10
Home Konfiguration PPPoE Passthrough Ports?
Hallo allerseits,
zu meiner Konfiguration habe ich eine gernelle Frage:
Ich verwende momentan eine Fritzbox 7421 (192.168.178.1) als Modem. Danach ist ein Asus Router RT-AX86U (192.168.1.1) im WLAN Router Mode mit dem WANPort verbunden.
Auf beiden ist der DHCP Server aktiv. Auf dem Asus Router läuft ein OpenVPN Server mit Portweiterleitung zur Fritzbox, damit dieser von außen erreichbar ist. Desweiteren läuft noch ein Adguard Server und ein OpenMediaVault Server.
Diese Konfiguration habe ich nun seit einigen Monaten ohne Probleme im Einsatz.
Nun bin ich auf die Idee gekommen einen Nextcloud Server auf dem OMV laufen zu lassen. Hier habe ich aber bei der Konfiguration das Problem das der Port 443 an der Fritzbox trotz Portweiterleitung und DynDNS nicht erreichbar ist. um die Zertifizierung abzuschließen. Gefühlt habe ich hier schon alles ausprobiert und wollte mir schon einen anderen Modem Router (DrayTek) besorgen um ggf. die Portprobleme bei der Fritzbox zu umgehen. Nur leider möchte ich weiterhin meine Telefonanlage nutzen. Das funktioniert natürlich nicht mit dem Router.
Nun frage ich, was hier sinnvoll wäre.
lg. Phill
zu meiner Konfiguration habe ich eine gernelle Frage:
Ich verwende momentan eine Fritzbox 7421 (192.168.178.1) als Modem. Danach ist ein Asus Router RT-AX86U (192.168.1.1) im WLAN Router Mode mit dem WANPort verbunden.
Auf beiden ist der DHCP Server aktiv. Auf dem Asus Router läuft ein OpenVPN Server mit Portweiterleitung zur Fritzbox, damit dieser von außen erreichbar ist. Desweiteren läuft noch ein Adguard Server und ein OpenMediaVault Server.
Diese Konfiguration habe ich nun seit einigen Monaten ohne Probleme im Einsatz.
Nun bin ich auf die Idee gekommen einen Nextcloud Server auf dem OMV laufen zu lassen. Hier habe ich aber bei der Konfiguration das Problem das der Port 443 an der Fritzbox trotz Portweiterleitung und DynDNS nicht erreichbar ist. um die Zertifizierung abzuschließen. Gefühlt habe ich hier schon alles ausprobiert und wollte mir schon einen anderen Modem Router (DrayTek) besorgen um ggf. die Portprobleme bei der Fritzbox zu umgehen. Nur leider möchte ich weiterhin meine Telefonanlage nutzen. Das funktioniert natürlich nicht mit dem Router.
Nun frage ich, was hier sinnvoll wäre.
Fritzbox auf PPPoE Passthrough umstellen. DHCP Server deaktivieren. Nun über den WAN Port mit dem Asus Router verbinden und dort PPPoE einstellen. Gehe ich richtig in der Annahme das ich dann in der Fritzbox keine Ports freigeben muss um evtl. Probleme mit Nichterreichbarkeit Port 443 zu umgehen?
lg. Phill
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7553165023
Url: https://administrator.de/contentid/7553165023
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Wenn deine Fritzbox bei dir Voice macht dann nutzt du sie nicht als Modem sondern als Router. Hier stimmen also deine Angaben nicht oder du verwechselst Modem und Router. 
Auch das der Asus Router Port Forwarding macht zur Fritzbox kann so niemals stimmen wenn es richtig ist das der Asus hinter der Fritzbox kaskadiert ist. Dann muss es ein Port Forwarding von UDP 1194 auf den Asus geben aber nicht umgekehrt.
PPPoE Passthrough deaktiviert die Router Funktion auf der FB, das ist keine Option für dich in dem Setup. Es sei denn du nutzt ein NUR Modem wie z.B. Vigor 167 oder Zyxel VMG3006 am Asus und betreibst die FB als reine Telefonanlage im lokalen LAN. Macht aber wenig Sinn.
