Meine ports scheinen sich nicht zu öffnen

[Tomax_63]

Hallo Zusammen

Mein ISP hat mir ein Huawei-Modem für Glasfaser gegeben und den Modus auf Bridge gestellt, damit ich mit meinem Router (Asrock G10) mein eigenes WLAN und Heimnetzwerk erstellen kann. Soweit funktioniert alles wunderbar.

Jetzt habe ich mit einem fanless MiniPC einen unraid-Server aufgestzt. PiHole und DuckDNS funktionieren auch bestens.

Mein nächster Wunsch ist es nun, ein VPN einzurichten mit dem in Unraid integrierten Wireguard. Ich habe das VPN aufgesetzt, die Einstellungen geben mir an, ich soll den Port 51820 öffnen. Das habe ich gemacht im G10 in der Portweiterleitung. Die Weiterleitung geht wie vorgeschrieben auf die IP des Unraid-Servers, mit der entsprechenden Portnummer.

Leider scheint sich der Port nicht zu öffnen, zumindest geben auch Internettools wie portchecker.co die Meldung, dass der Port geschlossen sei. Ein ping auf meine Internet-IP, auch auf die Duckdns-Adresse xxx.duckdns.org reagiert korrekt.

Was könnte ich falsch gemacht haben?

Ping auf mein duckdns:

PING xxx.duckdns.org (x.x.x.x) 56(84) bytes of data.
64 bytes from 37.131.187.49: icmp_seq=1 ttl=53 time=12.0 ms
64 bytes from 37.131.187.49: icmp_seq=2 ttl=53 time=11.8 ms
64 bytes from 37.131.187.49: icmp_seq=3 ttl=53 time=11.8 ms
64 bytes from 37.131.187.49: icmp_seq=4 ttl=53 time=11.9 ms
64 bytes from 37.131.187.49: icmp_seq=5 ttl=53 time=11.9 ms
64 bytes from 37.131.187.49: icmp_seq=6 ttl=53 time=12.0 ms
64 bytes from 37.131.187.49: icmp_seq=7 ttl=53 time=11.9 ms
64 bytes from 37.131.187.49: icmp_seq=8 ttl=53 time=12.1 ms
64 bytes from 37.131.187.49: icmp_seq=9 ttl=53 time=12.1 ms
64 bytes from 37.131.187.49: icmp_seq=10 ttl=53 time=11.8 ms

--- xxx.duckdns.org ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 4508ms
rtt min/avg/max/mdev = 11.878/11.991/12.151/0.137 ms

 

[SaxnPaule]

Hast du denn eine eigene IPv4 Adresse oder nutzt dein Anbieter CGNAT?

• Es ist in der Regel unmöglich, von einem Anschluss hinter einem CGN einen unter einer IPv4-Adresse erreichbaren Dienst anzubieten, heißt also: Port-Forwarding zu einem eigenen Server ist unmöglich und auch der Router wie z. B. eine Fritz-Box selbst (z. B. mit der eigenen NAS-Funktion) ist aus dem Internet nicht erreichbar.

Hast du es mal per IPv6 getestet?

 

[Tomax_63]

Ich habe eine eigene IPV4 Adresse. CGNAT wird nicht verwendet. Was wäre der Effekt von CGNAT auf mein Problem? Gut oder schlecht?
IPV6 will ich nicht verwenden.

 

[SaxnPaule]

Ich habe eine eigene IPV4 Adresse.

Was sind die ersten beiden Blöcke dieser Adresse?

 

[entest]

Port 51820 klingt nach Wireguard. Das wäre dann UDP. Es gibt zwar UDP-Scanner https://www.ipvoid.com/udp-port-scan/ https://check-host.net/check-udp https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap kann da aber nicht sagen ob die überhaupt funktionieren. UDP gibt ja keine Rückmeldungen wie ICMP-Ping bei TCP.

 

[h00bi]

ch habe das VPN aufgesetzt, die Einstellungen geben mir an, ich soll den Port 51820 öffnen. Das habe ich gemacht im G10 in der Portweiterleitung. Die Weiterleitung geht wie vorgeschrieben auf die IP des Unraid-Servers, mit der entsprechenden Portnummer.

auch als UDP?

 

[Innensechskant]

@SaxnPaule 37.131 ^^

 

[Tomax_63]

Ja, die Weiterleitung ist UDP
Dann würde ein externer Test gar keine Antwort geben?

Ergänzung (21. August 2024)

WOW, IPVoid gibt einen offenen Port an!

 

[h00bi]

Doch klar, der Server sollte ja trotzdem antworten wenn die Wireguard-Anfrage ankommt.
Mach doch mal ein Test-Forwarding für SSH auf den Unraid Server Port 22 TCP und teste von außen ob das passt.

Ich bin mir nicht sicher wie sich das verhält, aber da der Wireguard Server hier nachgelagert im LAN hängt und nicht auf dem Gateway, sollte der Server doch testweise auch aus dem LAN ohne Portforwarding erreichbar sein, oder?

 

[entest]

@Tomax_63 Ich hab gerade gesehen das der nur Müll ausgibt

Wenn ich mich nicht irre kann man UDP so nicht prüfen weil es ja kein "Ack"-Paket gibt wie bei TCP (Ping).

Edit: Ich glaube der Port ist beim TE wirklich nicht offen. Entweder blockt der Provider (was ich nicht glaube) oder an seinem Router ist was falsch eingetragen/aktiviert.

 

[Tomax_63]

Wieso ist das Müll?

 

[entest]

@Tomax_63 Weil Cloudflare sicher keinen Dienst auf Port 1234 laufen hat

Laut Handbuch https://download.asrock.com/Manual/G10.pdf müsste es wohl so aussehen:

Service	Port Range	Port Range	Local IP	Local Port	Local Port	TCP/UDP
VPN	51820	51820	IP vom Unraid	51820	51820	UDP

Ist das Wireguardservice im Unraid auch wirklich aktiv?

 

[Tomax_63]

Ich habe einen eigenen DNS Service Technitium

 

[DeusoftheWired]

Läuft auf dem Unraid-Server vielleicht noch ’ne lokale Firewall, die die eingehenden UDP-Pakete verwirft?

 

[xammu]

Blöde frage, hast du einfach mal versucht dich mit einem Clienten zu deinem Server zu verbinden?

 

[Tomax_63]

Keine weitere Firewall im Unraid.

Ich werde mal mit dem Handy versuche, eine Verbindung zu machen. Bisher habe ich nur Pings probiert.

Ergänzung (21. August 2024)

Sorry, ich bin ein typischer User mit dem gefährlichen Halbwissen....

 

[entropie88]

Ich empfehle dir einfach mal mit nmap die beteiligen Hosts zu scannen.

 

[entest]

@Tomax_63 Du könntest auch "kurzfristig" das Webinterface vom Unraid per Portforwarding aufmachen udn nachsehen ob du dann von extern draufkommst. Wie gesagt nur ganz kurz