ich hätte da mal wieder ein Problem.
Ich hab nun also von Vodafon ein öffentliches Netz zugewiesen bekommen, und es ist auch an meiner FritzBox inzwischen eingerichtet.
Jetzt bekomme ich es aber nicht hin, dass die Clients dahinter, die ich in diesem Netz habe, auch von außen erreichbar sind. Bisher habe ich folgendes probiert:
einen Port der 4 internen Ports dem öffentlichen Bereich zugeordnet (so hab ich das verstanden)
eine Portweiterleitung erstellt (erstmal Port 22 auf Port 22 für eine meiner öffentlichen IPs)
Server dahinter gehängt mit der unter 2) verwendeten IP
geht aber leider nciht.
Hänge ich an den Switch hinter der FritzBox, der an dem unter 1) genannten Port hängt, dann kann ich die FritzBox mit der ersten IP im öffentlichen IP Adressbereich anpingen und ich kann meinen Server anpingen (und SSH auf ihn machen).
Von außerhalb geht aber garnichts.
Ich sage mal mein Netz sei folgendes:
Netz: 40.41.42.8
Erste IP: 40.41.42.9 (-> FritzBox)
Adressbereich für mich verwendbar: 40.41.42.10-14
Broadcastadresse: 40.41.42.15
Mein Server hat also sozusagen die 40.41.42.10 und mein Laptop die 40.41.42.14
Es handelt sich bei der FritzBox um eine Cable 6591
Kennt sich da Jemand aus?
Ich hab verschiedene HInweise gefunden, so richtig schlau draus geworden bin ich aber nicht.
Am vielversprechensden sah eigentlich diese Anleitung von Vodafon aus:
oder das hier von AVM:
Von den im Vodafon PDF beschriebenen 3 Szenarien unter 6.2 ist wohl die zweite die richtige:
„NAT-Konfiguration im /30er, /29er oder /28er Subnetz: Sie erhalten von Vodafone ein
Schreiben mit den technischen Informationen zu Ihrem festen öffentlichen IP-Adressbereich,
innerhalb dessen Sie den/die Server betreiben können. In der FRITZ!Box Cable werden diese
festen öffentlichen IP-Adressen in private LAN-IP-Adressen umgesetzt (siehe Tabelle 3). Gehen
Sie wie in Abschnitt 6.2.2 beschrieben vor.“
Also muss ich meinen „Server“ ins private LAN stellen (192.168.178.X fest zuweisen) und dann der FritzBox sagen, dass sie EINE der öffentlichen auf diese IP per NAT weiterleitet…
Das soll unter 6.2.2 stehen.
Also schau ich da hin: Aha: der Server soll eine Feste IP im privaten Bereich bekommen.
Und dann?
Dann sag ich unter Portfreigabe, welche öffentliche da hin soll (also welcher Port welcher öffentlichen an welchen Port dieser internen soll).
… hab ich das richtig?
Kennt sich da jemand aus?
Ich finde das verwirrend …
Ich würde eher sagen, dass 6.2.3 der richtige Weg ist, die Fritzbox soll ja nur als Router agieren so wie es der letzte Aufzählungspunkt unter 6.2 erklärt.
Das entspräche dann auch dem BelWü-Aubau.
so hab ich das auch gesehen: also habe ich es so eingerichtet … nur geht es halt nicht.
Das seltsame, wenn man dann unter 7 weiter liest ist, dass die da sagen, dass man dem „Server“ eine statische IP zuweisen soll: und dann tippen die da in den Bildern halt eine 192er Adresse ein … und das verstehe ich nicht. Im Oberen Teil des Bildes sieht man aber den „Server“ mit einer öffentlichen (37er) IP … hä??
Siehe Abb. 17 auf Seite 24
Mein „Server“ hängt aber an einem der „besonderen“ Ports … und ich kann auch die FritzBox unter der 40.41.42.9 anpingen …
Beziehst du dich da auf Abb 16 auf Seite 24? Da würde ich die öffentliche IP angeben, es wird davor ja erklärt, dass eine private IP ggf. in ein statische (sie meinen damit öffentliche) geändert werden muss, in der darauf folgenden Abbildung 17 auf Seite 24 hat er ja dann auch eine öffentliche IP (oberer roter Kasten).
