Myfritz-Adresse nur von außen erreichbar

[n0bbi]

Hallo zusammen,

Ich habe ein kleines Problem mit meiner Myfritz-Adresse. Diese funktioniert nur, wenn ich sie außerhalb von meinem Heimnetz verwende. Das ist bei vielen Apps denkbar ungünstig, weil ich nicht jedes Mal die Myfritz-Adresse mit meiner internen IP austauschen möchte um diese nutzen zu können.

Ist das Verhalten normal? Falls ja, wie löst ihr das?

Vielen Dank

 

[h00bi]

Ist das Verhalten normal?

Ja, völlig normal.
Du müsstest ja sonst über deine Leitung raus ins Netz und vom Netz aus wieder auf deine Leitung.

Einfachste Lösung: Mim Smartphone über UTMS/LTE drauf zugreifen, das hat ja ne eigene, andere Internetadresse.

Falls ja, wie löst ihr das?

bei einem PC könntest du die hosts Datei manipulieren.
Bei einem Handy keine Ahnung. vielleicht über die DNS Einstellungen der Fritzbox?

 

[n0bbi]

Das Verhalten ist bei einem Dyndns Anbieter (no-ip.info) aber nicht so. Hier kann ich intern wie extern die Dyndns Adresse verwenden. Ich würde halt trotzdem gerne bei Myfritz bleiben, da kostenlos

In meinen meist genutzten Apps lassen sich glücklicherweise verschiedene Profile anlegen, aber als Dauerlösung gefällt mir das auch nicht wirklich.

 

[BlubbsDE]

Gibt auch genügend gute und kostenlose DynDNS Anbieter ohne Gängelung. zB dieser hier, auch ein deutscher Dienst.

https://dynv6.com/

 

[Wilhelm14]

Da muss ich widersprechen.
Ich kann auch aus dem LAN/WLAN der entsprechenden Fritzbox auf diese über die*.myfritz.net zugreifen. Das geht sogar bei deaktiviertem Menüpunkt "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert". (Was korrekt ist, da ich ja aus dem LAN/WLAN zugreife).

Was für einen Internetanschluss hast du und wie ist der aufgebaut? Ich denke da an Sachen wie Routerkaskaden (mehrere Router), IPv4, IPv6, Dualstack (oder gerade eben kein echtes Dualstack).
Hast du mal mit der Adresse variiert? Also http://*.myfritz.net, https://*.myfritz.net, oder statt *myfritz.net die WAN-IP http://*123.123.123.., https://*123.123.123..

 

[foolproof]

Ja, völlig normal.

Wie kommst du denn darauf?!

Nein, das ist nicht normal. Mach mal ein nslookup auf deine Adresse, und schaue, was da rauskommt.
Bei mir ist das auch nicht so. Klar geht der Traffic einmal ins Internet, und einmal wieder zurück, wenn der Netzbetreiber das nicht entsprechend managed, aber das kann dir ja egal sein und ist auch nicht die Frage.

 

[Raijin]

nslookup ist was völlig anderes. Per nslookup fragt man einen DNS nach der WAN-IP einer Domain - auch DDNS Domains. Das hat aber 0,garnix mit einem Verbindungsaufbau von innerhalb/außerhalb des Netzwerks zu tun.

Wenn man hinter einem NAT auf die externe IP zugreift, muss der Router NAT hairpin bzw NAT loopback unterstützen. Ist das nicht der Fall bzw es ist nicht aktiviert, laufen Pings bzw sonstige Verbindungen ins Leere. "Raus und wieder rein" ist nämlich nicht so trivial wie man denkt. Bei besagtem NAT loopback verlassen die Pakete den Router nämlich gar nicht, sondern werden wieder direkt in die WAN_in Pipeline eingeschleust und durchlaufen dort eben auch die Portweiterleitung. Der Provider sieht kein einzelnes Bit davon.

Ohne NAT loopback passiert das nicht und der Router verwirft die Pakete.

Ich meine, Mal gelesen zu haben, dass AVM das u.a. unter der Bezeichnung DNS-Rebind-Schutz oder so ähnlich führt. Hab keine Fritzbox und kann das daher nicht verifizieren.

 

[Wilhelm14]

Die Fritzbox muss also NAT-Loopback können, sonst würde es bei mir ja nicht gehen. Firmware 6.51. Siehe auch zweiter Absatz (der Rest ist irrelevant). https://www.heise.de/forum/heise-on...er-in-allen-Fritz-Boxen/posting-4091279/show/
Und der Rebind-Schutz soll bei AVM verhindern, dass eine DNS-Anfrage auf eine lokale IP stattfindet.
https://avm.de/service/fritzbox/fri...floesung-privater-IP-Adressen-nicht-moeglich/

Das dürfte beim Thema hier nicht der Fall sein. Bei *.myfritz.net sollte der DNS auf die WAN-IP zeigen und nicht auf eine lokale IP.

Des Rätsels Lösung ist das allerdings nicht.

 

[n0bbi]

Hallo,

danke für die Antworten. Ich besitze eine Fritzbox 7490 mit FritzOS 6.60.

http://*.myfritz.net
https://*.myfritz.net
*.myfritz.net

Das alles läuft auf einen Timout hinaus, egal ob per Handy (WLAN) oder PC (LAN).

Allerdings kann ich einen Ping von meinem PC auf *.myfritz.net ausführen und bekomme von meiner externen IP eine Antwort.


Im Konfigurationsmenü in der Fritzbox ist mir nun allerdings etwas aufgefallen. Unter Internet => Freigaben => Fritzbox-Dienste gibt es unter andere zwei Bereiche.

1. Unter diesen Adressen ist Ihre FRITZ!Box aus dem Heimnetzwerk über HTTPS erreichbar.
[PLAIN]https://fritz.box:48854[/PLAIN]
[PLAIN]https://192.168.178.1:48854[/PLAIN]

2. Unter diesen Adressen ist Ihre FRITZ!Box aus dem Internet erreichbar.
[PLAIN]https://***.myfritz.net:48854[/PLAIN]
[PLAIN]https://***.no-ip.info:48854[/PLAIN]
[PLAIN]https://111.111.111.111:48854[/PLAIN]

Ändern kann ich an diesen Einträgen jedoch nichts.


[EDIT]
Dank einiger Schlagwörter hier konnte ich wenigstens gezielter suchen (NAT Loopback, DNS-Rebind-Schutz, ...) und habe auch einige interessante Antworten gelesen. Anscheinend handelt es sich hierbei um ein Feature, das aus Sicherheitsgründen so gewollt ist.
Laut AVM (https://avm.de/service/fritzbox/fri...floesung-privater-IP-Adressen-nicht-moeglich/) müsste ich doch dann nur myfritz.net bei den Domainausnahmen eintragen oder? Weil das leider auch nicht funktioniert. (*.myfritz.net, https://*.myfritz.net, ... habe ich ebenfalls durchprobiert)

 

[Wilhelm14]

Der Hinweis im AVM-Link bezieht sich darauf, wenn der DNS auf eine lokale IP zeigt. Das dürfte nicht der Fall sein. Der DNS müsste auf die WAN-IP zeigen. Der AVM-Link sollte irrelevant sein. Ich habe z.B. in der Tabelle zum Rebind-Schutz gar nichts stehen und bei mir geht alles.

Den no-ip Eintrag solltest du im Menüpunkt Dynamic DNS einstellen können. Du hast also mehrere DynDNS eingerichtet, myfritz ist einer, no-ip auch. Wo jetzt die 111.111.111.111 herkommen, kann ich nicht sagen. Vielleicht kannst du das auch unter Dynamic DNS löschen.

PS: Zusätzlich würde ich deinen Port 48854 beäugen. Ist der so gewollt?

 

[Raijin]

Wie ist denn die Portweiterleitung und die Firewall konfiguriert? Beim Loopback geht der Traffic zwar nie wirklich ins www, aber trotzdem durchlaufen die Pakete die NAT- sowie Firewall-Regeln so als kämen sie aus dem www. D.h. etwaige Whitelists für die Quelle - zB Zugriff nur von der Firmen-IP aus - greifen hier auch..

 

[n0bbi]

Sorry, durch die 111.111.111.111 habe ich meine IP maskiert, da steht natürlich meine öffentliche aktuelle IP.

Portweiterleitung nutze ich ebenfalls, Port 80 und Port 48854 werden allerdings nicht weitergeleitet und sollten doch damit eigentlich auf der Fritzbox landen.

Ein nslookup ergibt übrigens folgendes:

C:\Users\Marco>nslookup ***.myfritz.net
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    ***.myfritz.net
Address:  79.***.***.***

Die IP hier stimmt ebenfalls, was mir diese incht autorisierte Antwort sagen soll, weiß ich nicht. Wenn ich die IP im Browser eingebe, passiert übrigens auch nichts... Ich bin mit meinem (eh schon mangelhaftem) Latein am Ende

 

[Uridium]

Warum nicht einfach einen festen/lokalen DNS Eintrag in der Fritzbox (hosts, dnsmasq, unbound...), der auf die lokale Adresse zeigt?
Edit: Macht sie doch sogar automatisch.
http://blog.lobraun.de/2015/05/03/static-ips-and-dns-names-for-devices-in-your-home-network

Oder verstehe ich da gerade was falsch....

 

[Wilhelm14]

Da könnte man natürlich auch mal gucken, irgendwas muss ja verstellt sein.
Allerdings muss man gar keine Ports weiterleiten. Das macht man ja nur, wenn man von außen etwas im Heimnetz erreichen will. Und bei myfritz erreicht man den Router erstmal nur von außen an seiner WAN-IP und nichts weiter hinten im Heimnetz. Der ganze Portweiterleitungskram und Rebind-Schutz ist ja nur für Server im Heimnetz gedacht. Die Fritzbox erreicht allerdings man direkt am WAN-Port.

Ich weiß nicht wie du einmal 48854 als Portweiterleitung eingerichtet hast aber nicht weiterleitest und warum die FB meint, sie wäre auf 79.*.*.*:48854 erreichbar.

Blöde Frage, wenn du die Adresse aufrufst, gibst du auch manuell den Port an, ja? Also 79.*.*.*:48854 oder *.myfritz.net:48854

 

[Raijin]

Ach jetzt klingelts, du willst auf die Fritzbox zugreifen? Ich denk die ganze Zeit du willst zB auf ein NAS zugreifen, aber nicht stândig zwischen lokalem und entferntem Zugriff wechseln...

Router aus dem WAN zugreifbar zu machen, ist nicht ohne Risiko, würde ich persönlich nie machen.. zumindest nicht mit Consumergeräten.. Evtl. gibt es da ein separates Sicherheitshäkchen?

 

[n0bbi]

Entschuldigt bitte, dass ich mich so umständlich ausdrücke, ich bin schon lange nicht mehr so tief in der Materie drin

Ich will letztendlich schon auf mein NAS, Raspi, etc. zugreifen und das halt am besten über die myfritz-adresse. Soweit ich das jetzt verstehe, wird die Adresse auch richtig aufgelöst (nslookup liefert die richtige WAN-IP), die Fritzbox verweigert aber darauf zu reagieren. Ich komme also nicht mal aus dem LAN mit der WAN-IP auf meine Fritzbox. Sobald das klappt, sollten ja auch meine Port-Weiterleitungen zu den Endgeräten im lokalen Netz funktionieren oder?

Und wie gesagt, aus dem Internet funktioniert alles wie gewünscht.

Aus dem Internet:
*.myfritz.net klappt
79.***.***.*** klappt

Aus dem Heinnetz:
*.myfritz.net klappt nicht
79.***.***.*** klappt nicht
192.168.178.1 klappt

 

[Raijin]

Direkte Zugriffe und Weiterleitungen sind zwei Paar Schuhe, weil sie intern andere Wege gehen. Das Verhalten kann also jeweils anders sein.

 

[n0bbi]

Okay, das wusste ich nicht... Dann würde ich mich erstmal auf die Fritzbox konzentrieren, weil ja auch zum weiterleiten muss zumindest das schon mal funktionieren.

Ich weiss schon gar nicht mehr was ich noch googeln könnte

 

[Uridium]

Von innen sollte die Fritzbox nicht die externe IP ansprechen. Die Adresse nas.myfritz.net wird von außen via externem DNS Server zur externen IP aufgelöst und von innen wird die lokale IP aufgelöst (1 Gerät, 2 Netze, 2 IPs). Warum sie das in deinem Fall nicht macht, ist unklar. Du hast entweder etwas verstellt oder das Gerät der Box nicht bekannt macht. Die Adresse muss als Rebind Ausnahme eingetragen werden, damit sie überhaupt als lokale Adresse aufgelöst werden darf.

 

[Wilhelm14]

Wenn du von außen, also z.B. per Mobilfunk die Fritzbox erreichts, ist das schon mal gut.
Taucht das Problem im WLAN/LAN nur mit dem PC auf oder auch mit anderen Geräten?
Wenn mit PC und Nexus, dann würde ich auch auf den Router und seinen Einstellungen tippen.

Hardcore-Variante: Sämtliche Freigaben, Filter, Portweiterleitungen löschen.
Super-Hardcore-Variante: Router zurücksetzen und nach und nach neu einrichten. Dazu musst du die Internetzugangsdaten haben, evtl. die VoIP-Daten usw.

PS: Ich würde erstmal nur damit anfangen, alles aufzuräumen. Nur myfritz und nicht noch no-ip gleichzeitig. Keine Weiterleitungen, die erstmal löschen.