Wie mach ich ein Gerät über Umwege aus dem Internet erreichbar?

Alex_Kl

Cadet 3rd Year
Registriert
Juni 2018
Beiträge
34
Ich habe vielleicht einen etwas besonderes Aufbau meines Netzwerkes. Leider bekomme ich das nicht so hin, wie ich mir das wünschen würde.
Folgendes Problem beschäftigt mich schon ein bisschen:
Ich habe eine Fritzbox die ganz normal als Router fungiert. Diese ist auch an dem Internet angeschlossen und ist für meine WG-Mitbewohner da. An dieser Fritzbox ist ein Router (Asus Router) von mir angeschlossen. Dieser hat ein eigenes Netzwerk über das meine Geräte verbunden ist. Somit kann ich bei mir im Netzwerk Sachen ausprobieren, ohne das ich das Netzwerk für die anderen beeinträchtige.
Ich habe nun an meinem Router einen kleinen Server dran hängen worauf Proxmox läuft. Da laufen zum Beispiel Dienste wie Pi-hole oder ein Nginx Proxy Manager drauf.

Nun möchte ich das ich den Proxy Manager aus dem Internet erreichen kann um auf meine Container zu verweisen. Dafür hab ich mir eine DynDNS erstellt und wollte diese mit dem Proxy Manager verbinden. Mein Hintergedanke war dabei das ich sagen kann, dass wenn ich zum Beispiel 'example.dyndns.net' aufrufe, dann werde ich auf den Container xy weitergeleitet der zum Beispiel eine Webseite hostet. Wenn ich jedoch 'vpn.example.dyndns.net' aufrufe, dann komm ich auf den Container um eine Wireguard Verbindung aufzubauen in das Netzwerk. So zum Sagen das ich über meine Subdomains regeln kann welchen Dienst ich ansprechen möchte.
In der Zukunft hab ich geplant einmal eine Bitwarden Instanz und eventuell eine VPN Verbindung einzurichten um auch extern das komplette Netzwerk nutzen zu können. Die anderen Dienste reichen mir eigentlich wenn diese nur local erreichbar bleiben.

Testweise hab ich mal einen Container erstellt und nur einen Apache Webserver drauf laufen lassen. Hab dann im Asus Router im "Port Forwarding" Punkt die IP des Apache Containers eingetragen. Auch diesen kann ich von außen nicht erreichen. Intern im Netzwerk funktioniert dies jedoch.

Bei mir scheitert es aber bereits mit der DynDNS Verbindung. Ich kann zwar eine einrichten, die zum Beispiel auf dem Proxy Manager läuft, dann wird jedoch nur die IP von der Fritzbox übermittelt und danach bekomme ich kein routing zu mir auf den Server. Das selbe ist es wenn ich einen DynDNS Dienst direkt auf der Fritzbox verbinde. Da bekomme ich die selbe IP.

Aktuell hab ich meinen Router als "Exposed Host" in der Fritzbox markiert in der Hoffnung das dies was verändert. Ich habe auch in der Fritzbox für den Router "Selbstständige Portfreigaben" aktiviert, dass falls ich einen Port übersehen hätte, der Router noch ne Chance hat trotzdem den Port zu öffnen. Außerdem sind in der Fritzbox die Ports 80 und 443 für den Router geöffnet und im Router (Asus Router) hab ich ebenfalls die Ports 80 und 443 für den Proxy Manager geöffnet.

In Proxmox war im Bereich "Datacenter" die Firewall deaktiviert, die einzelne Instanz aktiviert und in den einzelnen Containern deaktiviert. Es hat aber nichts verändert wenn ich die Firewall für die komplette Instanz auch deaktiviert habe.

Hätte jemand eine Idee wie ich dies verwirklichen könnte.
 

Anhänge

  • Netzwerk.png
    Netzwerk.png
    540,5 KB · Aufrufe: 761
Ich fürchte ja. Hab gerade mal in der Fritzbox nachgeschaut. Der Hacken war direkt so gesetzt und wenn ich auf native IPV4 umschalte, geht nichts mehr.

Kann das daran liegen das ich nur einen begrenzte Port range zur Verfügung habe?
Ergänzung ()

Was ich nur interessant finde, wenn ich mal nach meiner IP schaue, hab ich nie ne IPV6 bekommen gehabt. Ich war die ganze Zeit nur auf IPV4 unterwegs. Eigentlich müsste ich doch auch immer eine IPV6 dran stehen wenn ich am surfen bin.

