Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Antworten
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hallo zusammen,

ich habe folgendes Problem: Wir können mit unserem Datenbank-Client nicht mehr von außerhalb des Netzwerks auf den Datenbank-Server zugreifen.

Der Grund dafür ist, dass unser alter Router (Fritzbox 7330, ein Snapshot der Einstellungen im Anhang) gegen einen Lancom R844VA ausgetauscht worden ist. Ein Telekomtechniker hat diesen eingebaut und unsere feste IP entsprechend 'umgelenkt'. Die Einstellungen für den externen Zugriff sind dabei verloren gegangen.

Was ich bisher versucht habe:

- Im Backend unter 'Konfiguration>Port-Forwarding-Tabelle' habe ich alle Port auf den Server umgeleitet, wie im Bild im Anhang ersichtlich.

- Unter 'Konfiguration>Firewall/Qos>IPv4-Regeln' habe ich zum Test die Firewall ganz geöffnet, s. Bild im Anhang.

- Unter 'Konfiguration>IPv4>Allgemein>IP-Netzwerke' habe ich unter 'IP-Adresse' der DMZ die IP.des.FM.Servers eingetragen.

Kann mir jemand hier weiterhelfen? Am besten wäre, ich könnte einfach den config-Export der Fritzbox in den neuen Router einspielen.

Ich bin mir sicher, dass die Lösung für einen erfahrenen Routerexperten einfach ist,
aber ich sehe den Wald vor lauter Bäumen nicht mehr.

Ich bin ein Netzwerk-Laie, bitte entschuldigt eventuelle Fehler/unnötige Infos etc.

Tausend Dank schon mal im Voraus,

ChrisHa
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von backslash »

Hi Christa,
- Im Backend unter 'Konfiguration>Port-Forwarding-Tabelle' habe ich alle Port auf den Server umgeleitet, wie im Bild im Anhang ersichtlich.
Du nutzt wirklich öffentliche IP-Adressen (149.x.x.x) in deinem privaten Netz. Das solltest du tunlichst ändern. Es gibt genügend private Adressräume (10.x.x.x, 172.16.x.x - 172.31.x.x 192.168.x.x) die du nutzen kannst
- Unter 'Konfiguration>Firewall/Qos>IPv4-Regeln' habe ich zum Test die Firewall ganz geöffnet, s. Bild im Anhang.
Das war überflüssig, denn "Accept-All" ist sowieso der Default. Du mußt für Portfreigaben nur dann Regeln erstellen, wenn du eine Deny-All Strategie fährts
- Unter 'Konfiguration>IPv4>Allgemein>IP-Netzwerke' habe ich unter 'IP-Adresse' der DMZ die IP.des.FM.Servers eingetragen.
Eine DMZ im LANCOM hat nicht mit dem zu tun, was die Fritzbox "DMZ" nennt. Eine "DMZ" In der Fritzbox ist nur ein "exposed Host" während eine DMZ im LANCOM das ist, was die allgemeine Fachliteratur auch als DMZ bezeichnet: Ein ganz normales Netz, das von dem "Intranet" physikalisch isoliert ist, damit eine Firewall den Traffic zwischen Intranet und der DMZ kontrollieren kann.
Richte ein ganz normales Netz mit privaten Adressen ein (s.o.). Gib deinen Servern Adressen aus diesem Netz und teile ihnen die IP des LANCOMs in diesem Netz als Default-Gateway mit. Wenn du dann noch die Portforwardings anpaßt, tut schon alles. Ob du das Netz nun DMZ nennst oder anders ist egal. Wenn du dem Netz den Typ "DMZ" gibst, dann bekommt es die zuätzliche Eigenschaft, daß Adressen aus diesem Netz nicht maskiert werden, wenn die Maskierungsoption auf "nur Intranet maskieren" steht. Das wird gebraucht, wenn du nicht nur eine öffentliche IP-Adresse hast, sondern ein ganzes öffentliches Netz - es ist in deinem Fall daher nicht nötig.

Gruß
Backslash
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hi Backslash,

erstmal vielen Dank für die Antwort!
Du nutzt wirklich öffentliche IP-Adressen (149.x.x.x) in deinem privaten Netz [...]
Der frühere Router war so eingestellt, als ich in die Firma gekommen bin. Bei Gelegenheit werde ich alles sauber einrichten.
Das war überflüssig, denn "Accept-All" ist sowieso der Default [...]
Hab ich aus purer Verzweiflung gemacht, um sicherzugehen, dass der Router an den entsprechenden Ports sperrangelweit offen steht.
Eine DMZ im LANCOM hat nicht mit dem zu tun, was die Fritzbox "DMZ" nennt [...]
Selber Grund - Verzweiflung.
Richte ein ganz normales Netz mit privaten Adressen ein (s.o.). Gib deinen Servern Adressen aus diesem Netz und teile ihnen die IP des LANCOMs in diesem Netz als Default-Gateway mit. Wenn du dann noch die Portforwardings anpaßt, tut schon alles.
Würde mich das der Lösung meines Problems näher bringen oder sind das Hinweise für einen sauberen Stil, wie man ein Netzwerk konfiguriert?

Fürs Erste bräuchte ich eine schnelle Lösung, damit unser Datenbank-Client von extern über unsere feste IP auf unseren Datenbank-Server zugreifen kann. Ich bin mir sicher, dass das so eine Sache ist, die ein Erfahrener schnell lösen könnte.

Die Fritzbox war eben viel einfacher und ich kann zudem nicht beliebig am R884VA herumspielen, da dieser im Live-Betrieb ist und die ganze Firma dranhängt.

Danke nochmal,

ChrisHa
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von backslash »

Hi ChrisHa,
Würde mich das der Lösung meines Problems näher bringen oder sind das Hinweise für einen sauberen Stil, wie man ein Netzwerk konfiguriert?
das *IST* die Lösung deines Problems...

Du kannst deinen Server natürlich auch in dein "Intranet" stellen - dann muß er halt eine Adresse aus diesem Netz haben, als Default-Gateway muß er die IP des LANCOMs im diesem Netz haben und die Portforwardings im LANCOM müssen auf die IP des Servers in diesem Netz zeigen...

Dennoch solte man aus Sicherheitsaspekten Server, die aus dem Internet erreichbar sind, in ein eigenes Netz (aka "DMZ") stellen, das man mit einer Firewall vom Intranet isolieren kann...
Die Fritzbox war eben viel einfacher

Für so ein einfaches Szenario würde ich das so nicht unterschreiben - sie ist aber in jedem Fall "anders"...
und ich kann zudem nicht beliebig am R884VA herumspielen, da dieser im Live-Betrieb ist und die ganze Firma dranhängt.
Wenn der Server nicht erreicht werden kann mußt du eigentlich solange daran arbeiten bis es funktioniert - gerade *WEIL* die ganze Firma dranhängt...

Gruß
Backslash
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hi backslash,
das *IST* die Lösung deines Problems... Du kannst deinen Server natürlich auch in dein "Intranet" stellen
Danke für die Klarstellung!

Wenn der Server nicht erreicht werden kann mußt du eigentlich solange daran arbeiten bis es funktioniert - gerade *WEIL* die ganze Firma dranhängt...
Der Betrieb findet grundsätzlich netzwerkintern statt. Nur ein Mitarbeiter greift von außen zu, eher zu Informationszwecken. Deswegen möchte ich nicht ohne genaueres Wissen/Informationen herumspielen.

Ich habe jetzt nochmal die originale conf-Datei eingespielt und werde nochmal das IP-Forwarding konfigurieren. Hatte ich zwar schon gemacht, aber vielleicht funktionierts ja beim zweiten Mal.

Danke für Deine Hilfe, ich melde mich, wenns Neuigkeiten gibt, damit das Problem hoffentlich als gelöst markiert werden kann.

Schöne Grüße,

ChrisHa
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hallo,

ich habe die conf-Datei neu eingespielt und in der IP-Forwarding-Tabelle alle Ports angegeben, nach dem Muster:

Aktiv | Anfangs-Port | End-Port | Gegenstelle | Adresse | Map-Port | Protokoll | WAN-Adresse | Kommentar
-------------------------------------------------------------------------------------------------------------------------------------------------------
An |80 |80 | Internet |149.IP.zum.Server | 80 |TCP+UDP |0.0.0.0 |Freigabe Port 80

etc.

Ich habe die feste IP, die zum Router geht gescannt und es zeigt sich, dass kein Port offen ist.

Daher denke ich, dass irgendeine Einstellung noch gesetzt werden muss. Ich habe noch 'Entfernte Stationen mit Proxy-ARP einbinden'
gesetzt und die Tabelleneinstellungen variiert (feste IP bei der WAN-Adresse) u.ä.

Gibt es noch irgendeine grundsätzliche Einstellung, die man setzen muss, um Forwarding zu ermöglichen (außer der Tabelleneinträge)?
Gibt es eine Möglichkeit Ports direkt 'anzupingen', mein Programm beginnt immer bei 0?

