[Problem] Port 443 wird intern nicht freigegeben für Portforwarding

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,050
Punkte für Reaktionen
718
Punkte
113
deren DynDNS-Adresse per HTTPS ohne Portnummer
Da hast Du mich mißverstanden ... ich sprach an dieser Stelle nur davon, daß ich die Erreichbarkeit des Ports 443 aus dem LAN für sinnvoll (und notwendig) erachte ... u.a. hier nachzulesen:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03148/TR03148.pdf;jsessionid=A584859DB5F0B0E4C5F1631E7D1503CC.2_cid360?__blob=publicationFile&v=2

Punkt 4.1.1

IF the router offers configuration through a web interface (local website provided by the router and accessed with a browser by the user) login to access the configuration SHOULD be secured using HTTPS and only cipher suites recommended in [TR-02102-2] [...] SHOULD be used.
Die Tatsache, daß AVM diesen Zugriff per TLS derzeit noch nicht erzwingt, steht meiner Freude nur in geringem Maße entgegen ... allerdings wäre diese zugegebenermaßen noch größer, wenn AVM beim HTTPS-Zugriff einen HSTS-Header senden würde und man damit (auch ohne Weiter-/Umleitung im FRITZ!OS) durch den Browser zur Benutzung von TLS (da braucht's dann auch wieder den Standardport) "angehalten" wird. Allerdings braucht es dazu noch ein paar weitere Vorbereitungen durch AVM und das FRITZ!Box-Zertifikat, das sich mit jeder neuen externen IP-Adresse ändert (und auch intern genutzt wird), ist da dann wieder das genaue Gegenteil von "nützlich".

Ich halte den derzeitigen Zustand bei der Behandlung von Port 443 für Weiterleitungen also auch für nicht günstig und bin sehr dafür, daß AVM diesen expliziten Sonderfall (Zugriff aus dem LAN, aber mit der externen Adresse der Box UND es existiert eine Weiterleitung für den Port 443 auf einen Client im LAN) noch nachbessert ... aber ich sehe das eben auch als Fehler und nicht "by design" und halte diesen Fehler (angesichts der besonderen Umstände, die ein solcher Zugriff darstellt) für verzeihlich und würde ihn nicht als "Praktikantenfehler" einordnen. Die Eingangsvoraussetzungen, um die Entscheidung für oder gegen NAT-Hairpinning zu treffen, sind schon einigermaßen komplex.
 
A

andilao

Guest
Ja, fehlinterpretiert, daher auch die ungläubige Nachfrage mit Spuren von Ironie/Sarkasmus.

Praktikantenfehler war tatsächlich ein zu schwaches Wort dafür. Eine generelle Entscheidung gegen NAT-Hairpinning wäre eher eine "strategische Fehlentscheidung" und zumindest bei mir das Aus für Fritzboxen in Umgebungen ohne eigene DNS-Server.
 

egnurg

Neuer User
Mitglied seit
7 Dez 2007
Beiträge
43
Punkte für Reaktionen
1
Punkte
8
in meinem System betrifft das nicht nur den Port 443 sondern auch andere.
Anscheinend nicht nur den Namen sondern auch Zugriffe auf die IP-Adresse direkt:

Beispiel:

FTP freigegeben für eine Wetterstation, Port 60111
Weiterleitung intern auf eine Synology-Box.
Da werden alle 30min die aktuellen Daten eingespielt.
Zum Testen hatte ich den Account intern mit WinSCP eingerichtet.
Verbindung vom Testrechner INTERN : kein Zugriff, weder mit Domainname noch mit fester IP-Adresse
Von extern: kein Problem


eMail-Server über remote.meinDomainName oder feste IP-Adresse:


eMails empfangen/versenden, Kalenderabgleich vom Handy funktioniert einwandfrei solange man nicht in WLAN-Reichweite ist - Zugriff von aussen.
sobald man im WLAN eingebucht ist funktioniert der Versand/Empfang von eMails NICHT mehr.
Offensichtlich werden alle Ports auf die Fritzbox umgeleitet wenn man "von innen" drauf zugreift.
WLAN aus - Mailversand klappt.

Ich kann aber nicht jedesmal das WLAN manuell ein/ausschalten nur um nach eMails zu suchen da noch andere Dienste am Handy laufen die nur über WLAN funktionieren.

Seltsamerweise geht es auch NICHT mit der externen IP-Adresse!

ich habe eine feste IP-Adresse, kein DynDNS.
Das ging bis vorgestern mit 6.50 (gammelalt). Jetzt wurde ich auf 6.75 umgestellt (warum nicht gleich die 7er die angeblich bei KabelBW ausgerollt wird?) und seither funktioniert es nicht mehr. 8-(

Eintragungen im DNS-Rebind-Schutz bringen keine Änderungen.

Ich würde mir ja sogar eine 6590 kaufen wenn es an der gammeligen Software der Kabel-BW-Box liegt.
Aber anscheinend haben das Problem alle Boxen?
 
A

andilao

Guest
Nur zum Vergleich: FRITZ!Box 6490 Cable (kdg) mit FRITZ!OS: 07.01 (noch) ohne das Problem (Provider-Box, Provider-Firmware-Update).