Wenn die Fritzbox TCP 443 in einer Kaskade nicht weiterleitet liegt das fast immer daran das du den Management Zugang aus dem Internet auf die Fritzbox im Setup zugelassen hast. Normalerweise ein NoGo aus Sicherheitsgründen aber wenn das aktiviert ist dann interpretiert die Fritzbox natürlich HTTPS Zugriffe auf ihrem WAN Port für sich selber und blockt dann erwartungsgemäß das Port Forwarding auch wenn es eingetragen ist.
Fazit:
Deaktiviere den Management Zugang aus dem Internet auf die FB dann kommt auch deine HTTPS Weiterleitung sofort zum Fliegen.
Beachte das sofern der NC Server im lokalen LAN des ASUS Routers liegt du 2mal ein Port Forwarding machen musst. Einmal FB auf die WAN IP des Asus und beim Asus auf die lokale IP des NC Servers. Auch hier darf auf dem Asus ebenso wie auf der FB nicht der Management Zugang aus dem Internet aktiv sein. Ansonsten hast du die gleiche Problematik wie oben geschildert.
Einfache Logik...
Sollte der NC Server im Koppelnetz zum Asus liegen also im FB LAN dann entfällt natürlich das 2te Port Forwarding. Auch ist ein Zertifikat auf DynDNS Adressen in der Regel nicht möglich.
Infos zu Router Kaskaden wie immer HIER.
Auch das der Asus Router Port Forwarding macht zur Fritzbox kann so niemals stimmen wenn es richtig ist das der Asus hinter der Fritzbox kaskadiert ist. Dann muss es ein Port Forwarding von UDP 1194 auf den Asus geben aber nicht umgekehrt.
PPPoE Passthrough deaktiviert die Router Funktion auf der FB, das ist keine Option für dich in dem Setup. Es sei denn du nutzt ein NUR Modem wie z.B. Vigor 167 oder Zyxel VMG3006 am Asus und betreibst die FB als reine Telefonanlage im lokalen LAN. Macht aber wenig Sinn.
Wenn die Fritzbox TCP 443 in einer Kaskade nicht weiterleitet liegt das fast immer daran das du den Management Zugang aus dem Internet auf die Fritzbox im Setup zugelassen hast. Normalerweise ein NoGo aus Sicherheitsgründen aber wenn das aktiviert ist dann interpretiert die Fritzbox natürlich HTTPS Zugriffe auf ihrem WAN Port für sich selber und blockt dann erwartungsgemäß das Port Forwarding auch wenn es eingetragen ist.
Fazit:
Deaktiviere den Management Zugang aus dem Internet auf die FB dann kommt auch deine HTTPS Weiterleitung sofort zum Fliegen.
Beachte das sofern der NC Server im lokalen LAN des ASUS Routers liegt du 2mal ein Port Forwarding machen musst. Einmal FB auf die WAN IP des Asus und beim Asus auf die lokale IP des NC Servers. Auch hier darf auf dem Asus ebenso wie auf der FB nicht der Management Zugang aus dem Internet aktiv sein. Ansonsten hast du die gleiche Problematik wie oben geschildert.
Einfache Logik...
Sollte der NC Server im Koppelnetz zum Asus liegen also im FB LAN dann entfällt natürlich das 2te Port Forwarding. Auch ist ein Zertifikat auf DynDNS Adressen in der Regel nicht möglich.
Infos zu Router Kaskaden wie immer HIER.
Moin,
für z.b. LetsEncrypt ist Port 80 ebenfalls erforderlich. Es sei denn du machst das über DNS.
Gruß
Spirit
für z.b. LetsEncrypt ist Port 80 ebenfalls erforderlich. Es sei denn du machst das über DNS.
Gruß
Spirit
Hallo aqui, Hallo Spirit-of-Eli,
vielen Dank für die Rückmeldung. Nach meiner Rechersche nun überarbeitet und in der Hoffnung ihr könnt mir optimierungpotenzial Aufzeigen. Dieser Thread habe ich auch mit ein wenig mehr Informationen gespickt um auch das Fehlschlagen der Zertifizierung durch Letsencrypt vielleicht durch einen späteren Thread zu ergänzen.
INTERNET > Fritzbox 7142 (WLAN Router Mode) hier wird auch die Internet Verbindung hergestellt > Asus Router RT-AX86U (WLAN Router Mode) > Daran Angeschlossene Clients, OVM Server, Adguard etc.
