.51298 > 192.168.10.5.443: Flags [S], seq 14891663 02, win 1024, options [mss 1286], length 0
16:25:44.978358 IP 192.168.10.5.443 > 84.17.49.21.51298: Flags [S.], seq 7218126 25, ack 1489166303, win 5880, options [mss 1960], length 0
16:25:45.119044 IP 192.168.10.5.443 > 84.17.49.21.51033: Flags [S.], seq 6517412 09, ack 3545989961, win 5880, options [mss 1960], length 0
16:25:46.719060 IP 192.168.10.5.443 > 84.17.49.21.51289: Flags [S.], seq 6831282 29, ack 1489756120, win 5880, options [mss 1960], length 0
16:25:46.719086 IP 192.168.10.5.443 > 84.17.49.21.51294: Flags [S.], seq 6837445 57, ack 1489952723, win 5880, options [mss 1960], length 0
16:25:47.123053 IP 192.168.10.5.443 > 84.17.49.21.51296: Flags [S.], seq 7129527 13, ack 1489821649, win 5880, options [mss 1960], length 0
16:25:48.319063 IP 192.168.10.5.443 > 84.17.49.21.51298: Flags [S.], seq 7218126 25, ack 1489166303, win 5880, options [mss 1960], length 0
16:25:51.119052 IP 192.168.10.5.443 > 84.17.49.21.51033: Flags [S.], seq 651741209, ack 3545989961, win 5880, options [mss 1960], length 0
16:25:52.719051 IP 192.168.10.5.443 > 84.17.49.21.51289: Flags [S.], seq 683128229, ack 1489756120, win 5880, options [mss 1960], length 0
16:25:52.719075 IP 192.168.10.5.443 > 84.17.49.21.51294: Flags [S.], seq 683744557, ack 1489952723, win 5880, options [mss 1960], length 0
16:25:53.119051 IP 192.168.10.5.443 > 84.17.49.21.51296: Flags [S.], seq 712952713, ack 1489821649, win 5880, options [mss 1960], length 0
16:25:54.319054 IP 192.168.10.5.443 > 84.17.49.21.51298: Flags [S.], seq 721812625, ack 1489166303, win 5880, options [mss 1960], length 0
16:26:03.119052 IP 192.168.10.5.443 > 84.17.49.21.51033: Flags [S.], seq 651741209, ack 3545989961, win 5880, options [mss 1960], length 0
16:26:04.719065 IP 192.168.10.5.443 > 84.17.49.21.51289: Flags [S.], seq 683128229, ack 1489756120, win 5880, options [mss 1960], length 0
16:26:04.919061 IP 192.168.10.5.443 > 84.17.49.21.51294: Flags [S.], seq 683744557, ack 1489952723, win 5880, options [mss 1960], length 0
16:26:05.119053 IP 192.168.10.5.443 > 84.17.49.21.51296: Flags [S.], seq 712952713, ack 1489821649, win 5880, options [mss 1960], length 0
16:26:06.323059 IP 192.168.10.5.443 > 84.17.49.21.51298: Flags [S.], seq 721812625, ack 1489166303, win 5880, options [mss 1960], length 0Scan mit eigener öffentlicher IP
Code:
Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-30 16:29 Mitteleuropõische Zeit
Nmap scan report for www.xxxxxxx.de (xx.xx.xx.xx)
Host is up (0.00010s latency).
rDNS record for xx.xx.xx.xx: ip-xx.xx.xx.xx.um38.pools.vodafone-ip.de
Not shown: 994 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp filtered https
6789/tcp open ibm-db2-admin
8080/tcp open http-proxy
8443/tcp open https-alt
Nmap done: 1 IP address (1 host up) scanned in 1.53 secondsOutput Synology:
kein Output
- Eigenes Heimnetz nicht erreichbar Beitrag #29
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Warum kannst Du die Ports 22 und 80 erreichen? Oder ist es ein anderes Gerät, dass auf diesen Ports lauscht? Wenn ja, wo befindet sich dieses Gerät?
- Eigenes Heimnetz nicht erreichbar Beitrag #30
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Hi tq,
das liegt daran, dass ich an meiner Syno 22 offen haben muss aufgrund der ssh Verbindung. Port 80 ist offen, um mein Letsencrypt zu erneuern sobald es nötig ist. Diese sind aber nur im LAN offen, mein Router hat lediglich eine Weiterleitung auf 443.
- Eigenes Heimnetz nicht erreichbar Beitrag #31
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Hier übringens das Wireshark Protokoll zur Anfrage meiner URL aus meinem Heimnetz von PC
- Eigenes Heimnetz nicht erreichbar Beitrag #32
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Aber Du scannst doch die öffentliche IPv4-Adresse vom Router, hast den Port 22 nicht weitergeleitet und trotzdem wird der Port 22 als offen angezeigt? Oder habe ich deine Vorgehensweise nicht richtig verstanden?
- Eigenes Heimnetz nicht erreichbar Beitrag #33
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Hallo tq,
jetzt wo du es sagst... vollkommen richtig.
So wie es für mich nun aussieht, erkennt mein Router, das ich meine URL aus meinem Heimnetzwerk aufrufe. Somit leitet er alle Anfragen direkt an meine Syno im LAN weiter, womit dann auch die anderen offenen Ports erkannt werden. Das würde bedeuten, dass das Routing soweit funktioniert und die Anfrage, welche aus meinem LAN ins WAN geht, direkt ins LAN geleitet wird.
Aber warum erreiche ich dann nichts?
