16
Fritzbox Exposed Host zu Unifi Dream Machine
Hallo Zusammen,
ich wollte mal lieb fragen ob mir jemand von euch weiterhelfen kann bzw. bestätigen kann das ich das vorhaben richtig angehe.
Ich habe eine Fritzbox 7490 im Einsatz die als VDSL Modem dient und per S0 bus eine alte Telefonanlage angeschlossen hat.
Von dort geht es dann an den WAN Port meiner Unifi Dream Machine. Diese hat am WAN Port eine statische IP im Netz der Fritzbox konfiguriert und als GW die Fritzbox eingetragen.
Beispiel:
Fritzbox LAN IP 192.168.1.254
UDM WAN IP 192.168.1.250
Auf der Fritzbox ist ein Exposed Host konfiguriert der auf 192.168.1.250 zeigt.
Nun wollte ich zum testen RDP Port 3389 freigeben. Ich habe also auf der UDM ein Port forwarding auf die interne IP einer VM eingerichtet (anderes VLAN/Netz welches in der UDM konfiguriert ist) - 10.10.10.123.
Ich komme aber von extern nicht per RDP drauf und der Port ist auch nicht offen. Windows Firewall passt 100%.
Was mich auch wunder, wenn ich bei der Fritzbox auf der Startseite bin steht unten rechts unter Portfreigabe: Exposed Host: 192.168.1.1 (also eine komplett andere IP die auch nirgends konfiguriert ist oder auf einen PING antwortet). Wenn ich das im Menü für die freigaben überprüfe passt aber alles und zeigt auf die 192.168.1.250.
Keine Panik RDP bleibt wirklich nur für diesen Test offen.
Hat jemand eine Idee oder einen Tipp für mich?
Ich bin für jede Unterstützung dankbar.
VG
Michael
ich wollte mal lieb fragen ob mir jemand von euch weiterhelfen kann bzw. bestätigen kann das ich das vorhaben richtig angehe.
Ich habe eine Fritzbox 7490 im Einsatz die als VDSL Modem dient und per S0 bus eine alte Telefonanlage angeschlossen hat.
Von dort geht es dann an den WAN Port meiner Unifi Dream Machine. Diese hat am WAN Port eine statische IP im Netz der Fritzbox konfiguriert und als GW die Fritzbox eingetragen.
Beispiel:
Fritzbox LAN IP 192.168.1.254
UDM WAN IP 192.168.1.250
Auf der Fritzbox ist ein Exposed Host konfiguriert der auf 192.168.1.250 zeigt.
Nun wollte ich zum testen RDP Port 3389 freigeben. Ich habe also auf der UDM ein Port forwarding auf die interne IP einer VM eingerichtet (anderes VLAN/Netz welches in der UDM konfiguriert ist) - 10.10.10.123.
Ich komme aber von extern nicht per RDP drauf und der Port ist auch nicht offen. Windows Firewall passt 100%.
Was mich auch wunder, wenn ich bei der Fritzbox auf der Startseite bin steht unten rechts unter Portfreigabe: Exposed Host: 192.168.1.1 (also eine komplett andere IP die auch nirgends konfiguriert ist oder auf einen PING antwortet). Wenn ich das im Menü für die freigaben überprüfe passt aber alles und zeigt auf die 192.168.1.250.
Keine Panik RDP bleibt wirklich nur für diesen Test offen.
Hat jemand eine Idee oder einen Tipp für mich?
Ich bin für jede Unterstützung dankbar.
VG
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 609200
Url: https://administrator.de/contentid/609200
Printed on: April 23, 2024 at 21:04 o'clock
16 Comments
Latest comment
Hallo,
ich nehme mal an mit extern meinst du das böse Internet.
Wie willst du denn die VM via RDP ansprechen, sprich was gibst du im RDP-Client ein?
Die Anzeige an der FB mit der Exposed Host IP verstehe ich nicht, warum dass nicht die 192.168.2.200 angezeigt wird.
