Fritzbox Exposed Host zu Unifi Dream Machine

Mitglied: flyingmichael

flyingmichael (Level 1) - Jetzt verbinden

01.10.2020, aktualisiert 02.10.2020, 638 Aufrufe, 16 Kommentare

Hallo Zusammen,

ich wollte mal lieb fragen ob mir jemand von euch weiterhelfen kann bzw. bestätigen kann das ich das vorhaben richtig angehe.

Ich habe eine Fritzbox 7490 im Einsatz die als VDSL Modem dient und per S0 bus eine alte Telefonanlage angeschlossen hat.
Von dort geht es dann an den WAN Port meiner Unifi Dream Machine. Diese hat am WAN Port eine statische IP im Netz der Fritzbox konfiguriert und als GW die Fritzbox eingetragen.

Beispiel:
Fritzbox LAN IP 192.168.1.254
UDM WAN IP 192.168.1.250

Auf der Fritzbox ist ein Exposed Host konfiguriert der auf 192.168.1.250 zeigt.

Nun wollte ich zum testen RDP Port 3389 freigeben. Ich habe also auf der UDM ein Port forwarding auf die interne IP einer VM eingerichtet (anderes VLAN/Netz welches in der UDM konfiguriert ist) - 10.10.10.123.

Ich komme aber von extern nicht per RDP drauf und der Port ist auch nicht offen. Windows Firewall passt 100%.

Was mich auch wunder, wenn ich bei der Fritzbox auf der Startseite bin steht unten rechts unter Portfreigabe: Exposed Host: 192.168.1.1 (also eine komplett andere IP die auch nirgends konfiguriert ist oder auf einen PING antwortet). Wenn ich das im Menü für die freigaben überprüfe passt aber alles und zeigt auf die 192.168.1.250.

Keine Panik RDP bleibt wirklich nur für diesen Test offen.

Hat jemand eine Idee oder einen Tipp für mich?
Ich bin für jede Unterstützung dankbar.

VG

Michael
Mitglied: IceBeer
01.10.2020 um 20:14 Uhr
Hallo,

ich nehme mal an mit extern meinst du das böse Internet.
Wie willst du denn die VM via RDP ansprechen, sprich was gibst du im RDP-Client ein?
Die Anzeige an der FB mit der Exposed Host IP verstehe ich nicht, warum dass nicht die 192.168.2.200 angezeigt wird.
Deine Aussage dass die 192.168.2.1 aber nirgends konfiguriert ist versteh ich aber auch nicht, ist ja immerhin die IP der FB im LAN.
"auf einen Ping antwortet" von wo aus wird denn der Ping abgesetzt?
Geht denn die RDP-Verbindung von einem PC den du (temporär) ins 192.168.2.x-Netz hängst?
Was sagt denn die UDM wenn du es versuchst, kommt da irgendwas an oder landet die Anfrage da nicht mal?

Gruß IceBeer
Bitte warten ..
Mitglied: flyingmichael
01.10.2020, aktualisiert 02.10.2020
Hoppla mein Fehler sind nur fiktive IPs die FB hat in dem Fall die 192.168.1.254. Die .1 in der Startseite ist wirklich nirgends vergeben.

Genau ich meine das Internet und versuche auf die öffentliche IP zu verbinden.

Lokal klappt RDP ganz normal. Habe das gleiche inzwischen mal mit einem Apache Webserver und Port 443 versucht aber das gleiche Ergebnis. Auf der UDM kann ich nichts erkennen. Habe für das Port forwarding auch extra das logging aktiviert
Bitte warten ..
Mitglied: IceBeer
01.10.2020 um 21:14 Uhr
Hat die UDM ein Webinterface dass du aus dem Transfernetz (192.168.2.x) zwischen UDM und FB erreichbar ist/sein sollte?
Wenn ja, lässt sich dass erreichen?
"Lokal klappt RDP ganz normal" bedeutet aus dem Transfernetz (192.168.2.x) oder komplett ausm 10.10.10.x'er Netz?
Bitte warten ..
Mitglied: Lochkartenstanzer
01.10.2020 um 22:36 Uhr
Moin,

Hast Du DHCP auf der fritzbox abgeschaltet oder dafür gesorgt, daß zumindest der Bereich eingeschränkt wurde? Die Fritzbox nicht mormalerweise den bereich .20 bis .200 für DHCP, wenn man sie nicht umkonfiguriert!

Ansonsten: Sniffe einfach mal auf der Fritzbox mit, was da an Paketen durchgeht.

lks
Bitte warten ..
Mitglied: tech-flare
02.10.2020 um 00:40 Uhr
Du hast zwar ein portforwarding auf der udm eingestellt, aber hast du auch eine Firewall Freigabe für den Port erstellt?
Bitte warten ..
Mitglied: flyingmichael
02.10.2020 um 06:41 Uhr
Guten Morgen,

Ja DHCP ist aus und IP der FB manuell angepasst. Die UDM hat demnach auch eine feste IP aus dem gleichen Netz am WAN Interface.

Das ist eine Idee danke für den Tipp.
VG
Michael
Bitte warten ..
Mitglied: flyingmichael
02.10.2020 um 06:41 Uhr
Ja die UDM legt automatisch eine entsprechende Regel an
Bitte warten ..
Mitglied: BirdyB
02.10.2020 um 07:33 Uhr
Moin,
hast du eine öffentliche IP oder hängst du ggf. im DSlite deines Providers?
VG
Bitte warten ..
Mitglied: flyingmichael
02.10.2020, aktualisiert um 11:52 Uhr
Hi, das wäre noch eine Idee stimmt.
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Auf dem Screenshot (internet1) sieht man auch nochmal dass Expsed Host hier auf die 1 zeigt. Gehe ich dann in das Freigabe menü sieht es aber richtig aus.

Mit den fiktiven IPs ist das etwas verwirrend deshalb habe ich es oben mal korrigiert wie es wirklich konfiguriert ist, es geht ja nur um das interne Netz.

So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250

Ich frage mich also echt wieso auf der Startseite die 192.168.1.1 auftaucht.
Ich deaktiviere auch mal IPv6 für den Exposed Host.

VG

Michael
internet1 - Klicke auf das Bild, um es zu vergrößern
exposedhost - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: flyingmichael
02.10.2020 um 08:02 Uhr
Nachdem ich IPv6 entfernt habe stimmt auch die IP vorne.. aber noch klappt der Zugriff nicht.
Bitte warten ..
Mitglied: FFSephiroth
02.10.2020 um 08:07 Uhr
Nimm nen Vigor 165 als Modem und binde die Fritte als IP Client in das UDM Netz ein. Gibt's ein Videotutorial auf YouTube von Idomix. Dadurch entfällt auch das doppelte NAT. Fritzbox wird dann als reine Telefonanlage benutzt. RDP sollte dann auch ohne Probleme funktionieren.
Bitte warten ..
Mitglied: radiogugu
02.10.2020 um 08:20 Uhr
Hallo.

Habe ich es einfach überlesen, oder hast du noch nicht erwähnt, wie du auf die VM zugreifen möchtest?

Hast du einen DynDNS konfiguriert, welcher auf deine öffentliche, sich ab und an ändernde, IP zeigt oder hast du eine statische IP von der Telekeom?

Gruß
Radiogugu
Bitte warten ..
Mitglied: BirdyB
02.10.2020 um 09:03 Uhr
Moin,
Zitat von flyingmichael:

Hi, das wäre noch eine Idee stimmt.
DSlite würde ich doch direkt erkennen in der FB oder?
Ich habe eine IPv4 und eine separate IPv6 und keinerlei Infos, dass DSlite aktiv ist.
Kann sein, dass die FB das anzeigt... Ansonsten erkennt man das an der 100.-IP oder wenn die öffentliche IP in einem RFC1918-Netz ist.
Auf dem Screenshot (internet1) sieht man auch nochmal dass Expsed Host hier auf die 1 zeigt. Gehe ich dann in das Freigabe menü sieht es aber richtig aus.
Komische Sache. Firmware ist aktuell? Ansonsten mal einen Werksreset an der FB machen und neu einrichten.
Mit den fiktiven IPs ist das etwas verwirrend deshalb habe ich es oben mal korrigiert wie es wirklich konfiguriert ist, es geht ja nur um das interne Class C.
Class C gibt es schon lange nicht mehr... Dafür gibt es Subnetzmasken. Aber die internen IPs muss man eher nicht verschleiern. Damit kann erstmal keiner was anfangen.

So ist es konfiguriert:
IP FB 192.168.1.254
IP UDM WAN 192.168.1.250

VG
Bitte warten ..
Mitglied: aqui
02.10.2020, aktualisiert um 09:22 Uhr
eine Fritzbox 7490 im Einsatz die als VDSL Modem dient
Dient sie wirklich nur als reines Modem, sprich du hast die öffentliche Provider IP direkt auf dem WAN Port der UDM ? Oder...
Hast du mal wieder den Begriff Modem und "Router" durcheinandergebracht und die FB arbeitet als normaler NAT Router vor der UDM. Also das du dann eine simple Router Kaskade betreibst wie es hier:
https://administrator.de/tutorial/kopplung-2-routern-dsl-port-48713.html ...
oder auch hier:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
im Detail beschrieben ist.
Vermutlich ist also deine Beschreibung oben technisch unrichtig und es ist keine Modem Installation in dem Sinne sondern eine Kaskade mit doppeltem NAT und doppelter Firewall.
Ist dem so ?
Bitte warten ..
Mitglied: flyingmichael
02.10.2020, aktualisiert um 11:54 Uhr
Ja das hast du Recht sorry. Die Fritzbox ist Modem und Router damit die Telefonanlage dort betrieben werden kann. Die UDM hat demnach keine öffentliche IP. Dafür die Konfiguration des Exposed Hosts auf die UDM.

