corraggiouno
Goto Top

Ping von außen ergibt ein timeout

Hallo zusammen,

ich habe mir einen host bei no-ip.com definiert.
Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen Timeout.
Weiß jemand, warum das so ist?

Content-Key: 224747

Url: https://administrator.de/contentid/224747

Printed on: February 23, 2024 at 23:02 o'clock

Member: Xaero1982
Xaero1982 Dec 17, 2013 at 14:12:50 (UTC)
Goto Top
Hi,

eh du musst die entsprechenden Ports frei geben von dem Ziel wo no-ip.com hin verweist.

auch kein Gruß
Member: Corraggiouno
Corraggiouno Dec 17, 2013 at 14:33:18 (UTC)
Goto Top
ich habe eben den host in meinen Router eingetragen als dynamischerDNS.
Es sind keine Ports geblockt...............innerhalb meines Netzes soll eben ein Raspberry Pi als E-Mail-Server fungieren
Member: MrNetman
MrNetman Dec 17, 2013 at 14:38:39 (UTC)
Goto Top
verstehe ich nicht ?

Du hast an deinem Router eine Portweiterleitung für Email = SMTP, IMAP und POP3 eingerichtet.
Du hast den Ping von extern frei gegeben?
Du hast den Email Service von extern getestet? Ob der Port auch wirklich frei ist.
Zum Testen kannst du ja die WAN-IP nehmen, aber du wirst ein anderes Netz, z.B. vom Nachbarn brauchen.

Gruß
Netman
Member: Cthluhu
Cthluhu Dec 17, 2013 updated at 15:02:39 (UTC)
Goto Top
Hi,
Zitat von @Xaero1982:
eh du musst die entsprechenden Ports frei geben von dem Ziel wo no-ip.com hin verweist.

ping hat mit Ports (wie man sie von TCP/UDP kennt und üblicherweise in der NAT-Config des Routers einträgt) nichts am Hut.
Der ping verwendet nämlich ICMP statt TCP/UDP. Ob der Router auf pings antwortet muss seperat eingestellt werden.

mfg

Cthluhu
Member: Lochkartenstanzer
Lochkartenstanzer Dec 17, 2013 updated at 15:07:45 (UTC)
Goto Top
Zitat von @Corraggiouno:

ich habe mir einen host bei no-ip.com definiert.

Welche IP-Adresse hast Du da genommen und stimmt die IP-Adresse, die über no-ip aufgelöst wird? (nslookup?)

Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen timeout.
Weis jemand, warum das so ist?

Gründe gibt es viele:

  • falsche IP-Adresse
  • ICMP (-ECHO) blockiert durch Firewall
  • route falsch
usw.

Was sagt denn Traceroute und wieistmeineip.de?

lks
Member: Corraggiouno
Corraggiouno Dec 17, 2013 at 15:18:02 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Corraggiouno:
>
> ich habe mir einen host bei no-ip.com definiert.

Welche IP-Adresse hast Du da genommen und stimmt die IP-Adresse, die über no-ip aufgelöst wird? (nslookup?)

> Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen timeout.
> Weis jemand, warum das so ist?

Gründe gibt es viele:

  • falsche IP-Adresse
  • ICMP (-ECHO) blockiert durch Firewall
  • route falsch
usw.

Was sagt denn Traceroute und wieistmeineip.de?

lks

ich habe den Host von außen angepingt; dann tritt der Timeout auf.
Member: Lochkartenstanzer
Lochkartenstanzer Dec 17, 2013 updated at 15:29:18 (UTC)
Goto Top
Zitat von @Corraggiouno:


ich habe den Host von außen angepingt; dann tritt der Timeout auf.


  • Stimmt denn die IP-Adresse überhaupt?
  • funktioniert ein ping zu anderen Gegenstellen? z.B. 8.8.8.8 oder www.heise.de?

lks
Member: Corraggiouno
Corraggiouno Dec 17, 2013 at 15:28:15 (UTC)
Goto Top
kann es vielleicht sein, dass es vielleicht noch ein wenig dauert.............das der ping funktioniert? aus DNS-Gründen?
Member: Corraggiouno
Corraggiouno Dec 17, 2013 at 15:28:47 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Corraggiouno:
>
>
> ich habe den Host von außen angepingt; dann tritt der Timeout auf.


Stimmt denn die IP-Adresse überhaupt?

lks

ja die IP-Adresse stimmt!
Member: Lochkartenstanzer
Lochkartenstanzer Dec 17, 2013 at 15:31:28 (UTC)
Goto Top
Zitat von @Corraggiouno:

ja die IP-Adresse stimmt!

