[Problem] Kein Zugriff auf Weboberfläche der Fritzbox 7490 von aussen trotz funktionierendem dyndns

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
T

tobias.s

Neuer User
Mitglied seit
8 Aug 2008
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich habe ein Problem mit einer Fritzbox 7490. Ich komme leider nicht von aussen auf dei Weboberfläche trotz richtiger Freigabe und funktionierender Dyndns Einstellung.
Die Weboberfläche ist freigegeben über den Punkt "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"
Dyndns funktioniert tadellos, da ich auf andere freigebene Dienste die per Port-Forwarding eingestellt sind, zugreifen kann.
Auch direkt über die Eingabe der externe ipv4 kann ich nicht auf die Weboberfläche zugreifen.
Auch die Nutzung eines alternativen Ports für die Weboberfläche z.B. 450 anstatt standard 443 für https funktioniert nicht.
Die Firmware ist auf dem letzten Stand, ich glaube 7.11.
Als Fehlermeldung erhalte ich in Firefox:

Code: 
Fehler: Gesicherte Verbindung fehlgeschlagen

Die Verbindung zu meinedyndnsadrees[geändet] wurde unterbrochen, während die Seite geladen wurde.

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.


Hat vielleicht jemand eine Idee woran das liegen könnte?
Vielen Dank.
Tobias
 
Bei mir klappt es sowohl mit Hostname als auch mit jeweiliger IPv4 oder IPv6 IP.

In URL hast auch https angegeben? Bei FB Dienste sind die möglichen URL oder mit IP auch genannt, welche man kopieren kann.

Wenn in der FB bei Diagnose -> Sicherheit schaust, ist dort der Port wirklich offen?
 
Danke für die Rückmeldung. Ja eigentlich klappt sowas auch reibungslos, da das nicht meine erste Fritzbox ist die ich einrichte.
Ja https ist eingebgeben und die Adressen stimmen überein.
Ich habe erst heute Abend Zugriff auf die Fritzbox dann schaue ich wegen Diagnose/Sicherheit nach. Was müsste ich denn machen wenn der Port nicht offen ist? Ich dachte die Firtzbox stellt Ihre Firewall selbst ein wenn man den https-Zugriff von Aussen freischaltet. Müsste ich dann eine Protforwarding Rule erstellen? Sowas musste ich bisher noch nie machen wenn ich den Zugriff auf das Webinterface von aussen freigestaltet hatte.
 
Hängt das nicht mit dem Selbst signierten Zertifikat zusammen? Da müsste man dann doch im Browser eine Ausnahme zulassen.?
 
Wenn es nicht bei Diagnose auftaucht, dann Freigabe deaktivieren und wieder aktivieren.

Sonst noch anderen Port probieren in 4-5 stelligen Portbereich.

Armin, genau diese Abfrage kommt ja bei ihm nicht.
 
Hast Du auch einen Usernamen angelegt? Stimmt der Shared Secret Code?
 

[Info] - FRITZ!Box 7590 / FRITZ!OS 7.10 (r67453) vom 08.04.2019

Kann bitte mal jemand versuchen, das folgende Verhalten nachzustellen: Ich habe unter Internet - Freigaben - Fritz!Box-Dienste den Punkt "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" eingeschaltet und dort einen abweichenden TCP-Port (xxxxx) eingestellt. Der Zugriff von Außen über...
www.ip-phone-forum.de www.ip-phone-forum.de

PeterPawn schrieb:
Bei dieser ist es zwar seit der 07.10 auch so, daß ein externer Zugang nur noch möglich ist (sprich: die notwendige Portweiterleitung nur noch eingerichtet wird), wenn auch ein entsprechender Benutzer-Account vorhanden ist, der diesen externen Zugriff verwenden könnte.
Zum Vergrößern anklicken....
 
  • Like
Reaktionen: HabNeFritzbox
o_O Dann hat es sich wohl geändert. Ich habe einen Benutzer für Smarthome angelegt gehabt, für intern wird klassich nur Passwort verwendet, gibt also keinen User mit admin Rechten.
 
Wenn es mit der IP-Adresse funktioniert, aber nicht mit dem Namen, dann liegt das meiner Erfahrung nach am DNS-Rebind-Schutz:

Heimnetz => Netzwerk => Netzwerkeinstellungen:
DNS-Rebind-Schutz
DNS-Name eintragen & Übernehmen.
 