Auf der FB ist kein VPN aktiv und auch kein MyFritz User angemeldet (da soll es wohl sonst Probleme geben da die Ports schon von der FB genutzt werden)

Das zusätzliche Modem wäre nur die letzte Option da das Vorhaben ja auch so realisierbar ist. Mir geht es am Ende nur um einen L2TP VPN Tunnel den Ich auf die UDM aufbauen möchte.

Ich habe keine Statische public IP und kein DynDNS ich hole mir zum testen also immer die aktuell zugewiesene auf z.B. wieistmeineip.de.
Bitte warten ..
Mitglied: aqui
02.10.2020, aktualisiert um 12:27 Uhr
ich hole mir zum testen also immer die aktuell zugewiesene auf z.B. wieistmeineip.de.
Das ist auch der richtige Weg !
Man kann dann nur vermuten das die Exposed Host Konfig die L2TP spezifischen Poerts nicht weiterleitet. Grundsätzlich ist "Exposed Host" als Schrotschuss nicht wirklich gut. Besser , da sicherer, ist es immer die spezifischen L2TP Ports
  • UDP 1701
  • UDP 500
  • UDP 4500
  • ESP Protokoll (IP50)
zu forwarden aber das ist immer eigene Ermessens Sache.

In jedem Falle solltest du wasserdicht testen ob die FritzBox die relevanten Ports wirklich weiterleitet. Das klappt recht einfach und schnell mit einem Wireshark Rechner dem du die gleiche IP Adresse gibst wie der UDM.
Dann stöpselst du die UDM raus und den Wireshark Rechner rein und initiierst eine L2TP VPN Session von extern auf die WAN IP der FritzBox.
Dabei beobachtest du den Wireshark ob eingehender Traffic der o.a. Ports auftaucht. Ist das der Fall macht die FB alles richtig.
Ist das nicht der Fall hast du einen Konfig Fehler der FB. Siehe dazu auch die Details der obigen Tutorials !
Sehr hilfreich wäre natürlich der Output des VPN Logs der UDM und auch des L2TP Clients !

Denke auch daran das wenn du einen DS-Lite_Anschluss hast (RFC1918 IP am Router WAN Port) es technisch unmöglich ist eine externe VPN Verbindung aufzubauen. Eine öffentliche IP am Router ist dafür zwingend. Besser also noch einmal direkt am Router in dessen Setup nachsehen welche WAN IP dieser wirjklich hat.
wieistmeineip.de zeigt im Zweifel bei einem DS-Lite Anschluss lediglich nur die öffentliche IP des zentralen CGN Gateways des Providers an, hilft also wenig um sicher zu gehen.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu14 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Router & Routing

Fritzbox Gastnetz - exposed Host - zur Sophos IPTV

medikopterFrageRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...

Router & Routing

Lancom NAT bzw. Exposed Host

gelöst Xaero1982FrageRouter & Routing11 Kommentare

Moin, ich hab hier nen LANCOM 883 VOIP und dahinter einen Ciscorouter. Dieser stellt eine Verbindung zu einem anderen ...

Windows Server

Unifi Zertifikat

Der.ITlerFrageWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Router & Routing

Auswahl UniFi Router

grmg2010FrageRouter & Routing4 Kommentare

Moin zusammen, aktuell verwende ich ein UniFi-Security Gateway an einer 250MBit Glasfaserleitung. Ich habe das Gefühl, das dieser Router ...

LAN, WAN, Wireless

Neues Unifi Netzwerk

Der.ITlerFrageLAN, WAN, Wireless4 Kommentare

Hallo Gemeinde, ich bin gerade dabei mein Netzwerk umzubauen. Ich bin auf Unifi gestoßen, dieses kenne ich von meinem ...

Switche und Hubs

Unifi AP einrichten

canlotFrageSwitche und Hubs11 Kommentare

Hallo liebe Community, ich verzweifele hier langsam an einem AP von Ubiquiti Unifi, genaugenommen den AP AC LR mit ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT