FB-6591: NAT-Loopback im RIP-Modus

[tq1199]

Ich habe die FritzBox-6591 mit zusätzlicher externen/öffentlicher IPv4-Adresse und d. h. RIP-Modus.
Das Problem ist, dass NAT-Loopback (Hairpinning), auch nach hinzufügen der domain beim dns-rebind-Schutz, nicht funktioniert. Gibt es dafür oder kennt jemand evtl. einen Workaround, wie man NAT-Loopback, bei einer FritzBox im RIP-Modus aktivieren kann? Danke.

 

[MartinP_Do]

Könntest Du das Szenario etwas genauer beschreiben? Hast Du einen Server an einem konfigurierten Bridge-Port der Fritzbox, und möchtest, dass er auf kurzem Weg von den anderen Ports der Fritzbox und aus dem WLAN erreichbar sein soll?

 

[tq1199]

Hast Du einen Server an einem konfigurierten Bridge-Port der Fritzbox, ...

Ja, das habe ich auch, aber das ist nicht das Problem, denn das funktioniert so wie Du es beschrieben hast.
Ich habe noch zwei andere Server _an den Lan-Ports_ der FB6591 und diese zwei Server können aus dem W/LAN, nur mit ihrer internen IP-Adresse (aus dem Subnetz der FB) erreicht werden. D. h. das NAT-Loopback, so wie es z. B. mit einer FB7590 an einem DSL-Anschluss möglich ist, funktioniert bei meiner FB6591 _im RIP-Modus_ nicht.

 

[MartinP_Do]

Umgehen könnte man das ggfs, indem man alle drei Server hinter einen Reverse-Proxy an den Bridge-Port hängt ...

 

[tq1199]

... hinter einen Reverse-Proxy an den Bridge-Port hängt ...

Ja, aber dann muss ich ein zusätzliches Gerät benutzen. Da es nur um meinen Laptop (als Client) geht, lasse ich das so und ändere im Laptop, manuell die IP-Adressen in den config-Dateien.

 

[MartinP_Do]

Ein eigener DNS-Server im Heimnetz (PIHole ist ja immer eine gute Idee ..) könnte auch eine Lösung sein - oder ganz Hemdsärmelig ein Skript auf dem Desktop, das die hosts-Datei des Laptop manipuliert ;-)

 

[tq1199]

... ein Skript auf dem Desktop, das die hosts-Datei des Laptop manipuliert ;-)

Ja, policy-based DNS mit Hilfe der MAC-Adresse vom gateway der default-route (FritzBox) und dem tool dnsspoof, ... in einem Script das von einem cronjob oder aus der rc.local oder der rc.securelevel (... je nach dem wer schneller ist), gestartet wird.
Danke für den Denkanstoß.

 

[cob]

wenn ich mich hier mal einklinken darf:
habe auch dual stack mit Leihgerät Fritzbox in NRW und hinter dem bridge port eine opnsense, die per port freigaben http(s) bereit stellt. Funktioniert tadellos von einem externen Anschluss sowie aus dem LAN der opnsense. Nur die Fritzbox selbst mit ihrer eigenen IP kann die Zielhosts nicht erreichen, es ist keine Verbindung auf die bridge IP möglich, z.B aus dem WLAN der Fritz. Hab hier schon alles versucht. Hat das schon mal jemand so eingerichtet und Erfahrungen damit gesammelt?

 

[tq1199]

Nur die Fritzbox selbst mit ihrer eigenen IP kann die Zielhosts nicht erreichen, es ist keine Verbindung auf die bridge IP möglich, z.B aus dem WLAN der Fritz. Hab hier schon alles versucht.

Dann ist das kein RIP-Modus bei deiner FritzBox, denn im RIP-Modus würde das funktionieren.
Welches Gerät (bzw. welche externe IPv4-Adresse) ist das gateway für die default route der opensense?
Wie viele externe/öffentliche IPv4-Adressen hat deine FritzBox?

 

[cob]

default gateway in der sense ist die IP des bridge ports mit einer /21 netzmaske. die Fritz hat eine weitere default IPv4 aber in einem andern IP range

 

[tq1199]

default gateway in der sense ist die IP des bridge ports mit einer /21 netzmaske.

Das verstehe ich nicht so richtig.
Dann eine andere Frage: Im RIP-Modus wird in der FritzBox eine v4-Firewall benutzt, in der man die Ports der opensense, die aus dem Internet erreicht werden sollen, freigeben muss. Ist/war so eine Portfreigabe in der FritzBox, Teil deiner Konfiguration?

 

[cob]

ne, dual stack, alles IPv4, daher 2 öffentliche IPs. in der Fritz keine Portfreigaben aber statische Routen auf die opnsense zwecks Erreichbarkeit interner Services. Somit hab ich zwei Gatewys, ein upstream für die in der opensense verwendeten LANs, das zweite für die Fritz, so komme ich per Fitz WLAN auf meine internen Freigaben/Services. Nur die Route von der Fritz auf die externe Bridge IP vor der opensense ist das Problem.

 

[tq1199]

ne, dual stack, alles IPv4, daher 2 öffentliche IPs.

Dual Stack ist doch IPv4+IPv6. Meinst Du mit 2 öffentliche IPs: eine öffentliche IPv4-Adresse und eine öffentliche IPv6-Adresse? Im RIP-Modus hat die FritzBox zwei öffentliche IPv4-Adressen. Eine dieser öffentlichen IPv4-Adressen ist das gateway (der default route) für die andere(n) (statischen) öffentliche(n) IPv4-Adresse(n) für andere Geräte an der FritzBox.

in der Fritz keine Portfreigaben aber statische Routen auf die opnsense zwecks Erreichbarkeit interner Services. Somit hab ich zwei Gatewys, ein upstream für die in der opensense verwendeten LANs, ...

Und diese statische Route auf die opensense bzw. das Gateway zur opensense, wie sieht das (anonymisiert) aus? Sind das interne IP-Adressen oder sind das IP-Adressen die auch über das Internet geroutet werden können?

 

[cob]

dual stack ist nicht relevant. ich fahre natives IPv4. Es geht um die Bride Modem Funktion. damit bekommt die Fritz eine eigene IP, leitet aber als Modem mit einer zweiten IP einen uplink durch auf einen LAN Port. somit doppel NAT ( ich weiss, nicht ideal). an diesem "bridged port" hängt meine opnsense. die statischen routen von der Fritz sind interne, vom Fritz privat LAN ins Netz der opnsense (2th gateway).