[Frage] UDP bzgl. SNMP Freigeben bzw. aus internem Netz abfragen

sunghost

Neuer User
Mitglied seit
10 Jul 2011
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe eine 7270 die soweit super funktioniert. Nun möchte ich aus dem WAN:
a) die Box selber per SNMP abfragen (Traffic etc.) <- soweit ich es finden konnte geht das wohl nicht, oder?
b) einen Rechner aus dem LAN per SNMP abfragen
-> hierfür habe ich bereits den Standart UDP Port 161 als auch einen umgelegten 4601 UDP versucht, aber irgendwie reicht die Box diesen nicht durch und blockt ihn
-> davon mal abgesehen die Freigabe von Ports und das Logging um Fehler zu finden echter Müll sind

Kann mir hierzu jemand helfen?
Die Notlösung wäre halt eine VPN Strecke ins LAN, was ich aber ungerne machen möchte...
 
Kann mir hierzu jemand helfen?
Die Notlösung wäre halt eine VPN Strecke ins LAN, was ich aber ungerne machen möchte...

Die Beobachtungen/Vermutungen sind richtig. 161/udp und 162/udp werden nach extern geblockt.
Ich meine mich zu erinnern, schon mal eine Umsetzung UPnP nach SNMP gesehen zu haben, damit ließe sich die FritzBox selbst monitoren.
 
Zuletzt bearbeitet:
re

Die Beobachtungen/Vermutungen sind richtig. 161/udp und 162/usp werden nach extern geblockt.
Ich meine mich zu erinnern, schon mal eine Umsetzung UPnP nach SNMP gesehen zu haben, damit ließe sich die FritzBox selbst monitoren.

Ok, nur wenn ich z.B. SNMP auf dem Server von 161 auf UDP 5161ändere, dann kann ich diesen in den Freigaben zwar einrichten, aber ich erreiche ihn nicht. Das blöde ist halt ich muss Input von 1024-ca.65000 setzen und da sagt die Box geht nicht weil intern in Verwendung. Wie kann ich das lösen?
 
Hallo

Interne Freigaben kannst du (wie ich auch) mit der *.export Datei einrichten:

System --> Einstellungen sichern --> Passwort setzen --> sichern

Mit Editor (Notepad++) editieren:

Code:
OEM=avm
Country=049
Language=de
[COLOR="#FF0000"][B]NoChecks=yes[/B][/COLOR]
**** CFGFILE:ar7.cfg
...hinzufügen, und dann...
Code:
                        forwardrules = 
                                       "tcp 0.0.0.0:21 0.0.0.0:21 0 # FTP-Server", 
                                       "tcp 0.0.0.0:443 0.0.0.0:443 0 # HTTPS-Server", 
                                       "[B][COLOR="#FF0000"]hier deine Regel einbauen, wie die zwei Zeilen über dieser aber mit Semikolon am Ende[/COLOR][/B]";
                }
...abspeichern und wieder in die FritzBox importieren.
So geht das schon ewiglich. ;)
 
Na da komm mal einer drauf ;) Ok soweit habe ich mich mit dem System noch nicht beschäftigt. Bin aber der Meinung, wenn schon im Expertenmodus, dass dann so etwas auch in der GUI möglich sein sollte ;).

Ok wie würde das für INPUT UDP Port 1024:65000 Destination 192.168.0.100 UPD Port 5161 aussehen?
Besten Dank
 
Vergiss es, Expertenmodus gilt nicht für "Modifizierer".
:rolleyes:
Interne Freigaben die auf die FritzBox zeigen, sind aus guten Grund verboten.
Nur die FritzBox selber darf sowas, z.B. FTP und HTTPS, die werden "versteckt" freigegeben.
Genau wie in dem Beispiel von mir.
Sind also nicht sichtbar unter System --> Freigaben.
Die 0.0.0.0 ist in diesem Fall die Adresse der FritzBox.
Daran muss man sich erst gewöhnen, aber dann ists ganz einfach:
"udp 0.0.0.0:5161 0.0.0.0:161 0 # SNMP-Server";
Gibt den FritzBox UDP Port 161 ans Internet weiter auf Port 5161.
Ists klarer geworden?
 
Hi,
ok verstehe ich, aber wie sieht es mit meiner Frage aus? Die Anfrage kommt ja nicht von 161 sondern dynamisch von irgendeinen UDP Port von 1024:65000 aus dem WAN und soll ins interne Netz. Oder halt von der Box ins WAN wobei dann die Angabe einer statischen IP nicht hilft, weil diese dynamisch vom ISP kommt und eher ein Interface angesprochen werden sollte ;)
 
Häh?
Eine "Range" von 1024-65000 soll auf einen Port (161) zeigen?
Wie soll das denn gehen?
Weiss ich jedenfalls nicht.
Und DDNS funktioniert bei dir nicht? Weil mehr braucht man nicht um die FritzBox dann zu erreichen.
Egal ob www.myfritz.net oder no-ip.org oder dyndns.com.

Mein udp Beispiel wäre dann so erreichbar: xyzlskjgsjghjgjh.myfritz.net:5161
...oder: meindnsname.no-ip.org:5161
Allerdings nicht mit einem Webbrowser sondern mit einem snmp Tool.

Auch sollte es mit der öffentlichen IP gehen, bei mir ändert die sich nur nach 23 Stunden und 59 Minuten (Zwangstrennung).
 
Zuletzt bearbeitet:
Die Anfrage kommt ja nicht von 161 sondern dynamisch von irgendeinen UDP Port von 1024:65000 aus dem WAN und soll ins interne Netz. Oder halt von der Box ins WAN ...
Da hilft dir auch die ar7.cfg und zwar der Abschnitt der avm-firewall. Z. B.:
Code:
highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0", /*AVM*/
"deny ip any host 255.255.255.255", /*AVM*/
"reject ip any 169.254.0.0 255.255.0.0", /*AVM*/
"[color=red]reject udp any any range 161 162[/color]",
"reject udp any any eq 111";/*AVM*/
}
 
Ok, muss ich mir dann wohl mal direkt ansehen. Danke erstmal.

Ja eine Range ;) So ist das wenn man eine FW konfiguriert. Sprich du musst ja die Ports bestimmen die von Außen erlaubt sind und dann auf welches Gerät sie wohin zeigen sollen. Also:
WAN Port 1024:65000 Input (eingehender Datenverkehr von irgendeinen dieser Ports) (mit Zielport 5161) ---- Fritz ----- (weiterleitend ins Lan an) Rechner02 (Port 5161) und alles über UDP <- so ungefähr zumindest
 
Genau das find ich voll daneben, weisst du denn genau wieviele Ports in dieser Range schon in Benutzung sind?
Oder anders gesagt, Autoscooter, weil jede Menge Kollisionen vorprogrammiert sind.

netstat
Code:
# netstat -ul
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
udp        0      0 0.0.0.0:137             0.0.0.0:*
udp        0      0 0.0.0.0:138             0.0.0.0:*
udp        0      0 0.0.0.0:67              0.0.0.0:*
udp        0      0 localhost:323           0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 fritz.box:1900          0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 :::43781                :::*
udp        0      0 :::36870                :::*
udp        0      0 :::37767                :::*
udp        0      0 :::40464                :::*
udp        0      0 :::7077                 :::*
udp        0      0 :::53                   :::*
udp        0      0 localhost:323           :::*
udp        0      0 :::5060                 :::*
udp        0      0 :::5353                 :::*
udp        0      0 :::5353                 :::*
udp        0      0 :::5355                 :::*
udp        0      0 :::5355                 :::*
udp        0      0 :::1900                 :::*
udp        0      0 fe80::9ec7:xxxx:xxxx:3e7f:1900 :::*
udp        0      0 :::123                  :::*
udp        0      0 :::49023                :::*

...hm
 
Versteh ich jetzt nicht? Die Verbindung kommt doch von irgendeinen Highport auf UDP mit Ziel 5161 an der Fritzbox an. Das ist doch ganz normal. Ein Webserver wird ja auch von irgendeinen Highport auf Port 80 angesprochen. Die Fritzbox weiß dann, wenn sie korrekt funktioniert / konfiguriert ist, dass UDP mit Portanfrage auf 5161 zum RechnerXY gehört und leitet diese Pakete dorthin weiter. Der Rechner dann selber hat entspr. Dienst laufen, der auf diesen Port lauscht - ist doch völlig normal so.
 
Und ich habe es so verstanden:

Du willst von Aussen auf Port 5161 den internen Port 161 der FritzBox erreichen.
(das geht nur über die *.export Datei, oder AVM-Firewall mit freetz)

Und nicht über Port 5161 den Port 161 einer anderen IP im lokalen Netz.
(das geht ganz normal mit System --> Freigaben)
 
Ah ok, ein Missverständnis ;) Gut das wir nun wissen über was wir sprechen ;). Also so habe ich es versucht:
- Internet -> Filter ->Liste <- geht gar nicht weil er dann unter Freigaben gar nicht auswählbar ist daher dann folgendes versucht:
-> Internet -> Freigaben -> neue Portfreigabe -> Andere Anwendungen -> Protokoll UDP -> von Port 1024-65000 -> an Computer (server02) -> an Port 2101 <- hier schreibt er automatisch bis Port 65077, addiert diese also und es klappt nicht. vom internen Netz kann ich den Server02 abfragen...
Was ist falsch?

Edit das wichtigste bei der Portfreigabe ist der Fehler der beim Speichern angezeigt wird:Eintrag kollidiert mit interner Regel
Edit2 -> ok auf Grund dessen, dass du mir oben gezeigt hast, wie ich in die Konf. schauen kann, konnte ich die belegten Ports sehen und entspr. die Freigabe ändern, ich suche nun weiter, das ich immer noch nicht durch komme...
 
Zuletzt bearbeitet:
Wie wäre es denn mit extern UDP 4601 an "Server" 4601?
 
Hi,
wenn das denn geht? Bis jetzt bin ich davon ausgegangen, dasser immer nen Connect von einem der Highports versucht, egal welchen. Wenn man diesen Vorgeben kann, wäre es noch besser.
 
Moin

Vergesst bitte nicht, dass die interne Firewallregel,
worauf uns freundlicherweise von sf3978 hingewiesen wurde,
deaktiviert werden sollte.
Sonst klappt zwar die Portfreigabe, aber die Firewall lehnt aufgrund des Eintrags für Port 161-162 jede Anfrage ab.
 
Aber die zählt doch nur wenn ich UDP 161 bzw. 162 nutze, nicht jedoch 4161 oder ähnliches oder?
 
Hab grad noch mal in die ar7.cfg geguckt.
Dieser Eintarg ist garnicht vorhanden,
er ( sf3978 ) hat uns das wohl gepostet,
um aufzuzeigen,
wie man diese SNMP Abfragen verhindert.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,696
Beiträge
2,216,701
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.