Deswegen hab ich daran nicht so ganz gedacht. Selbst an meiner Wlan Karte im PC hab ich nur ne IPV4 vergeben bekommen
 

Anhänge

  • FRITZ-Box-7520.png
    FRITZ-Box-7520.png
    586,5 KB · Aufrufe: 91
  • Screenshot 2024-04-19 011415.png
    Screenshot 2024-04-19 011415.png
    414,3 KB · Aufrufe: 84
Zuletzt bearbeitet:
@qiller Wenn nur Port 443 betroffen wäre wegen Fernzugriff, warum sollte die erlaubte Portrange dann so stark eingeschränkt sein?
@redjack1000 An der Fritzbox kann man freischalten was man will, auch die privilegierten Ports.

@Alex_Kl https://avm.de/service/wissensdaten...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/
Ich weiß nicht, ob du die Verbindung rein über IPv6 vielleicht hinkriegen könntest. Port 80 und 443 über IPv4 dürften bei DS-Lite aber nicht machbar sein, und die brauchst du, wenn du keine explizite Portangabe machen willst.
 
Mach mal den Haken bei DS-Lite raus, wenn du tatsächlich Dual-Stack und eine eigene, öffentliche IPv4-Adresse hast (und keine IPv4 eines CGNs). Aber anscheinend ist das wohl nicht so klar bei dir, wenn ich da den Haken drin sehe?
Ergänzung ()

Fanchen schrieb:
@qiller Wenn nur Port 443 betroffen wäre wegen Fernzugriff, warum sollte die erlaubte Portrange dann so stark eingeschränkt sein?
Ka. Ich kenn halt seine FB nicht und gebe nur mögliche Hinweise. Evt. mal mit 'anderer Anwendung' probieren.

Edit: Aber mit DS-Lite aktiv wird das mit IPv4 sowieso nix. Kann es sein, dass dein Testaufruf vorhin einfach über IPv6 lief?
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    12,1 KB · Aufrufe: 71
Zuletzt bearbeitet:
So richtig komme ich jetzt mit diesem Thread nicht klar.

Es geht doch immer noch um das Grundproblem, dass Anfragen von Außen auf die Fritzbox auf Port 80/443 kommen, diese an den ASUS-Router weitergeleitet werden sollen, weil dahinter was auf Anfragen wartet.
Der TE hat kein Recht diese beiden Ports an eine interne Adresse weiterzuleiten (Einstellung auf der Fritzbox), wie bitte soll das dann überhaupt funktionieren?
Zentrale Anlaufstelle für ALLE Anfragen ist nunmal das ERSTE Gerät das von Außen erreicht werden kann und das ist die Fritzbox.

Oder liege ich da komplett falsch?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin und qiller
  • Gefällt mir
Reaktionen: daniel.rieper
Geht mir genauso @prian
Woher kommt überhaupt die Einschränkung der Fritzbox, dass nur externe Ports 1132-1151 verfügbar sind? Ich hab keine Fritzbox, aber von sowas habe ich auch in diesem Forum noch nie etwas gelesen.

@Alex_Kl : Wer ist der Oberchefhauptadmin dieser Fritzbox? Ist das eine gekaufte Fritzbox? Gemietet? Provider-Branding?

Wenn du auf der Fritzbox weder extern tcp 80 noch tcp 443 weiterleiten darfst, dann ist es unmöglich, im Browser den Port wegzulassen, wenn du eine Domain eingibst. Es ist vollkommen egal was dein Reverse Proxy (in deinem Netzwerk) macht, es geht dabei darum was der Browser beim Aufruf der Domain/URL tut. Der Browser hängt hinter den Kulissen an "http://..." den Port :80 ran und bei "https://" entsprechend :443. Das sieht man zwar nicht, aber es passiert. Das sind eben die beiden Standardports für http und https und die kennt ein Browser auch. Erst wenn dann der Kontakt zum Reverse Proxy hergestellt wurde, kann dieser auf einen x-beliebigen Webserver durchreichen, der womöglich auf dem Port 12345 läuft, da sieht man von außen aber nicht, weil man ausschließlich mit dem Reverse Proxy auf 80/443 spricht.

Es ist daher essentiell, dass du am Internetrouter Port 80/443 weiterleiten kannst. Ist dies nicht möglich, weil du gar nicht Admin der Fritzbox ist oder diese auf irgendeine Art und Weise kastriert wurde, dann musst du entweder immer :1132, etc. im Browser anhängen, um den Proxy zu kontaktieren (der dann weiterleitet), oder aber der Reverse Proxy muss außerhalb dieses Netzwerks laufen wo er über 80/443 erreichbar ist, zB auf einem Mietserver bei netcup, ionos, hetzner, o.ä..
 
