LANCOM 1781VA-4G Portweiterleitung
Moderator: Lancom-Systems Moderatoren
LANCOM 1781VA-4G Portweiterleitung
Hallo zusammen!
ich besitze einen LANCOM 1781 LTE Router welcher mit einer festen IP Adresse erreichbar ist. Provioder der festen IP Adresse ist die Firma Internet - XS.
Mittels der zugeteilten IP Adresse ist die Anmeldemaske des Routers problemlos erreichbar. Nun möchte ich jedoch mittels Portweiterleitung auf ein dahinterliegendes Gerät im Netzwerk zugreifen.
Die Portweiterleitung unter Konfiguration -> IP Router -> Maskierung -> Port Forwarding Tabelle habe ich folgendermaßen konfiguriert:
Anfangsport: 80
Endport: 80
Gegenstelle: INTERNET
Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)
Map Port: 0
Protokoll: TCP+UDP
WAN Adresse: 0.0.0.0
Leider ist das Gerät aus dem Internet, unter entsprechenden Port, nicht zu erreichen.
Fehlen mir noch entsprechende Einstellungen innerhalb der Firewall? Bisher habe ich da nichts weiter verändert.
Ich wäre für jede Hilfe dankbar da ich seit stunden nicht wirklich weiter komme.
Das Gerät, welches erreichbar gemacht werden soll, ist ein UKW Kontroll Empfänger "Axel Wolf".
Viele Grüße euer Karl 3
ich besitze einen LANCOM 1781 LTE Router welcher mit einer festen IP Adresse erreichbar ist. Provioder der festen IP Adresse ist die Firma Internet - XS.
Mittels der zugeteilten IP Adresse ist die Anmeldemaske des Routers problemlos erreichbar. Nun möchte ich jedoch mittels Portweiterleitung auf ein dahinterliegendes Gerät im Netzwerk zugreifen.
Die Portweiterleitung unter Konfiguration -> IP Router -> Maskierung -> Port Forwarding Tabelle habe ich folgendermaßen konfiguriert:
Anfangsport: 80
Endport: 80
Gegenstelle: INTERNET
Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)
Map Port: 0
Protokoll: TCP+UDP
WAN Adresse: 0.0.0.0
Leider ist das Gerät aus dem Internet, unter entsprechenden Port, nicht zu erreichen.
Fehlen mir noch entsprechende Einstellungen innerhalb der Firewall? Bisher habe ich da nichts weiter verändert.
Ich wäre für jede Hilfe dankbar da ich seit stunden nicht wirklich weiter komme.
Das Gerät, welches erreichbar gemacht werden soll, ist ein UKW Kontroll Empfänger "Axel Wolf".
Viele Grüße euer Karl 3
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3
BTW: Bist du dirsicher, daß du richtige IP-Adresse eingetragen hast? 192.178.168.20 ist nämlich keine "private" Adresse. Prifate Vadressen sind 10.x.x.x, 192.168.x.x und 172.16.x.x-172.31.x.x
sprich:
Gruß
Backslash
nur, wenn du eine "Deyn-All" Strtegie fährst - dann mußt du natürlich eine Regel aufnehmen, die den Zugriff auf das Gerät von überall erlaubt:Fehlen mir noch entsprechende Einstellungen innerhalb der Firewall?
Code: Alles auswählen
Quelle: alle Stationen
Ziel: IP-Adresse 192.178.168.20
Dienste: TCP, Ziel-Port 80
Ist das Gerät denn richtig konfiguriert?Das Gerät, welches erreichbar gemacht werden soll, ist ein UKW Kontroll Empfänger "Axel Wolf".
sprich:
- kennt es sein Gateway?
- läßt es überhaupt Zugriffe aus dem Internet zu? (Die meisten NAS z.B. sind im Default so konfiguriert, daß sie nur Zugriffe aus dem lokalen Netz zulassen)
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Hallo Backslash und danke für deine Antwort !
Wie finde ich denn heraus ob die Firewall sich im "Deyn-All" Modus befindet? Ich habe bisher nichts an diesen Einstellungen verändert. Die IP Adressen habe ich dem Router 192.178.168.1 und dann dem Axel Wolf Messempfänger 192.178.168.20 so vergeben. Ich habe die Adressen jedoch gerade auf 192.168.178.xxx geändert - leider ohne Erfolg.
Ja, die Geräte sind extra zur Fernüberwachung geschaffen. Das Gateway ist dem Gerät bekannt.
Viele Grüße
Wie finde ich denn heraus ob die Firewall sich im "Deyn-All" Modus befindet? Ich habe bisher nichts an diesen Einstellungen verändert. Die IP Adressen habe ich dem Router 192.178.168.1 und dann dem Axel Wolf Messempfänger 192.178.168.20 so vergeben. Ich habe die Adressen jedoch gerade auf 192.168.178.xxx geändert - leider ohne Erfolg.
Ja, die Geräte sind extra zur Fernüberwachung geschaffen. Das Gateway ist dem Gerät bekannt.
Viele Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3
ABER: Du hast die falsche Adresse im Portforwarding eingetragen... Das Gerät hat die 192.168.178.20 du hast aber die 192.178.168.20 eingetragen:
Gruß
Backslash
dann gibt es eine Regel, die allen Traffic verbietet...Wie finde ich denn heraus ob die Firewall sich im "Deyn-All" Modus befindet?
du hast nur die Default-Regeln - damit gibt es keine Deny-All-Regel und die Firewall ist "offen"...Ich habe bisher nichts an diesen Einstellungen verändert.
OkJa, die Geräte sind extra zur Fernüberwachung geschaffen. Das Gateway ist dem Gerät bekannt.
ABER: Du hast die falsche Adresse im Portforwarding eingetragen... Das Gerät hat die 192.168.178.20 du hast aber die 192.178.168.20 eingetragen:
siehst du den Dreher?Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Nein, die Portweiterleitung habe ich nach deinem Post auch angepasst. Ich habe echt keine Idee mehr woran es liegen kann.ABER: Du hast die falsche Adresse im Portforwarding eingetragen... Das Gerät hat die 192.168.178.20 du hast aber die 192.178.168.20 eingetragen:
Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)
siehst du den Dreher?
Gruß Karl
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3,
dann hilft nur tracen... als erstes wäre das der IP-Router-Trace (trace # ip-router) ... Dort sollten die Pakete an den Server auftauchen (mach das aber, wenn sonst nichgts los ist, denn sonst siehst du den Wald vor lauter Bäumen nicht).
Wenn im Router-Trace nichts auftaucht, dann solltest du schauen, ob es überhaupt bei dem Router ankommt (das wäre bei einem 1781 vermutlich der ADSL-Data-Trace).
Wenn es im Router-Trace auftaucht, dann sollte auch eine ARP-Auflösung gemacht werden und der Serber in der ARP-Tabelle auftauchen (/Status/TCP-IP/ARP/Table-ARP).
Wenn der Server wieder Erwarten nicht in der ARP-Tabelle auftaucht, dann bleibt am Ende nur noch ein Ethernet-Trace um zu sehen, was mit den ARP-Requests passiert. Wenn die raus gehen, aber keine Antwort zurückkommt, dann ist das LANCOM raus und der Fehler liegt auf deinem Server - was ich eh vermute, denn Portforwarding ist kein Hexenwerk und funktioniert normalerweise problemlos (außer die Server blocken Anfragen aus fremden Netzen, wie z.B. die meisten NAS-Boxen)
BTW: den Ethernet-Trace solltest du unbedingt auf die IP des Servers filtern (trace # ethernet @192.168.176.20) , denn sonst baust du am Ende einen "Teilchenbeschleuniger"...
Gruß
Backslash
dann hilft nur tracen... als erstes wäre das der IP-Router-Trace (trace # ip-router) ... Dort sollten die Pakete an den Server auftauchen (mach das aber, wenn sonst nichgts los ist, denn sonst siehst du den Wald vor lauter Bäumen nicht).
Wenn im Router-Trace nichts auftaucht, dann solltest du schauen, ob es überhaupt bei dem Router ankommt (das wäre bei einem 1781 vermutlich der ADSL-Data-Trace).
Wenn es im Router-Trace auftaucht, dann sollte auch eine ARP-Auflösung gemacht werden und der Serber in der ARP-Tabelle auftauchen (/Status/TCP-IP/ARP/Table-ARP).
Wenn der Server wieder Erwarten nicht in der ARP-Tabelle auftaucht, dann bleibt am Ende nur noch ein Ethernet-Trace um zu sehen, was mit den ARP-Requests passiert. Wenn die raus gehen, aber keine Antwort zurückkommt, dann ist das LANCOM raus und der Fehler liegt auf deinem Server - was ich eh vermute, denn Portforwarding ist kein Hexenwerk und funktioniert normalerweise problemlos (außer die Server blocken Anfragen aus fremden Netzen, wie z.B. die meisten NAS-Boxen)
BTW: den Ethernet-Trace solltest du unbedingt auf die IP des Servers filtern (trace # ethernet @192.168.176.20) , denn sonst baust du am Ende einen "Teilchenbeschleuniger"...
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Gäbe es denn eine einfache Lösung, wenn der Server die Ursache des Übels ist?Wenn der Server wieder Erwarten nicht in der ARP-Tabelle auftaucht, dann bleibt am Ende nur noch ein Ethernet-Trace um zu sehen, was mit den ARP-Requests passiert. Wenn die raus gehen, aber keine Antwort zurückkommt, dann ist das LANCOM raus und der Fehler liegt auf deinem Server - was ich eh vermute, denn Portforwarding ist kein Hexenwerk und funktioniert normalerweise problemlos (außer die Server blocken Anfragen aus fremden Netzen, wie z.B. die meisten NAS-Boxen)
Der Lancom kommt nur über LTE ins Internet. Eine andere Verbindung ist nicht vorgesehen und auch nicht gewünscht.
Viele Grüße und einen schönen Abend
Karl 3
Re: LANCOM 1781VA-4G Portweiterleitung
Hallo,
könnte mir bitte jemand erklären, was ich noch versuchen könnte? Ich bin absoluter Neuling und habe wirklich schon sehr viel versucht. Das hinter dem Router liegende Gerät bleibt jedoch weiterhin verborgen.