Deine Aussage dass die 192.168.2.1 aber nirgends konfiguriert ist versteh ich aber auch nicht, ist ja immerhin die IP der FB im LAN.
"auf einen Ping antwortet" von wo aus wird denn der Ping abgesetzt?
Geht denn die RDP-Verbindung von einem PC den du (temporär) ins 192.168.2.x-Netz hängst?
Was sagt denn die UDM wenn du es versuchst, kommt da irgendwas an oder landet die Anfrage da nicht mal?
Gruß IceBeer
ich nehme mal an mit extern meinst du das böse Internet.
Wie willst du denn die VM via RDP ansprechen, sprich was gibst du im RDP-Client ein?
Die Anzeige an der FB mit der Exposed Host IP verstehe ich nicht, warum dass nicht die 192.168.2.200 angezeigt wird.
Deine Aussage dass die 192.168.2.1 aber nirgends konfiguriert ist versteh ich aber auch nicht, ist ja immerhin die IP der FB im LAN.
"auf einen Ping antwortet" von wo aus wird denn der Ping abgesetzt?
Geht denn die RDP-Verbindung von einem PC den du (temporär) ins 192.168.2.x-Netz hängst?
Was sagt denn die UDM wenn du es versuchst, kommt da irgendwas an oder landet die Anfrage da nicht mal?
Gruß IceBeer
Hoppla mein Fehler sind nur fiktive IPs die FB hat in dem Fall die 192.168.1.254. Die .1 in der Startseite ist wirklich nirgends vergeben.
Genau ich meine das Internet und versuche auf die öffentliche IP zu verbinden.
Lokal klappt RDP ganz normal. Habe das gleiche inzwischen mal mit einem Apache Webserver und Port 443 versucht aber das gleiche Ergebnis. Auf der UDM kann ich nichts erkennen. Habe für das Port forwarding auch extra das logging aktiviert
Genau ich meine das Internet und versuche auf die öffentliche IP zu verbinden.
Lokal klappt RDP ganz normal. Habe das gleiche inzwischen mal mit einem Apache Webserver und Port 443 versucht aber das gleiche Ergebnis. Auf der UDM kann ich nichts erkennen. Habe für das Port forwarding auch extra das logging aktiviert
Hat die UDM ein Webinterface dass du aus dem Transfernetz (192.168.2.x) zwischen UDM und FB erreichbar ist/sein sollte?
Wenn ja, lässt sich dass erreichen?
"Lokal klappt RDP ganz normal" bedeutet aus dem Transfernetz (192.168.2.x) oder komplett ausm 10.10.10.x'er Netz?
Wenn ja, lässt sich dass erreichen?
"Lokal klappt RDP ganz normal" bedeutet aus dem Transfernetz (192.168.2.x) oder komplett ausm 10.10.10.x'er Netz?
Moin,
Hast Du DHCP auf der fritzbox abgeschaltet oder dafür gesorgt, daß zumindest der Bereich eingeschränkt wurde? Die Fritzbox nicht mormalerweise den bereich .20 bis .200 für DHCP, wenn man sie nicht umkonfiguriert!
Ansonsten: Sniffe einfach mal auf der Fritzbox mit, was da an Paketen durchgeht.
lks
Hast Du DHCP auf der fritzbox abgeschaltet oder dafür gesorgt, daß zumindest der Bereich eingeschränkt wurde? Die Fritzbox nicht mormalerweise den bereich .20 bis .200 für DHCP, wenn man sie nicht umkonfiguriert!
Ansonsten: Sniffe einfach mal auf der Fritzbox mit, was da an Paketen durchgeht.
lks
Du hast zwar ein portforwarding auf der udm eingestellt, aber hast du auch eine Firewall Freigabe für den Port erstellt?
Guten Morgen,
Ja DHCP ist aus und IP der FB manuell angepasst. Die UDM hat demnach auch eine feste IP aus dem gleichen Netz am WAN Interface.
