Fritz!Box Firewall Blockiert trotz Portforwarding

[matthias123456]

Hallo zusammen
Ich möchte eine Vpn Verbindung zu meinem Heimserver einrichten damit ich wenn ich unterwegs bin auch auf Dienste die mir nur in meinem Heimnetz zur verfügung stehen zugreifen kann.

Dazu habe ich einen OpenVpn server eingerichtet und das passende Portforwarding in der Fritzbox freigeschaltet.
nun habe ich Folgendes Problem: Solange ich mich im Heimnetz befinde kann ich eine Vpn Verbindung zum server herstellen. Das funktioniert auch wenn ich die verbindung zu meiner Öffentlichen IP mit passendem Port herstelle.

Also Scenario1:
ich befinde mich im Heimnetz, und Stelle eine Vpn verbindung zu meiner Öffentlichen IP (z.b. 122.33.44.123:12345) her. Das Klappt!

daraus schliesse ich das das Portforwarding eigentlich passt?
Ausserdem wenn ich mit Hilfe von einer Website wie canyouseeme.org überprüfe ob die Ports offen sind sagen die auch das dem so ist.

Dann Scenario2:
ich versuche Die Verbindung Genau wie in Senario1 auf zu bauen, nur befinde ich mich jetzt ausserhalb meines Heimnetzes (Handy hotspot). Das Klappt nicht!!! hier bekomme ich keine Antwort vom Server.

Hat Jemand eine Idee woran dieses Problem Liegen könnte? Meine Theorie Ist das die Firewall der Fritzbox aus Irgend einem Grund trotz portforwarding Verbindungsanfragen von ausserhalb blockiert.
Vielen dank Für eure Hilfe
LG

 

[redjack1000]

Meine Theorie Ist das die Firewall der Fritzbox aus Irgend einem Grund trotz portforwarding Verbindungsanfragen von ausserhalb blockiert.

Das eine nette Theorie, die keinen halt hat, da zu viel von deiner Konfiguration unbekannt ist.

Was für einen Internetprovider nutzt du? Hast Du nativen und/oder IPV6 Zugriff?

Welcher Port ist wohin, mit welchem Protokoll IPv4-V6/TCP/UDP, weitergeleitet?

CU
redjack

 

[Sephe]

VPN kannst du nicht von intern testen - das musst du von außen machen.

Ich gehe davon aus, dass dir CGNAT dazwischen funkt.

 

[till69]

OpenVPN läuft wo? TCP oder UDP? IPv4 oder IPv6?

Meine Theorie Ist das die Firewall der Fritzbox aus Irgend einem Grund trotz portforwarding Verbindungsanfragen von ausserhalb blockiert.

Nein, sofern richtig konfiguriert

Ergänzung (24. Dezember 2022)

Und für den sporadischen Zugriff aufs Heimnetz würde ich eher Wireguard nehmen (Kommt im Januar auf viele Fritzboxen). OpenVPN nur dann, wenn es wirklich aus jedem Netz funktionieren muss (TCP 443)

 

[Wilhelm14]

Wo hast du die IP-Adresse her? Welchen DynDNS Dienst nutzt du? Beim AVM-eigenen DynDNS myfritz.net kann man sich via Browser einloggen und sehen, welche IP-Adresse die Fritzbox hat und vor allem, ob die Adresse ereichbar ist. Da steht dann wortwörtlich z.B. "Nicht aus dem Internet erreichbar".

 

[Raijin]

VPN kannst du nicht von intern testen - das musst du von außen machen.

Das geht prinzipiell schon, wenn der Router das unterstützt.
Bei einer Verbindung aus dem eigenen Netzwerk auf das eigene Netzwerk über das Internet muss der Router NAT-Loopback uunterstützen. Dabei dreht der Router die AUSgehende Verbindung vom VPN-Client im letzten Moment innerhalb des WAN-Ports um 180° und schickt die dann EINgehende Verbindung in seine NAT-Engine inkl. Portweiterleitung und dann zum Server. Der Server sieht dabei als Quell-IP die IP-Adresse am WAN-Port des Routers.
Ohne NAT-Loopback verwirft der Router ausgehende Verbindungen am WAN, die den Router selbst als Ziel haben.

Aber: Sollte man am DNS im lokalen Netzwerk eine DDNS-Domain auf die lokale IP des Servers eingerichtet haben, ginge die VPN-Verbindung direkt vom Client zum Server.


Du hast aber insofern natürlich recht, dass man Zugriffe von außen eben auch von außen testeb muss, eben gerade weil es funktionieren kann oder auch nicht. Nur der reale Praxistest liefert ein verlässliches Ergebnis.

meiner Öffentlichen IP (z.b. 122.33.44.123:12345)

Der Teufel steckt im Detail. Du musst deine öffentliche IP hier nicht nennen, aber es gibt bestimmte Bereiche, die eben auf Carrier-Grade-NAT (kurz: CGN oder CGNAT) hindeuten. Dabei teilst du dir mit anderen Kunden ein und dieselbe öffentliche IP, nämlich die des Providergateways.

Liegt die WAN-IP des Routers (abzulesen im Routermenü bei der Internetverbindung) im Bereich 100.64.0.0 - 100.127.255.255, (in seltenen Fällen auch 192.168.0.0/16, 172.16.0.0/12 oder 10.0.0.0/8) hast du besagtes CGN und kannst via IPv4 gar nicht auf dein Heimnetzwerk zugreifen, mit oder ohne VPN. Dann ginge es nur mittels IPv6.

Ausserdem wenn ich mit Hilfe von einer Website wie canyouseeme.org überprüfe ob die Ports offen sind sagen die auch das dem so ist.

Solche Portchecker sind nur mäßig zuverlässig. Der beste Test ist immer noch die reale Clientanwendung von einem anderen Internetanschluss aus.

 

[matthias123456]

Liegt die WAN-IP des Routers (abzulesen im Routermenü bei der Internetverbindung) im Bereich 100.64.0.0 - 100.127.255.255, (in seltenen Fällen auch 192.168.0.0/16, 172.16.0.0/12 oder 10.0.0.0/8) hast

meine IP beginnt mit 87.... das habe ich unteranderem auch aus meinem Routermenü... sollte also passen und nicht das problem sein.

 

[redjack1000]

Was soll uns das jetzt sagen?

CU
redjack

 

[matthias123456]

I

aber es gibt bestimmte Bereiche, die eben auf Carrier-Grade-NAT (kurz: CGN oder CGNAT) hindeuten.

also so wie ich das interpretiere sollte mein provider nicht das problem sein oder?
ihr habt aber recht ich kann gerade tatsächlich garnicht aus dem internet auf meine fritzbox zugreifen. Ich habe gerade versucht auf die Benuteroberfläche der Fritzbox zu zugreifen (was eigentlich auch über die IP und einen Bestimmten port möglcih sein sollte) aber es hat ebenfalls nicht geklappt. also da muss irgendwo das problem liegen

 

[redjack1000]

Ist das bei Dir aktiv?

Cu
redjack

 

[matthias123456]

ja

 

[redjack1000]

Dann solltest Du Zugriff , von außen auf die FritzBox haben haben. Ist das nicht der Fall, hast Du folgende Möglichkeiten:

1. Falsche Adresse benutzt
2. Der Provider lässt einen direkten Zugriff nicht zu
3. Zugriff von deinem Hotspot nicht möglich.

CU
redjack

 

[ohmsl]

Welche Fritzbox ist vorhanden? Sofern schon möglich, würde ich einfach eine Wireguard Verbindung in der Fritzbox einrichten. Je nach Fritzbox-Modell, muss aktuell ggf. noch die Labor-Firmware dazu benutzt werden.
https://avm.de/aktuelles/2022/wireguard-vpn-war-nie-so-einfach/
https://avm.de/fritz-labor/

 

[matthias123456]

VIelen dank für die ganzen Antworten. Ich hab keine Ahnug was das Problem war aber jetzt Funktioniert auf einmal alles, nachdem ich einmal mit einem anderen Handy versucht habe darauf zu zugreifen Frohe Weihnachten euch!!!!

 

[Raijin]

Das war bestimmt der Geist der Weihnacht