Fritzbox:
- Portfreigabe IPv4 (1194 UDP) > OpenVpn Server > Funktioniert
TCP Intern Port 81, Port extern 80 (IPv4)
TCP Intern Port 444, Port extern 443 (IPv4)
- MyFRITZ!- Konto deaktiviert
- FRITZ!BOX- Internetzugriff deaktiviert
- DynDNS aktiviert > XXX.dedyn.io
DNS Rebing Schutz "XXX.dedyn.io" eingetragen
- IPv4-Adresse 192.168.178.1
Subnetzmaske 255.255.255.0
DHCP Server von 192.168.178.20 bis 192.168.178.200
Lokaler DNS Server: 192.168.178.1
Asus Router:
- WAN IP: 192.168.178.26, Intern 192.168.1.222
- Portfreigabe TCP Intern Port 444, Port extern 444, (Interne IP-Adresse > (OVM Server per LAN angeschlossen > 192.168.227)
- Portfreigabe UDP Intern Port 81, Port extern 81, (Interne IP-Adresse > (OVM Server per LAN angeschlossen > 192.168.227)
- Zugriff auf die Webui per http Port 80
- WAN-Verbindungstyp "Automatische IP"
- IPv4-Adresse 192.168.1.222
Subnetzmaske 255.255.255.0
DHCP Server von 192.168.1.2 bis 192.168.1.254
OVM Server am Asus Router per Lan angeschlossen:
- Interne IP: 192.168.1.227
- Nextcloud with swag (Letsencrypt) using OMV and docker-compose
- Laut folgender Anleitung sollte ich diese Ports freigeben:
(ich gehe also davon aus da in der Config ports:
- 444:443
- 81:80 steht das hier diese dann Umgemappt werden wenn ich das so richtig verstehe im docker?)
"Installation of Nextcloud and SWAG (Letsencrypt) in Docker
forward ports in your router (check user manual of your router how to to this)
port extern 443 to port 444 intern (IP of your NAS)
port extern 80 to port 81 intern (IP of your NAS)"
Egal ob ich den OVM Server an der Fritzbox oder am Asus Router die Fehlermeldung bleibt die gleiche. (Siehe Screenhot. Ein anderer DynDNS wie duckdns wurde auch schon ausprobiert.
lg.
vielen Dank für die Rückmeldung. Nach meiner Rechersche nun überarbeitet und in der Hoffnung ihr könnt mir optimierungpotenzial Aufzeigen. Dieser Thread habe ich auch mit ein wenig mehr Informationen gespickt um auch das Fehlschlagen der Zertifizierung durch Letsencrypt vielleicht durch einen späteren Thread zu ergänzen.
INTERNET > Fritzbox 7142 (WLAN Router Mode) hier wird auch die Internet Verbindung hergestellt > Asus Router RT-AX86U (WLAN Router Mode) > Daran Angeschlossene Clients, OVM Server, Adguard etc.
Fritzbox:
- Portfreigabe IPv4 (1194 UDP) > OpenVpn Server > Funktioniert
TCP Intern Port 81, Port extern 80 (IPv4)
TCP Intern Port 444, Port extern 443 (IPv4)
- MyFRITZ!- Konto deaktiviert
- FRITZ!BOX- Internetzugriff deaktiviert
- DynDNS aktiviert > XXX.dedyn.io
DNS Rebing Schutz "XXX.dedyn.io" eingetragen
- IPv4-Adresse 192.168.178.1
Subnetzmaske 255.255.255.0
DHCP Server von 192.168.178.20 bis 192.168.178.200
Lokaler DNS Server: 192.168.178.1
Asus Router:
- WAN IP: 192.168.178.26, Intern 192.168.1.222
- Portfreigabe TCP Intern Port 444, Port extern 444, (Interne IP-Adresse > (OVM Server per LAN angeschlossen > 192.168.227)
- Portfreigabe UDP Intern Port 81, Port extern 81, (Interne IP-Adresse > (OVM Server per LAN angeschlossen > 192.168.227)
- Zugriff auf die Webui per http Port 80
- WAN-Verbindungstyp "Automatische IP"
- IPv4-Adresse 192.168.1.222
Subnetzmaske 255.255.255.0
DHCP Server von 192.168.1.2 bis 192.168.1.254
OVM Server am Asus Router per Lan angeschlossen:
- Interne IP: 192.168.1.227
- Nextcloud with swag (Letsencrypt) using OMV and docker-compose
- Laut folgender Anleitung sollte ich diese Ports freigeben:
(ich gehe also davon aus da in der Config ports:
- 444:443
- 81:80 steht das hier diese dann Umgemappt werden wenn ich das so richtig verstehe im docker?)
"Installation of Nextcloud and SWAG (Letsencrypt) in Docker
forward ports in your router (check user manual of your router how to to this)
port extern 443 to port 444 intern (IP of your NAS)
port extern 80 to port 81 intern (IP of your NAS)"
Egal ob ich den OVM Server an der Fritzbox oder am Asus Router die Fehlermeldung bleibt die gleiche. (Siehe Screenhot. Ein anderer DynDNS wie duckdns wurde auch schon ausprobiert.
lg.
per LAN angeschlossen > 192.168.227)
Da stimmt irgendwas nicht! Beachte das der Port 444 kein freier Port ist sondern ein weltweit registrierter IANA Port:
https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Es ist nicht besonders intelligent diese registrierten IANA Ports zu verwenden auch wenn es nur intern ist. Besser, um ggf. Konflikte sicher zu vermeiden, sind bekanntlich dafür immer die freien sog. Ephemeral Ports im Bereich 49152-65535 wie z.B. 54443 o.ä.
Wenn du andere Webserver Ports verwendest auf dem NC Host musst du das logischerweise in deinen Webservern konfigurieren je nachdem ob du NGINX oder den Apachen verwendest.
Ob das klappt kannst du ja lokal immer selber wasserdicht mit https://<server_ip>:<port> im Browser testen!
Wenn die NC Seite mit anderen HTTP Ports erscheint ist alles richtig!
Auch kannst du den funktionierenden Zugriff von außen per TCP 80 und TCP 443 ja auch erstmal mit dem Default selbstsignierten Zertifikat über die WAN IP oder DDNS Name der FritzBox wasserdicht testen.
Klappt das alles verifiziert das ja grundsätzlich die Port Forwarding Konfig in deinem Kaskaden Design.
Das sollte dann zumindestens sauber funktionieren BEVOR du ein offizielles Zertifikat installierst.
Bedenke auch das so gut wie alle Zertifizierer in der Regel keine Zertifikate auf DDNS Hostnamen ausstellen! Das solltest du auch auf dem Radar haben oder zumindestens mit dem Zertifizierer VORHER abklären (AGBs etc.) um dir nicht einen Wolf zu suchen.
okay Schade aber das übersteigt dann doch mein können. Folgendes habe ich mal stupide abgepingt aber leider keine Connection. Denke da läuft dann Nextcloud Swag einfach nicht. Ich denke das ich dann eher Richtung OMV S/FTP Plugin Teilweiße meine Daten verarbeite statt mit Nextcloud.
Verstehe ich das richtig in der Config einfach mal ports so zu ändern?
- 444(durch 54443):443
ping 192.168.1.227 i.o
ping 192.168.1.227:443 Keine Verbindung
Ping 192.168.1.227:444 Keine Verbindung
http://192.168.1.227/nextcloud
https://192.168.1.227/nextcloud
@entschuldige da ging es mit mir durch. Leider auch von Extern keine Verbindung über den dedyn.io
Verstehe ich das richtig in der Config einfach mal ports so zu ändern?
- 444(durch 54443):443
ping 192.168.1.227 i.o
ping 192.168.1.227:443 Keine Verbindung
Ping 192.168.1.227:444 Keine Verbindung
http://192.168.1.227/nextcloud
https://192.168.1.227/nextcloud
@entschuldige da ging es mit mir durch. Leider auch von Extern keine Verbindung über den dedyn.io
Jetzt wirds aber wirklich wirr. Ping ist ICMP und hat mit TCP oder UDP nicht das Geringste zu tun. Sowas weiss doch aber auch ein IT Laie. 🧐
Du kannst doch logischerweise nicht "HTTP pingen" das ist Unsinn.
Du öffnest den URL natürlich in deinem Browser! Stand auch oben so!
Bedenke auch das du wegen Hairpin NAT den externen Hostnamen 546xyz.dedyn.io nicht aus dem internen Netzwerk öffnen kannst!! Das geht immer nur von extern z.B. mit einem Kumpel oder Browser auf dem Smartphone übers Mobilfunknetz etc.
