Telekom LTE Router Speedport II Portfreigabe

csd2001
Goto Top
Vielleicht kann mir jemand bei diesen Problem helfen:
Fehler: trotz Anzeige im Router (Port 80 freigegeben) , kein Zugriff.
Ich habe eine Haussteuerung die man auch extern bedienen kann. Bei der Haussteuerung braucht nur der dindns und der Port so wie die IP Adresse
Ich bin bei selfhost, IP Adresse, Port intern ist Ok.
Wenn ich den Port über http://www.dyndnss.net/portcheck.php prüfen lasse, zeigt den Port 80 als nicht offen an.
Warum zeigt der Router das der Port freigegeben ist und der portcheck geschlossen an.
Es lief schon zwei Jahre normal, seit ca 4 Wochen nicht mehr.

Content-Key: 323729

Url: https://administrator.de/contentid/323729

Ausgedruckt am: 02.07.2022 um 21:07 Uhr

Mitglied: BirdyB
BirdyB 13.12.2016 um 20:32:02 Uhr
Goto Top
Hallo csd2001,

bitte gestatte mir eingangs den Hinweis, dass es hier durchaus üblich ist, einen Beitrag mit einem Gruß zu beginnen. Das gebietet die Höflichkeit und so viel Zeit muss sein.

Kann es sein, dass deine Verbindung über Carrier-Grade-NAT läuft? Soweit ich weiß, ist das bei der Telekom mit LTE so üblich. Damit hast du dann keine Chance mehr einen Port nach aussen zu öffnen.

Beste Grüße!


Berthold
Mitglied: mrtux
mrtux 13.12.2016 aktualisiert um 22:24:53 Uhr
Goto Top
Auch kein Hi!

Zitat von @BirdyB:
Kann es sein, dass deine Verbindung über Carrier-Grade-NAT läuft? Soweit ich weiß, ist das bei der Telekom mit LTE so üblich.
Nein ist es nicht, zumindest nicht überall. Bei mir klappt das (mit No-IP und einem OpenVPN) problemlos. Ich habe allerdings noch den alten "Call&Surf via Funk" Tarif.

Und dem TO möchte ich dringendst "ans Herz" legen, für sowas eine VPN Verbindung oder einen Cloudservice zu verwenden. Einfach mal so nebenbei einen Portforward einzurichten, ohne zu wissen, ob die "Haussteuerung" selbst keine Sicherheitslücken hat, ist grob fahrlässig und kann massiv rechtliche Konsequenzen nach sich ziehen.

Zum Beispiel ein Portforward auf eine Homematic ccu mit installiertem XML-API Add-On wäre quasi sicherheitstechnischer Selbstmord, da die besagte API quasi alle ihre Kommandos bzw. Abfragen per Default ohne Passwortprüfung ausführt!

Erst vor Kurzem wurden Geräte aus dem "Internet der Dinge" für Großangriffe auf Websites missbraucht! Also Brain.exe starten und nicht irgendwas gedankenlos hinmurxen, wo evt. andere drunter leiden müssten oder zumindest Nachteile haben könnten! Es reicht ja schon wenn Du ein OpenVPN vor deine "Haussteuerung" hängst um solche Probleme und Risiken zu umgehen. Anleitungen wie man das (z.B. auf einem Openwrt- oder DDWRT- Router oder einer PfSense hinter dem Speedport LTE) einrichtet, gibt es hier im Forum vom Kollegen @aqui oder auch zu Hunderten im Netz!

Nochmal: Auf keinen Fall einfach nur einen Portforward auf die "Hauszentrale" einrichten, das ist aus Sicherheitsgesichtspunkten das Übelste was man überhaupt machen kann! Da musst Du dich dann nicht wundern, wenn Skript-Kiddies deine "Haussteuerung" übernehmen und zu allem Möglichen missbrauchen und das ganz sicher nicht deinem oder unser aller Vorteil!

mrtux
Mitglied: BirdyB
BirdyB 13.12.2016 um 22:02:03 Uhr
Goto Top
Zitat von @mrtux:

Auch kein Hi!

