maffi
Goto Top

Aufrufen der WAN IP aus dem Internen Netzwerk zeigt Fritz!BOX Interface

Wir haben mit der Firma ein neues Büro mit Vodafone Business Kabel mit Statischer IP.

Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.
Die SecurePoint macht einen Reverse Proxy für unseren Exchange Server und die Portweiterleitungen für die 3CX.

Wenn ich nun aus dem Internen Netzwerk versuche die öffentlich IP aufzurufen um ins OWA oder das 3CX Portal zu kommen, bekomme ich immer das Interface der FritzBox angezeigt. Von extern, kann ich die ganzen Seiten aber aufrufen.
Der Reverse Proxy läuft natürlich über https und Port 443.

Wenn ich von intern das Portal der 3CX aufrufen will, bekomme ich einen Timeout. Von extern geht das aber wiederrum.
Das Portal läuft über https auf Port 5001.

Also immer wenn ich versuche, die öffentliche IP von Vodafone zu erreichen, antwortet die FritzBox auf die Anfrage, trotz Portweiterleitung.

Hat das jemand schon mal gehabt und eine Idee dazu?

PS. Des weitern funktioniert Exposed Host nicht mehr. Das hat am Anfang funktioniert. Zum testen hab ich es rausgenommen und wieder eingetragen. Danach musste ich alle Portfreigaben einzeln machen, damit es wieder funktioniert. Ich habe aber gelesen, dass das Normal ist und wohl öfter auftritt.

Content-ID: 6515466077

Url: https://administrator.de/forum/aufrufen-der-wan-ip-aus-dem-internen-netzwerk-zeigt-fritzbox-interface-6515466077.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 26.03.2023 um 14:55:30 Uhr
Goto Top
Moin,

U d warum hast Du die Fritzbox nicht so eingestellt, daß sie auf der externen Adresse Port 443 nicht belegt und diesen an Deinen reverse Proxy weiterleitet?

lks
Maffi
Maffi 26.03.2023 um 15:02:22 Uhr
Goto Top
Hallo,

der FritzBox ist ja so eingestellt, dass sie Port 443 weiterleitet. Von Extern funktioniert es ja auch.

Nur aus dem Internen Netz, fängt die FritzBox sämtliche Ports ab.

Beste Grüße
StefanKittel
StefanKittel 26.03.2023 um 15:09:53 Uhr
Goto Top
Hallo,
Split-DNS ist Dein Freund.
WAN: mail.firma.de -> 1.2.3.4
LAN/WLAN: mail.firma.de -> 10.0.0.5

An den FBs kann man diesbezüglich wenig einstellen.
Stefan
em-pie
em-pie 26.03.2023 um 15:14:51 Uhr
Goto Top
Moin,

Nur aus dem Internen Netz, fängt die FritzBox sämtliche Ports ab.
ist ja auch nachvollziehbar: Die Portweiterleitung greift vom WAN ins LAN Netz. Da du aus dem LAN netz kommst, muss da nichts geforwarded werden.

Ich würde sowieso das WebInterface der 3CX aus dem WAN nicht zulassen...
Wenn ich von intern das Portal der 3CX aufrufen will, bekomme ich einen Timeout. Von extern geht das aber wiederrum.
Das Portal läuft über https auf Port 5001.
kümmere dich mal eher darum, dass du von intern auf die 3CX kommst. Hängen du und die 3CX im selben Subnetz oder muss die SecurePoint dazwischen routen? Wenn letzteres: richte die Firewall korrekt ein und gut.

Ansonsten noch die nächste Frage: macht die SecurePoint am WAN auch noch mal NAT?
Crusher79
Crusher79 26.03.2023 um 15:26:09 Uhr
Goto Top
Hmm an der Fritte wurde eh wieder was geändert oder? Meine gehört den Schwiegereltern.

IP ist nun 192.168.179.1
LAN 192.168.178.0/24

Aber Firmware 6.50 gibt es auch keine erweiterte Ansicht mehr. Ist nun alles immer sichtbar. Unsicherheitsfaktor bleibt bei so einer Kombi auch immer der doppelte Router. Mal unterstellt, das beide Geräte NAT machen etc.

Temporär auch mal OPNsense GUI über WAN zugelassen. Da hat die FritzBox anstandlos alles an den Exposed Host geleitet.


Exposed Host: War die Securpoint auf DHCP? Hat sie denn die gleiche wieder bekommen? Wenn die 3CX statische IP bestitzt sollte auch Exposed Host gehen.
aqui
aqui 26.03.2023 aktualisiert um 15:27:41 Uhr
Goto Top
Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.
Ist das als stinknormale Router Kaskade mit doppeltem Firewalling und doppeltem NAT geschaltet oder arbeitet die FB im Bridge Mode und die öffentliche statische IPv4 liegt direkt auf der Firewall?? Letzteres wäre, wie immer, die technisch sinnvollste Lösung!
Diese Punkt fehlt leider in der Beschreibung. face-sad
Wenn dennoch Ersteres ist das sehr wahrscheinlich ein klassischer Fall von Hairpin NAT:
https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT
Maffi
Maffi 26.03.2023 um 16:28:11 Uhr
Goto Top
Zitat von @em-pie:
Ansonsten noch die nächste Frage: macht die SecurePoint am WAN auch noch mal NAT?

Ja die Securepoint hängt hinter der FB und macht auch NAT.