Das ist eine Idee danke für den Tipp.
VG
Michael
Ja DHCP ist aus und IP der FB manuell angepasst. Die UDM hat demnach auch eine feste IP aus dem gleichen Netz am WAN Interface.
Das ist eine Idee danke für den Tipp.
VG
Michael
Ja die UDM legt automatisch eine entsprechende Regel an
Moin,
hast du eine öffentliche IP oder hängst du ggf. im DSlite deines Providers?
VG
hast du eine öffentliche IP oder hängst du ggf. im DSlite deines Providers?
VG
Hi, das wäre noch eine Idee stimmt.
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Auf dem Screenshot (internet1) sieht man auch nochmal dass Expsed Host hier auf die 1 zeigt. Gehe ich dann in das Freigabe menü sieht es aber richtig aus.
Mit den fiktiven IPs ist das etwas verwirrend deshalb habe ich es oben mal korrigiert wie es wirklich konfiguriert ist, es geht ja nur um das interne Netz.
So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250
Ich frage mich also echt wieso auf der Startseite die 192.168.1.1 auftaucht.
Ich deaktiviere auch mal IPv6 für den Exposed Host.
VG
Michael
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Auf dem Screenshot (internet1) sieht man auch nochmal dass Expsed Host hier auf die 1 zeigt. Gehe ich dann in das Freigabe menü sieht es aber richtig aus.
Mit den fiktiven IPs ist das etwas verwirrend deshalb habe ich es oben mal korrigiert wie es wirklich konfiguriert ist, es geht ja nur um das interne Netz.
So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250
Ich frage mich also echt wieso auf der Startseite die 192.168.1.1 auftaucht.
Ich deaktiviere auch mal IPv6 für den Exposed Host.
VG
Michael
Nachdem ich IPv6 entfernt habe stimmt auch die IP vorne.. aber noch klappt der Zugriff nicht.
Nimm nen Vigor 165 als Modem und binde die Fritte als IP Client in das UDM Netz ein. Gibt's ein Videotutorial auf YouTube von Idomix. Dadurch entfällt auch das doppelte NAT. Fritzbox wird dann als reine Telefonanlage benutzt. RDP sollte dann auch ohne Probleme funktionieren.
Hallo.
Habe ich es einfach überlesen, oder hast du noch nicht erwähnt, wie du auf die VM zugreifen möchtest?
Hast du einen DynDNS konfiguriert, welcher auf deine öffentliche, sich ab und an ändernde, IP zeigt oder hast du eine statische IP von der Telekeom?
Gruß
Radiogugu
Habe ich es einfach überlesen, oder hast du noch nicht erwähnt, wie du auf die VM zugreifen möchtest?
Hast du einen DynDNS konfiguriert, welcher auf deine öffentliche, sich ab und an ändernde, IP zeigt oder hast du eine statische IP von der Telekeom?
Gruß
Radiogugu
Moin,
So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250
VG
Zitat von @flyingmichael:
Hi, das wäre noch eine Idee stimmt.
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Kann sein, dass die FB das anzeigt... Ansonsten erkennt man das an der 100.-IP oder wenn die öffentliche IP in einem RFC1918-Netz ist.Hi, das wäre noch eine Idee stimmt.
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Auf dem Screenshot (internet1) sieht man auch nochmal dass Expsed Host hier auf die 1 zeigt. Gehe ich dann in das Freigabe menü sieht es aber richtig aus.
Komische Sache. Firmware ist aktuell? Ansonsten mal einen Werksreset an der FB machen und neu einrichten.Mit den fiktiven IPs ist das etwas verwirrend deshalb habe ich es oben mal korrigiert wie es wirklich konfiguriert ist, es geht ja nur um das interne Class C.
