FritzBox Portforwarding für udp/53

[SmokySmiley]

Hallo,

ich habe gerade versucht an meinem Router eine Port-Forwarding für UDP Port 53 einzurichten. Dabei will ich Pakete aus dem WAN an einen internen Host (dort ist der port egal) weitergeben, ohne das dabei ausgehendes DNS kaputt geht. Ich besitze selber nur eine FritzBox 7412 und bei der scheint eine solche Regel ignoriert zu werden. Verwende ich einen anderen freien externen Port klappt es.

Theoretisch müsste es funktionieren wenn der lokale dns service nicht direkt auf dem wan-interface lauscht. Mich würde interessieren ob sich anderen Router Modelle identisch verhalten.

Gruß
SmokySmiley

 

[Raijin]

Andere Router verhalten sich anders, ganz einfach.

UDP 53 ist der DNS Port. Eigentlich sollte kein Router am WAN-Port dort aktiv lauschen, weil der DNS-Dienst des Routers ausschließlich im (W)LAN verfügbar sein sollte. Es würde mich ehrlich gesagt sehr wundern, wenn gerade die Fritzboxxen ihren DNS am WAN zur Verfügung stellen.

Es kann dennoch sein, dass die Fritzbox diese Portweiterleitung aktiv unterbindet, eben gerade weil sie am WAN kein DNS zulassen möchte, auch nicht auf einem potentiellen DNS-Server im LAN, quasi als Sicherheitsfeature. Mit dem internen DNS hat das im Prinzip nichts zu tun, solange dieser wie du ja selbst schreibst nicht auch am WAN-Port lauscht (, was er hoffentlich nicht tut).

Ich vermute mal, dass du einen (Open)VPN-Server im LAN betreiben willst und diesen dann von außen über udp 53 zugänglich machen willst? So habe ich das bei mir daheim gemacht, allerdings mit einem Speedport, der die Portweiterleitung anstandslos akzeptiert hat. Ob du an der Fritzbox den vermeintlichen Sicherheitsmechanismus abschalten kannst, weiß mangels eigener Fritzbox nicht. Wenn aber andere Ports funktionieren, würde ich zur Not eben auch auf einen anderen Port wechseln.

 

[SmokySmiley]

Ja, es geht um eine VPN Verbindung. Ich kann halt nur ahnen warum es nicht geht. Selbst das capture feature der fritz box verrät mir nicht warum ich da nichts ankommen sehe.

 

[Raijin]

Ach Moment mal: Die Fritzbox lässt die Portweiterleitung zu, aber es kommt am Ziel-Server nichts an?

Wie genau testest du das? Hast du WireShark am Server laufen und hörst auf den lokalen Port des VPNs oder machst du ganz banal nur einen VPN-Tunnel vom Handy, o.ä. aus, der dann nicht klappt?

Es ist eine Sache ob der Port vom Router nicht weitergeleitet wird oder ob das Ziel den Port quasi ablehnt. Die Firewall des Servers muss Verbindungen auf diesem Port akzeptieren. Check also bitte nochmal die Firewall des Servers ob dort explizit der eingehende Port für das VPN freigegeben ist. Darüber hinaus kannst du mit WireShark gucken ob überhaupt Daten am LAN-Port ankommen.

 

[SmokySmiley]

Ich habe auf ein Mitschnitt auf mit folgendem Link fritz.box/html/capture.html auf meinem router erzeugt und anschließend in Wireshark geöffnet. Bei Portforwarding zb auf 4553 sehe ich dort den Verbindungsaufbau, mit 53 sehe ich nur normales DNS. Auf der VPN-Gegenstelle kommt nur bei port != 53 etwas an.
Ohne tieferen Zugang zum OS der fritzbox kann ich da nichts weiter debuggen.

 

[Raijin]

Hä? Normales DNS? Wenn ein VPN auf Port 53 läuft, hat das trotzdem nix mit DNS zu tun abgesehen von der Portnummer. Ist schwierig zu beurteilen was du da siehst bzw. was passiert/nicht passiert, ohne einen Blick auf das capture file werfen zu können

 

[Uridium]

Vielleicht liegt es am 'DNS Rebind' Schutz.

Die DNS-Auflösung für Domainnamen, die auf private IP-Adressen im FRITZ!Box-Heimnetz verweisen, ist über die FRITZ!Box nicht möglich. Dadurch ist über den Domainnamen kein Zugriff auf Serverdienste im FRITZ!Box-Heimnetz möglich.
https://avm.de/service/fritzbox/fri...floesung-privater-IP-Adressen-nicht-moeglich/

 

[Raijin]

Das kann damit eigentlich nicht wirklich etwas zu tun haben. Wie gesagt, wir reden über den DNS Port und nicht den eigentlichen DNS Service. Nur die Tür ist gleich, aber die Funktion des Raumes dahinter eine gänzlich andere.

@SmokySmiley : Kannst du mal auf dem VPN-Server WireShark bzw. tcpdump laufen lassen und gucken ob dort etwas ankommt? Du sprichst beim Fritz-Capture nur davon, dass du keinen Verbindungsaufbau siehst, aber das ist bestenfalls mehrdeutig. Verbindungsaufbau impliziert nämlich auch Antworten des Servers und die können aus anderen Gründen ausbleiben.

Auf welchem Port läuft der Server denn lokal? Änderst du den Port immer mit damit du im Router den Port 1:1 weiterleiten kannst (zB extern 53 --> lokal 53) oder bleibt der Server-Port immer gleich und du arbeitest mit Port Translation (zB extern irgendwas --> lokal 1194)?

Erstmal muss geklärt werden ob das Problem tatsächlich bei der Portweiterleitung an sich liegt oder ob es am Ende am Server liegt.

 

[SmokySmiley]

Hi,

ich werde das vlt nochmal mit einem Laptop von "außen" machen. Bisher habe ich nur MEldung vom Handy, dass er Pakete verschickt, und sehe auf der Fritzbox nichts ankommen. Könnte damit auch irgendwo dazwischen verloren gehen. Intern habe ich ja volle Kontrolle und sehe mit tcpdump auch wenn etwas die Fritzbox passiert. Da sehe ich halt bei Verwendung von udp/53 als Port nichts. Der Server sollte nicht das Problem sein.

 

[SmokySmiley]

mit Port 54 aus einem Hotel WLAN geht es, Port 53 nicht

 

[till69]

Wenn OpenVPN wirklich von überall funktionieren soll, würde ich zwei Server laufen lassen:

1. UDP auf beliebigen Port, Standard 1194 oder z.B. 123 (NTP) ... Traffic auf 53 wird zu häufig "abgefangen"
2. TCP auf Port 443, um wirklich an jeder Firewall vorbei zu kommen. (TCP ist etwas langsamer als UDP)

 

[Raijin]

Traffic auf 53 wird zu häufig "abgefangen"

Kann ich absolut nicht bestätigen. Woraus schließt du das? Eigene Erfahrung? Ich bin beruflich viel unterwegs (meistens DACH, NL, Skandinavien) und UDP 53 war noch nie geblockt, weder in den Hotels noch in den Firmen.

 

[till69]

Ja, selbst probiert, einige Hotels in USA sowie ein paar Kreuzfahrt-Schiffe. UDP geht oft, aber eben nicht immer. Deshalb TCP 443 als Backup

 

[Raijin]

TCP 443 als Backup ist ok, hab ich auch, aber UDP 53 kann ich nach wie vor nicht bestätigen. Allein im letzten Jahr ca. 20 Hotels + Fabriken.

Ob Kreuzfahrtschiffe nu aussagekräftig sind, sei mal dahingestellt.

Naja, egalski, jeder macht seine eigenen Erfahrungen.

 

[till69]

Wenn man TCP 443 als Backup hat, ist eigentlich völlig egal welchen UDP Port man nimmt.