Port Forwarding funktioniert plötzlich nicht mehr wie vorher

[UnBreakable]

Hallo zusammen,

ich habe seit längerer Zeit das Problem, dass mein Port Forwarding nicht mehr so funktioniert, wie es schon mal funktioniert hat.
Leider kann ich nicht mehr sagen seit wann und ob eventuell ein Update des Router dazu geführt hat, weil ich die Funktion längere Zeit nicht mehr nutzte.

Da von meinem Anschluss außerhalb meines Heimnetzes der Port 22 nach außen gesperrt war, habe ich bei meiner Fritzbox 7390 die Port 8080 von außen auf den Port 22 intern durchgereicht.

Dies hat wie bereits angesprochen auch lange Zeit funktioniert. Nun komischerweise nicht mehr.
Ich habe diese Regel auch gelöscht und neu angelegt: ohne Erfolg

Wenn ich von Port 22 auf internen Port 22 durchreiche funktioniert alles ohne Probleme.

Wurde hier bei einem Fritzbox Update irgendetwas geändert, oder hat jemand eine Idee, woran es liegen könnte?

Vielen Dank im Voraus!

 

[chrigu]

was ist das für ein komischer provider, der port 22 sperrt?
wohnheim, wg, hotel?

 

[Raijin]

Hast du mal einen anderen Port als 8080 von außen auf 22 geleitet? zB 12345? Es kann sein, dass bestimmte Ports vom Router selbst beansprucht werden. Keine Ahnung ob die Fritzbox das macht, aber möglich wäre es.

 

[^R4iD]

@Raijin

jeder Router nutzt Ports die vermeintlich "frei" sein sollten.. siehe VPN bei FritzBoxen..

 

[UnBreakable]

@ chrigu: Es sperrt hier nicht der Provider. Es sind nur sehr vereinzelte Ports offen.
@ Raijin: Auch mit einem anderen Port klappt es nicht mehr. (Also geprüft habe ich Port 443 und Port 12345). Es scheint so als ob bei der Fritzbox nur noch von Port 22 auf 22 funktioniert und nicht mehr von Port 12345 auf Port 22.

Ergänzung (12. Dezember 2016)

Habe gerade folgendes getestet:
Auf meinem Server umgestellt, dass dieser auf Port 443 horcht und nicht mehr auf Port 22.
Port Forwarding im Router eingestellt, dass Port 443 intern auf Port 443 geleitet wird.
So klappt das ganze. Nun könnte das natürlich an meinem Server liegen, oder an der Fritzbox die das plötzlich nicht mehr kann.

Kann es sein, dass mein Linux-Server aus irgendeinen Grund plötzlich erkennt, dass der Port "umgebogen" wurde?

 

[Raijin]

@Raijin

jeder Router nutzt Ports die vermeintlich "frei" sein sollten.. siehe VPN bei FritzBoxen..

Nö, absolut nicht jeder.


@Unbreakable: Nein, der Server kann nicht beurteilen ob das Paket auf dem Weg per (D)NAT verändert wurde (zB Zielport). Du könntest aber zB mit "tcpdump tcp and dst port 22" gucken ob überhaupt Traffic am Server ankommt.
Was mich wundert ist, dass eine 1:1 Weiterleitung deinen Aussagen zufolge funktioniert. Technisch gesehen ist eine Portübersetzung nichts anderes. Eine Portweiterleitung ist ein bestimmtes DNAT (Destination NAT) und statt nur die IP zu ändern wird eben einfach auch der Port geändert, dasselbe Prinzip.

Gibt's evtl einen Haken zum Anklicken "Port translate" oder so? Im Büro hab ich nen alten Netgear stehen und da muss man den Haken explizit setzen, wenn man den Port auf einen anderen umleiten will.

 

[Clcreative]

@ chrigu: Es sperrt hier nicht der Provider. Es sind nur sehr vereinzelte Ports offen.
@ Raijin: Auch mit einem anderen Port klappt es nicht mehr. (Also geprüft habe ich Port 443 und Port 12345). Es scheint so als ob bei der Fritzbox nur noch von Port 22 auf 22 funktioniert und nicht mehr von Port 12345 auf Port 22.

Ergänzung (12. Dezember 2016)

Habe gerade folgendes getestet:
Auf meinem Server umgestellt, dass dieser auf Port 443 horcht und nicht mehr auf Port 22.
Port Forwarding im Router eingestellt, dass Port 443 intern auf Port 443 geleitet wird.
So klappt das ganze. Nun könnte das natürlich an meinem Server liegen, oder an der Fritzbox die das plötzlich nicht mehr kann.