D.h. meiner Interpretation nach ist den Sreenshot in Abb16 S. 25 zu falsch bzw. zu früh aufgenommen worden.
Ich nehme an, du meinst damit Port 2 bis 4? D.h. Abbildung 13 auf S. 22 hast du beachtet?
Dein Server hat dabei die IP 40.41.42.10?
D.h. m.E. das öffentliche Subnetz ist korrekt eingerichtet.
Kommt der Server selbst kommt denn ins Internet (Fritzbox 40.41.42.9 ist das Gateway)?
Aber umgekehrt (also vom Internet) kommst du z.B. per ssh nicht auf den Server? Dann fehlen die Portweiterleitungen auf der Fritzbox (und zwar bezogen auf die öffentliche IP des Servers), da die Fritzbox nicht nur als Router sondern auch noch als Firewall agiert.
Probeweise kannst du den Server ja auch als „Exposed Host“ einrichten (Punkt 7.3).
Wenn das klaptt die „Aussetzen” wieder rückgängig machen und die Portfreigaben/Portweiterleitungen machen.
Oben beschreibst Du aber, daß Du die Konfiguration für NAT eingerichtet hast und nicht die Router Methode.
Ich denke die Screenshots in diesem Abschnitt(Portfreigaben) sind sowohl für die Konfiguration unter 6.2.1 als auch 6.2.2 und 6.2.3 gültig.
Ist denn der Port an dem der Switch angeschlossen ist, auch für diese Zugangsart konfiguriert? Kapitel 7.1?
Die Portfreigaben mußt Du auch bei Konfiguration 6.2.3 einrichten, da die FB Firewall sonst nichts durchlässt. Also für jede der möglichen öffentlichen IP-Adressen eine Portfreigabe. Ob man „Exposed Host“ in dieser Konfiguration für mehrere IP-Adressen verwenden kann, weiß ich nicht. Also besser erst mal mit einer einzelnen Portfreigabe für einen einzelnen öffentlichen Host testen.
für Deine Konfiguration sollte das Kapitel 7 relevant sein, nicht Kapitel 6.
Kapitel 6 ist dafür gedacht, dass Du extern ein anderes Netz hast als intern. Also wie zuhause, nur dass Du intern öffentliche IP-Adressen verwendest statt irgendein 192.168-er Netz. Die externe IP der Firtzbox ist dann aber in einem anderen NEtz, und die Fritzbox arbeitet ganz normal als Router.
Du willst aber, dass die Fritzbox selbst nach extern eine IP aus diesem öffentlichen Bereicht hat. Sie arbeitet dann eher wie ein Switch, insofern brauchst Du auch kein NAT und auch keine Portweiterleitung.
Da aber trotzdem die Firewall aktiv ist, musst Du Portfreigaben einrichten, sprich den Zugriff auf die Hosts im „internen“ Netz erlauben.
Eigentlich ist eine Fritzbox das falsche Gerät. Du benötigst einfach nur ein DSL-Modem, an das Du einen Switch hängst und daran dann alle Deine Rechner.
ach so: Vielleicht stimmt das ja gar nicht. Schau doch mal bei den Einstellungen Deiner Fritzbox, ob sie extern eine IP aus Deinem Bereich hat oder nicht.
ach so: Vielleicht stimmt das ja gar nicht. Schau doch mal bei den
Einstellungen Deiner Fritzbox, ob sie extern eine IP aus Deinem Bereich
hat oder nicht.
die FritzBox hat die 40.41.42.9 wie es sein soll.
Mein Server hat die 40.41.42.10 und er kommt nicht ins INternet, weil
die DefaultRoute nicht auf dem Device ist.
Ich kann das aber mal mit meinem Laptop testen.
Ich habe schon kapiert, dass ich das nach Kapitel 7 einrichten muss: ich
habe ja ein Netzwerk und nicht nur eine einzelne öffentliche IP und ich
will ja kein NAT haben: die server sollen ja von außen möglichst einfach
erreichbar sein.
Und ja: der Server hängt an einem „besonderen“ Port: also einem, der
nicht im internen IP Netz der FB hängt (also nciht vom DHCP irgend eine
IP bekommt).
Irgendwas scheint schräg zu sein an der FB: aber von Anfang an.
Ich nehme an, dass es daran liegt, dass da eine alte Config eingespielt
wurde (vor einigen Wochen).
In der Anleitung steht einmal explizit, dass man das nicht machen sollte
sondern auf Werkseinstellungen zurücksetzen sollte.
Ich hab auch das Problem, dass POrt 2 und 3 für das öffentliche Netz
vorgesehen sind: Port 2 hat da aber nie funktioniert (ich konnte
nichtmal auf die 40.41.42.9 pingen, was an Port 3 geht).
Auch rausnehmen und wieder reinnehmen hat nicht geholfen.
Ich werde also die FB am Samstag (oder Morgen Abend) mal auf
Werkseinstellungen zurücksetzen und dann ochmal loskonfigurieren…
Weitere Fragen:
natürlich hab ich die Portweiterleitung (für Port 22 TCP) gemacht
nein, ich will keinen Exposed Host: der Server soll schon hinter der
Firewall der FB sein
ich hatte mal ein Problem mit den Ports meiner Heim-FB, nachdem ich eine öffentliche IP bekommen habe. Ich konnte mir aussuchen, ob die FB selbst diese IP für sich verwendet oder ob diese IP zum Betrieb eines eigenen Servers verwendet werden soll. Die Entscheidung hat sich dann auf die Konfiguration der Ports ausgewirkt. Ich selbst konnte dies aber nicht an der FB einstellen, dies wurde von Vodafone per Fernwartung gemacht.
Vor dem Zurücksetzen auf die Werkseinstellungen ist eine Sicherung keine schlechte Idee. Gleichwohl zweifel ich daran, dass man diese Grundkonfiguration selbst hinbekommt - wünschenswert wäre es natürlich.
ein Port, der schon immer nicht ging - das klingt nicht gut
Der Server benötigt als Gateway vermutlich nicht die Fritzbox, sondern den Rechner, den Dir Vodafone als Gateway mitgeteilt hat. Der müsste auch eine IP aus dem Bereich *.9 bis *.14 haben. Das müsste auch auf der Fritzbox so eingetragen sein, wenn die Ins Netz soll (z. B. für Updates).
Der Server benötigt als Gateway vermutlich nicht die Fritzbox, sondern
den Rechner, den Dir Vodafone als Gateway mitgeteilt hat. Der müsste
auch eine IP aus dem Bereich *.9 bis *.14 haben. Das müsste auch auf der
Fritzbox so eingetragen sein, wenn die Ins Netz soll (z. B. für Updates).
wenn ich sage, dass die 40.41.42.9 die Fritzbox sei, die da auf ping
antworte, so ist das nur eine Annahme.
Mir wurde eben diese IP als Gateway genannt und ich ging davon aus, dass
das die Fritzbox sei …
Zum Updates holen hat die Fritzbox ja auch noch ihr 192.er Netz in dem
sie die 192.168.178.1 hat …
So wie ich das verstehe ist das der Rechner, der auf der anderen Seite des Kabels lauscht und die Pakete weiter ins Netz routet. Das 192.168.178-er Netz ist doch vermutlich nur das interne Netz - damit kommt man erst ins Internet, wenn die externe Anbindung der Fritzbox korrekt konfiguriert ist.
Du müsstest also z. B. der Fritzbox die *.10 für das WAN geben und dort die *.9 als Gateway eintragen. Die *.9 müsste dann auch auf dem Server als Gateway eingetragen werden. Das klappt natürlich nur, wenn nicht die Fritzbox denkt, dass sie die *.9 hat.
So wie ich das verstehe ist das der Rechner, der auf der anderen Seite
des Kabels lauscht und die Pakete weiter ins Netz routet. Das
192.168.178-er Netz ist doch vermutlich nur das interne Netz - damit
kommt man erst ins Internet, wenn die externe Anbindung der Fritzbox
korrekt konfiguriert ist.
nö.
Das 192er Netz ist unberührt von dem ganzen anderen Zeug.
Deswegen mußt du ja einzelne Netzwerkports dem anderen Netz zuordnen.
Alle anderen beliben im 192er Netz und funktionieren wie immer …
ich würde auch sagen, dass für dich der Punkt 7 von der Vodafone Anleitung relevant ist. Du musst dann auf deinem Server die öffentlich zugewiesene IP direkt eingeben mit dem von Vodafone genannten Gateway und DNS Server. Wenn du das /30er Netz hast kannst du nur die mittlere IP für deinen Server benutzen.
ich würde auch sagen, dass für dich der Punkt 7 von der Vodafone
Anleitung relevant ist. Du musst dann auf deinem Server die öffentlich
zugewiesene IP direkt eingeben mit dem von Vodafone genannten Gateway
und DNS Server. Wenn du das /30er Netz hast kannst du nur die mittlere
IP für deinen Server benutzen.
ich hab ein 29er Netz und habe es genau so gemacht wie in Kapitel 7.
Bisher ohne Erfolg.
Jetzt ist erstmal ABI Prüfungen: nächste Woche geht es weiter.
da war ja noch das Problem mit der eventuell falschen IP für die
Fritzbox und dem eventuell falschen Gateway.
Ich würde so vorgehen:
Erst mal sehen, ob die Fritzbox selbst ins Internet kommt (Diagnoseseite
oder Suche nach Firmware-Updates). Alternativ oder als zweiten Schritt,
ob man aus dem normalen internen Netz (192.168.178.x) ins Internet kommt.
Nur wenn das geht würde ich es mit den öffentlichen IPs weiter versuchen.
ich habe Heute der FritzBox einen Werksreset verpaßt.
Danach hab ich wieder die Port 2 und 3 dem öffentlichen Netz zugeordnet
(und natürlich mein Passwort wieder gesetzt und das WLAN ausgeschaltet).
Das gute ist: jetzt erscheint beim Erstellen einer Freigabe der Client
am öffentlichen Netz mit seiner öffentlichen IP bei der Auswahl „Gerät“
(siehe Doku Seite 25 Abb. 19 )
Da hab ich jetzt mal POrt 22 auf 22 weitergeleitet: komme aber von
draußen nicht rein…
ich hab jetzt mal eine VM über die Netwerkkarte, die am „öffentlichen
Port“ der FritzBox hängt raus gebridged und der VM eine IP aus dem
öffentlichen Pool gegeben.
Danach hab ich die VM neugestartet.
Sie tauchte nun mit der vergebenen öffentlichen IP in der FritzBox auf.
Dann hab ich die Portfreischaltung (Port 22) eingerichtet und übernommen
(dann wird das „Lichtlein“ in der Freigabe grün).
Danach kam ich von außen per SSH mit der öffenltichen IP an die VM ohne
Probleme ran.
Also: es geht wohl alles.
Problem ist, wie ich vermutete, dass es beim KVM host nicht
funktioniert, weil der noch „hauptsächlich“ also mit Gateway, über den
BelWü Cisco raus geht.
Die Anfragen kommen wohl an (werden weitergeleitet) aber zurück geht es
über das falsche Netz und kommt dann nicht mehr an.
Deswegen sieht es für meinen ssh Befehl so aus, als antworte der Server
garnicht.
Ich werde also auch an den KVM heran kommen, wenn ich den BelWü Cisco
komplett durch den VOdafon Cisco ersetze: also auch Broadcast, Gateway
und DNS von Vodafon eintrage.
Ich hatte aber eine Wersteinstellungszurücksetzung gemacht.
Vielleicht war das nicht nötig gewesen…
Jetzt kann ich mal nach und nach die Server alle umhängen…
