142008
30.09.2021, aktualisiert um 07:50:42 Uhr
2528
31
0
WebGUI lässt sich aus anderem Netz nicht aufrufen
Moin!
Es wurde ein neuer Siedle Controller mit einer statischen IP 192.168.100.xxx ins Netzwerk eingebunden. Der Controller hat eine Weboberfläche, die über den Browser aufgerufen wird.
Wieso können aber nur Clients, welche sich im selben 192.168.100er Netz befinden, die Weboberfläche aufrufen, alle anderen aus dem 192.168.130er Netz nicht. Anpingen ist aber kein Problem.
Ein ähnliches Problem gab es auch mit einigen Reolink-Kameras, bei denen die eigene Software diese nur im selben Netz findet.
THX für die Antwort(en) im Voraus!
Es wurde ein neuer Siedle Controller mit einer statischen IP 192.168.100.xxx ins Netzwerk eingebunden. Der Controller hat eine Weboberfläche, die über den Browser aufgerufen wird.
Wieso können aber nur Clients, welche sich im selben 192.168.100er Netz befinden, die Weboberfläche aufrufen, alle anderen aus dem 192.168.130er Netz nicht. Anpingen ist aber kein Problem.
Ein ähnliches Problem gab es auch mit einigen Reolink-Kameras, bei denen die eigene Software diese nur im selben Netz findet.
THX für die Antwort(en) im Voraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1325867489
Url: https://administrator.de/forum/webgui-laesst-sich-aus-anderem-netz-nicht-aufrufen-1325867489.html
Ausgedruckt am: 21.04.2025 um 08:04 Uhr
31 Kommentare
Neuester Kommentar
Moin,
so wie Du es formulierst sollte es ja funktionieren.
Also gehe ich mal davon aus, dass Du Router und VLANs richtig konfiguriert hast.
2 Dinge
1. Das Gerät hat kein gülstiges Gateway oder Subnetzmaske
2. Das Gerät hat eine interne "Firewall" welche nur auf Anfragen aus dem gleichen Subnetz antwortet
Stefan
so wie Du es formulierst sollte es ja funktionieren.
Also gehe ich mal davon aus, dass Du Router und VLANs richtig konfiguriert hast.
2 Dinge
1. Das Gerät hat kein gülstiges Gateway oder Subnetzmaske
2. Das Gerät hat eine interne "Firewall" welche nur auf Anfragen aus dem gleichen Subnetz antwortet
Stefan
1
Moin,
Häufig kann man dieses Feature aber deaktivieren in der GUI, z.B. bei der N510IP ist das so.
Gruß
Looser
2. Das Gerät hat eine interne "Firewall" welche nur auf Anfragen aus dem gleichen Subnetz antwortet
Häufig kann man dieses Feature aber deaktivieren in der GUI, z.B. bei der N510IP ist das so.
Gruß
Looser
1
Wenn man mal so nebenbei Fragen darf, wie ist dein beruflicher Werdegang?
Was hast du denn schon alles geprüft? Auch die Gerätschaften, die zwischen den Server und Client liegen?
Was hast du denn schon alles geprüft? Auch die Gerätschaften, die zwischen den Server und Client liegen?
1
Der Controller hat sowohl einen gültigen Gateway als auch gültige DNS-Server eingetragen. Von einer Firewall ist nichts zu sehen.
Was sollte ich denn da noch prüfen müssen? Anpingen lässt es sich und somit steht außer Frage, dass zwischen Server und Client irgendwas nicht passen würde.
Zitat von @148656:
Was hast du denn schon alles geprüft? Auch die Gerätschaften, die zwischen den Server und Client liegen?
Was hast du denn schon alles geprüft? Auch die Gerätschaften, die zwischen den Server und Client liegen?
Was sollte ich denn da noch prüfen müssen? Anpingen lässt es sich und somit steht außer Frage, dass zwischen Server und Client irgendwas nicht passen würde.
Ja, was soll man da Antworten.ICMP ist ungleich HTTP
2
Zitat von @142008:
Was sollte ich denn da noch prüfen müssen? Anpingen lässt es sich und somit steht außer Frage, dass zwischen Server und Client irgendwas nicht passen würde.
