danielr1996
Goto Top

FritzBox Port Freigabe mit 2 Routern bzw Doppel Nat

Hallo Leute,

ich hab folgendes Setup:
Eine Fritzbox 7360 die direkt mit dem Internet / DSL verbunden ist und
eine FritzBox 3370 die ihren Netzwerkzugang über Lan1 von der 7360 bezieht.
An der 3370 hängt ein Server den ich gerne im Internet zugänglich machen würde, dazu habe ich den Port 80 / 443 in der 7360 an Port 80 /443 der 3370 weitergeleitet, und Port 80 / 443 der 3370 an meinen Server. Ich kann weder vom Internet noch von Geräten die an die 7360 angeschlossen sind auf den Server zugreifen, nur von Geräten die an der 3370 angeschlossen sind.

Ist sowas überhaupt möglich?

LG Dani

Content-ID: 312162

Url: https://administrator.de/forum/fritzbox-port-freigabe-mit-2-routern-bzw-doppel-nat-312162.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

michi1983
michi1983 09.08.2016 um 20:08:19 Uhr
Goto Top
Hallo,

versucht du von intern auf die Public IP zuzugreifen?
Dann wirds am Hairpin NAT scheitern denke ich.

Gruß
danielr1996
danielr1996 09.08.2016 aktualisiert um 20:13:43 Uhr
Goto Top
Nein, auch vom Handy mit deaktiviertem WLAN komm ich nicht auf die Website

Edit: Als ich nur einen Router hatte konnte ich auch von intern über die Public IP auf den Server zugreifen.
PS: Hab im Moment zwei Router weil mir die Gigabit Ports ausgegangen sind und ich auf die schnelle keinen Switch anschaffen kann, deswegen diese Krücke
michi1983
michi1983 09.08.2016 um 20:15:06 Uhr
Goto Top
und was ergibt ein traceroute auf die IP des Webserver? Wo bleibst du hängen?
transocean
transocean 09.08.2016 aktualisiert um 20:21:03 Uhr
Goto Top
Moin,

Du verwendest nicht zufällig identische IP Bereiche für beide Fritten?

Gruß

Uwe
aqui
aqui 09.08.2016 aktualisiert um 20:24:38 Uhr
Goto Top
dazu habe ich den Port 80 / 443 in der 7360 an Port 80 /443 der 3370 weitergeleitet
Hoffentlich TCP 80 und 443 ??!!
Und hoffentlich an die WAN Port IP der 3370 weitergeleitet ?? Wenn ja ist das korrekt.
Der WAN Port sollte deshalb immer statisch definiert sein oder über die Mac Adresse im DHCP Server der 7360 auf eine IP festgenagelt sein, ansosten besteht die Gefahr das das Port Forwarding ins Leere läuft sollte sich die IP wegen der Dynamik von DHCP einmal ändern. Nur das du das im Hinterkopf hast...
Wenn dem so ist liegt es zu 98% daran das du den Webzugriff aus dem Internet nicht deaktiviert hast in der FB.
Eingehende TCP 80 und 443 Frames interpretiert die FB dann für sich selber sprich fürs WebGUI und forwardet sie deshalb dann nicht mehr per Port Forwarding. Das ist übliche Praxis so beim Router.
Deaktiviere also den Webzugriff von remote (Internet) was man so oder so generell immer machen solle aus Sicherheitsgründen und dann wird es auch klappen.
Hilfreich ist hier immer ein Wireshark Sniffer. Mit dem kannst du sehen ob sowohl von Router 1 also auch von Router 2 diese Frames richtig geforwardet werden.
danielr1996
danielr1996 09.08.2016 um 20:23:17 Uhr
Goto Top
Routenverfolgung zu 62.91.100.85 über maximal 30 Hops

1 <1 ms <1 ms <1 ms olymp.danielr1996.de [10.0.0.1]
2 <1 ms <1 ms <1 ms richter.danielr1996.de [10.1.0.1]
3 <1 ms <1 ms <1 ms 62.91.100.85

Bleibt natürlich an der Router IP hängen, da ich mit tracert ja keinen Port angeben / NAT verwenden kann.
aqui
aqui 09.08.2016 um 20:27:50 Uhr
Goto Top
Wie kommt es das der Hostname auf eine 10er RFC 1918 IP aufgelöst wird ?!
Traceroute aus dem Internet hilft hier nicht weiter....

P.S.: Anonymisiere besser deine privaten FQDNs hier face-wink
danielr1996
danielr1996 09.08.2016 um 20:29:31 Uhr
Goto Top
Hoffentlich TCP 80 und 443 ??!!

Natürlich TCP
Und hoffentlich an die WAN Port IP der 3370 weitergeleitet ??

Wenn du mit WAN Port LAN1 meinst, ja. Also die 7360 hat das Subnetz 10.1.0.0/16 und die die 3370 das Subnetz 10.0.0.0/16 Die 3370 hat im 10.1.0.0/16 Netz die 10.1.0.14 und im 10.0.0.0/16 Netz die 10.0.0.1 Das Portforwarding ist in der 7360 auf die 10.1.0.14 (LAN1 der 3370) weitergeleitet

Wenn dem so ist liegt es zu 98% daran das du den Webzugriff aus dem Internet nicht deaktiviert hast in der FB.
Hab ich gemacht, geht aber immer noch nicht, hat auch vorher nicht auf die FB Loginseite weitergeleitet.
danielr1996
danielr1996 09.08.2016 um 20:32:21 Uhr
Goto Top
Wie kommt es das der Hostname auf eine 10er RFC 1918 IP aufgelöst wird ?!

Hab nen DNS Server laufen damit ich für Raspi und Co nicht immer die IP eingeben muss, da mDNS unzuverlässig.

P.S.: Anonymisiere besser deine privaten FQDNs hier

Wenn alles klappt soll der Server sowieso unter dieser Domain ereichbar sein, wenn dann jemand auf die Website drauf will kommt er es so oder so.
aqui
aqui 09.08.2016 aktualisiert um 20:46:01 Uhr
Goto Top
16 Bit Prefix...welch Verschwendung. Hätte es ein /24 nicht auch getan ?? face-wink
Hab ich gemacht, geht aber immer noch nicht
OK, dann musst du größeres Kaliber rausholen...
Kabelhai starten und hinter die FB 1 hängen und checken ob die TCP 80 und 443 Frames dort ankommen.

Pfiffigerweise machst du das so das du FB 2 abziehst und dem Wireshark Rechner auch die 10.1.0.14 gibst.
Kommen sie dort an ist FB2 der pöhse Puhmann.
Gleicher Trick bei FB2: Server abziehen und Kabelhai auf die Server IP. Kommt da wirklich nix an ist es FB2 dann muss man da mal in medias res gehen.
Von der Konfig hast du alles richtig gemacht.
Scheinbar bist du auch nicht der Einzige mit dem Problem:
https://thomas-leister.de/fritzbox-leitet-anfragen-auf-https-port-nicht- ...
Steht zu befürchten das das ein Firmware Bug ist... Ist deine Firmware aktuell auf beiden Systemen ?
Lochkartenstanzer
Lochkartenstanzer 09.08.2016 um 20:58:33 Uhr
Goto Top
Zitat von @danielr1996:

Bleibt natürlich an der Router IP hängen, da ich mit tracert ja keinen Port angeben / NAT verwenden kann.


Traceroute hat mehr Optionen, mit denen man auch zum TCP-Port tracen kann.

lks
Lochkartenstanzer
Lochkartenstanzer 09.08.2016 aktualisiert um 21:03:04 Uhr
Goto Top
Moin,

Hast Du denn dafür gesorgt, daß die Fritte selbst nicht auf Port 80 oder 443 reagiert? Denn üblicherweise hat die Fritte selbst dort einen Dienst laufen und dann ist es Essig mit forwarding.

Du kannst auf den Fritten mit http://fritz.box/html/capture.html einen Dump mitschneiden udn dann schauen, ob das forwarding überhaupt korrekt klappt.

Hier ist die Anleitugn von AVM, die für alle Fritzboxen funktioniert.


lks
danielr1996
danielr1996 09.08.2016 um 21:11:59 Uhr
Goto Top
16 Bit Prefix...welch Verschwendung. Hätte es ein /24 nicht auch getan ?

Nein, da ich in 10.0.1.x und 10.1.1.x jeweils meine dynamischen ips vergeb und im 10.0.0.x bzw 10.1.0.x die statischen, is vllt kein ordentliches vlsm / subnetting aber ich finde es angenehmer zum managen, außerdem lässt sich 10.0.0.1 schneller tippen als 192.168.0.1

Kabelhai starten und hinter die FB 1 hängen und checken ob die TCP 80 und 443 Frames dort ankommen.

klingt zwar nach nem guten vorschlag, da mir das thema aber dann doch zu blöd ist gebe ich auf hänge alles hinter die 3370 die ich direkt ans dsl anschließe und verzichte auf ein paar Gbit ports bis ich mir nen anständigen switch anschaffe, dachte nur das Problem wäre ein triviales.

Und irgendwann sind wir das NAT Problem hoffentlich komplett los, wenn IPv6 kommt.
Lochkartenstanzer
Lochkartenstanzer 10.08.2016 um 07:08:10 Uhr
Goto Top
Zitat von @danielr1996:

klingt zwar nach nem guten vorschlag, da mir das thema aber dann doch zu blöd ist gebe ich auf hänge alles hinter die 3370 die ich direkt ans dsl anschließe und verzichte auf ein paar Gbit ports bis ich mir nen anständigen switch anschaffe, dachte nur das Problem wäre ein triviales.

Das Problem ist ein triviales. Man muß nur kurz shauen, woran es hängt. Anonsten tät es vermutlich für Deien Konfiguration auch einfach ein GBit-Baumarktswitch für 10€.

Und irgendwann sind wir das NAT Problem hoffentlich komplett los, wenn IPv6 kommt.

Da werden mindestens noch 20 Jahre ins Land gehen. Eher machen die Provider selbst NAT. Solange v4 nicht komplett abgeschaltet wird, und das wird garantiert sich noch mindestens weitere 25 Jahre halten, wird es auch weiterhin NAT-Probleme geben.

lks
aqui
aqui 10.08.2016 um 09:38:05 Uhr
Goto Top
Nein, da ich in 10.0.1.x und 10.1.1.x jeweils meine dynamischen ips vergeb und im 10.0.0.x bzw 10.1.0.x die statischen, is vllt kein ordentliches vlsm / subnetting aber ich finde es angenehmer zum managen
Das wäre mit einem /24 Prefix aber genauso gegangen face-wink Egal....Kosmetik
da mir das thema aber dann doch zu blöd ist gebe ich auf hänge alles hinter die 3370
Schade eigentlich... Dem mal auf den Grund zu gehen wäre spannend gewesen....

Case closed