FritzBox 7390 - kein Ping aus eigenem Netz??

koebbi · 19 Dez 2010

Hallo, hab mir ne 7390 zugelegt und habe nun folgendes Problem:

Ich kann meine WAN-IP nicht mehr pingen und ich habe keinen Zugriff auf meinen Web/FTP Server.

Diese Probleme treten nur in meinem Heimnetz auf (in dem die 7390 den Router spielt). Vom Internet aus ist alles OK.

Es macht also den Anschein, dass die 7390 (laienhaft ausgedrückt) Verkehr blockt, der vom Heimnetz ins Heimnetz will !?!

Häng ich meine 7170 wieder dran ist alles OK, daher kann ich ISP oder falsche Konfig ausschließen...

Danke für Eure Tipps.

jimknopf78 · 19 Dez 2010

Mit den neuesten Firmware-Versionen geht es auch bei der 7170 nicht mehr. Zugriff auf die eigene WAN IP ist eine Sicherheitslücke in Bezug auf IP-Spoofing, deshalb ist es seit einigen Firmware-Versionen deaktiviert. Siehe in die Firmware-Threads, in nahezu jedem Thread diskutiert man darüber.

koebbi · 20 Dez 2010

OK, danke für die Info. Ich schau mir die FW Treads mal an. Es gibt nicht zufällig eine Möglichkeit, das wieder zu aktivieren? Vielleicht das Config File händisch editieren?

gandalf94305 · 20 Dez 2010

Warum hast Du keinen Zugriff auf Deinen Web/FTP-Server? Du kannst doch auf einem lokalen PC die (fixe, interne) IP-Adresse des Servers fest eintragen, so daß der lokale Zugriff lokal bleibt und dennoch den gleichen Hostnamen verwendet wie extern. Muss wirklich ein externer Test durchgeführt werden, so kannst Du einen der zahlreichen, freien Web-Proxies nutzen, über den ein Browsing möglich ist.

Zugriffe vom LAN auf die eigene WAN-IP und so wieder ins LAN sind generell eine schlechte Idee.

--gandalf.

koebbi · 20 Dez 2010

Du hast recht, mit den LAN IPs gehts natürlich. Ich war halt nur etwas verwirrt, da es nach der installation der 7390 mit der WAN IP auf einmal nicht mehr ging.
Aber jetzt versteh ich es und kann entsprechend agieren.

Danke an alle!

Modetr@der · 12 Jan 2011

Ich habe dieses "Problem" ebenfalls mit meiner 7390er FW 84.04.89.
Ich bilde mir ein, dass es bei der 88er noch ging.

Nervig ist es, weil ich meine Bookmarks und einige Files auf dem Laptop im Hintergrund mit meinem Server (über den dyndns Namen angesprochen) synchronisiere.
Das Funktioniert überall, nur nicht in meinem LAN!

Beim Testen ist mir aufgefallen, dass es die 7390 selber anscheinend kann.

Hier mal was die Box per Telnet ausspuckt.

Code:

# ping meindyndns.dyndns.org
PING modetrader.ath.cx (77.20.xx.xx): 56 data bytes
64 bytes from 77.20.xx.xx: seq=0 ttl=64 time=0.479 ms
64 bytes from 77.20.xx.xx: seq=1 ttl=64 time=0.361 ms
64 bytes from 77.20.xx.xx: seq=2 ttl=64 time=0.367 ms
64 bytes from 77.20.xx.xx: seq=3 ttl=64 time=0.364 ms
64 bytes from 77.20.xx.xx: seq=4 ttl=64 time=0.367 ms
64 bytes from 77.20.xx.xx: seq=5 ttl=64 time=0.358 ms
64 bytes from 77.20.xx.xx: seq=6 ttl=64 time=0.368 ms
64 bytes from 77.20.xx.xx: seq=7 ttl=64 time=0.367 ms
64 bytes from 77.20.xx.xx: seq=8 ttl=64 time=0.365 ms
64 bytes from 77.20.xx.xx: seq=9 ttl=64 time=0.363 ms

--- meindyndns.dyndns.org ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 0.358/0.375/0.479 ms
#

Auf (m)einer Windowskiste geht es nicht (mit XP und W7 getestet).
Mein Blackberry hat auch Probleme.

Interessanterweise sagt mein Debian Server.

Code:

# ping meindyndns.dyndns.org
PING modetrader.ath.cx (77.20.xx.xx) 56(84) bytes of data.
64 bytes from 77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx): icmp_req=1 ttl=63 time=0.603 ms
64 bytes from 77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx): icmp_req=2 ttl=63 time=0.454 ms
64 bytes from 77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx): icmp_req=3 ttl=63 time=0.461 ms
64 bytes from 77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx): icmp_req=4 ttl=63 time=0.453 ms
64 bytes from 77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx): icmp_req=5 ttl=63 time=0.454 ms
^C
--- meindyndns.dyndns.org ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 8039ms
rtt min/avg/max/mdev = 0.453/0.485/0.603/0.059 ms

Hier ein Trace von der Debian Kiste

Code:

traceroute meindyndns.dyndns.org
traceroute to meindyndns.dyndns.org (77.20.xx.xx), 30 hops max, 60 byte packets
 1  fritz.box (10.26.128.1)  0.455 ms  0.587 ms  0.917 ms
 2  77-20-xx-xx-dynip.superkabel.de (77.20.xx.xx)  5.267 ms !X  5.303 ms !X  5.272 ms !X
NAS:/$

zum Vergleich von einer W7 Kiste

Code:

C:\>ping meindyndns.dyndns.org

Ping wird ausgeführt für meindyndns.dyndns.org [77.20.xx.xx] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 77.20.64.18:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\

Und hier der Trace

Code:

tracert meindyndns.dyndns.org

Routenverfolgung zu meindyndns.dyndns.org [77.20.xx.xx] über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  fritz.box [10.26.128.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16  ^C
C:\

Finde ich komisch.

Was soll das denn bitte für ein Sicherheitsfeature sein? Es ist ja wohl mittlerweile ziemlich normal, dass man seine WAN IP auch von Intern erreichen will.

Warum ist Linux als Client und die Box selber nicht betroffen.

Windows und Blackberry aber doch.

Für mich ist das ein BUG und kein Feature

netape · 15 Jan 2011

Hallo

gibt es dafür jetzt schon eine Lösung ? Ich hab hinter der Fritzbox einen Nas Server mit meiner Website. Die kann ich
nun nicht mehr aufrufen. Nur noch per Proxy Server.

koebbi · 16 Jan 2011

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Für mich ist das ein BUG und kein Feature

--> Das sehe ich genauso! Und wenn das hier wirklich ein Security Feature ist, warum habe ich keine Möglichkeit es zu deaktivieren??

[Beitrag 2:]
Kannst Du da einen schnellen und hochverfügbaren Proxy empfehlen?

Modetr@der · 17 Jan 2011

Ich hatte vor einiger Zeit ein Ticket bei AVM aufgemacht.
Das war wohl irgendwie untergegangen, ich bekam eine Entschuldigung, dass es so lange gedauert hat und eine sehr merkwürdige Antwort.

Code:

Zum Sachverhalt:

Werden DNS-Anfragen für eigene Domainnamen, wie z.B. den DynDNS-Namen der
FRITZ!Box selbst, über die FRITZ!Box nicht mehr beantwortet, ist das kein
Fehler der FRITZ!Box. Vielmehr handelt es sich um ein Sicherheitsmerkmal
der FRITZ!Box zum Schutz vor so genannten "DNS-Rebindung Attacken".

Löst ein öffentlicher DNS-Server einen Domainnamen auf eine IP-Adresse aus
dem lokalen Netzwerkbereich der FRITZ!Box auf, blockiert der DNS-Server der
FRITZ!Box diese DNS-Antwort und leitet sie nicht weiter. Dadurch verhindert
die FRITZ!Box, dass Angreifer mittels getarnter Nameserver über ein
DNS-Rebinding Zugriff auf das Heimnetz von Nutzern erlangen können.

TIPP:
- Lassen Sie private IP-Adressen (IP-Adressbereiche nach RFC1918, die im
Internet nicht geroutet werden) nicht über den eigenen öffentlichen
Domainnamen auflösen.
- Tragen Sie die Computernamen der Netzwerkgeräte im lokalen Netzwerk, die
über den öffentlichen Domainnamen gehostet worden sind, in der FRITZ!Box
unter "Heimnetz (nicht immer vorhanden) > Netzwerk > Bearbeiten" oder
"Gerät hinzufügen" ein. Dadurch wird der Name des Netzwerkgerätes durch die
FRITZ!Box auch lokal aufgelöst.

HINWEIS:
Netzwerkgeräte, die Ihre IP-Adresse per DHCP von der FRITZ!Box erhalten,
sind hier automatisch eingetragen.


Freundliche Grüße aus Berlin

XXXXXX (AVM Support)

Schon merkwürdig, weil ich in meinem Ticket explizit nach der Erreichbarkeit des WAN Interfaces über dessen IP gefragt hatte.
DNS kann man ausschließen, da der Name ja aufgelöst wird.
Irgendwie wurde ich wohl falsch verstanden.

Ich werde das Ticket updaten, jeder den es stört würde ich bitten, ebenfalls ein Ticket aufzumachen, damit das ganze gefixed wird (für mich immer noch ein BUG) oder wenigstens abschaltbar.

netape · 17 Jan 2011

Hab heute mit AVM gesprochen. Es sieht also so aus das AVM dieses Feature aus Sicherheitsgründen
in allen Fritzboxen per Firmware nachgerüstet. Bei der 7390 ist es jetzt schon aktiviert.

AVM hat mir bestätigt das es nicht abschaltbar ist und es auch in Zukunft nicht geplant ist dies zu ändern.

O-Ton : Sicherheit geht vor

koebbi · 17 Jan 2011

Modetr@der schrieb:
Ich hatte vor einiger Zeit ein Ticket bei AVM aufgemacht.
Das war wohl irgendwie untergegangen, ich bekam eine Entschuldigung, dass es so lange gedauert hat und eine sehr merkwürdige Antwort.

Schade, ich hab meine Antwort von AVM schon gelöscht, aber ich könnte wetten, dass es der selbe Wortlaut war!

[Posting 2:]

O-Ton : Sicherheit geht vor

Na dann kann AVM ja auch noch die Möglicheit entfernen Ports zu öffnen... Sicherheit schön und gut, trotzdem würde ich gern selbst entscheiden können, wieviel Sicherheit ich nutzen möchte....

netape · 17 Jan 2011

Das habe ich auch am Telefon gesagt ... Als Antwort kam dann " Im Auto können Sie das ABS ja auch nicht ausstellen .... "

Irgendwie habe ich Support auch anders in Erinnerung ..

Benares · 17 Jan 2011

Wenn ich die Aussage von AVM so lese, dürfte die externe IP doch wohl nur über DNS, also über den Namen, nicht mehr auflösbar sein. Ein ping direkt an die IP geht aber auch nicht.
Daher versteh ich die Aussage überhaupt nicht.

Die Nutzung extern angebotener Dienste (z.B. ftp) von "innen" über den externen DNS-Namen oder die zug. IP scheint aber zu funktionieren, ebenso wie der Zugriff darüber von "aussen". Das widerspricht sich.