Exposed Host steht auf eine Statische Interne IP. (bzw einzelne Portfreigaben, da Exposed Host nicht funktioniert)

Zitat von @aqui:

Hinter der Fritz!Box 6591 Cable hängt eine SecurePoint Firewall.
Ist das als stinknormale Router Kaskade mit doppeltem Firewalling und doppeltem NAT geschaltet oder arbeitet die FB im Bridge Mode und die öffentliche statische IPv4 liegt direkt auf der Firewall?? Letzteres wäre, wie immer, die technisch sinnvollste Lösung!
Diese Punkt fehlt leider in der Beschreibung. face-sad
Wenn dennoch Ersteres ist das sehr wahrscheinlich ein klassischer Fall von Hairpin NAT:
https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

Es ist der Fall von HairpinNAT. Das funktioniert bei mir Zuhause mit der gleichen SecurePoint aber genau so. Hier ist nur ein Telekom DSL mit einer FritzBox 7590.

Das gleiche Setup hatten wir auch im alten Büro, da hat auch alles tadellos funktioniert aber auch da war Telekom DSL mit einer FritzBox.

Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht. Das habe ich bereits versucht.
Crusher79
Crusher79 26.03.2023 aktualisiert um 17:01:17 Uhr
Goto Top
Hinter der Fritz!Box 6591

War vollkommen irritiert

Die 7590 hab ich hier auch. Hab kein OWA darum mal deins mit OPNsense GUI nachgebildet.

443 oder auch xx443 sind über Public IP erreichbar. Die OPNsense ist auf DHCP. IP am FB fixiert und als Exposed Host. Das läuft schon sehr lange so...

Mal Eintrag löschen und FB neustarten?

Mit der neuen Firmware ist ja erweiterte Ansicht permanent freigeschaltet.

Ich erreiche meine über 192.168.178.1 nicht mehr. Nun ist es 192.168.179.1. LAN aber auf 192.168.178.0/24

Da alles lief, ist mir das erst eben aufgefallen face-big-smile

PS:
FRITZ!OS:7.50 ???
aqui
aqui 26.03.2023 aktualisiert um 17:06:10 Uhr
Goto Top
Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht.
Das ist natürlich Unsinn. Mit einen entsprechenden NUR (Kabel) Modem funktioniert das auch problemlos!
Endlich: Reines Kabel-TV Modem in D erhältlich !
Oder indem man die FB im Bridge Mode betreibt was üblich ist wenn Provider eine öffemtliche IPv4 durchreichen.
Maffi
Maffi 26.03.2023 aktualisiert um 20:25:56 Uhr
Goto Top
Zitat von @Crusher79:

Hinter der Fritz!Box 6591

War vollkommen irritiert

Die 7590 hab ich hier auch. Hab kein OWA darum mal deins mit OPNsense GUI nachgebildet.

443 oder auch xx443 sind über Public IP erreichbar. Die OPNsense ist auf DHCP. IP am FB fixiert und als Exposed Host. Das läuft schon sehr lange so...

Mal Eintrag löschen und FB neustarten?

Mit der neuen Firmware ist ja erweiterte Ansicht permanent freigeschaltet.

Ich erreiche meine über 192.168.178.1 nicht mehr. Nun ist es 192.168.179.1. LAN aber auf 192.168.178.0/24

Da alles lief, ist mir das erst eben aufgefallen face-big-smile

PS:
FRITZ!OS:7.50 ???

Ja mit der 7590 geht das ja auch alles. Nur mit der 6591 geht das nicht. Die Einträge habe ich alle mehrfach neu gemacht und die FB auch mehrfach neu gestartet


Zitat von @aqui:

Das mit der FB im Bridge Modus funktioniert leider aus Anbieter Gründen nicht.
Das ist natürlich Unsinn. Mit einen entsprechenden NUR (Kabel) Modem funktioniert das auch problemlos!
Endlich: Reines Kabel-TV Modem in D erhältlich !
Oder indem man die FB im Bridge Mode betreibt was üblich ist wenn Provider eine öffemtliche IPv4 durchreichen.

Ja neue Hardware kaufen ist immer eine Lösung. Es muss aber ja auch über die FB möglich sein. Und die FB lässt kein Bridge Mode für die erste IP zu. Nur für etwaige weitere IPs, da die FB immer die erste IP selber nimmt
Lochkartenstanzer
Lochkartenstanzer 26.03.2023 um 21:17:37 Uhr
Goto Top
Zitat von @Maffi:

Ja mit der 7590 geht das ja auch alles. Nur mit der 6591 geht das nicht. Die Einträge habe ich alle mehrfach neu gemacht und die FB auch mehrfach neu gestartet

Dann sniffe mal einfach auf der Fritzbox mit,was da für Pakete an- oder durchkommen: http://fritz.box/html/capture.html
Crusher79
Crusher79 27.03.2023 aktualisiert um 10:20:26 Uhr
Goto Top
Ups, hab mich vertan.

Bei der Cable gibt es Anleitungen: Provider nach 2. Pubic IP fragen und dann in der Sicherung der Konfiguration Bridge aktivieren und zurück spielen.

Im Prinzip was @aqui schon erwähnt hat. Ist natürlich ein Restrisiko, dass man sich die Box zerschießt.

https://www.giga.de/tipp/fritzbox-bridge-modus-aktivieren-wie-geht-das/


Oder aber anderes Modem besorgen ....

PS:
Du hast doch größeres vor oder? Business vs. Comapany oder wie war das? Bei einen Tarif gab es früher die Hitron Modem. Ggf. musst du für dein Vorhaben in den sauren Apfel beißen und ein höherwertiges Paket buchen.

Bei mir war es damals die Menge > 200 Clients. FritzBox kam damit nicht klar. Hitron sehr wohl. Bei dir geht es ja "nur" um die Portweiterleitung. Würde ggf. nach einen geeigneteren Produkt beim Anbieter schauen.