Was sollte ich denn da noch prüfen müssen? Anpingen lässt es sich und somit steht außer Frage, dass zwischen Server und Client irgendwas nicht passen würde.
Nmap Scan, Wireshark-Mitschnitt, etc.
Der "Router" zwischen den Netzen könnte filtern.
lks
1
Moin,
dieser Server scheint ja eine Begrenzung auf das local Subnetz zu haben. Das ist wahrscheinlich kein Netzwerk Thema.
Ich würde mir die Doku nochmal genauer anschauen. Ggf. gibts dort eine Art ACL Konfig.
Gruß
Spirit
dieser Server scheint ja eine Begrenzung auf das local Subnetz zu haben. Das ist wahrscheinlich kein Netzwerk Thema.
Ich würde mir die Doku nochmal genauer anschauen. Ggf. gibts dort eine Art ACL Konfig.
Gruß
Spirit
1
Ich habe bisher noch nicht mit Wireshark gearbeitet, weiß also nicht, was das bedeutet:
Man sieht, dass der Rechner versucht hat zwei Pakete über HTTP raus zu schicken. Da er keine Antwort bekommt, versucht er es mehremals.
Nun schau ob diese Anfragen auch am Router ankommen, der zwischen den Netzen 192.168.100.x und 192.168.130.x vermittelt. Bei Linux Routern kannst du auch TCPDUMP verwenden. Du musst TCPDUMP an die jeweiligen Netzwerkkarten filtern. Die ankommende Anfrage muss auf dem Netzwerkinterface ankommen, das zu 192.168.130.x gehört, und der Router muss dann eine neue Anfrage stellen und das auf der Netzwerkschnittstelle, das zu 192.168.100.x gehört.
Gleichzeitig kannst du auch prüfen, ob Antworten zurück kommen, dann musst du Source und Destination in deinen Filtern umdrehen.
Nun schau ob diese Anfragen auch am Router ankommen, der zwischen den Netzen 192.168.100.x und 192.168.130.x vermittelt. Bei Linux Routern kannst du auch TCPDUMP verwenden. Du musst TCPDUMP an die jeweiligen Netzwerkkarten filtern. Die ankommende Anfrage muss auf dem Netzwerkinterface ankommen, das zu 192.168.130.x gehört, und der Router muss dann eine neue Anfrage stellen und das auf der Netzwerkschnittstelle, das zu 192.168.100.x gehört.
Gleichzeitig kannst du auch prüfen, ob Antworten zurück kommen, dann musst du Source und Destination in deinen Filtern umdrehen.
1
Wenn ich das richtig sehe, kommen die Anfragen auch an dem Switch an, an dem auch der Controller hängt.
Allerdings ist das Feld komplett leer, wenn ich als Ziel-IP die des CoreSwitch eingebe.
Wie gesagt, ich habe mit Wireshark noch niemals zuvor gearbeitet.
Allerdings ist das Feld komplett leer, wenn ich als Ziel-IP die des CoreSwitch eingebe.
Wie gesagt, ich habe mit Wireshark noch niemals zuvor gearbeitet.
Also bis zum Controller kommt es schon mal. Ist dieser Controller auch der Router zwischen den Netzen 100 und 130? Evtl ein Unifi Controller?
Geht die Anfrage dann auch aus dem Controller raus ins 130er Netz?
Geht die Anfrage dann auch aus dem Controller raus ins 130er Netz?
1
Genau, es könnte natürlich auch eine Firewall zwischen den Netzen laufen, welche zwar ICMP durch lässt, aber den anderen Traffic blockt.
1
Deine Ziel WebGUIs antworten schlicht und einfach nicht weil...
Wie immer: Wireshark ist dein bester Freund !!
- entweder das default Gateway auf dem Zielsystem fehlt
- eine Firewall dazwischen ist
- SYN Frame ans Ziel
- Ziel antwortet mit SYN ACK
- Get http
- Ziel antwortet mit Inhalt
Wie immer: Wireshark ist dein bester Freund !!
1Zitat von @NordicMike:
Also bis zum Controller kommt es schon mal. Ist dieser Controller auch der Router zwischen den Netzen 100 und 130? Evtl ein Unifi Controller?