Schau erst mal unter Diagnose - Sicherheit, was aus den Ports geworden ist - Boxen unter Provider-Kontrolle machen bei einem Update die seltsamsten Sachen.
 

egnurg

Neuer User
Mitglied seit
7 Dez 2007
Beiträge
43
Punkte für Reaktionen
1
Punkte
8
die Ports sind da und werden auch korrekt angezeigt. Sind von aussen auch erreichbar. Nur eben nicht von innen. Der Unitymedia/Kabel-BW Service meldet sich nicht, AVM hat eine Servicedatei von der Box angefordert.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,050
Punkte für Reaktionen
718
Punkte
113
Da scheint (mal wieder oder immer noch?) einiges durcheinander zu sein beim PCP und beim NAT-Loopback - an anderen Stellen beschreiben Benutzer, daß der Port 443 (bzw. das AVM-GUI der Box) bei ihnen auch aus dem WAN erreichbar wäre, obwohl sie einen abweichenden Port konfiguriert haben - denkbar, daß dort die "Freigabe" für alle Ports existiert, so wie vielleicht bei @egnurg jeder Zugriff auf die externe Adresse nicht im NAT-Loopback (bei freigebenem Client), sondern auf der Box selbst landet.

Ich würde hier nach einem Update erst einmal hingehen und alle aktiven Portfreigaben entfernen (die werden mittlerweile ja bei den "landevices" gespeichert, wenn es um LAN-Clients geht, während die Freigaben auf die Box selbst weiterhin in "internet_forwardrules" (bzw. "voip_forwardrules") stehen), die Box neu starten und die Freigaben neu einrichten. Ist zwar bei dem einen oder anderen sicherlich viel Arbeit ... aber sicherlich immer noch schneller als das Warten auf eine Lösung durch AVM. Auch wenn es keine Erfolgsgarantie gibt ... einen Versuch ist es sicherlich wert.

Denn es ist wohl so, daß AVM da weiterhin "bastelt" ... bei mir klappt jedenfalls (mit 141.07.08-66226) sogar die (von Hand eingestellte) Weiterleitung über "internet_forwardrules" in der "ar7.cfg" für Port 443 auf einen Client im LAN der 7490 (und zwar sowohl von außen als auch von innen, auch wenn "außen" nur ein anderes VLAN ist, weil ich die Box als LAN1-Router teste).

Stelle ich dieselbe Freigabe per GUI ein (dann landet sie im "landevices"-Abschnitt der "ar7.cfg"), funktioniert es nicht mehr. Das steht nun wieder der früheren Feststellung, daß AVM die Einträge in "internet_forwardrules" nicht mehr korrekt auswertet seit der Einführung von PCP, diametral gegenüber ... daher meine Einschätzung, daß AVM daran "schraubt" und bei dem derzeitigen Kuddelmuddel (07.04 vs. 07.08-Labor vs. 07.10 vs. alte Versionen, etc.) blickt vermutlich auch AVM selbst nicht mehr immer durch, welcher Code da nun gerade in welcher Version landet und wie sich das als "Gesamtkunstwerk" verhält.
 

egnurg

Neuer User
Mitglied seit
7 Dez 2007
Beiträge
43
Punkte für Reaktionen
1
Punkte
8
nur zur Info: eine Lösung habe ich noch nicht gefunden aber eine kleine Abhilfe damit ich auf meinen eigenen Server wieder zugreifen kann, vielleicht hilft es ja anderen:
einfach bei einem Windows-Rechner in der hosts-Datei für www.xxxx die interne IP des Servers eingetragen, dann werden alle Zugriffe schon vor der Fritz-Box umgeleitet. Damit kann ich zumindest von diesem PC wieder auf den eigenen Webserver.

Leider hift das nicht für Handy und sonstige Geräte die wechselweise von aussen oder übers WLAN zugreifen.
Evtl. kann man da netzintern einen Proxy dazwischenschalten und die IP-Adressen verbiegen.
Keine schöne Lösung aber eine Abhilfe.


Unitymedia/Kabel-BW und AVM sind dran. Bin gespannt ob es da eine Lösung gibt.
 
  • Like
Reaktionen: andilao

egnurg

Neuer User
Mitglied seit
7 Dez 2007
Beiträge
43
Punkte für Reaktionen
1
Punkte
8
noch ein kleines Update:
AVM und Unitymedia (Business) haben sich redlich bemüht aber es gab leider bisher keine Lösung.
Da habe ich den lokalen host-Eintrag einfach auf meinen Pi-Hole DNS-Server übertragen.

Einfach dort in /etc/hosts den Eintrag
[lokale IP] [domainname]
eingetragen, evtl. Clients neu starten oder DNS flush, dann funktioniert das netzwerkweit.
Und die Fritzbox bekommt das garnicht mehr mit :)
 

CWempe

Neuer User
Mitglied seit
30 Okt 2006
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Gibt es hierzu Neuigkeiten?

Ich habe vor kurzen die finale 07.11 auf meiner 7490 installiert und stehe jetzt vor demselben Problem.
 

NDiIPP

Aktives Mitglied
Mitglied seit
13 Apr 2017
Beiträge
1,670
Punkte für Reaktionen
242
Punkte
63
Bisher ist imo nur der manuelle Weg bekannt, eine funktionierende Portfreigabe für Port 443 einzurichten (siehe Beitrag #26, 3. Absatz).
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,019
Punkte für Reaktionen
177
Punkte
63
Kann weiterhin Problem nicht nachvollziehen, weder intern noch extern habe ich Probleme auf 443 oder andere Ports zuzugreifen auf meinem NAS usw.
 

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
56
Punkte für Reaktionen
3
Punkte
8
Habe hier eine 7590/7.11 und kann ohne zusätzlichen DNS-Server oder HOSTS-Eintrag den "nach außen" freigegebenen NextCloud-Server auf Port 443 aus dem LAN erreichen. Funktioniert NAT-Loopback also? Oder betrifft das nur MyFritz-DynDNS?
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,047
Beiträge
2,018,220
Mitglieder
349,339
Neuestes Mitglied
Mpcop