Ist der Router, der von dem RASPi sitzt denn so konfiguriert, daß er überhaupt auf ICMP-Pakete von außen reagiert oder spielt der toter Mann?

lks
Member: Corraggiouno
Corraggiouno Dec 17, 2013 updated at 17:20:50 (UTC)
Goto Top
aktuell habe ich einen dlink 615 mit dd-wrt; zuvor hatte ich einen linksys und ein fritzbox..............musst da aber nie was mit dem ICMP-Protokoll einstellen bzw. konfigurieren...............der Ping von außen
hatte immer funktioniert..........
Member: Lochkartenstanzer
Lochkartenstanzer Dec 17, 2013 updated at 17:32:04 (UTC)
Goto Top
Zitat von @Corraggiouno:

aktuell habe ich einen dlink 615 mit dd-wrt; zuvor hatte ich einen linksys und ein fritzbox..............musst da aber nie was mit
dem ICMP-Protokoll einstellen bzw. konfigurieren...............der Ping von außen
hatte immer funktioniert..........

Kommt imemr drauf an, was als default eingestellt ist. Wenn man als default-regel "drop-all" hat und nicht explizit ICMP (oder WAN-Ping bei Dlink-Routern) erlaubt, kann das schon mal zur Folge haben, daß keine Pings gehen.

Prüfe also einfach mal auf dem Router, ob da WAN-ping oder ICMP disbaled ist oder nicht.

lks

PS: D-Link ist aber kein guter Ersatz für einen Linksys oder einen fritzbox.
Member: mattes7777
mattes7777 Dec 17, 2013 at 17:34:04 (UTC)
Goto Top
Ja, bei einer Fritz!Box und einem Linksys ist ICMP ja auch standardmässig aktiviert, was ggf. nutzerfreundlicher aber halt unsicherer ist. Bei nicht so Consumer-orientierent Plattformen wie pfsense und wahrscheinlich auch dd-wrt ist standardmässig erst mal alles deaktiviert.

LG
Member: aqui
Solution aqui Dec 17, 2013, updated at Dec 18, 2013 at 07:24:46 (UTC)
Goto Top
Es wäre auch schlecht wenn es funktionieren würde.
Fakt ist das ja eigentlich die WAN/Internet Port IP Adresse des Routers die quasi virtuelle IP Adresses des internen Raspis ist, denn diese wird ja als DynDNS IP propagiert.
Der Router bekommt dann mit Port Forwarding gesagt…alles was hier an TCP xyz oder UDP xyz reinkommt forwarde auf interne IP xyz.
Was er dann auch macht.
Ping benutzt aber ICMP wo es keine Ports gibt sondern nur Types. Jetzt gibt es hier aber auch den Konflikt das die Router WAN IP sich selber angesprochen fühlt.
Sie kann ja niemals unterscheiden ob der Ping Sender nun sie selber oder den Forwarding Host dahinter meint.Technisch gibt es keine Möglichkeit das zu selektieren. Wenn man pingt pingt man also immer die Physik selber und niemals was geforwardetes !
Folglich ist bei fast allen Routern kein ICMP Weiterleiten möglich.
Abgesehen davon schalten alle renomierten Router Hersteller ICMP immer ab auf dem WAN Port. Deshalb schlägt auch bei DD-WRT generell ein Ping der WAN IP fehl. Aus Sicherheitsgründen ist das auch sehr wichtig, denn antwortet der Router auf Pings zeigt er Port Scannern sofort das da was zu holen ist und Hacking Attacken folgen auf dem Fuss.
Deshalb gilt immer die goldene Regel: Kein ICMP auf den Router WAN Port !
Member: Corraggiouno
Corraggiouno Dec 17, 2013 at 17:53:28 (UTC)
Goto Top
dann tippe ich mal um einen erfolgreichen Ping von außen erreichen, dass ich das Häckchen bei
anonyme WAN-Zugriffsversuche blockieren
herausnehmen muss
siehe link http://files.dyntec.de/ICMP.pdf
Member: Corraggiouno
Corraggiouno Dec 18, 2013 at 07:24:31 (UTC)
Goto Top
es hat funktioniert : -)...............vielen Dank euch allen!! hab das Häckchen herausgenommen, während des PINGS
Member: aqui
aqui Dec 18, 2013 at 09:56:35 (UTC)
Goto Top
Du solltest es aber zum Produktivbetrieb unbedingt wieder anhaken, denn das verringert die Attacken von außen erheblich !