Problem Port Weiterleitung "unüblicher" Ports

[jha]

Hallo Zusammen.

Ich habe wie der Titel schon sagt, Probleme mit einem "einfachen" Port Forwarding (NAT) auf eine interne IP.

Router: LC1681V oder auch LC1781A LCOS 9.00 (aber auch schon mit 8.X getestet).

Hintergrund:
Sobald ich einen herkömmlichen Port wie 21 für FTP auf eine interne IP über die "Port-Forwarding-Tabelle" maskiere, funktioiniert die Weiterleitung.
Trage ich jedoch meine "ungewöhnlichen" Ports für SIP usw. ein, dann bleibt dieses ohne positives Ergebnis. Ein Netzwerkscan von heise.de z.B zeigt mir das auch an.

Meine Weiterleitungstabelle:


Ich vermute, daß es mit der Firewall zusammenhängt, die aber eigentlich "ab Werk" unverändert ist.
Ich habe kein Deny-All oder sonstiges drin.

Nachdem ich für die jeweiligen gewünschten Portbereiche Dienst-Objekte und entsprechende Regeln in der Firewall eingerichtet habe, funktioniert es genauso wenig.... :/

Kann mir jemand von Euch einen heißen Tipp geben wo hier der Haken ist?

Viele Grüße und Danke im Voraus
jha

[Jirka]

Hallo jha,

dass sich die Ziel-IP da oben in Deinem Screenshot aber von der zweiten Zeile an im Vergleich zu der der ersten Zeile unterscheidet, ist Dir aber schon aufgefallen, oder?

Viele Grüße,
Jirka

[jha]

Guten Morgen Jirka,

ja der Unterschied in der Adresse ist korrekt.
Der erste Eintrag verweist auf ein anderes Gerät im LAN.

Viele Grüße
jha

[Dr.Einstein]

Portscan bei UDP Weiterleitung bringt rein gar nix, da kein TCP Handshake stattfindet, sondern die Verbindung einfach losgeht und Anwendungsspezifisch sein muss, um beantwortet zu werden. Du kannst also nur mittels Wireshark am Zielrechner schauen, ob deine Anforderungen von extern im Wireshark zu sehen sind (kein Portscanner, sondern deine eigentliche Anwendung)

Gruß Dr.Einstein

[jha]

Hallo Dr. Einstein.

Danke für die Antwort.
Dann werde ich wohl auf dem Controller direkt einen Trace erzeugen und mit dem wireshark ansehen.

Aber nochmal hinterhergefragt:
Ist es grundsätzlich ausreichend nur über die oben gezeigte Tabelle Ports weiterzuleiten , sofern kein deny-all Firewall Eintrag vorhanden ist?
Oder muss ich immer entsprechende Objekte für die Ports erstellen ?

Danke und Grüße
jha

[Dr.Einstein]

Nein, hast alles richtig gemacht, unter der Voraussetzung, dass dein Internet Anbieter nichts blockiert sowie deine Anwendung/Ziel alles korrekt macht.

SW Fehler im Lancom können sich natürlich immer einschleichen, aber ich denke, so gut wie jeder Lancom hat Weiterleitungen drin, sollte also ziemlich schnell der Masse auffallen.

Gruß

[cpuprofi]

Hallo jha,

hast Du denn auch einen STUN-Server im SIP-Gerät eingetragen?

Grüße
Cpuprofi

[tesme33]

Hi
mal ne dämliche Frage.
Für das Protokoll ist per default der Port egal. Es gibt default Ports die die meisten Clients/Server nehmen.
Bei FTP 21, bei ssh 22, bei http 80, usw. Theoretisch kann man das überall hin umbiegen.
Aber manche Clients haben das fest einkodiert.

Wenn ich also SIP höre denke ich bei der Registrierung an Port 5060 (UDP und TCP (Laut Standard wird TCP genommen sobald man mehr als 1500 Byte Pakete hat)). Wenn man bei IETF SIP bleibt sollte dann auch kein anderer Port reinkommen. Bei 3GPP SIP kommen dann noch Ports wie 5070/5080/.. ins Spiel.Und STP mit RTP lassen wir auch erst mal weg.

Kann also sein das Dein Klient oder Dein SIP Registrar keinen anderen Port bedienen kann. Schon mal mitgeschnitten was hinter der Portumleitung, also im 192.168.x.x LAN, passiert ?

Was ist denn der Klient und was ist der Server ?

Gruss

[jha]

Guten Abend.

Vielen Dank für Euere Mühen bisher.
Um weitere Spekulationen einzugrenzen worum es sich hier handelt, gebe ich etwas mehr Infos.

Es ist kein herkömmliches SIP Telefon oder eine PBX die bei einem ext. SIP Provider sich registrieren möchte.

Es ist ein Mobile Client Controller von AAstra bzw. Comdasys.
Hier findet eine "direkte" Kommunikation zw. einer Mobile App auf Smartphone und dem Controller statt, über eine feste ext. IP.
Nix STUN usw.

Ich habe vorhin einen Trace direkt auf dem Controller gemacht(dieser hat diese Funktion an Bord) und es war keine Kommunikation in Richtung seiner IP Adresse zu finden.
Außer die von meinem Laptop, da ich über das Webinterface Zugriff hatte.


Kann mir Bitte einer von Euch nen kleinen Tipp zum Tracen über die LANConfig geben?
Ich habe mich da ein wenig eingeklickt, aber habe im Firewall Trace nicht wirklich viel gesehen.

Mißlungene Zugriffe von Außen müssten da ja eigentlich alle dargestellt werden, oder?

Grüße und schönen Restabend
jha

[Dr.Einstein]

trace # ip-r @ "Port: 5061,"

über SSH zB. Alternativ den LanTracer Verwendung und dort ip-router Trace starten eingegrenzt auf Port oder IP.

[jha]

Servus miteinander und sorry für die späte Rückmeldung.

Habe irgendwann frustriert aufgegeben das Gerät einzurichten und vor lauter Stress nicht mehr an den offenen Beitrag gedacht.
Dieser kann geschlossen werden, die Firewall des LANCOMs ist definitiv nicht schuld.
Habe zwischenzeitlich am gleichen Router "herkömmlich" die Ports auf gewisse Teilnehmer im LAN gelenkt, ohne Probleme.

Viele Grüße
Jakob

[Jazz]

Hi,
wir haben auch einen Aastra Mobile Controller im Einsatz mit 1781EF

Keine probleme.