Portfreigabe am TC CH7485E nicht möglich

F!r3f0x

Lieutenant
Registriert
Dez. 2006
Beiträge
987
Ich möchte gerne für eine VPN Verbindung am TeleColumbus CH7485E Ports freigeben. Nun hab ich mich über den Webzugriff auf das Gerät eingeloggt und die Daten eingegeben die ich brauche.

Leider bekomme ich immer die Fehlermeldung
"Fehler beim Umwandeln eines oder mehrerer Einträge: Die Regel gibt es bereits"

Die IP 192.168.0.13 ist die interne IP der Synology NAS. Bei den Ports handelt es sich um einen L2TP VPN mit den Freizugebenden Ports UDP 1701, 500 und 4500.

Die Fehlermeldung stimmt aber leider nicht, da so eine Portfreigabe nicht existiert. Ich habe mehrere Varianten probiert und auch versucht einen fiktiven Port (welcher nichts mit dem VPN zu tun hat) freizugeben. Funktioniert leider alles nichts. Im Handbuch (LINK; S. 30 ff.) ist die Portfreigabe erklärt, aber genauso hab ich es ja gemacht. Die Fehlermeldung wird nicht beschrieben.

Hat jemand einen Tipp für mich?
 

Anhänge

  • 16022021_858.png
    16022021_858.png
    70,2 KB · Aufrufe: 438
  • 16022021_859.png
    16022021_859.png
    61,9 KB · Aufrufe: 375
  • 16022021_860.png
    16022021_860.png
    47,1 KB · Aufrufe: 369
  • 16022021_861.png
    16022021_861.png
    79,6 KB · Aufrufe: 520
Hast Du eine öffentliche IPv4? Wenn nein (DS-Lite), sind nur IPv6 Freigaben möglich.
 
Ich hab mit der Synology auch eine interne IPV6 Adresse
2a02:2450:1011:9c1:211:xxxx:xxxx:xxxx

Die hab ich aber auch probiert, leider bekomme ich denselben fehler.

Wenn ich auf wieistmeineip.de gehe steht dort

Ihre IP-Adresse lautet:​

5.28.1xx.xxx

Ihre IPv6-Adresse lautet:
nicht vorhanden

Im Router selbst im Reiter "Internet" sind einige Daten zu finden.
Da steht u.a.

IPv6-Adresse:
fe80::ae22:5ff:xxxx:xxxx/64
2a02:2450:1:1000:c5e4:xxxx:xxxx:xxxx/128

Ich weiß um ehrlich zu sein nicht, ob der Anschluss DS-Lite hat oder nicht. Das wäre auch noch eine Option die ich irgendwie herausfinden muss. Bisher wusste nicht nicht, dass es den Anbieter PYUR in Berlin überhaupt gibt :-)
 
Wie lautet die ip im Router unter wan/Provider. Ist es nicht dieselbe wie wieistmeineip hast du ds-lite
 
Pyur nutzt, soweit mir bekannt, CG-NAT-Adressen, die aber 1:1 mit einer jeweils öffentlichen IP-Adresse geNATet werden. Man hat also eine öffentliche Adresse, die kann man aber "nicht sehen".
Die "eigenen" Router sind kompletter Müll und z.B. Portweiterleitungen funktionieren nicht. Das Einzige, was bei mir seinerzeit geholfen hat, war die Option DMZ, also alles an einen "exposed host" weiterzuleiten. Dieser sollte dann natürlich mittels Firewall ausreichend geschützt werden...
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
Das Einzige, was bei mir seinerzeit geholfen hat, war die Option DMZ, also alles an einen "exposed host" weiterzuleiten. Dieser sollte dann natürlich mittels Firewall ausreichend geschützt werden...
Das muss ich etwas präzisieren, weil es sonst gefährlich werden kann.

Bitte nicht einfach an "einen exposed host" weiterleiten, sondern ausschließlich an einen nachgelagerten Router bzw. eine Hardware-Firewall (pfSense, SophosUTM, FortiGate o.ä.)! Wer sein NAS als exposed host im Router einträgt, hängt buchstäblich alle vom NAS angebotenen Dienste ins www, auch jene, die gar nicht für das www gedacht sind! Die Firewall-Fähigkeiten eines NAS sind stark begrenzt, weil es eben kein Router ist. Im schlimmsten Fall kann man die interne Firewall des NAS also gar nicht ausreichend konfigurieren, um unerwünschte Zugriffe zu blockieren.

Also nochmal in aller Deutlichkeit: Exposed host ausschließlich an einen Router weiterleiten, nicht an ein NAS, einen beliebigen PC oder sonstwas.


Zum eigentlichen Problem: Fehlermeldungen können durchaus "ungenau" sein. Es muss nicht zwingend so sein, dass die eingetragene Regel tatsächlich schon existiert, was auch arg unwahrscheinlich ist, wenn du sie nicht vorher schon mal angelegt hast. Möglich ist aber, dass der Router selbst auf den eingetragenen Ports Dienste laufen hat - in diesem Falle eine eigene VPN-Funktion. Ports sind je Gerät einzigartig, das heißt sie können entweder vom Router selbst genutzt oder genau an ein einzelnes Ziel weitergeleitet werden. Prüfe daher ob der Router eine VPN-Funktion hat, und wenn ja, deaktiviere sie und versuche es erneut.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Bob.Dig schrieb:
Die "eigenen" Router sind kompletter Müll
Werden ja nicht umsonst an die Kunden weitergegeben. Hauptsache funktioniert. 99% der Menschen sehen das Webinterface eh nie. Für mich als Poweruser trotzdem sehr ärgerlich, da das ganze unnötig mit weiteren Kosten verbunden ist. Die AVM Geräte haben auch ihre schwächen, aber sie tun wenigstens das was sie sollen und man kann auch vieles einstellen etc.

chrigu schrieb:
Wie lautet die ip im Router unter wan/Provider.
Unter dem Begriff "WAN" finde ich erstmal nichts. Stehen halt viele IPV4 und IPV6 Adressen im Übersichtsmenü drin. Weiß jetzt leider immer noch nicht, ob der Anschluss DS-Lite hat oder nicht. Es müsste sich bei dem Anschluss eigentlich auch um einen Business Tarif handeln (nicht von mir geprüft!).
16022021_858.jpg

Bob.Dig schrieb:
Option DMZ, also alles an einen "exposed host" weiterzuleiten
Da muss ich @Raijin zustimmen. Das werde ich denke ich nicht machen. Ich konnte gestern Abend noch erfolgreich die Portfreigaben anlegen. Im Anhang hab ich das mal hinterlegt. Werde heute im Laufe des Tages mal testen ob das mit der VPN Verbindung dann klappt oder nicht.
16022021_859.jpg
 
Ruf deinen Provider an und frag ihn warum du keine Ports weiterleiten kannst.
wieistmeine ip hat 5.x die netzwerkip 192.x und die des providers 100.x.
so gesehen bist du hinter einem Provider Router und portweiterleiten unter ipv4 nicht möglich. Schau mal ob im pyur Ding eine option ipv6 einschalten gibt. Falls nein, trotzdem anrufen
 
Zuletzt bearbeitet:
Also Ports sind eingetragen im Router. Windows Einstellungen sind gesetzt.

Fehlermeldung:
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten SIcherheitsaushandlung mit dem Remotecomputer aufgetreten ist

Hab dann in der Registry den Wert "AssumeUDPEncapsulationContextOnSendRule" auf "2" gesetzt. Neustart.

Neuer Versuch, aber die Verbindung versucht sich endlos einzuwählen und es passiert nichts. LEIDER!

Nur mal zum Verständnis. Beim Einwählen via VPN nutze ich die öffentliche IP Adresse richtig? In meinem Fall die 5.28.1xx.xxx die mir auch bei wieistmeineip.de angezeigt wird.
 
An der IP 100.65.x.x ist erkennbar, dass du hinter einem Carrier-grade NAT hängst.
Du bekommst also keine öffentliche IPv4 und kannst somit auch keine Ports öffnen und aus dem Internet erreichen.
https://de.wikipedia.org/wiki/Carrier-grade_NAT

Melde dich bei deinem Provider, einige schalten bei Nachfrage eine öffentliche IP, andere bieten dies als Upgrade-Möglichkeit gegen Geld.
 
  • Gefällt mir
Reaktionen: Raijin
Myron schrieb:
An der IP 100.65.x.x ist erkennbar, dass du hinter einem Carrier-grade NAT hängst.
Du bekommst also keine öffentliche IPv4 und kannst somit auch keine Ports öffnen und aus dem Internet erreichen.
https://de.wikipedia.org/wiki/Carrier-grade_NAT

Melde dich bei deinem Provider, einige schalten bei Nachfrage eine öffentliche IP, andere bieten dies als Upgrade-Möglichkeit gegen Geld.
Hab ich gerade beim Probieren ebenfalls feststellen müssen :-)
Kann mich leider nicht via VPN einwählen. Danke für die Hilfe, ich meld mich nochmal wenn ich Fragen habe zu dem Thema in dem Thread hier.
 
Zurück
Oben