Geht die Anfrage dann auch aus dem Controller raus ins 130er Netz?
Also bis zum Controller kommt es schon mal. Ist dieser Controller auch der Router zwischen den Netzen 100 und 130? Evtl ein Unifi Controller?
Geht die Anfrage dann auch aus dem Controller raus ins 130er Netz?
Sorry, aber meine Formulierung ist wohl etwas missverständlich gewesen. Mit Controller meine ich einen Siedle Secure Controller, genauer gesagt den SC 600-0 Secure Controller.
Wie bereits geschrieben, der Controller hängt an dem Switch, an dem ich, laut Wireshark, mit meinen Anforderungen auch ankomme. Das heißt doch, dass ich bereits vom 192.168.130er-Netz ins 192.168.100er-Netz geswitcht bin.
Das sind die Einstellungen am Controller selber:
Das heißt doch, dass ich bereits vom 192.168.130er-Netz ins 192.168.100er-Netz geswitcht bin.
Nein das ist Blödsinn und besagt gar nichts ! 
Es hängt davon ab...
- Ob der Switch ein reiner Layer 2 Switch ist und welchem Management VLAN seine Management IP ist
- Ob der Switch ein Layer 3 (Routing) Switch ist. Hier hast du in jedem VLAN eine Gateway IP auf dem Switch
Du kannst ja an deinen eigenen Traces selber sehen das dein Wireshark Trace sich ausschliesslich nur im .130.0er Netz bewegt oder siehst du dort eine irgendwie anderes geartete IP Adresse wie in dem dir obene geposteten Beispiel, was die Erreichbarkeit in zwei unterschiedlichen IP Segmenten verifiziert ?! Logischerweise müssten deine Traces doch dann auch 2 unterschiedliche IPs für Sender und Empfänger zeigen.
Vielleicht solltest doch zuerst einmal ein wenig IP_Routing_Grundlagen lesen und vor allem verstehen !
1
Vielen Dank für Eure Antworten, aber da dies wohl meine Fähigkeiten übersteigt , belasse ich es so wie es ist und bei Bedarf wird eben über einen Client eingeloggt, der sich im 192.168.100er-Netz befindet.
EDIT:
Das sind die Switche, die wir einsetzen: https://www.bechtle.com/shop/hpe-aruba-2530-24g-poe-switch--789552--p
Das ist der CoreSwitch: https://www.bechtle.com/shop/hpe-aruba-2930f-48g-switch--4086687--p
, belasse ich es so wie es ist und bei Bedarf wird eben über einen Client eingeloggt, der sich im 192.168.100er-Netz befindet.EDIT:
Das sind die Switche, die wir einsetzen: https://www.bechtle.com/shop/hpe-aruba-2530-24g-poe-switch--789552--p
Das ist der CoreSwitch: https://www.bechtle.com/shop/hpe-aruba-2930f-48g-switch--4086687--p
Aktiviere mal den SSH Zugang und schau mal auf der Konsole ob du auf die Webserver-Konfiguration zugreifen kannst (nginx/apache2/httpd/...). Wenn ja dann prüfe doch dort mal ob eine Subnetzeinschränkung hinterlegt ist. Genauso prüfen ob eine Firewall aktiv ist, (z.B. iptables) und ob dort ebenfalls der Zugriff auf das Subnetz in dem die IP des Controllers liegt beschränkt ist.
2
Sorry, aber ich verstehe wirklich nicht, was Du mir sagen möchtest. Ich kann mittels putty auf den Switch zugreifen als auch über die WebGUI.
Zitat von @142008:
Sorry, aber ich verstehe wirklich nicht, was Du mir sagen möchtest. Ich kann mittels putty auf den Switch zugreifen als auch über die WebGUI.
Sorry, aber ich verstehe wirklich nicht, was Du mir sagen möchtest. Ich kann mittels putty auf den Switch zugreifen als auch über die WebGUI.
und wie sieht es bei deinem "controller" aus?
1Zitat von @142008:
Sorry, aber ich verstehe wirklich nicht, was Du mir sagen möchtest. Ich kann mittels putty auf den Switch zugreifen als auch über die WebGUI.
