Ping von außen ergibt ein timeout

corraggiouno
Goto Top
Hallo zusammen,

ich habe mir einen host bei no-ip.com definiert.
Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen Timeout.
Weiß jemand, warum das so ist?

Content-Key: 224747

Url: https://administrator.de/contentid/224747

Ausgedruckt am: 29.05.2022 um 07:05 Uhr

Mitglied: Xaero1982
Xaero1982 17.12.2013 um 15:12:50 Uhr
Goto Top
Hi,

eh du musst die entsprechenden Ports frei geben von dem Ziel wo no-ip.com hin verweist.

auch kein Gruß
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 um 15:33:18 Uhr
Goto Top
ich habe eben den host in meinen Router eingetragen als dynamischerDNS.
Es sind keine Ports geblockt...............innerhalb meines Netzes soll eben ein Raspberry Pi als E-Mail-Server fungieren
Mitglied: MrNetman
MrNetman 17.12.2013 um 15:38:39 Uhr
Goto Top
verstehe ich nicht ?

Du hast an deinem Router eine Portweiterleitung für Email = SMTP, IMAP und POP3 eingerichtet.
Du hast den Ping von extern frei gegeben?
Du hast den Email Service von extern getestet? Ob der Port auch wirklich frei ist.
Zum Testen kannst du ja die WAN-IP nehmen, aber du wirst ein anderes Netz, z.B. vom Nachbarn brauchen.

Gruß
Netman
Mitglied: Cthluhu
Cthluhu 17.12.2013 aktualisiert um 16:02:39 Uhr
Goto Top
Hi,
Zitat von @Xaero1982:
eh du musst die entsprechenden Ports frei geben von dem Ziel wo no-ip.com hin verweist.

ping hat mit Ports (wie man sie von TCP/UDP kennt und üblicherweise in der NAT-Config des Routers einträgt) nichts am Hut.
Der ping verwendet nämlich ICMP statt TCP/UDP. Ob der Router auf pings antwortet muss seperat eingestellt werden.

mfg

Cthluhu
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.12.2013 aktualisiert um 16:07:45 Uhr
Goto Top
Zitat von @Corraggiouno:

ich habe mir einen host bei no-ip.com definiert.

Welche IP-Adresse hast Du da genommen und stimmt die IP-Adresse, die über no-ip aufgelöst wird? (nslookup?)

Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen timeout.
Weis jemand, warum das so ist?

Gründe gibt es viele:

  • falsche IP-Adresse
  • ICMP (-ECHO) blockiert durch Firewall
  • route falsch
usw.

Was sagt denn Traceroute und wieistmeineip.de?

lks
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 um 16:18:02 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Corraggiouno:
>
> ich habe mir einen host bei no-ip.com definiert.

Welche IP-Adresse hast Du da genommen und stimmt die IP-Adresse, die über no-ip aufgelöst wird? (nslookup?)

> Wenn ich aber nun diesen von außen anpingen möchte bekomme ich einen timeout.
> Weis jemand, warum das so ist?

Gründe gibt es viele:

  • falsche IP-Adresse
  • ICMP (-ECHO) blockiert durch Firewall
  • route falsch
usw.

Was sagt denn Traceroute und wieistmeineip.de?

lks

ich habe den Host von außen angepingt; dann tritt der Timeout auf.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.12.2013 aktualisiert um 16:29:18 Uhr
Goto Top
Zitat von @Corraggiouno:


ich habe den Host von außen angepingt; dann tritt der Timeout auf.


  • Stimmt denn die IP-Adresse überhaupt?
  • funktioniert ein ping zu anderen Gegenstellen? z.B. 8.8.8.8 oder www.heise.de?

lks
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 um 16:28:15 Uhr
Goto Top
kann es vielleicht sein, dass es vielleicht noch ein wenig dauert.............das der ping funktioniert? aus DNS-Gründen?
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 um 16:28:47 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @Corraggiouno:
>
>
> ich habe den Host von außen angepingt; dann tritt der Timeout auf.


Stimmt denn die IP-Adresse überhaupt?

lks

ja die IP-Adresse stimmt!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.12.2013 um 16:31:28 Uhr
Goto Top
Zitat von @Corraggiouno:

ja die IP-Adresse stimmt!