Funktioniert nicht mit der IP, laut #1.

Zudem würde dann es dann heißen, Seite nicht gefunden.
 
Geht denn myfritz?
 
Myfritz ist auch nur nen DDNS Dienst, wenn es mit Hostnamen und IP nicht geht, wird auch anderer Hostname daran nichts ändern.
 
Hast Du schon mal einen anderen Browser / einen anderen PC probiert?
 
Einfach mal myfritz ausprobieren ... Kostet nichts weiter. Könnte aber weitergehende Fehlersuchrichtungen aufzeigen.
(= Erfahrung aus vielen Jahren)
 
@Alle DynDNS-"Verdächtiger":
Ihr habt aber schon gelesen, daß andere Zugriffe über die DynDNS-Adresse funktionieren? Steht jedenfalls so in #1 ... damit sind ggf. noch Fragen hinsichtlich des TLS-Zertifikats bzw. des Rebind-Schutzes plausibel und natürlich die Frage, ob der betreffende Port auch auf die Box selbst weitergeleitet wird. Das alles kann man aber in der Support-Datei tatsächlich NACHLESEN ... da muß man gar nicht "fröhlich herumprobieren" (bis es dann irgendwann mal klappt und man trotzdem nicht weiß, warum das so ist, weil man viel zu viel geändert hat).

Mit den Änderungen bei den Zertifikaten vor einigen Versionen (hier meine ich das "aktive" Zertifikat, was immer erneut auf die gerade aktuelle IP-Adresse ausgestellt wird) hat AVM sich und den Kunden gründlich ein Ei gelegt - wenn das Absicht ist, ist es so ziemlich das Dümmste, was AVM in den letzten Jahren verzapft hat und dabei bleibe ich zumindest so lange, bis mir mal jemand eine plausible Erklärung dafür liefern kann, warum eine FRITZ!Box (ohne Benutzerzertifikat und ohne LE-Zertifikat) sich bei jeder Einwahl ein neues (self-signed) Zertifikat mit der öffentlichen IP(v4)-Adresse generieren muß. Damit kann man (solange man kein eigenes Zertifikat in der Box hinterlegt) jedes "Pinnen" eines solchen Zertifikats in einem (PC-)Browser vergessen.

Auch wenn ich die Probleme bei der Auswahl eines Zertifikats ja nachvollziehen kann (wenn der Benutzer das LE-Zertifikat von AVM und die MyFRITZ!-Adresse für einen Zugriff verwendet), ist die nunmehr von AVM "erdachte" Lösung einfach nur Gülle. Mal ganz abgesehen davon, daß AVM hier ja mit der Beschränkung der LE-Zertifizierung auf die MyFRITZ!-Adresse auch eine eher willkürliche Entscheidung getroffen hat. Jeder, der schon mal auf einem anderen Gerät ein LE-Zertifikat erzeugen ließ, fragt sich am Ende, warum AVM hier nicht ebenfalls versucht, die anderen konfigurierten DynDNS-Namen - zumindest nach erfolgreicher Aktualisierung, was ja auf gültige Credentials für den DynDNS-Service hinweist - in das erzeugte Zertifikat zu kriegen. Damit bräuchte es gar keine Unterscheidung anhand des SNI-Headers ... wenn es nur ein Zertifikat gibt, kann die Box auch nur eines präsentieren und das enthält dann entweder den verwendeten DNS-Namen oder eben nicht - sich darüber dann zu empören, ist aber Aufgabe des TLS-Clients.

Aber auch die Geschichte mit dem Eintrag des DynDNS-Namens beim Rebind-Schutz dürfte sich dann erledigt haben - irgendeinen logischen Zusammenhang konnte man da ja auch nur mit Mühe erkennen, wenn man mal davon ausgeht, daß die FRITZ!Box auch auf DynDNS-Antworten "allergisch" reagiert, die auf ihre eigene externe IP-Adresse auflösen und nicht nur auf Adressen in ihrem LAN.

