Lancom 1781-4G Port Forwarding über UMTS Karte nicht möglich

[EDV-NRW]

Hallo alle zusammen.

Ich habe folgendes problem, wobei ich denke das es noch nicht mal am Router sondern eher am Provider ( Telekom ) liegt.

Im 1781-4g haben wir eine 3G Umts Karte der Telekom.
Das gerät steht bei einem Kunden und wir müssen aus der Ferne auf eine Automation die hinter dem Router im netzwerk liegt uns aufschalten.
Die Aufschaltung muss über Port 47808 UDP erfolgen.

VPN zum Router klappt.
Gerät im Netzwerk ist auch per ping zu erreichen.
Port Forwarding eingerichtet.

Aber der Port 47808 UDP ist leider nicht erreichbar.

Ich tippe das der Port schon von der Telekom aus geblockt wird. Kann das sein?

Eine Forwarding zum test mit Port 21 klappt.

Die Karte bzw. Tarif ist ein Datentarif.

Kann es auch am APN liegen ?
Eingestellt ist internet.t-d1.de

Ich hoffe das Thema passt hier überhaupt hin!
Von Seiten der Telekom konnte mir noch keiner sagen, ob ports per UMTS geblockt werden.

[Pothos]

Hi EDV-NRW,

hast du auf dem UMTS Interface eine öffentliche IP?? Normalerweise bekommt man dort nur eine private und wird dann beim Provider per NAT rausgeschickt. Aber wenn ihr einen VPN zum LANCOM hin aufbaut, sollte auch ein Portforwarding funktionieren, sofern keine Firewall dies unterbindet. Das könnte man aber über einen IP-Router Trace, gefiltert auf die Ziel IP herausfinden (tr # ip-ro @ ip-adresse). Wenn der LANCOM den VPN Tunnel irgendwo hin aufbaut, also der Initiiator ist, bin ich wieder bei meiner Vermutung mit der nicht öffentlichen IP.

[EDV-NRW]

Hallo.

Der VPN wird mit dem Lancom VPN Client zum Router aufgebaut.
Das klappt.
DYNDNS klappt auch.
Öffentliche IP ist 37.xx.xx.xx

Port forwarding mit z.B Port 21 klappt auch.

Nur den Port 47808 UDP da kommen wir nicht durch.
Getestet unter anderem mit diverses Port Checkern.

[Pothos]

Also in der Portforwarding-Tabelle müsste ja so was in der Art drin stehen:

Code: Alles auswählen

> ls /Setup/IP-Router/1-N-NAT/Service-Table/

D-port-from  D-port-to    Protocol   Peer              WAN-Address      Intranet-Address  Map-Port     Active   Comment
========================================================================--------------------------------------------------------------------------------------------------------
47808           47808           UDP    INTERNET         0.0.0.0          192.168.10.10   0            yes       Irgendein Kommentar

Was passiert denn in einem IP-Router Trace?

[EDV-NRW]

Hallo und danke schonmal für die Unterstützung.

Die Tabelle ist genau so eingerichtet.

Den Trace werde ich gleich mal testen.
Melde mich dann dazu noch mal.

Aber das gewisse Ports von seiten der telekom gesperrt werden, kann also nicht sein ? oder?

[Pothos]

Gute Frage, das kann ich dir leider nicht beantworten.
Ich weiß, dass über UMTS schon mal gerne VPN blockiert wird aber ob da noch mehr Ports unterbunden werden, kann ich dir nicht sagen.

[MoinMoin]

Moin EDV-NRW!

Ihr geht also über die öffentliche IP auf den Port, nicht durch den VPN-Tunnel?

Ciao, Georg

[EDV-NRW]

Hallo.

Doch es geht durch den Tunnel.
ErSt wird der Tunnel aufgebaut damit wir vom Client aus mit der Software im selben Netz sind. Unsere Software versucht dann über den erwähnten Port mit dem Automaten zu kommunizieren.

[EDV-NRW]

Kann das sein das ich einen Denkfehler habe!

Okay. Wenn der Tunnel ja steht, versucht unsere Software ja durch den Tunnel die Gegenstelle auf Port 47808 zu erreichen.
Dann kann ja vom Provider über die UMTS karte eigentlich nichts blockiert werden.

Aber woran liegt es dann, bzw. was muss ich am Lancom eventuell noch freigeben. Firewall? NAT?

[Pothos]

Wenn du durch den Tunnel darauf zugreifst, dann brauchst du das Portforwarding nicht.
Aber dennoch wäre ein IP-Router Trace interessant.

Ein oft auftretender Fehler ist, dass auf dem Ziel Rechner/Server ein falsches oder gar kein Gateway eingetragen ist. Damit kämen die Anfragen aus dem anderen Standort an aber der Server kennt keine Rückroute. Also muss entweder der LANCOM als Gateway eingetragen werden, welcher auch den Tunnel terminiert oder wenn dort ein weiterer Router ist, benötigt dieser eine Route auf den LANCOM. Durch den Tunnel wird idR kein NAT gemacht, außer es wird mit Extranet gearbeitet.

[hyperjojo]

hi,

Doch es geht durch den Tunnel.
ErSt wird der Tunnel aufgebaut damit wir vom Client aus mit der Software im selben Netz sind. Unsere Software versucht dann über den erwähnten Port mit dem Automaten zu kommunizieren.

also verbindest du auf die interne IP auf den Port? Oder auf die Öffentliche?
Wenn du den VPN nutzen willst, musst du die interne nehmen...

Gruß hyperjojo

[EDV-NRW]

Hallo.

Und danke an alle für die Tipps.

Ja wir verbinden auf die interne IP.

Ich komme erst nächste Woche wieder zum Kunden und werde es dann mal weiter testen.
Vielleicht wurde ja wirklich das Gateway am Endgerät vergessen.

Ich melde mich nächste Woche mit den Ergebnissen.

[backslash]

Hi EDV-NRW

Ja wir verbinden auf die interne IP.

meinst du damit die LAN-IP des LANCOMs?

Das kann nicht funktionieren. Ein Portforwarding ist nur auf maskierten Verbindungen möglich - und ein VPN-Tunnel ist nunmal unmaskiert. Du mußt den gewünschten Server im LAN direkt ansprechen

Gruß
Backslash

[EDV-NRW]

So. Problem gelöst.
Es lag an gleichen IP Adressen der Endgeräte.
Hatten die Techniker vor Ort nicht beachtet.
DHCP Adressen geändert und schon klappt alles.

Danke.