  • Gefällt mir
Reaktionen: qiller
Raijin schrieb:
oder aber der Reverse Proxy muss außerhalb dieses Netzwerks laufen wo er über 80/443 erreichbar ist, zB auf einem Mietserver bei netcup, ionos, hetzner, o.ä..
da würde ja so ein VPS piko G11s oder VPS nano G11s für 1 oder 2€/monat für die aufgabe als proxy schon reichen mmn
 
  • Gefällt mir
Reaktionen: Raijin
Ich fasse mal so meine Gedanken zusammen, die ich so über die Nacht hatte.

@qiller Werde ich heute Abend mal meinen Anschluss testen und posten. Bin heute über Tag nicht Zuhause.

@prian So falsch liegst du gar nicht :D. Das Problem war nur das ich am Anfang nicht verstanden habe wesshalb die Weiterleitung nicht funktioniert hat. Ich war mir am Anfang nur nicht sicher wo die Anfrage von außen sich dann verliert in dem ganzen Gewirr von Geräten und Firewalls.

@Raijin Woher die Einschränkung kommt, bin ich mir auch noch nicht sicher. Ich bin erst relativ neu in der WG und muss mal schauen bei welchen Anbieter wir sind, bzw. wie unser Vertrag ausschaut. Unsere Fritzbox ist gemietet (denke ich mal. Die ist schwarz), jedoch hat die davor keinen richtigen Admin gehabt. Wo ich das erste Mal die Weboberfläche aufgerufen habe, ist mir gleich mal ne Willkommensnachricht von der Fritzbox entgegengesprungen. Da hat noch nie jemand draufgeschaut. Die haben wahrscheinlich einfach nur das Ding angeschlossen und let's go.

@Generell Das mit den Ports verwundert mich. Wieso hab ich nach außen eigentlich ne IPV4, wenn die dann doch (so wie ich das verstanden habe) über IPV6 verknüpft ist. Mein DynDNS Dienst ist ipv64.net und bei denen hab ich eine IPV4 und IPV6 Adresse, die synchronisiert wird. Könnte es sein, das es in der Fritzbox noch ne Einstellung gibt, die da so ne Einschränkung macht?
Bin leider erst wieder heute Abend Zuhause und werde dann mal schauen, ob ich ne Neuigkeit berichten kann, bzw. ob ich bis da hin was herausfinden kann
 
Alex_Kl schrieb:
Mein DynDNS Dienst ist ipv64.net und bei denen hab ich eine IPV4 und IPV6 Adresse, die synchronisiert wird.
Bei einem DS-Lite Anschluss synchronisiert der Dyn-DNS Dienst dann die IPv4 deines Carrier Grade NATs (CNG). Lösung gibts da 2-3:

1. ISP nach Dual-Stack fragen (dann hast du eine eigene, öffentliche IPv4)
2. ISP könnte bei DS-Lite PCP unterstützen (das dürfte aber nicht mit Standard-Ports funktionieren)
3. Server (mit eigener IPv4/6) mieten und dann da drauf den Reverse Proxy oder andere Weiterleitungsmöglichkeiten einrichten

Edit: Was ich auch nicht so ganz verstehe, warum du eine Apache-Testseite mit einer IPv4 zum Laufen bekommst (3. Screenshot https://www.computerbase.de/forum/t...dem-internet-erreichbar.2192795/post-29336528). Das kann ja bei einem DS-Lite Anschluss nur mit PCP funktionieren. Das würde dann auch die Portrange erklären...

Edit2: Es wird bei dir wohl tatsächlich per Port Control Protocol (PCP) die Ports weitergeleitet. Erklärbärvideo dazu:

Aus dem Video:
Unbenannt.png

Guck mal, wie das da bei dir aussieht.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin und roket
Um die Thematik DS-Lite / CGN eindeutig zu klären, bitte folgendes prüfen:

Im Online Monitor der Fritzbox die WAN-IPv4 angucken. Liegt diese in einem der folgenden Bereiche ..

100.64.0.0 und 100.127.255.255 (offiziell für CGN reserviert)
192.168.0.0 - 192.168.255.255 (für private Netzwerke reserviert)
172.16.0.0 - 172.31.255.255 (für private Netzwerke reserviert)
10.0.0.0 - 10.255.255.255 (für private Netzwerke reserviert)

.. ist sie nicht öffentlich.

Ein weiteres Indiz: Bei wieistmeineip.de oder vergleichbaren Seiten sieht man eine andere IP als in der Fritzbox.
 
  • Gefällt mir
Reaktionen: qiller
Ah, ok. Das wusste ich tatsächlich nicht. Fritzboxxen und Raijin begegnen sich in der freien Wildbahn eher selten :)
 
Zurück
Oben