Wobei auch da wieder eine Diskrepanz zwischen den "AVM-Erklärungen" und der Realität zu konstatieren ist, denn in der KB schreibt man bei AVM selbst (https://avm.de/service/fritzbox/fri...Auflosung-privater-IP-Adressen-nicht-moglich/) ziemlich deutlich:
Ursache
- Aus Sicherheitsgründen unterdrückt die FRITZ!Box DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen. Dies ist ein Sicherheitsmerkmal der FRITZ!Box zum Schutz vor so genannten DNS-Rebinding-Attacken.
Zum Vergrößern anklicken....
Mal ganz abgesehen davon, daß die Firmware ja auch einfach "smart" genug sein könnte, um alleine festzustellen, daß es sich bei dem (dynamischen) Domainnamen um eine solchen handelt, den sie selbst (im besten Falle noch erfolgreich) auf genau diese Adresse aktualisiert hat. Warum da jetzt der FRITZ!Box-Besitzer seinerseits noch den Eintrag beim Rebind-Schutz vornehmen muß, wissen nur die (AVM-)Götter.

Das alles hat man sich - mehr oder weniger direkt - offenbar mit der Implementierung des LE-Zertifikats "eingefangen" - jedenfalls ist beides zeitgleich aufgetreten und bis AVM dann den "Workaround" mit dem Rebind-Eintrag veröffentlichte, dauerte es eine Weile bzw. das stand sehr lange als "bekanntes Problem" (und nicht etwa als "by design" - aka "so gewollt") in den Bemerkungen zur damaligen Labor-Reihe. Daher meine "Zuversicht", daß mit dem Wegfall der Notwendigkeit der Suche des richtigen TLS-Zertifikats für die SNI-Adresse dann auch die Notwendigkeit dieser Einträge beim Rebind-Schutz für die externe IP-Adresse entfallen würde - wenn, ja wenn AVM tatsächlich hingehen würde und die LE-Zertifikate auch wirklich für alle konfigurierten und erfolgreich aktualisierten DynDNS-Namen (inkl. der MyFRITZ!-Adresse) erzeugen würde.

Aber dann könnte man ja nicht länger mit fast pathologischem Eifer versuchen, die Kunden in Richtung der Benutzung des eigenen MyFRITZ!-Services zu bugsieren (wenn für die Kunden die Benutzung eines anderen DynDNS-Services genauso einfach und mit denselben Funktionen möglich wäre, wie bei MyFRITZ! mit dem LE-Zertifikat) und man verlöre damit eine gerne genommene Möglichkeit, alle möglichen Daten über die Kunden zu sammeln. Die Nachteile, die aus der Benutzung dieses MyFRITZ!-Services für den Kunden erwachsen (mal abgesehen von der Datensammelwut des Herstellers), kriegt der leider immer erst sehr spät mit ... letztens hatten wir hier doch irgendwo erst das Thema, daß man mit MyFRITZ! beim Austausch der FRITZ!Box deutlich mehr Arbeit hat, als mit jedem anderen DynDNS-Service.
 
Man muss zweimal den Zugang auf die Fritzbox erlauben. Das ist schon seit 6.9x
Interessant wäre es noch, wie er auf die FB zugreifen will. per VPN? und mit welchem Protokoll?
 

Anhänge

  • BN1.png
    BN1.png
    68.5 KB · Aufrufe: 35
  • BN2.png
    BN2.png
    99.5 KB · Aufrufe: 34
Hallo an Alle,
danke für die vielen Antworten.
Ich habe nun das Problem gefunden. Es liegt daran, dass es in der Fritzbox keinen zusätzlichen Benutzer angelegt wurde als der standard Benutzer "ftpuser" der jedoch keine Berechtigung hat auf die Fritzbox aus dem Internet aus zuzugreifen.
Leider sagt die Weboberfläche einem nicht, dass man explizit einen Benutzer anlegen muss um den Zugriff tatsächlich zu aktivieren. Bei anderen Fritzboxen die ich hier und da mal verwalte, wurde standardmäßig der Benutzer Administrator erstellt mit dem man dann mittels Fritzbox Kennwort Zugriff auf den Router aus dem Internet hatte.
Nachdem nun ein separater Benutzer(unter System/Fritzbox Benutzer) angelegt wurde, zeigt Diagnose/Sicherheit nun auch den offenen 443 Port an.
Danke nochmals für die Hilfe!
Viele Grüße,
Tobias
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 264 (Mitglieder: 23, Gäste: 241)

Neueste Beiträge

Statistik des Forums

Themen
244,993
Beiträge
2,222,362
Mitglieder
371,771
Neuestes Mitglied
kaetho
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück