Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Moderator: Lancom-Systems Moderatoren
Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hallo zusammen,
ich habe folgendes Problem: Wir können mit unserem Datenbank-Client nicht mehr von außerhalb des Netzwerks auf den Datenbank-Server zugreifen.
Der Grund dafür ist, dass unser alter Router (Fritzbox 7330, ein Snapshot der Einstellungen im Anhang) gegen einen Lancom R844VA ausgetauscht worden ist. Ein Telekomtechniker hat diesen eingebaut und unsere feste IP entsprechend 'umgelenkt'. Die Einstellungen für den externen Zugriff sind dabei verloren gegangen.
Was ich bisher versucht habe:
- Im Backend unter 'Konfiguration>Port-Forwarding-Tabelle' habe ich alle Port auf den Server umgeleitet, wie im Bild im Anhang ersichtlich.
- Unter 'Konfiguration>Firewall/Qos>IPv4-Regeln' habe ich zum Test die Firewall ganz geöffnet, s. Bild im Anhang.
- Unter 'Konfiguration>IPv4>Allgemein>IP-Netzwerke' habe ich unter 'IP-Adresse' der DMZ die IP.des.FM.Servers eingetragen.
Kann mir jemand hier weiterhelfen? Am besten wäre, ich könnte einfach den config-Export der Fritzbox in den neuen Router einspielen.
Ich bin mir sicher, dass die Lösung für einen erfahrenen Routerexperten einfach ist,
aber ich sehe den Wald vor lauter Bäumen nicht mehr.
Ich bin ein Netzwerk-Laie, bitte entschuldigt eventuelle Fehler/unnötige Infos etc.
Tausend Dank schon mal im Voraus,
ChrisHa
ich habe folgendes Problem: Wir können mit unserem Datenbank-Client nicht mehr von außerhalb des Netzwerks auf den Datenbank-Server zugreifen.
Der Grund dafür ist, dass unser alter Router (Fritzbox 7330, ein Snapshot der Einstellungen im Anhang) gegen einen Lancom R844VA ausgetauscht worden ist. Ein Telekomtechniker hat diesen eingebaut und unsere feste IP entsprechend 'umgelenkt'. Die Einstellungen für den externen Zugriff sind dabei verloren gegangen.
Was ich bisher versucht habe:
- Im Backend unter 'Konfiguration>Port-Forwarding-Tabelle' habe ich alle Port auf den Server umgeleitet, wie im Bild im Anhang ersichtlich.
- Unter 'Konfiguration>Firewall/Qos>IPv4-Regeln' habe ich zum Test die Firewall ganz geöffnet, s. Bild im Anhang.
- Unter 'Konfiguration>IPv4>Allgemein>IP-Netzwerke' habe ich unter 'IP-Adresse' der DMZ die IP.des.FM.Servers eingetragen.
Kann mir jemand hier weiterhelfen? Am besten wäre, ich könnte einfach den config-Export der Fritzbox in den neuen Router einspielen.
Ich bin mir sicher, dass die Lösung für einen erfahrenen Routerexperten einfach ist,
aber ich sehe den Wald vor lauter Bäumen nicht mehr.
Ich bin ein Netzwerk-Laie, bitte entschuldigt eventuelle Fehler/unnötige Infos etc.
Tausend Dank schon mal im Voraus,
ChrisHa
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi Christa,
Richte ein ganz normales Netz mit privaten Adressen ein (s.o.). Gib deinen Servern Adressen aus diesem Netz und teile ihnen die IP des LANCOMs in diesem Netz als Default-Gateway mit. Wenn du dann noch die Portforwardings anpaßt, tut schon alles. Ob du das Netz nun DMZ nennst oder anders ist egal. Wenn du dem Netz den Typ "DMZ" gibst, dann bekommt es die zuätzliche Eigenschaft, daß Adressen aus diesem Netz nicht maskiert werden, wenn die Maskierungsoption auf "nur Intranet maskieren" steht. Das wird gebraucht, wenn du nicht nur eine öffentliche IP-Adresse hast, sondern ein ganzes öffentliches Netz - es ist in deinem Fall daher nicht nötig.
Gruß
Backslash
Du nutzt wirklich öffentliche IP-Adressen (149.x.x.x) in deinem privaten Netz. Das solltest du tunlichst ändern. Es gibt genügend private Adressräume (10.x.x.x, 172.16.x.x - 172.31.x.x 192.168.x.x) die du nutzen kannst- Im Backend unter 'Konfiguration>Port-Forwarding-Tabelle' habe ich alle Port auf den Server umgeleitet, wie im Bild im Anhang ersichtlich.
Das war überflüssig, denn "Accept-All" ist sowieso der Default. Du mußt für Portfreigaben nur dann Regeln erstellen, wenn du eine Deny-All Strategie fährts- Unter 'Konfiguration>Firewall/Qos>IPv4-Regeln' habe ich zum Test die Firewall ganz geöffnet, s. Bild im Anhang.
Eine DMZ im LANCOM hat nicht mit dem zu tun, was die Fritzbox "DMZ" nennt. Eine "DMZ" In der Fritzbox ist nur ein "exposed Host" während eine DMZ im LANCOM das ist, was die allgemeine Fachliteratur auch als DMZ bezeichnet: Ein ganz normales Netz, das von dem "Intranet" physikalisch isoliert ist, damit eine Firewall den Traffic zwischen Intranet und der DMZ kontrollieren kann.- Unter 'Konfiguration>IPv4>Allgemein>IP-Netzwerke' habe ich unter 'IP-Adresse' der DMZ die IP.des.FM.Servers eingetragen.
Richte ein ganz normales Netz mit privaten Adressen ein (s.o.). Gib deinen Servern Adressen aus diesem Netz und teile ihnen die IP des LANCOMs in diesem Netz als Default-Gateway mit. Wenn du dann noch die Portforwardings anpaßt, tut schon alles. Ob du das Netz nun DMZ nennst oder anders ist egal. Wenn du dem Netz den Typ "DMZ" gibst, dann bekommt es die zuätzliche Eigenschaft, daß Adressen aus diesem Netz nicht maskiert werden, wenn die Maskierungsoption auf "nur Intranet maskieren" steht. Das wird gebraucht, wenn du nicht nur eine öffentliche IP-Adresse hast, sondern ein ganzes öffentliches Netz - es ist in deinem Fall daher nicht nötig.
Gruß
Backslash
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi Backslash,
erstmal vielen Dank für die Antwort!
Fürs Erste bräuchte ich eine schnelle Lösung, damit unser Datenbank-Client von extern über unsere feste IP auf unseren Datenbank-Server zugreifen kann. Ich bin mir sicher, dass das so eine Sache ist, die ein Erfahrener schnell lösen könnte.
Die Fritzbox war eben viel einfacher und ich kann zudem nicht beliebig am R884VA herumspielen, da dieser im Live-Betrieb ist und die ganze Firma dranhängt.
Danke nochmal,
ChrisHa
erstmal vielen Dank für die Antwort!
Der frühere Router war so eingestellt, als ich in die Firma gekommen bin. Bei Gelegenheit werde ich alles sauber einrichten.Du nutzt wirklich öffentliche IP-Adressen (149.x.x.x) in deinem privaten Netz [...]
Hab ich aus purer Verzweiflung gemacht, um sicherzugehen, dass der Router an den entsprechenden Ports sperrangelweit offen steht.Das war überflüssig, denn "Accept-All" ist sowieso der Default [...]
Selber Grund - Verzweiflung.Eine DMZ im LANCOM hat nicht mit dem zu tun, was die Fritzbox "DMZ" nennt [...]
Würde mich das der Lösung meines Problems näher bringen oder sind das Hinweise für einen sauberen Stil, wie man ein Netzwerk konfiguriert?Richte ein ganz normales Netz mit privaten Adressen ein (s.o.). Gib deinen Servern Adressen aus diesem Netz und teile ihnen die IP des LANCOMs in diesem Netz als Default-Gateway mit. Wenn du dann noch die Portforwardings anpaßt, tut schon alles.
Fürs Erste bräuchte ich eine schnelle Lösung, damit unser Datenbank-Client von extern über unsere feste IP auf unseren Datenbank-Server zugreifen kann. Ich bin mir sicher, dass das so eine Sache ist, die ein Erfahrener schnell lösen könnte.
Die Fritzbox war eben viel einfacher und ich kann zudem nicht beliebig am R884VA herumspielen, da dieser im Live-Betrieb ist und die ganze Firma dranhängt.
Danke nochmal,
ChrisHa
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi ChrisHa,
Du kannst deinen Server natürlich auch in dein "Intranet" stellen - dann muß er halt eine Adresse aus diesem Netz haben, als Default-Gateway muß er die IP des LANCOMs im diesem Netz haben und die Portforwardings im LANCOM müssen auf die IP des Servers in diesem Netz zeigen...
Dennoch solte man aus Sicherheitsaspekten Server, die aus dem Internet erreichbar sind, in ein eigenes Netz (aka "DMZ") stellen, das man mit einer Firewall vom Intranet isolieren kann...
Für so ein einfaches Szenario würde ich das so nicht unterschreiben - sie ist aber in jedem Fall "anders"...
Gruß
Backslash
das *IST* die Lösung deines Problems...Würde mich das der Lösung meines Problems näher bringen oder sind das Hinweise für einen sauberen Stil, wie man ein Netzwerk konfiguriert?
Du kannst deinen Server natürlich auch in dein "Intranet" stellen - dann muß er halt eine Adresse aus diesem Netz haben, als Default-Gateway muß er die IP des LANCOMs im diesem Netz haben und die Portforwardings im LANCOM müssen auf die IP des Servers in diesem Netz zeigen...
Dennoch solte man aus Sicherheitsaspekten Server, die aus dem Internet erreichbar sind, in ein eigenes Netz (aka "DMZ") stellen, das man mit einer Firewall vom Intranet isolieren kann...
Die Fritzbox war eben viel einfacher
Für so ein einfaches Szenario würde ich das so nicht unterschreiben - sie ist aber in jedem Fall "anders"...
Wenn der Server nicht erreicht werden kann mußt du eigentlich solange daran arbeiten bis es funktioniert - gerade *WEIL* die ganze Firma dranhängt...und ich kann zudem nicht beliebig am R884VA herumspielen, da dieser im Live-Betrieb ist und die ganze Firma dranhängt.
Gruß
Backslash
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi backslash,
Ich habe jetzt nochmal die originale conf-Datei eingespielt und werde nochmal das IP-Forwarding konfigurieren. Hatte ich zwar schon gemacht, aber vielleicht funktionierts ja beim zweiten Mal.
Danke für Deine Hilfe, ich melde mich, wenns Neuigkeiten gibt, damit das Problem hoffentlich als gelöst markiert werden kann.
Schöne Grüße,
ChrisHa
Danke für die Klarstellung!das *IST* die Lösung deines Problems... Du kannst deinen Server natürlich auch in dein "Intranet" stellen
Der Betrieb findet grundsätzlich netzwerkintern statt. Nur ein Mitarbeiter greift von außen zu, eher zu Informationszwecken. Deswegen möchte ich nicht ohne genaueres Wissen/Informationen herumspielen.Wenn der Server nicht erreicht werden kann mußt du eigentlich solange daran arbeiten bis es funktioniert - gerade *WEIL* die ganze Firma dranhängt...
Ich habe jetzt nochmal die originale conf-Datei eingespielt und werde nochmal das IP-Forwarding konfigurieren. Hatte ich zwar schon gemacht, aber vielleicht funktionierts ja beim zweiten Mal.
Danke für Deine Hilfe, ich melde mich, wenns Neuigkeiten gibt, damit das Problem hoffentlich als gelöst markiert werden kann.
Schöne Grüße,
ChrisHa
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hallo,
ich habe die conf-Datei neu eingespielt und in der IP-Forwarding-Tabelle alle Ports angegeben, nach dem Muster:
Aktiv | Anfangs-Port | End-Port | Gegenstelle | Adresse | Map-Port | Protokoll | WAN-Adresse | Kommentar
-------------------------------------------------------------------------------------------------------------------------------------------------------
An |80 |80 | Internet |149.IP.zum.Server | 80 |TCP+UDP |0.0.0.0 |Freigabe Port 80
etc.
Ich habe die feste IP, die zum Router geht gescannt und es zeigt sich, dass kein Port offen ist.
Daher denke ich, dass irgendeine Einstellung noch gesetzt werden muss. Ich habe noch 'Entfernte Stationen mit Proxy-ARP einbinden'
gesetzt und die Tabelleneinstellungen variiert (feste IP bei der WAN-Adresse) u.ä.
Gibt es noch irgendeine grundsätzliche Einstellung, die man setzen muss, um Forwarding zu ermöglichen (außer der Tabelleneinträge)?
Gibt es eine Möglichkeit Ports direkt 'anzupingen', mein Programm beginnt immer bei 0?
Danke so weit,
ChrisHa
ich habe die conf-Datei neu eingespielt und in der IP-Forwarding-Tabelle alle Ports angegeben, nach dem Muster:
Aktiv | Anfangs-Port | End-Port | Gegenstelle | Adresse | Map-Port | Protokoll | WAN-Adresse | Kommentar
-------------------------------------------------------------------------------------------------------------------------------------------------------
An |80 |80 | Internet |149.IP.zum.Server | 80 |TCP+UDP |0.0.0.0 |Freigabe Port 80
etc.
Ich habe die feste IP, die zum Router geht gescannt und es zeigt sich, dass kein Port offen ist.
Daher denke ich, dass irgendeine Einstellung noch gesetzt werden muss. Ich habe noch 'Entfernte Stationen mit Proxy-ARP einbinden'
gesetzt und die Tabelleneinstellungen variiert (feste IP bei der WAN-Adresse) u.ä.
Gibt es noch irgendeine grundsätzliche Einstellung, die man setzen muss, um Forwarding zu ermöglichen (außer der Tabelleneinträge)?
Gibt es eine Möglichkeit Ports direkt 'anzupingen', mein Programm beginnt immer bei 0?
Danke so weit,
ChrisHa
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi ChrisHa,
Wenn du am LANCOM die Konfiguration vom WAN aus z.B. per HTTPS zuäßt (im LANconfig unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN-Schnittstelle -> HTTPS ") kommt du dann mit dem Browser aus dem Internet per HTTPS://öffentliche-IP-des-LANCOMs überhaupt auf das Gerät? Wenn nein, dann hole den Telekom-Techniker, der das Gerät eingerichtet hat zurück und sag ihm, er soll's richtig machen...
Wenn du auf das Gerät kommst, dann mußt du auch auf deinen Server kommen - so er in einem Netz des LANCOMs hängt und die Adresse das LANCOM in diesem Netz als Default-Gateway eingetragen hat (aber das hab ich ja schonmal geschrieben)
Das LANCOM hat doch ein 149.irgendwas Netz?
Gruß
Backslash
nun ja, Auf der Defaultroute muß die Maskierung eingeschaltet sein. Achtung: Die Maskierungsoption ist eine Eigenschaft der Gegesntelle, d.h. wenn du neben der Defaultroute noch weitere Routen an die Gegenstelle "INTERNET" gebunden hast, dann mußt du an allen die Maskierungsoption gleich einstellen (es ist zwar nur das erste Auftreten der Gegenstelle in der Routing-Tabelle ausschlaggebend, aber allein, um einen Überblick zu behalten, sollte die Option überall gleich sein)Gibt es noch irgendeine grundsätzliche Einstellung, die man setzen muss, um Forwarding zu ermöglichen (außer der Tabelleneinträge)?
Wenn du am LANCOM die Konfiguration vom WAN aus z.B. per HTTPS zuäßt (im LANconfig unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN-Schnittstelle -> HTTPS ") kommt du dann mit dem Browser aus dem Internet per HTTPS://öffentliche-IP-des-LANCOMs überhaupt auf das Gerät? Wenn nein, dann hole den Telekom-Techniker, der das Gerät eingerichtet hat zurück und sag ihm, er soll's richtig machen...
Wenn du auf das Gerät kommst, dann mußt du auch auf deinen Server kommen - so er in einem Netz des LANCOMs hängt und die Adresse das LANCOM in diesem Netz als Default-Gateway eingetragen hat (aber das hab ich ja schonmal geschrieben)
Das LANCOM hat doch ein 149.irgendwas Netz?
Gruß
Backslash
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi Backslash,
ich glaube Dank Deiner Hinweise komme ich dem Problem näher:
Also gebe ich jetzt dem Techniker Bescheid, der den Router eingebaut und - angeblich - unsere feste IP mit dem Router verbunden hat.
Die Admin-Einstellungen sind richtig, denke ich ('http' hatte ich natürlich auf 'erlaubt')?
Vielen Dank!
Schöne Grüße,
ChrisHa
ich glaube Dank Deiner Hinweise komme ich dem Problem näher:
Ich habe den Zugang auf die Server-IP (149.2xx.xxx.xxx) und unsere öffentliche feste IP versucht und - Fehlanzeige. Weder mittels http (...xxx:80), https (...xxx:443) noch telnet - das ich vorübergehend aktiviert habe - erreiche ich den Router oder Server.Wenn du am LANCOM die Konfiguration vom WAN aus z.B. per HTTPS zuäßt (im LANconfig unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN-Schnittstelle -> HTTPS ") kommt du dann mit dem Browser aus dem Internet per HTTPS://öffentliche-IP-des-LANCOMs überhaupt auf das Gerät?
Also gebe ich jetzt dem Techniker Bescheid, der den Router eingebaut und - angeblich - unsere feste IP mit dem Router verbunden hat.
Die Admin-Einstellungen sind richtig, denke ich ('http' hatte ich natürlich auf 'erlaubt')?
Vielen Dank!
Schöne Grüße,
ChrisHa
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Also, jetzt geht's.
Ich habe gesehen, dass der SSL-Port für den Admin aus Sicherheitsgründen anders gesetzt war.
(LCOS-Menübaum>Setup>HTTP>SSL). Der Admin-Zugang von extern ist also doch möglich, eben nur über den dort eingetragenen Port.
Der Techniker von der Hotline meinte, er hätte nur den Port 80 geöffnet. Da muss er sich aber getäuscht haben,
denn der war schon offen (ich schreib's der Vollständigkeit halber).
Außerdem hat er ein Update gefahren und musste daraufhin den Router neu starten.
Jetzt kommt die eigentliche LÖSUNG:
Unter Konfiguration>IPv6 hat er das Häkchen gelöscht. Das war wohl des Rätsels Lösung.
Beim R884VA gibt es anscheinend immer wieder Konflikte zwischen IPv4 und IPv6.
Das mit dem Adminzugang war ein hilfreicher Tip! Vielen Dank nochmal,
ChrisHa
Ich habe gesehen, dass der SSL-Port für den Admin aus Sicherheitsgründen anders gesetzt war.
(LCOS-Menübaum>Setup>HTTP>SSL). Der Admin-Zugang von extern ist also doch möglich, eben nur über den dort eingetragenen Port.
Der Techniker von der Hotline meinte, er hätte nur den Port 80 geöffnet. Da muss er sich aber getäuscht haben,
denn der war schon offen (ich schreib's der Vollständigkeit halber).
Außerdem hat er ein Update gefahren und musste daraufhin den Router neu starten.
Jetzt kommt die eigentliche LÖSUNG:
Unter Konfiguration>IPv6 hat er das Häkchen gelöscht. Das war wohl des Rätsels Lösung.
Beim R884VA gibt es anscheinend immer wieder Konflikte zwischen IPv4 und IPv6.
Das mit dem Adminzugang war ein hilfreicher Tip! Vielen Dank nochmal,
ChrisHa
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi ChrisHa,
Du hast nur das "Problem", daß es bei IPv6 kein Portforwarding gibt... Wenn dein Server über IPv6 erreichbar sein soll, dann mußt du das korrekt konfigurieren.
Gruß
Backslash
das wäre mir neu - insbesondere an Telekomanschlüssen...Unter Konfiguration>IPv6 hat er das Häkchen gelöscht. Das war wohl des Rätsels Lösung.
Beim R884VA gibt es anscheinend immer wieder Konflikte zwischen IPv4 und IPv6.
Du hast nur das "Problem", daß es bei IPv6 kein Portforwarding gibt... Wenn dein Server über IPv6 erreichbar sein soll, dann mußt du das korrekt konfigurieren.
Gruß
Backslash
Re: Kein externer Zugriff über R884VA auf Server nach Routerwechsel mehr möglich
Hi backslash,
ich hatte den Verdacht, dass etwas von Anfang an falsch konfiguriert war. Kurz vor
der Lösung meinte der Techniker, er müsse weg vom Telefon, um etwas zu machen
und hat sich dann erst einige Zeit später wieder gemeldet, worauf das Problem gelöst war.
Vielleicht war es also ein anderes Problem und das IPv6-Problem nur ein Vorwand.
Dann wäre es wohl eine Gewährleistungssache gewesen und kein teures Expressticket.
Aber das ist nur ein Verdacht.
Wenn das mit IPv6 akut wird, müssen wir das neu konfigurieren. Aber ich bin erstmal froh,
dass der Zugriff überhaupt wieder funktioniert. Eigentlich sollten von Externen eingebaute
neue Geräte grundsätzlich funktionieren (einen Zugang von außen halte ich für keine
außergewöhnliche Konfiguration), damit wir unseren eigentlichen Job machen können.
Aber vielen Dank Dir nochmal!
Schöne Grüße,
ChrisHa
ich hatte den Verdacht, dass etwas von Anfang an falsch konfiguriert war. Kurz vor
der Lösung meinte der Techniker, er müsse weg vom Telefon, um etwas zu machen
und hat sich dann erst einige Zeit später wieder gemeldet, worauf das Problem gelöst war.
Vielleicht war es also ein anderes Problem und das IPv6-Problem nur ein Vorwand.
Dann wäre es wohl eine Gewährleistungssache gewesen und kein teures Expressticket.
Aber das ist nur ein Verdacht.
Wenn das mit IPv6 akut wird, müssen wir das neu konfigurieren. Aber ich bin erstmal froh,
dass der Zugriff überhaupt wieder funktioniert. Eigentlich sollten von Externen eingebaute
neue Geräte grundsätzlich funktionieren (einen Zugang von außen halte ich für keine
außergewöhnliche Konfiguration), damit wir unseren eigentlichen Job machen können.
Aber vielen Dank Dir nochmal!
Schöne Grüße,
ChrisHa