Class C gibt es schon lange nicht mehr... Dafür gibt es Subnetzmasken. Aber die internen IPs muss man eher nicht verschleiern. Damit kann erstmal keiner was anfangen.So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250
VG
eine Fritzbox 7490 im Einsatz die als VDSL Modem dient
Dient sie wirklich nur als reines Modem, sprich du hast die öffentliche Provider IP direkt auf dem WAN Port der UDM ? Oder...Hast du mal wieder den Begriff Modem und "Router" durcheinandergebracht und die FB arbeitet als normaler NAT Router vor der UDM. Also das du dann eine simple Router Kaskade betreibst wie es hier:
Kopplung von 2 Routern am DSL Port
oder auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
im Detail beschrieben ist.
Vermutlich ist also deine Beschreibung oben technisch unrichtig und es ist keine Modem Installation in dem Sinne sondern eine Kaskade mit doppeltem NAT und doppelter Firewall.
Ist dem so ?
Ja das hast du Recht sorry. Die Fritzbox ist Modem und Router damit die Telefonanlage dort betrieben werden kann. Die UDM hat demnach keine öffentliche IP. Dafür die Konfiguration des Exposed Hosts auf die UDM.
Auf der FB ist kein VPN aktiv und auch kein MyFritz User angemeldet (da soll es wohl sonst Probleme geben da die Ports schon von der FB genutzt werden)
Das zusätzliche Modem wäre nur die letzte Option da das Vorhaben ja auch so realisierbar ist. Mir geht es am Ende nur um einen L2TP VPN Tunnel den Ich auf die UDM aufbauen möchte.
Ich habe keine Statische public IP und kein DynDNS ich hole mir zum testen also immer die aktuell zugewiesene auf z.B. wieistmeineip.de.
Auf der FB ist kein VPN aktiv und auch kein MyFritz User angemeldet (da soll es wohl sonst Probleme geben da die Ports schon von der FB genutzt werden)
Das zusätzliche Modem wäre nur die letzte Option da das Vorhaben ja auch so realisierbar ist. Mir geht es am Ende nur um einen L2TP VPN Tunnel den Ich auf die UDM aufbauen möchte.
Ich habe keine Statische public IP und kein DynDNS ich hole mir zum testen also immer die aktuell zugewiesene auf z.B. wieistmeineip.de.
ich hole mir zum testen also immer die aktuell zugewiesene auf z.B. wieistmeineip.de.
Das ist auch der richtige Weg !Man kann dann nur vermuten das die Exposed Host Konfig die L2TP spezifischen Poerts nicht weiterleitet. Grundsätzlich ist "Exposed Host" als Schrotschuss nicht wirklich gut. Besser , da sicherer, ist es immer die spezifischen L2TP Ports
- UDP 1701
- UDP 500
- UDP 4500
- ESP Protokoll (IP50)
In jedem Falle solltest du wasserdicht testen ob die FritzBox die relevanten Ports wirklich weiterleitet. Das klappt recht einfach und schnell mit einem Wireshark Rechner dem du die gleiche IP Adresse gibst wie der UDM.
Dann stöpselst du die UDM raus und den Wireshark Rechner rein und initiierst eine L2TP VPN Session von extern auf die WAN IP der FritzBox.
Dabei beobachtest du den Wireshark ob eingehender Traffic der o.a. Ports auftaucht. Ist das der Fall macht die FB alles richtig.
Ist das nicht der Fall hast du einen Konfig Fehler der FB. Siehe dazu auch die Details der obigen Tutorials !
Sehr hilfreich wäre natürlich der Output des VPN Logs der UDM und auch des L2TP Clients !
Denke auch daran das wenn du einen DS-Lite_Anschluss hast (RFC1918 IP am Router WAN Port) es technisch unmöglich ist eine externe VPN Verbindung aufzubauen. Eine öffentliche IP am Router ist dafür zwingend. Besser also noch einmal direkt am Router in dessen Setup nachsehen welche WAN IP dieser wirjklich hat.
wieistmeineip.de zeigt im Zweifel bei einem DS-Lite Anschluss lediglich nur die öffentliche IP des zentralen CGN Gateways des Providers an, hilft also wenig um sicher zu gehen.