Ist der Router, der von dem RASPi sitzt denn so konfiguriert, daß er überhaupt auf ICMP-Pakete von außen reagiert oder spielt der toter Mann?

lks
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 aktualisiert um 18:20:50 Uhr
Goto Top
aktuell habe ich einen dlink 615 mit dd-wrt; zuvor hatte ich einen linksys und ein fritzbox..............musst da aber nie was mit dem ICMP-Protokoll einstellen bzw. konfigurieren...............der Ping von außen
hatte immer funktioniert..........
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.12.2013 aktualisiert um 18:32:04 Uhr
Goto Top
Zitat von @Corraggiouno:

aktuell habe ich einen dlink 615 mit dd-wrt; zuvor hatte ich einen linksys und ein fritzbox..............musst da aber nie was mit
dem ICMP-Protokoll einstellen bzw. konfigurieren...............der Ping von außen
hatte immer funktioniert..........

Kommt imemr drauf an, was als default eingestellt ist. Wenn man als default-regel "drop-all" hat und nicht explizit ICMP (oder WAN-Ping bei Dlink-Routern) erlaubt, kann das schon mal zur Folge haben, daß keine Pings gehen.

Prüfe also einfach mal auf dem Router, ob da WAN-ping oder ICMP disbaled ist oder nicht.

lks

PS: D-Link ist aber kein guter Ersatz für einen Linksys oder einen fritzbox.
Mitglied: mattes7777
mattes7777 17.12.2013 um 18:34:04 Uhr
Goto Top
Ja, bei einer Fritz!Box und einem Linksys ist ICMP ja auch standardmässig aktiviert, was ggf. nutzerfreundlicher aber halt unsicherer ist. Bei nicht so Consumer-orientierent Plattformen wie pfsense und wahrscheinlich auch dd-wrt ist standardmässig erst mal alles deaktiviert.

LG
Mitglied: aqui
Lösung aqui 17.12.2013, aktualisiert am 18.12.2013 um 08:24:46 Uhr
Goto Top
Es wäre auch schlecht wenn es funktionieren würde.
Fakt ist das ja eigentlich die WAN/Internet Port IP Adresse des Routers die quasi virtuelle IP Adresses des internen Raspis ist, denn diese wird ja als DynDNS IP propagiert.
Der Router bekommt dann mit Port Forwarding gesagt…alles was hier an TCP xyz oder UDP xyz reinkommt forwarde auf interne IP xyz.
Was er dann auch macht.
Ping benutzt aber ICMP wo es keine Ports gibt sondern nur Types. Jetzt gibt es hier aber auch den Konflikt das die Router WAN IP sich selber angesprochen fühlt.
Sie kann ja niemals unterscheiden ob der Ping Sender nun sie selber oder den Forwarding Host dahinter meint.Technisch gibt es keine Möglichkeit das zu selektieren. Wenn man pingt pingt man also immer die Physik selber und niemals was geforwardetes !
Folglich ist bei fast allen Routern kein ICMP Weiterleiten möglich.
Abgesehen davon schalten alle renomierten Router Hersteller ICMP immer ab auf dem WAN Port. Deshalb schlägt auch bei DD-WRT generell ein Ping der WAN IP fehl. Aus Sicherheitsgründen ist das auch sehr wichtig, denn antwortet der Router auf Pings zeigt er Port Scannern sofort das da was zu holen ist und Hacking Attacken folgen auf dem Fuss.
Deshalb gilt immer die goldene Regel: Kein ICMP auf den Router WAN Port !
Mitglied: Corraggiouno
Corraggiouno 17.12.2013 um 18:53:28 Uhr
Goto Top
........dann tippe ich mal um einen erfolgreichen Ping von außen erreichen, dass ich das Häckchen bei
anonyme WAN-Zugriffsversuche blockieren
herausnehmen muss
siehe link http://files.dyntec.de/ICMP.pdf
Mitglied: Corraggiouno
Corraggiouno 18.12.2013 um 08:24:31 Uhr
Goto Top
es hat funktioniert : -)...............vielen Dank euch allen!! hab das Häckchen herausgenommen, während des PINGS
Mitglied: aqui
aqui 18.12.2013 um 10:56:35 Uhr
Goto Top
Du solltest es aber zum Produktivbetrieb unbedingt wieder anhaken, denn das verringert die Attacken von außen erheblich !