Sorry, aber ich verstehe wirklich nicht, was Du mir sagen möchtest. Ich kann mittels putty auf den Switch zugreifen als auch über die WebGUI.
Nee du musst per SSH auf den Siedle Controller selbst! Steht in der Bedienungsanleitung Seite 19.
1
Ich habe den SSH-Zugang jetzt im Controller selber zwar aktiviert (obwohl im Handbuch steht, es sei im Auslieferungszustand aktiv, war es das aber nicht), kann mittels putty auch drauf zugreifen, erhalte aber keinen Zugriff, da weder das aktuelle Passwort, noch die beiden anderen, die ab Werk gelten, akzeptiert werden.
Vielleicht gibt's da noch ne Option um ein separates Kennwort (root) festzulegen, oder das Encoding spielt dir hier einen Streich.
Ansonsten doch mal den Siedle Support in Anspruch nehmen, dafür ist der da.
Ansonsten doch mal den Siedle Support in Anspruch nehmen, dafür ist der da.
1
Eben mit der Technik von Siedle telefoniert. Es existiert zwar ein SSH-Zugang, dieser ist aber nicht freigeschaltet, ergo ist kein Zugriff möglich. Auch hat der Controller keine interne Firewall, so hat es mir der Mitarbeiter am Telefon jedenfalls verklickert.
Auch sollte/müsste ein Zugriff von unterschiedlichen Netzen möglich sein. Am Ende wurde vorgeschlagen, Wireshark drauf anzusetzen.
Auch sollte/müsste ein Zugriff von unterschiedlichen Netzen möglich sein. Am Ende wurde vorgeschlagen, Wireshark drauf anzusetzen.
Das Problem ist gefixt!
Ich musste nur den Port 80 manuell eintragen......
Ich musste nur den Port 80 manuell eintragen......
Zitat von @142008:
Ich musste nur den Port 80 manuell eintragen......
🙈 Aber aus Sicherheitsgründen hat Siedle da gute Arbeit geleistet dass sie Port 80 erst mal dicht gemacht haben, und das die User initial gezwungen sind HTTPS zu nutzen Ich musste nur den Port 80 manuell eintragen......
. Und der gemeine @142008 macht es dann wieder auf ...2
Was soll ich jetzt dazu sagen? 
Zitat von @142008:
Das Problem ist gefixt!
Ich musste nur den Port 80 manuell eintragen......
Das Problem ist gefixt!
Ich musste nur den Port 80 manuell eintragen......
Das wäre noch schneller gegangen, wenn Du auf unseren Rat gehört und gleich einen nmap-scan gemacht hättest. Der hätte Dir gleich gezeigt, daß https geht und http nicht.
lks
1Zitat von @142008:
Was soll ich jetzt dazu sagen?
Was soll ich jetzt dazu sagen?
Daß Du Port 80 wieder rausnimmst?
lks
1
Eben .
.1Zitat von @Lochkartenstanzer:
Das wäre noch schneller gegangen, wenn Du auf unseren Rat gehört und gleich einen nmap-scan gemacht hättest. Der hätte Dir gleich gezeigt, daß https geht und http nicht.
Das wäre noch schneller gegangen, wenn Du auf unseren Rat gehört und gleich einen nmap-scan gemacht hättest. Der hätte Dir gleich gezeigt, daß https geht und http nicht.
Damit muss ich mich erst beschäftigen.
Jawohl!
Zitat von @Lochkartenstanzer:
Vieleicht lese ich etwas falsch.Zitat von @142008:
Ich musste nur den Port 80 manuell eintragen......
Das wäre noch schneller gegangen, wenn Du auf unseren Rat gehört und gleich einen nmap-scan gemacht hättest. Der hätte Dir gleich gezeigt, daß https geht und http nicht.Ich musste nur den Port 80 manuell eintragen......
Aber er hat ja oben geschrieben, dass der Zugriff aus dem gleichen Netzsegment funktioniert und aus anderen nicht.
Also ist das Problem, dass http aus einem anderen Netzsegement funktioniert, aber https nicht.
Stefan
