Kein Zugriff auf Heimnetzwerk von außen (public IP vorhanden)

[Jokeboy]

Problem gelöst, Lösung steht hier:
https://www.computerbase.de/forum/t...en-public-ip-vorhanden.2105781/#post-27364812

-----------------------------------------------------------------------

Schönen Abend euch allen

Ich hatte bis vor kurzem Kabelinternet. Da aber ständig Verbindungsabbrüche passiert sind und der Techniker keinen Fehler entdecken konnte (auch Modemtausch nicht geholfen) habe ich den Vertrag gekündigt und habe jetzt einen LTE Tarif.

Mit dem Kabelmodem konnte ich auf mein Heimnetzwerk zugreifen, da hatte ich eine öffentliche IP angefordert und lief auf Anhieb. Beim jetzigen LTE Tarif habe ich auch eine öffentliche IPv4 angefragt und erhalten (Router IP + IP Abfrage Seiten zeigen die gleiche an). Leider ist es so das ich dennoch damit nicht in mein Heimnetzwerk komme. Per Telefon konnten die mir nicht weiterhelfen, von deren Seite aus "passt alles und ist so angeklickt wie es sein soll". Habe per E-Mail ein ausführliches Ticket geschrieben, aber da das nur ein Discounter Tarif ist wird es eine Weile dauern bis ich darauf eine Antwort bekomme. Obwohl die IP im 92.xx.xx.xx Bereich ist habe ich das Gefühl das ich dennoch im CG-NAT unterwegs bin.

Was ich bereits gemacht habe:

1. Server in die DMZ gestellt
2. Richtigen Ports sind offen und zeigen auf den Server in Netzwerk (wie davor bei Kabel)
3. Modem getauscht. Ich hatte anfangs ein Alcatel HH40 von früher und habe das verwendet. Da der nur begrenzte Möglichkeiten besaß bin ich auf ein TP-Link Archer MR600 umgestiegen. Dahinter ist ein TP-Link Archer C7, bei Kabelinternet davor als Router da Modem im Bridge Modus war, der jetzt als AP dient (über den laufen alle Clients). Der C7 ist allgemein im AP Modus damit keine double-NAT Probleme entstehen
4. Die Domains die auf meinen Server zeigen werden von dem jede Minute mit der aktuellen IP aktualisiert
5. Nur an Modem angeschlossen (um Fehler am AP auszuschließen)
6. NAT-Boost deaktiviert
7. Über diverse Websites versucht das Modem anzupingen. ICMP ist aktiviert für lokal/extern.
8. Wie bereits erwähnt, Support vom Provider kontaktiert

Hättet ihr eventuell noch Ideen an was es liegen könnte? Ich kann mir einfach nicht vorstellen das ich hier einen Fehler habe. Bin zwar kein Netzwerkprofi aber das habe ich dennoch immer zustande gebracht.

Danke!

 

[Hancock]

Richtigen Ports sind offen und zeigen auf den Server in Netzwerk (wie davor bei Kabel)

Woher weißt du das? (Im Sinne: Mglw. denkst du das nur, es ist aber nicht so) Die Ports sind am Server auch offen?

Die Domains die auf meinen Server zeigen werden von dem jede Minute mit der aktuellen IP aktualisiert

Das heißt, dein Server "hat Internet". Mehr aber auch nicht.

Nur an Modem angeschlossen (um Fehler am AP auszuschließen)

Wie hast du die Ports freigegeben? https://www.tp-link.com/us/user-guides/archer-mr600_v1/chapter-10-nat-forwarding#ug-sub-title-1

Ich würde Wireshark auf den Server laufen lassen und schauen, was tatsächlich ankommt und abgeht.

Noch ein Hinweis: Ich kenn einige Geräte, die keinen Loopback können. Dann kann man nicht mit der öffentlichen IP auf den eigenen Server zugreifen. Die Pakete werden an der WAN-Schnittstelle verworfen (da sie an die eigene IP adressiert sind). Da musst du die Erreichbarkeit via Handy o.Ä. prüfen.

 

[Helge01]

Passt der im TP-Link Archer MR600 eingestellte APN mit dem vom unbekanntem Provider für eine öffentliche IP-Adresse angegebene überein? Normalerweise sind das unterschiedliche APNs für CG-NAT oder öffentliche IP-Adresse.

 

[Jokeboy]

Woher weißt du das? (Im Sinne: Mglw. denkst du das nur, es ist aber nicht so) Die Ports sind am Server auch offen?

Das heißt, dein Server "hat Internet". Mehr aber auch nicht.