- Eigenes Heimnetz nicht erreichbar Beitrag #34
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Du erreichst Alles, außer den Port 443, den Du in deinem Router richtigerweise weitergeleitet hast, weil Du diesen aus dem Internet erreichen willst. D. h., dein Router macht NAT-Loopback (nur) für die Ports, die Du nicht weitergeleitet hast. Das ist schon ein merkwürdiges "Verhalten" deines Routers.
Ich kennen deinen Router nicht und weiß deshalb nicht, ob man mittels Konfiguration, dieses "Verhalten" ändern kann.
Gibt es evtl. ein Forum, wo Experten für deinen Router, zu finden sind bzw. befragt werden können?
- Eigenes Heimnetz nicht erreichbar Beitrag #35
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Das gibt es mit Sicherheit. Jetzt wo ich eine Diagnose habe, kann ich mich auch vllt direkt an den Support wenden.
Du hast mir wirklich sehr gut weiter geholfen - vielen Dank! Ich halte euch hier auf dem Laufenden. Vllt stolpert ja noch wer hier rüber.
Guten Start in die Woche!
- Eigenes Heimnetz nicht erreichbar Beitrag #36
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Mir ist gerade noch etwas aufgefallen bei der Durchsicht meines Posts.
Wenn ich von Extern mit nmap scanne, dann wird Port 443 als open dargestellt.
Wenn ich aber von intern scanne, dann wird port 443 als filtered dargestellt.
Heißt, aus dem LAN ist er gesperrt, aber von extern ist er offen.
- Eigenes Heimnetz nicht erreichbar Beitrag #37
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Von extern ist er offen, weil Du im Router eine Portweiterleitung konfiguriert hast.
Im LAN (intern) ist er auch offen, wenn Du beim Portscan die _interne_ IPv4-Adresse vom Webserver (Synology) benutzt.
Es ist aber schon merkwürdig, wenn Du intern einen (allg.) Portscan auf die öffentliche IPv4-Adresse vom Router machst, dass dann (via NAT-Loopback?) alle, auch nicht weitergeleiteten Ports, der sich im LAN gerade befindlichen/aktiven Geräte, gescannt werden. Denn so sind ja mittels Portscan vom Win10-PC, die nicht weitergeleitetetn aber offenen Ports 22, 80 & Co., deiner Synology gefunden worden, oder?
- Eigenes Heimnetz nicht erreichbar Beitrag #38
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Du liegst richtig. Der Webserver ist mit der Adresse https://192.168.10.5 im Browser zu erreichen.
Ich kann es mir nur so vorstellen, dass der Router erkennt, dass die Anfrage an meine URL aus seinem Netz kommt und diese direkt an das Endgerät (Synology) weiter leitet. Aber genau da passiert etwas. Er behandelt meinen PC der anfragt als ein internes Gerät (somit werden die offenen Ports sichtbar). Aber der Port 443 wird dann gesperrt, alle anderen (22, 80, etc.) sind offen.
AAAAAAAAAAAAHHHHHH!!
Beim Schreiben des oberen Textes bin ich selber auf den Trichter gekommen. Es ist eine Firewall Einstellung in der UDMP.
Dort lassen sich div. Regeln festlegen, u.a. für LAN-IN (quasi alles, was in ein Subnetz rein geht). Innerhalb des LAN können die Geräte ungehindert mit einander kommunizieren. Daher kann ich auch im LAN mit meiner NAS (über zB SMB) arbeiten, ohne dies extra zu erlauben. Als letzte Regel habe ich festgelegt, dass alles geblockt werden soll (quasi alles blocken was nicht erlaubt ist). Und hier liegt der Knackpunkt. Bei der Anfrage meiner URL aus meinem Heimnetz reagiert mein Router absolut richtig und leitet die Anfrage an meine NAS nach intern weiter. Aber da die Anfrage von meinem WAN Port kommt, wird diese gedropt, da es ja dann nicht mehr mein Subnetz ist aus dem mein PC die NAS anspricht (WAN als Zwischenschritt). Habe es bereits getestet und es funktioniert. Warum aber die Ports (22, 80, 8080, etc.) mit nmap als offen, der Port 443 aber als filtered dargestellt werden, verstehe ich nicht. Eigentlich müsste alles als filtered dargestellt werden.
- Eigenes Heimnetz nicht erreichbar Beitrag #39
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
Evtl. hast Du noch nicht alle Einstellungs-/Konfigurationsmöglichenkeiten der Firewall des UDMP-Routers gefunden bzw. entdeckt. ;-)
- Eigenes Heimnetz nicht erreichbar Beitrag #40
Captn
- Beiträge
- 34
- Punkte Reaktionen
- 1
Warum aber mein Smartphone darauf zugreifen kann, ist mir auch noch immer ein Rätsel.
Ich denke aber, dass der Thread somit als "solved" gilt. Der Fehler saß mal wieder 30 cm vor dem Bildschirm. Dein Vorgehen an das Problem heran zu kommen, hat dabei wirklich geholfen.
Vielen Dank nochmal!
- Eigenes Heimnetz nicht erreichbar Beitrag #41
Gast40437
Gast
Das wollte ich auch schon schreiben, ob alle Firewall Regeln (LAN-In, LAN-Out, WAN-In und WAN-Out) richtig sind, die haben mich auch schon ganz schön geärgert.
- Eigenes Heimnetz nicht erreichbar Beitrag #42
tq1199
- Beiträge
- 2.898
- Punkte Reaktionen
- 59
BTW: Hast Du auch einen UDMP-Router (... wie der TE)? Wenn nicht, welchen Router hast Du?
- Eigenes Heimnetz nicht erreichbar Beitrag #43
Gast40437
Gast
Ich hab die "kleine" UDM etwas schwächer was IPS und Ports angeht, dafür mit eingebautem Access Point.
Software ist größtenteils die gleiche (Firewall etc).
Thema:
