boomboomben
Goto Top

Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?

Hallo zusammen,

hat jemand eine 7490 mit der neuen FW 6.80 mit statischen Routen am laufen?

Bestehende Regeln bleiben durch das Update erhalten. Jedoch ist es nicht mehr möglich neue Freigaben außerhalb des FB Subnetzes anzulegen.
Ich habe viele solcher Boxen am laufen und nun ein Problem.

Der AVM Support scheint mich nicht zu verstehen, aber ich bleibe dran,

Würde mich freuen wenn das jemand das mal versucht nachzustellen.

fritzbox_bug_v680

Content-Key: 327703

Url: https://administrator.de/contentid/327703

Printed on: September 30, 2023 at 22:09 o'clock

Member: pc-technik
pc-technik Jan 27, 2017 at 12:24:18 (UTC)
Goto Top
Hallo BoomBoomBen,

eine Freigabe auf eine Station außerhalb des Fritzbox-Netztes macht in meinen Augen keinen Sinn. Die Freigabe muss doch auf den Router, der das andere Subnetz bedient, zeigen und dieser muss dann entscheiden, was mit den Paketen passieren soll.

Gruß

pc-technik
Member: BoomBoomBen
BoomBoomBen Jan 27, 2017 at 12:37:20 (UTC)
Goto Top
Es handelt sich um ein offenes L3 Routing.
Jeder darf mit jedem. KEIN NAT.

Es funktionierte schließlich die letzten 3 Jahre so.
z.B.
192.168.10.1 FritzBox - Statische Route 192.168.0.30/24 nach 192.168.10.254
192.168.10.254 Mikrotik Router

192.168.30.0/24 Kundennetz
192.168.30.5 Server
192.168.30.254 Mikrotik Router

192.168.40.0/24 Multimedia usw....

Nun soll z.B. der externe Port 443 auf 192.168.30.5:443 geleitet werden.
Ist doch eine 0815 Standard Anwendung. Zumindest in meinem Fall.
Member: aqui
aqui Jan 27, 2017 updated at 13:20:07 (UTC)
Goto Top
Die Freigabe muss doch auf den Router, der das andere Subnetz bedient, zeigen und dieser muss dann entscheiden, was mit den Paketen passieren soll.
Das wäre in seinem Fall mit transparentem Routing wenig hilfreich und auch Unsinn.
Dann landet das TCP 443 Paket mit einer externen Internet Absender IP und der 192.168.10.254 Ziel IP ja auf dem Mikrotik.
Damit würde das Paket ja dann direkt an den Mikrotik adressiert was Unsinn wäre, denn da soll es ja gar nicht hin sondern in eins der Subnetze. Da die Ziel IP dann ja auch die Mikrotik IP wäre könnte der MT es ja nicht einmal mehr routen.
Der BumBumBen hat hier schon recht, das im Port Forwarding der FB schon die 192.168.30.5 als Ziel IP eingetragen werden muss.
Damit versieht das Port Forwarding der FB dann dieses Internet Paket mit der 192.168.30.5 als Ziel IP und sieht für das Forwarding dieses IP Pakets selber in seine Routing Tabelle, da es ja nicht für das lokale Netzwerk ist.
Dort sollte dann (hoffentlich) eine statische Route stehen auf die 192.168.10.254, sprich den MT an das sie das dann forwardet.
Der MT selber kann dann anhand der .30.5er Ziel IP das Paket auch sauber routen.
Das ist also alles richtig so...

Es gibt nur 2 Möglichkeiten:
  • 1.) TCP 443 (HTTPS) kann kritisch sein das die FB darauf manchmal selber reagiert durch ihr SetUp GUI und deshalb TCP 443 nicht mehr forwardet, da sie selber einen TCP 443 Dienst hält. Hier müsste man dann HTTPS deaktivieren. Ob es das ggf. zeigt aber ganz schnell ein Wireshark Sniffer Trace am MT Port oder ein tcpdump auf dem MT selber !
  • 2.) Ein Software Bug ! Das wäre ganz offensichtlich wenn es mit der Vorgämger Firmware sauber funktioniert hat. In dem Falle hilft es dann nur einen Bug Report bei AVM zu öffnen.
Member: BoomBoomBen
BoomBoomBen Jan 27, 2017 at 13:19:35 (UTC)
Goto Top
Hi aqui,

exakt. Der Port 443 ist nur exemplarisch.
Ich plaziere die Ports in der Regel >50.000.

Bei AVM scheint es etwas schwierig.
Ich würde mich freuen wenn jemand das evt bestätigen könnte. Die UI hat sich an der Stelle ebenfalls verändert. Vieleicht sitzt der Fehler auch vorm Rechner......
Member: aqui
aqui Jan 27, 2017 at 13:23:54 (UTC)
Goto Top
Ich plaziere die Ports in der Regel >50.000.
Sehr vernüftig, denn das liegt im Bereich der ephemeral Ports (49152 bis 65535) die von der IANA dafür vorgesehen sind.
Der Fehler kann ja nicht vorm Rechner sitzen wenn es vorher sauber funktioniert hat und du nach dem Firmware Update nichts verändert hast bzw. AVM keinen neueren Funktionen zugefügt hat. Da ist ein Bug dann eindeutig.
Member: ashnod
ashnod Jan 27, 2017 at 16:47:04 (UTC)
Goto Top
Zitat von @BoomBoomBen:
Würde mich freuen wenn das jemand das mal versucht nachzustellen.

Ahoi
Ich habe das grade versucht in ein der FB unbekanntes Netz/Gerät und hatte die von dir genannten Probleme nicht. Es gab allerdings zuvor gar keine Freigabe. Evtl.klappt es wenn du die alten Freigaben löschst?

VG
Ashnod
Member: Pjordorf
Pjordorf Jan 27, 2017 at 18:50:09 (UTC)
Goto Top
Hallo,

Zitat von @ashnod:
Ich habe das grade versucht in ein der FB unbekanntes Netz/Gerät und hatte die von dir genannten Probleme nicht. Es gab allerdings zuvor gar keine Freigabe. Evtl.klappt es wenn du die alten Freigaben löschst?
FB 7490 FW 6.6 Meldung "Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt." Das Fritten Netz ist 10.10.10.0/24 und nur eine Statische Route zum 192.168.5.0/24 Netz existiert. Eine Portfreigabe zu ein Ziel im 192.168.5.0 geht allerdings einzurichten.

Gruß,
Peter
Member: BoomBoomBen
BoomBoomBen Jan 27, 2017 at 23:33:09 (UTC)
Goto Top
Danke Peter.
Du schreibst FW 6.6.
Ich habe Problem erst seit FW 6.8.
magst du mal das Update installieren? ;)

@ashnod,
welche FW hast du drauf?
Member: BoomBoomBen
BoomBoomBen Jan 27, 2017 at 23:36:22 (UTC)
Goto Top
Habe inzwischen schon weitere neue Boxen in neuen Anlagen eingerichtet. Identisches Verhalten!
ace-sad"
Member: Pjordorf
Pjordorf Jan 28, 2017 at 03:29:55 (UTC)
Goto Top
Hallo,

Zitat von @BoomBoomBen:
Du schreibst FW 6.6.
Ja, die 6.60

magst du mal das Update installieren? ;)
Erst in 2 - 3 Wochen

Gruß,
Peter
Member: ashnod
ashnod Jan 28, 2017 at 04:12:18 (UTC)
Goto Top
Zitat von @BoomBoomBen:
@ashnod,
welche FW hast du drauf?

Ich habe es mit der 6.80 getestet.

Es gibt ja manchmal kuriose Dinge, hast du mal einen anderen Browser versucht?

Ashnod
Member: ashnod
ashnod Jan 28, 2017 updated at 05:44:00 (UTC)
Goto Top
Moin ...
Oki ... sorry der Fehler taucht tatsächlich erst dann auf wenn man das mit OK bestätigt .... in dem Sinne kann ich dieses Fehlerbild bestätigen.

FB7490 FW 6.80
statische Routen u.a. nach 192.168.52.0
Browser Firefox und Chrome
Freigabe von 443 an ein Gerät in 192.168.52.0 schlägt mit der gleichen Fehlermeldung fehl.

VG
Ashnod

Edit: Kannst du das Gerät auf das die Weiterleitung erfolgen soll aus dem Netz der FB anpingen?
Member: BoomBoomBen
BoomBoomBen Jan 30, 2017 at 09:54:33 (UTC)
Goto Top
Zitat von @ashnod:
Edit: Kannst du das Gerät auf das die Weiterleitung erfolgen soll aus dem Netz der FB anpingen?


Ja!
Alles ohne Probleme
Member: fkerber
fkerber Jun 03, 2018 at 22:13:25 (UTC)
Goto Top
Ich stehe nun auch vor eben jenem Problem - gibt es mittlerweile eine Lösung / einen Workaround?
Member: emeritus
Solution emeritus Apr 14, 2020 at 17:55:47 (UTC)
Goto Top
Hi zusammen,

auch wenn der Thread schon etwas älter ist, ist das Problem nach wie vor vorhanden (FW 07.12). Ich habe kürzlich einen Workaround gefunden, den ich gerne teilen möchte:

Ziel ist ein Portforwarding (statisches, eingehendes NAT/PAT) für eine IP Adresse außerhalb der von der Fritzbox 'kontrollierten' Netze einzurichten.

Voraussetzung: Es muss ein beliebiges Netzwerkgerät in der Fritzbox umkonfiguriert werden. Z.B. direkt das Gerät, welches später als NAT Ziel eingetragen werden soll. Hierfür muss das Gerät einmal eine IP Adresse von der Fritzbox bezogen haben (per WLAN oder LAN), damit es unter Heimnetz -> Netzwerk sichtbar ist. Danach das Gerät wieder von der Fritzbox trennen. Es können auch irgendwelche anderen verwaisten Geräte dafür genutzt werden. Nur keine Geräte, die in den Netzen der Fritzbox noch aktiv funktionieren sollen.

  • Oben beschriebenes Gerät unter Heimnetz -> Netzwerk identifizieren
  • Falls das Gerät das finale Gerät gewesen ist, dann dieses jetzt wieder von der Fritzbox trennen.
  • Rechts auf den Bleistift zum bearbeiten des Eintrages klicken
  • Name wie gewünscht ändern
  • IP-Adresse ändern. Hier liegt nun der Trick. Es kann hier eine IP-Adresse außerhalb der Subnetze der Fritzbox angegeben werden. Die MAC-Adresse lässt sich nicht ändern, ist für die Funktion des NAT/PAT aber auch irrelevant, da hier auf Layer3 gearbeitet wird.
  • Mit 'ok' bestätigen
  • Die Warnmeldungen ignorieren, dass das Gerät erst funktionsfähig ist, wenn es eine IP Adresse von der Fritzbox gezogen hat.
  • Das Gerät sollte nun unter Heimnetz -> Netzwerk, Abschnitt: 'ungenutzte Verbindungen' mit neuem Namen und neuer IP sichtbar sein.
  • Internet -> Freigaben auswählen
  • 'Gerät für Freigaben hinzufügen' anklicken
  • Hier lässt sich nun im Dropdown-Menü 'Gerät' das neu angelegte Netzwerkgerät auswählen und wie gewohnt die Portfreigaben definieren.

Ich hoffe ich kann damit dem ein oder anderen helfen, der auch in dieses Problem gelaufen ist.
Cheers
Member: BoomBoomBen
BoomBoomBen Apr 14, 2020 at 19:33:57 (UTC)
Goto Top
Klingt super. Werde ich mir merken. Hatte es letztens wieder den Fall.
Danke für‘s teilen
Member: aqui
aqui Apr 15, 2020, updated at Jun 08, 2023 at 14:31:49 (UTC)
Goto Top
­čĹŹ Ist in der Tat ein cleverer Workaround und wichtig für alle die einen kaskadierten Router ohne NAT hinter der FritzBox betreiben und Port Forwardings dahin brauchen !
Thanks for sharing ! face-smile
Member: BassT23
BassT23 Aug 28, 2022 at 16:02:45 (UTC)
Goto Top
Der Workaround funktioniert mit OS 7.29 leider nicht mehr, da das subnet nicht geändert werden kann ace-sad"
Member: gaston2k
gaston2k Jun 08, 2023 at 13:15:02 (UTC)
Goto Top
Falls es noch interessant ist -- Auf einer FB 7590 mit OS 7.55 funktioniert der Workaround.