Wie hast du die Ports freigegeben? https://www.tp-link.com/us/user-guides/archer-mr600_v1/chapter-10-nat-forwarding#ug-sub-title-1

Ich würde Wireshark auf den Server laufen lassen und schauen, was tatsächlich ankommt und abgeht.

Noch ein Hinweis: Ich kenn einige Geräte, die keinen Loopback können. Dann kann man nicht mit der öffentlichen IP auf den eigenen Server zugreifen. Die Pakete werden an der WAN-Schnittstelle verworfen (da sie an die eigene IP adressiert sind). Da musst du die Erreichbarkeit via Handy o.Ä. prüfen.

• Server Ports sind genauso offen wie davor, da hat sich nix geändert.
• Die Ports habe ich genauso freigegeben wie davor beim Archer C7 und Kabelmodem, nur eben beim MR600 jetzt.
• NAT Loopback Problem hatte ich beim Alcatel HH40, das ist beim MR600 nicht der Fall (ich kann mit IP und Domainname auf meinem Server intern zugreifen)

Passt der im TP-Link Archer MR600 eingestellte APN mit dem vom unbekanntem Provider für eine öffentliche IP-Adresse angegebene überein? Normalerweise sind das unterschiedliche APNs für CG-NAT oder öffentliche IP-Adresse.

Ich habe die zwei APNs die ich gefunden habe versucht und mit beiden nicht geht es leider nicht (mit der APN vom Discounter und mit der APN vom Provider der disen Discounter Tarif anbietet). Ich hab noch eine andere APN gefunden die ist aber nur für fixe IPs vorgesehen.

Und stimmt habe ich vergessen zu erwähnen:

• Discounter Tarif: Yesss!
• Hängt im Netz von: A1

 

[wern001]

Hat dein Router eine eigene Öffentliche IP-Adresse?
Bei LTE muss man sich des Öfteren die IP-Adresse mit anderen Teilen (verstecktes NAT) und so Sachen wie Portforwarding gehen nicht.

 

[Jokeboy]

Hat dein Router eine eigene Öffentliche IP-Adresse?
Bei LTE muss man sich des Öfteren die IP-Adresse mit anderen Teilen (verstecktes NAT) und so Sachen wie Portforwarding gehen nicht.

Eine öffentliche IP ist laut Provider bereits vergeben. Router + externe Seiten zeigen die gleiche IP an.

Und ist nicht nur bei LTE, sondern so ziemlich bei jedem Internettarif heutzutage (nennt sich CG-NAT das verfahren)

 

[Raijin]

Obwohl die IP im 92.xx.xx.xx Bereich ist habe ich das Gefühl das ich dennoch im CG-NAT unterwegs bin.

Ohne Kontext sagt das erstmal gar nichts. Wo siehst du diese IP? Auf Seiten wie ping.eu, etc. sieht man immer eine öffentliche IP, egal ob mit oder ohne CGN. Entscheidend ist ob diese IP auch am Router anliegt, also am WAN. Bei CGN hat der Router nämlich entweder eine IP aus RFC1918 (192.168.0.0/16 172.16.0.0/12 10.0.0.0/8) oder 100.64.0.0/10. Letzteres ist der IP-Bereich, der explizit für CGN reserviert ist, um Konflikte mit privaten Netzwerken zu vermeiden.

Leider ist es so das ich dennoch damit nicht in mein Heimnetzwerk komme

Wie testest du das? Tatsächlich über eine separate Internetverbindung oder von innerhalb des Netzwerks? Zwei Paar Schuhe. Nur ein echter Test von außen ist aussagekräftig. Stichwort NAT-Loopback ist bereits gefallen und ist generell nicht empfehlenswert, selbst wenn es funktioniert.

 

[complainerbase]

https://www.damow.net/dealing-with-cellular-broadband-cgnat/

"There is no pretty way around this. That being said, there are solutions that can be implemented for specific applications." (bezogen auf LTE + CGNAT)

Deinerseits liegt keine Miskonfiguration vor - das Problem ist der LTE-Technik geschuldet.
Da kannst du mWn. nicht viel gegen machen außer wieder auf herkömmliches DSL umzusteigen.

 

[Jokeboy]

Ohne Kontext sagt das erstmal gar nichts. Wo siehst du diese IP? Auf Seiten wie ping.eu, etc. sieht man immer eine öffentliche IP, egal ob mit oder ohne CGN. Entscheidend ist ob diese IP auch am Router anliegt, also am WAN. Bei CGN hat der Router nämlich entweder eine IP aus RFC1918 (192.168.0.0/16 172.16.0.0/12 10.0.0.0/8) oder 100.64.0.0/10. Letzteres ist der IP-Bereich, der explizit für CGN reserviert ist, um Konflikte mit privaten Netzwerken zu vermeiden.



Wie testest du das? Tatsächlich über eine separate Internetverbindung oder von innerhalb des Netzwerks? Zwei Paar Schuhe. Nur ein echter Test von außen ist aussagekräftig. Stichwort NAT-Loopback ist bereits gefallen und ist generell nicht empfehlenswert, selbst wenn es funktioniert.

• IP im Router und extern die selbe, steht auch im Text oben
• Teste es über mein Smartphone (nein, es hängt nicht in meinem Heimnetzwerk drin) und auch im Freundeskreis bereits angefragt. Das von intern aus testen nix bringt ist mir wohl bewusst.

 

[Raijin]

Dann logge dich auf deinem Server ein und starte WireShark bzw tcpdump. Sofern die Portweiterleitungen korrekt eingerichtet sind und der Provider des Testclients nichts blockt, sollte an deinem Server etwas ankommen. Wenn nicht, blockt dein Provider. Teste dann andere Ports. Tcp 80/8080/443/8443 sollten eigentlich immer und bei jedem Provider funktionieren.

Just in case: Prüfe deine bestehenden Portweiterleitungen doppelt und lege sie gegebenenfalls neu an.

Ergänzung (1. Oktober 2022)

Die Domains die auf meinen Server zeigen werden von dem jede Minute mit der aktuellen IP aktualisiert

Sagt der Server nur sinngemäß "Ich habe aktualisiert" oder hast du das geprüft?
nslookup ddnsdomain zeigt dir ob die richtige IP hinterlegt ist.

Ansonsten erstmal nur mit der IP testen, ohne die DDNS-Domain, um DNS-Probleme auszuschließen.

 

[Jokeboy]

Dann logge dich auf deinem Server ein und starte WireShark bzw tcpdump. Sofern die Portweiterleitungen korrekt eingerichtet sind und der Provider des Testclients nichts blockt, sollte an deinem Server etwas ankommen. Wenn nicht, blockt dein Provider. Teste dann andere Ports. Tcp 80/8080/443/8443 sollten eigentlich immer und bei jedem Provider funktionieren.

Da muss ich sagen hört es bei mir auf mit dem Wissen. Ich habe den Port 443 überwacht (da läuft Nextcloud darüber) aber außer der Datenhighway vom Provider und jede Minute anfrage/antwort von einem Amazon Server (das wird wohl der Server für das IP update der Domains sein, da jede Minute aufscheint) kommt da nichts.

Sagt der Server nur sinngemäß "Ich habe aktualisiert" oder hast du das geprüft?

Geprüft, auf der Website von Ionos wo die Domains sind.

Ansonsten erstmal nur mit der IP testen, ohne die DDNS-Domain, um DNS-Probleme auszuschließen.

Auch schon versucht, natürlich vergebens.

 

[Jokeboy]

So hier ein Update:

Das Problem war beim Provider Yesss. Obwohl es bei mir gegangen ist, ist eine telefonische public IP anfrage nicht möglich. Man muss deren offizielles Formular verwenden.

Somit für zukünftige die diesen Thread sehen:
Wenn ihr eine Public IP bei Yesss haben wollt, dann müsst ihr das offizielle Formular dafür verwenden (im Anhang) und an deren E-Mail senden. Die Felder Firmenname und UST-ID kann man als privater ignorieren.

 

[Raijin]

Das Problem war beim Provider Yesss. Obwohl es bei mir gegangen ist, ist eine telefonische public IP anfrage nicht möglich. Man muss deren offizielles Formular verwenden.

Ok, dann sind wir alle also hierbei:

IP im Router und extern die selbe, steht auch im Text oben

fälschlicherweise davon ausgegangen, dass diese Thematik damit abgehakt wäre.

 

[Jokeboy]

Ok, dann sind wir alle also hierbei:



fälschlicherweise davon ausgegangen, dass diese Thematik damit abgehakt wäre.

Macht nichts. Mir wurde zwar per Telefon damals eine public IP zugeteilt, aber wenn man es wohl nicht auf offiziellem Weg per Formular macht dann bleiben die Ports beim Provider wahrscheinlich weiterhin gesperrt (keine Ahnung was Provider da alles machen müssen dafür). Dann bringt einem das auch nix wenn man intern/extern die gleiche IP hat.

Aber jetzt ist egal, das Problem gelöst und meine Cloud von außen erreichbar