Gruß
Gerhard

dhaesel · 18 Jan 2011

Ich kämpfe mit dem selben Problem rum - habe meinen eigenen Mail-Server
hinter der Fritzbox hängen und kann im lokalen LAN auf diesen nicht mehr
über die Dyndns-Adresse zugreifen.
Somit kann ich z.B. von meinem Handy nicht mehr auf Mails zugreifen, wenn
ich über WLan im lokalen Netz eingeloggt bin

. Ganz zu schweigen von meinem
Arbeitslaptop.

Kennt jemand eine Möglichkeit in der Fritzbox feste DNS-Einträge (hosts)
anzulegen - dann könnte ich den DynDns Namen im LAN auf die interne
Adresse auflösen ???

Danke & Grüßle
Daniel

sf3978 · 18 Jan 2011

dhaesel schrieb:
...
Kennt jemand eine Möglichkeit in der Fritzbox feste DNS-Einträge (hosts)
anzulegen - dann könnte ich den DynDns Namen im LAN auf die interne
Adresse auflösen ???
...

Sollte mit Freetz (Ergänzung der AVM-Firmware) und dem Paket dnsmasq, möglich sein.

dhaesel · 18 Jan 2011

Danke, das hatte ich auch schon über die Suchfunktion herausgefunden.
Ich habe aber momentan keine Lust einen Mod zu installieren.
Kann man nicht auch direkt die hosts modifizieren z.B. mit einem
Eintrag in der debug.cfg ???

Benares · 19 Jan 2011

dhaesel schrieb:
Ich kämpfe mit dem selben Problem rum - habe meinen eigenen Mail-Server
hinter der Fritzbox hängen und kann im lokalen LAN auf diesen nicht mehr
über die Dyndns-Adresse zugreifen.

Ich hab damit überhaupt keine Probleme. Auf dem Handy ist der DynDns-Name eingetragen. Die FB hat die entsprechenden Weiterleitungen auf die internen Adressen eingetragen.
Auch wenn ich zu Hause bin und per WLAN mit dem Handy arbeite und nicht wirklich von "aussen" komme, klappt das. Die FB routet die Zugriffe korrekt.

Gruß
Gerhard

dhaesel · 19 Jan 2011

Hallo Gerhard,
ich habe auch die 7390 mit Version 84.04.89.
Bei mir geht es definitiv seit der vorletzten Laborfirmware nicht mehr!?
Wie der Threadtitel auch aussagt geht nichtmal der Ping auf die WAN-Adresse.
Im Unterschied zu Dir hänge ich am Kabelmodem und betreibe die Fritz!Box als
reinen Router.
Wie können wir jetzt unsere Konfigurationen vergleichen um dem Problem auf
die Spur zu kommen ???

Gruß
Daniel

jimknopf78 · 19 Jan 2011

Seit einigen Firmwareversionen geht es bei der 7390 definitiv nicht mehr. Auch nicht am DSL Anschluss. Siehe in die Firmwarethreads, das ist jedes Mal ein Thema.

Benares · 22 Jan 2011

Hallo Daniel,

dhaesel schrieb:
Bei mir geht es definitiv seit der vorletzten Laborfirmware nicht mehr!?

Was geht nicht mehr? Nur der ping? Der geht auf die externe IP leider nicht mehr.

Was passiert, wenn du beispielsweise "ftp <deine-externe-ip>" eingibst? Ich komm drauf.

Code:

C:\>ftp xxx.dnsalias.com
Verbindung mit xxx.dnsalias.com wurde hergestellt.
220 FRITZ!BoxFonWLAN7390 FTP server ready.
Benutzer (xxx.dnsalias.com:(none)):

nur ping geht nicht:

Code:

C:\>ping xxx.dnsalias.com

Ping xxx.dnsalias.com [yyy.yyy.yyy.yyy] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
...

FritzBox 7390 - kein Ping aus eigenem Netz??

Neuer User

Mitglied

Neuer User

gandalf94305

Guest

Neuer User

Neuer User

Neuer User

Neuer User

Neuer User

Neuer User

Neuer User

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

Mitglied

IPPF-Promi

Statistik des Forums