Danke so weit,

ChrisHa
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von backslash »

Hi ChrisHa,
Gibt es noch irgendeine grundsätzliche Einstellung, die man setzen muss, um Forwarding zu ermöglichen (außer der Tabelleneinträge)?
nun ja, Auf der Defaultroute muß die Maskierung eingeschaltet sein. Achtung: Die Maskierungsoption ist eine Eigenschaft der Gegesntelle, d.h. wenn du neben der Defaultroute noch weitere Routen an die Gegenstelle "INTERNET" gebunden hast, dann mußt du an allen die Maskierungsoption gleich einstellen (es ist zwar nur das erste Auftreten der Gegenstelle in der Routing-Tabelle ausschlaggebend, aber allein, um einen Überblick zu behalten, sollte die Option überall gleich sein)

Wenn du am LANCOM die Konfiguration vom WAN aus z.B. per HTTPS zuäßt (im LANconfig unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN-Schnittstelle -> HTTPS ") kommt du dann mit dem Browser aus dem Internet per HTTPS://öffentliche-IP-des-LANCOMs überhaupt auf das Gerät? Wenn nein, dann hole den Telekom-Techniker, der das Gerät eingerichtet hat zurück und sag ihm, er soll's richtig machen...
Wenn du auf das Gerät kommst, dann mußt du auch auf deinen Server kommen - so er in einem Netz des LANCOMs hängt und die Adresse das LANCOM in diesem Netz als Default-Gateway eingetragen hat (aber das hab ich ja schonmal geschrieben)

Das LANCOM hat doch ein 149.irgendwas Netz?

Gruß
Backslash
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hi Backslash,

ich glaube Dank Deiner Hinweise komme ich dem Problem näher:
Wenn du am LANCOM die Konfiguration vom WAN aus z.B. per HTTPS zuäßt (im LANconfig unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN-Schnittstelle -> HTTPS ") kommt du dann mit dem Browser aus dem Internet per HTTPS://öffentliche-IP-des-LANCOMs überhaupt auf das Gerät?
Ich habe den Zugang auf die Server-IP (149.2xx.xxx.xxx) und unsere öffentliche feste IP versucht und - Fehlanzeige. Weder mittels http (...xxx:80), https (...xxx:443) noch telnet - das ich vorübergehend aktiviert habe - erreiche ich den Router oder Server.

Also gebe ich jetzt dem Techniker Bescheid, der den Router eingebaut und - angeblich - unsere feste IP mit dem Router verbunden hat.

Die Admin-Einstellungen sind richtig, denke ich ('http' hatte ich natürlich auf 'erlaubt')?

Vielen Dank!

Schöne Grüße,

ChrisHa
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Also, jetzt geht's.

Ich habe gesehen, dass der SSL-Port für den Admin aus Sicherheitsgründen anders gesetzt war.
(LCOS-Menübaum>Setup>HTTP>SSL). Der Admin-Zugang von extern ist also doch möglich, eben nur über den dort eingetragenen Port.

Der Techniker von der Hotline meinte, er hätte nur den Port 80 geöffnet. Da muss er sich aber getäuscht haben,
denn der war schon offen (ich schreib's der Vollständigkeit halber).

Außerdem hat er ein Update gefahren und musste daraufhin den Router neu starten.

Jetzt kommt die eigentliche LÖSUNG:

Unter Konfiguration>IPv6 hat er das Häkchen gelöscht. Das war wohl des Rätsels Lösung.
Beim R884VA gibt es anscheinend immer wieder Konflikte zwischen IPv4 und IPv6.

Das mit dem Adminzugang war ein hilfreicher Tip! Vielen Dank nochmal,

ChrisHa
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von backslash »

Hi ChrisHa,
Unter Konfiguration>IPv6 hat er das Häkchen gelöscht. Das war wohl des Rätsels Lösung.
Beim R884VA gibt es anscheinend immer wieder Konflikte zwischen IPv4 und IPv6.
das wäre mir neu - insbesondere an Telekomanschlüssen...
Du hast nur das "Problem", daß es bei IPv6 kein Portforwarding gibt... Wenn dein Server über IPv6 erreichbar sein soll, dann mußt du das korrekt konfigurieren.

Gruß
Backslash
ChrisHa
Beiträge: 11
Registriert: 14 Feb 2019, 13:36

Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich

Beitrag von ChrisHa »

Hi backslash,

ich hatte den Verdacht, dass etwas von Anfang an falsch konfiguriert war. Kurz vor
der Lösung meinte der Techniker, er müsse weg vom Telefon, um etwas zu machen
und hat sich dann erst einige Zeit später wieder gemeldet, worauf das Problem gelöst war.

Vielleicht war es also ein anderes Problem und das IPv6-Problem nur ein Vorwand.
Dann wäre es wohl eine Gewährleistungssache gewesen und kein teures Expressticket.
Aber das ist nur ein Verdacht.

Wenn das mit IPv6 akut wird, müssen wir das neu konfigurieren. Aber ich bin erstmal froh,
dass der Zugriff überhaupt wieder funktioniert. Eigentlich sollten von Externen eingebaute
neue Geräte grundsätzlich funktionieren (einen Zugang von außen halte ich für keine
außergewöhnliche Konfiguration), damit wir unseren eigentlichen Job machen können.

Aber vielen Dank Dir nochmal!

Schöne Grüße,
ChrisHa
Antworten