Kann es sein, dass mein Linux-Server aus irgendeinen Grund plötzlich erkennt, dass der Port "umgebogen" wurde?

Nein, für deinen internen Server ist PAT nicht erkennbar.

Du kannst das ganz easy mit Telnet + tcpdump oder Wireshark analysieren ob eine Verbindung rein kommt und ob sie beantwortet wird.

 

[UnBreakable]

1:1 funktioniert:


Wenn ich bei "von Port" und "bis Port" z.B. 8080 eintrage, funktioniert es nicht mehr.
Das komische ist vor allem, dass dies schon mal funktionierte.
Mehr kann ich leider nicht einstellen.

Ich versuche das mit TCP Dump mal hinzubekommen.

Ergänzung (13. Dezember 2016)

So, ich habe jetzt auch tcpdump den Netzwerkverkehr beobachtet.
Wenn ich 1:1 forwarde sehe ich von meiner (externen) IP-Adresse eine Menge Datenverkehr und es funktioniert auch.
Sobald ich von Port 8080 in dem Beispiel auf Port 443 forwarde, kommt bei meinem Server komplett gar nichts an.

Somit ist der Fall schon mal klar, dass es an der Fritzbox liegt, oder?
Es wird dann wahrscheinlich seit einem Update nicht mehr funktionieren.

 

[Raijin]

Hm.. An dieser Stelle bin ich mangels eigener Fritzbox raus. Port Translation ist selbst auf meinem Speedport kein Problem - und das will bei den Kisten bekanntlich etwas heißen. Warum die Fritze das nu nicht mehr macht kann ich nicht beurteilen. Geht's denn bei den anderen Fritzianern hier?

 

[chrigu]

du kannst standard-ports nicht "überschreiben"...
20,21,23,80,443 sind allgemeine ports die von überall erreichbar sind. (guggsdu standardports liste im internet)

 

[Raijin]

Mag sein dass das bei FritzBoxen nicht geht, aber das ist keineswegs allgemeingültig. Selbst in meinem Speedport kann man ohne Probleme 53, 80 und 443 inkl Port Translation weiterleiten. Mein VPN läuft zB extern auf 53 und 443 und intern auf OpenVPN Standardport 1194.

 

[UnBreakable]

@ chrigu: Woher weißt du das? Kann man dies irgendwo nachlesen? Es hatte wie gesagt auch schon funktioniert, darum ist meiner Vermutung auch ein Update der Fritzbox. Ich werde heute Abend mal schauen, ob es ein neues Update gibt, vllt. ist das "Problem" dann behoben.

 

[chrigu]

wäre ja echt blöd, wenn eine malware den port 443 (SSL) an ein anderen port weiterleitet und dort ausliest, oder?

 

[UnBreakable]

Ok, ich habe soeben getestet ob es denn mit "nicht Standard Ports" funktioniert.
Port 12345 auf Port 12344 funktioniert.

Das heißt durch ein Update wurden von der Fritzbox diese Standardports wahrscheinlich "ausgeschlossen". Wahrscheinlich auch wegen Thema Sicherheit, wie du sagst.
Da kann man wohl nichts machen.
Aber die Fritzbox könnte dann wenigstens eine Meldung bringen, wenn man dies entsprechend konfiguriert O.o

 

[chrigu]

frag den support von avm.de ob es eine möglichkeit gibt den 443 zu entsperren.

 

[Raijin]

Das ist in meinen Augen von AVM so nicht richtig. Als Sicherheitsfeature kann man das nicht wirklich bezeichnen. Ich bin zwar kein Freund von "Security by obscurity", aber das Ändern eines Ports auf einen Nicht-Standard-Port wird häufig gemacht - auch für Systemports <1024. Gibt genug Leute, die zB ihren SSH-Zugang von außen nicht via tcp 22, sondern zB tcp 2222 oder so erreichen.

Was AVM mit dieser Maßnahme erreicht, ist, dass man in so einem Fall auch den Port auf dem Server von 22 auf 2222 ändern muss. Das wiederum IST ein Sicherheitsrisiko, weil (zumindest bei Linux) Ports <1024 nur von root geöffnet werden können, während auf 2222 jede x-beliebige Malware ohne Rechte einen Dienst einrichten kann, der zB SSH imitiert und so sensible Daten ausspähen könnte.