Du kannst doch logischerweise nicht "HTTP pingen" das ist Unsinn.
Du öffnest den URL natürlich in deinem Browser! Stand auch oben so!
Bedenke auch das du wegen Hairpin NAT den externen Hostnamen 546xyz.dedyn.io nicht aus dem internen Netzwerk öffnen kannst!! Das geht immer nur von extern z.B. mit einem Kumpel oder Browser auf dem Smartphone übers Mobilfunknetz etc.
okay, ich würde gerne noch was anderes ausprobieren um sicher zu sein das generell die Ports geöffnet werden können. Und zwar SFTP per SSL/TLS Verbindungen auf dem OVM. Das Zertifikat kann ich selber signieren.
Desweiteren kann ich den Port auswählen, hier würde ich folgenden (Port 1111) dafür nehmen. Desweiteren gibt es die Möglichkeit für ein Passives FTP die Ports noch zu öffnen. Also Empehlung zwischen Port 49152-65534.
Das wäre mal mein Vorschlag, ist das so Möglich und macht man das auch so?
Fritzbox Port Weiterleitung:
IN/OUT: 1111/1111 zum Asus Router
IN/OUT: 49955-49999/49955-49999 zum Asus Router
Asus Router Port Weiterleitung:
IN/OUT: 1111/1111 zum OVM Server
IN/OUT: 49955-49999/49955-49999/ zum OVM Server auf dem Asus Router.
Dabei wird manchmal noch TCP handshake TCP port 990 und FTPS uses TCP port 21 if it's an explicit connection and TCP port 990 if it's an implicit connection. Muss ich da noch was zusätzliches Freigeben? Bzw. ist auf dem OVM Server ja der SSH Port 22 zum einloggen über die Console belegt.
ftps
lg.
Desweiteren kann ich den Port auswählen, hier würde ich folgenden (Port 1111) dafür nehmen. Desweiteren gibt es die Möglichkeit für ein Passives FTP die Ports noch zu öffnen. Also Empehlung zwischen Port 49152-65534.
Das wäre mal mein Vorschlag, ist das so Möglich und macht man das auch so?
Fritzbox Port Weiterleitung:
IN/OUT: 1111/1111 zum Asus Router
IN/OUT: 49955-49999/49955-49999 zum Asus Router
Asus Router Port Weiterleitung:
IN/OUT: 1111/1111 zum OVM Server
IN/OUT: 49955-49999/49955-49999/ zum OVM Server auf dem Asus Router.
Dabei wird manchmal noch TCP handshake TCP port 990 und FTPS uses TCP port 21 if it's an explicit connection and TCP port 990 if it's an implicit connection. Muss ich da noch was zusätzliches Freigeben? Bzw. ist auf dem OVM Server ja der SSH Port 22 zum einloggen über die Console belegt.
ftps
lg.
SFTP läuft über Port 22 und eben SSH als Tunnel.
hier würde ich folgenden (Port 1111) dafür nehmen
Das ist wiederum keine besonders gute und intelligente Idee Ports zu verwenden die weltweit bindend von der IANA festen Anwendungen zugeordnet sind!https://www.iana.org/assignments/service-names-port-numbers/service-name ...
Solche Ports nicht Standard konform einfach zu kapern machen nichtmal mehr IT Laien heutzutage.
Ist wie ne' Schallplatte hier...
Für solche Zwecke sollte man immer die freien Ephermeral Ports verwenden im Bereich 49152 bis 65535!
Z.B. 51111 wäre dann die deutlich intelligentere Wahl. Hat auch den großen Vorteil das Angreifer, Port Scanner und Script Kiddies usw. diesen Bereich meist nicht beachten, wenn man denn schon Löcher in seine Firewall bohrt und ungeschützen Internet Traffic ins interne Netz lässt.
Wenn du den OMV so ins Internet exponieren willst ist es ggf. intelligenter die Fritzbox als klassische Router Kaskade mit dem Asus laufen zu lassen als DMZ des kleinen Mannes und den OMV in das Koppelnetz zw. FB und Asus zu platzieren und dein eigenes lokales LAN am Asus zu betreiben.
So bleibst du mit dem privaten Netz abgeschottet und sicher und hast auch den OMV halbwegs sicher ins Internet exponiert.
Wenn es das denn nun war bitte deinen Thread auch als erledigt schliessen!
