Mar 26, 2023

8217

Aufrufen der WAN IP aus dem Internen Netzwerk zeigt Fritz!BOX Interface

Wir haben mit der Firma ein neues Büro mit Vodafone Business Kabel mit Statischer IP.

Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.
Die SecurePoint macht einen Reverse Proxy für unseren Exchange Server und die Portweiterleitungen für die 3CX.

Wenn ich nun aus dem Internen Netzwerk versuche die öffentlich IP aufzurufen um ins OWA oder das 3CX Portal zu kommen, bekomme ich immer das Interface der FritzBox angezeigt. Von extern, kann ich die ganzen Seiten aber aufrufen.
Der Reverse Proxy läuft natürlich über https und Port 443.

Wenn ich von intern das Portal der 3CX aufrufen will, bekomme ich einen Timeout. Von extern geht das aber wiederrum.
Das Portal läuft über https auf Port 5001.

Also immer wenn ich versuche, die öffentliche IP von Vodafone zu erreichen, antwortet die FritzBox auf die Anfrage, trotz Portweiterleitung.

Hat das jemand schon mal gehabt und eine Idee dazu?

PS. Des weitern funktioniert Exposed Host nicht mehr. Das hat am Anfang funktioniert. Zum testen hab ich es rausgenommen und wieder eingetragen. Danach musste ich alle Portfreigaben einzeln machen, damit es wieder funktioniert. Ich habe aber gelesen, dass das Normal ist und wohl öfter auftritt.

Please also mark the comments that contributed to the solution of the article

Content-Key: 6515466077

Url: https://administrator.de/contentid/6515466077

Printed on: April 27, 2024 at 11:04 o'clock

12 Comments

Latest comment

Moin,

U d warum hast Du die Fritzbox nicht so eingestellt, daß sie auf der externen Adresse Port 443 nicht belegt und diesen an Deinen reverse Proxy weiterleitet?

lks

Hallo,

der FritzBox ist ja so eingestellt, dass sie Port 443 weiterleitet. Von Extern funktioniert es ja auch.

Nur aus dem Internen Netz, fängt die FritzBox sämtliche Ports ab.

Beste Grüße

Hallo,
Split-DNS ist Dein Freund.
WAN: mail.firma.de -> 1.2.3.4
LAN/WLAN: mail.firma.de -> 10.0.0.5

An den FBs kann man diesbezüglich wenig einstellen.
Stefan

Moin,

Nur aus dem Internen Netz, fängt die FritzBox sämtliche Ports ab.

ist ja auch nachvollziehbar: Die Portweiterleitung greift vom WAN ins LAN Netz. Da du aus dem LAN netz kommst, muss da nichts geforwarded werden.

Ich würde sowieso das WebInterface der 3CX aus dem WAN nicht zulassen...

Wenn ich von intern das Portal der 3CX aufrufen will, bekomme ich einen Timeout. Von extern geht das aber wiederrum.
Das Portal läuft über https auf Port 5001.

kümmere dich mal eher darum, dass du von intern auf die 3CX kommst. Hängen du und die 3CX im selben Subnetz oder muss die SecurePoint dazwischen routen? Wenn letzteres: richte die Firewall korrekt ein und gut.

Ansonsten noch die nächste Frage: macht die SecurePoint am WAN auch noch mal NAT?

Hmm an der Fritte wurde eh wieder was geändert oder? Meine gehört den Schwiegereltern.

IP ist nun 192.168.179.1
LAN 192.168.178.0/24

Aber Firmware 6.50 gibt es auch keine erweiterte Ansicht mehr. Ist nun alles immer sichtbar. Unsicherheitsfaktor bleibt bei so einer Kombi auch immer der doppelte Router. Mal unterstellt, das beide Geräte NAT machen etc.

Temporär auch mal OPNsense GUI über WAN zugelassen. Da hat die FritzBox anstandlos alles an den Exposed Host geleitet.

Exposed Host: War die Securpoint auf DHCP? Hat sie denn die gleiche wieder bekommen? Wenn die 3CX statische IP bestitzt sollte auch Exposed Host gehen.

Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.

Ist das als stinknormale Router Kaskade mit doppeltem Firewalling und doppeltem NAT geschaltet oder arbeitet die FB im Bridge Mode und die öffentliche statische IPv4 liegt direkt auf der Firewall?? Letzteres wäre, wie immer, die technisch sinnvollste Lösung!
Diese Punkt fehlt leider in der Beschreibung.

Wenn dennoch Ersteres ist das sehr wahrscheinlich ein klassischer Fall von Hairpin NAT:
https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

Zitat von @em-pie:
Ansonsten noch die nächste Frage: macht die SecurePoint am WAN auch noch mal NAT?

Ja die Securepoint hängt hinter der FB und macht auch NAT.

Exposed Host steht auf eine Statische Interne IP. (bzw einzelne Portfreigaben, da Exposed Host nicht funktioniert)

Zitat von @aqui:

Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.

Wenn dennoch Ersteres ist das sehr wahrscheinlich ein klassischer Fall von Hairpin NAT:
https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

Es ist der Fall von HairpinNAT. Das funktioniert bei mir Zuhause mit der gleichen SecurePoint aber genau so. Hier ist nur ein Telekom DSL mit einer FritzBox 7590.

Das gleiche Setup hatten wir auch im alten Büro, da hat auch alles tadellos funktioniert aber auch da war Telekom DSL mit einer FritzBox.

Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht. Das habe ich bereits versucht.

Hinter der Fritz!Box 6591

War vollkommen irritiert

Die 7590 hab ich hier auch. Hab kein OWA darum mal deins mit OPNsense GUI nachgebildet.

443 oder auch xx443 sind über Public IP erreichbar. Die OPNsense ist auf DHCP. IP am FB fixiert und als Exposed Host. Das läuft schon sehr lange so...

Mal Eintrag löschen und FB neustarten?

Mit der neuen Firmware ist ja erweiterte Ansicht permanent freigeschaltet.

Ich erreiche meine über 192.168.178.1 nicht mehr. Nun ist es 192.168.179.1. LAN aber auf 192.168.178.0/24

Da alles lief, ist mir das erst eben aufgefallen

PS:
FRITZ!OS:7.50 ???

Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht.

Das ist natürlich Unsinn. Mit einen entsprechenden NUR (Kabel) Modem funktioniert das auch problemlos!
Endlich: Reines Kabel-TV Modem in D erhältlich !
Oder indem man die FB im Bridge Mode betreibt was üblich ist wenn Provider eine öffemtliche IPv4 durchreichen.

Zitat von @Crusher79:

Hinter der Fritz!Box 6591

PS:
FRITZ!OS:7.50 ???

Ja mit der 7590 geht das ja auch alles. Nur mit der 6591 geht das nicht. Die Einträge habe ich alle mehrfach neu gemacht und die FB auch mehrfach neu gestartet

Zitat von @aqui:

Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht.

Ja neue Hardware kaufen ist immer eine Lösung. Es muss aber ja auch über die FB möglich sein. Und die FB lässt kein Bridge Mode für die erste IP zu. Nur für etwaige weitere IPs, da die FB immer die erste IP selber nimmt

Zitat von @Maffi:

Ja mit der 7590 geht das ja auch alles. Nur mit der 6591 geht das nicht. Die Einträge habe ich alle mehrfach neu gemacht und die FB auch mehrfach neu gestartet

Dann sniffe mal einfach auf der Fritzbox mit,was da für Pakete an- oder durchkommen: http://fritz.box/html/capture.html

Ups, hab mich vertan.

Bei der Cable gibt es Anleitungen: Provider nach 2. Pubic IP fragen und dann in der Sicherung der Konfiguration Bridge aktivieren und zurück spielen.

Im Prinzip was @aqui schon erwähnt hat. Ist natürlich ein Restrisiko, dass man sich die Box zerschießt.

https://www.giga.de/tipp/fritzbox-bridge-modus-aktivieren-wie-geht-das/

Oder aber anderes Modem besorgen ....

PS:
Du hast doch größeres vor oder? Business vs. Comapany oder wie war das? Bei einen Tarif gab es früher die Hitron Modem. Ggf. musst du für dein Vorhaben in den sauren Apfel beißen und ein höherwertiges Paket buchen.

Bei mir war es damals die Menge > 200 Clients. FritzBox kam damit nicht klar. Hitron sehr wohl. Bei dir geht es ja "nur" um die Portweiterleitung. Würde ggf. nach einen geeigneteren Produkt beim Anbieter schauen.

German Question Routers, Routing