Zitat von @BirdyB:
Kann es sein, dass deine Verbindung über Carrier-Grade-NAT läuft? Soweit ich weiß, ist das bei der Telekom mit LTE so üblich.
Nein ist es nicht, zumindest nicht überall. Bei mir klappt das (mit No-IP und einem OpenVPN) problemlos. Ich habe allerdings noch den alten "Call&Surf via Funk" Tarif.
Okay, dann bin ich wieder schlauer...
Mitglied: Pjordorf
Pjordorf 14.12.2016 um 02:30:02 Uhr
Goto Top
Hallo,

Zitat von @csd2001:
Wenn ich den Port über http://www.dyndnss.net/portcheck.php prüfen lasse, zeigt den Port 80 als nicht offen an.
Um welche IP geht es denn dort?
Welche IP bkommt dein Router per LTE?
Welche IP hat dein http://www.dyndnss.net/portcheck.php tatsächlich gescannt?

Warum zeigt der Router das der Port freigegeben ist und der portcheck geschlossen an.
Nun, je nach Anbieter und Vertrag dürften hier beide durchaus jeweils aus ihrer Sicht es richtig und korrekt anzeigen. Meisten ist bei LTE nur ein Carrier-Grade-NAT möglich. Du bekommst leine echte ÖÖfentliche IP sonderne ein hinter einem NAT. Und an den FRouter vom Provider kommst du nicht dran.

Es lief schon zwei Jahre normal, seit ca 4 Wochen nicht mehr.
Was wurde vor ca. 4 Wochen geändert bevor es nicht mehr ging? Router? Anbieter? Tarif? Umzug? Den Zusammenhang siehst du ja selbst sonst hättest du uns nicht darauf hingewiesen.

Gruß,
Peter
Mitglied: Lochkartenstanzer
Lochkartenstanzer 14.12.2016 um 06:48:13 Uhr
Goto Top
Zitat von @csd2001:

Ich habe eine Haussteuerung die man auch extern bedienen kann. Bei der Haussteuerung braucht nur der dindns und der Port so wie die IP Adresse

Noch ein Bot mehr in den großen Botnetzen. face-smile

Ich bin bei selfhost, IP Adresse, Port intern ist Ok.

Was für eine IP-Adresse? RFC1918 oder eine öffentliche? Stimmt die mit der Adresse am Router überein?

Wenn ich den Port über http://www.dyndnss.net/portcheck.php prüfen lasse, zeigt den Port 80 als nicht offen an.

Hast Du mal geschaut, ob der Speedport überhaupt eine öffentliche IP-Adresse hat?

Warum zeigt der Router das der Port freigegeben ist und der portcheck geschlossen an.

Weil vielleicht die Kiste hintendran (Deine heizungssteuerung) nicht antwortet? Oder Du hast die falsche IP-Adresse.

Es lief schon zwei Jahre normal, seit ca 4 Wochen nicht mehr.

Hat sich die IP-Adresse der heizungssteuerung geändert, so daß die Portfreigabe ins leere läuft?

Hat der Provider Dich hinter sein NAT gesetzt, so daß Du nur noch RFC1918-Adressen bekommst?

Möglichkeiten gibt es viele.


Aber ganz allgemein soltest Du die Portweiterleitung so schnell als möglich daktivieren und Dich in VPNs einlesen. Das was Du treibst, ist die beste Methode Teil eines Botnetzes zu werden. Heizungssteuerungen geben wunderbare Bots im IoT ab.

Und ich erinnere auch an https://www.heise.de/security/meldung/Finnland-DDoS-Attacke-auf-Heizungs ...

lks
Mitglied: orcape
orcape 14.12.2016 um 08:15:44 Uhr
Goto Top
Hi,
einen billigen Router gekauft der DD-WRT tauglich ist,....
https://www.dd-wrt.com/site/support/router-database
....den als OpenVPN-Client in Routerkaskade hinter die "Speedport-Gurke" gesteckt.
(Hab ich einen Linksys E4200 schon mit DD-WRT geflasht noch hier herumliegen. face-wink )
Im Speedport brauchst Du noch nicht einmal eine Portforwarding für den OpenVPN-Port machen. Dann stört auch kein NAT des Providers mehr.
Bedingung, Du brauchst dann zwingend einen OpenVPN-Server als Gegenstelle, der nicht an einem Anschluss arbeitet, der eine private IP hat. Normaler DSL-Anschluss oder ein UMTS-Anschluss mit "öffentlicher IP" sind also Bedingung.
Gruß orcape