Wo könnte die Schwachstelle liegen?
Viele Grüße Karl 3
könnte mir bitte jemand erklären, was ich noch versuchen könnte? Ich bin absoluter Neuling und habe wirklich schon sehr viel versucht. Das hinter dem Router liegende Gerät bleibt jedoch weiterhin verborgen.
Wo könnte die Schwachstelle liegen?
Viele Grüße Karl 3
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3
Gruß
Backslash
vermutlich hier:Wo könnte die Schwachstelle liegen?
Bist du sicher, daß du das LANCOM überhaupt aus dem Internet erreichen kannst? i.A. bekommen LTE-Hosts private Adressen und liegen hinter einem NAT. Und selbst wenn sie (vermeidnlich) öffentliche Adressen bekommen, unterbinden die Provoder meist Verbindungsaufbaueten "von außen" bzw. lassen sich die Nutzung von "Serverdiensten" extra bezahlen...Der Lancom kommt nur über LTE ins Internet
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Ja, ich bin mir 100% sicher das ich die Anmeldeseite des LANCOM aus dem Internet und nicht über das Netzwerk erreiche. Ein Handy, welches bei Vodafone im LTE Netz eingebucht ist, gelangt unter der entsprechenden IP auch auf die Anmeldeseite des LANCOM.
Jedoch werde ich nie zu dem freigegebenen Port weitergeleitet. Es erscheint immer folgende Fehlermeldung:
@backslash - ich lasse Dir die entsprechende IP per PN zukommen.
Viele Grüße und Danke für die Hilfe
Jedoch werde ich nie zu dem freigegebenen Port weitergeleitet. Es erscheint immer folgende Fehlermeldung:
@backslash - ich lasse Dir die entsprechende IP per PN zukommen.
Viele Grüße und Danke für die Hilfe
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3
hast du mal versucht, statt https:// nur http:// in dert URL zu nutzen?
eine URL https://x.x.x.x:80 (also HTTPS auf Port 80) ist mehr als ungewöhnlich
Auf Port 80 wird normalerweise nur HTTP gemacht.
Wenn du wirklich HTTPS machen willst, dann solltest du den Port 443 weiterleiten und nicht den Port 80...
Gruß
Backslash
Code: Alles auswählen
Jedoch werde ich nie zu dem freigegebenen Port weitergeleitet. Es erscheint immer folgende Fehlermeldung:
(...)
eine URL https://x.x.x.x:80 (also HTTPS auf Port 80) ist mehr als ungewöhnlich
Auf Port 80 wird normalerweise nur HTTP gemacht.
Wenn du wirklich HTTPS machen willst, dann solltest du den Port 443 weiterleiten und nicht den Port 80...
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Auch das habe ich schon probiert. Leider ohne Erfolg.
http mit Port 80
und
https mit Port 443 ist in der Portfreigabenliste aufgenommen.
Rufe ich die öffentliche IP unter 212.xx.xx.24:443 auf lande ich wieder auf der normalen Anmeldeseite des Routers.
Würdest Du mal auf den Router schauen?
http mit Port 80
und
https mit Port 443 ist in der Portfreigabenliste aufgenommen.
Rufe ich die öffentliche IP unter 212.xx.xx.24:443 auf lande ich wieder auf der normalen Anmeldeseite des Routers.
Würdest Du mal auf den Router schauen?
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3,
das Problem ist hier wohl, daß moderne Browser automatisch https:// probieren - egal, was du in die URL schreibst - und wenn da jemand antwortet (bei dir das LANCOM), dann bleibt er darauf.
Du könntest jetzt im LANCOM die Konfiguration über das WAN komplett deaktivieren: unter Management -> Gerätezugriff -> Zugriffs-Einstellungen -> Zugriffs-Rechte -> von einer WAN-Schnittstelle die beiden Felder HTTP und HTTPS auf "nicht erlaubt" stellen. Desweiteren muß dann auch unter VPN -> Allgemein das Häkchen bei "Ipsec-over-HTTPS annehmen" entfernt werden, denn sonst nimmt das LANCOM immer noch die Session auf Port 443 an...
Dann geht die HTTP-Anfrage hoffentlich durch...
Oder du leitest statt dem Port 80 dne Port 443 weiter und stellst deinen Server so um, daß er auch HTTPS verwendet...
pures HTTP ist in der heutigen Zeit einfach nicht mehr "state-of-the-art"
Gruß
Backslash
das Problem ist hier wohl, daß moderne Browser automatisch https:// probieren - egal, was du in die URL schreibst - und wenn da jemand antwortet (bei dir das LANCOM), dann bleibt er darauf.
Du könntest jetzt im LANCOM die Konfiguration über das WAN komplett deaktivieren: unter Management -> Gerätezugriff -> Zugriffs-Einstellungen -> Zugriffs-Rechte -> von einer WAN-Schnittstelle die beiden Felder HTTP und HTTPS auf "nicht erlaubt" stellen. Desweiteren muß dann auch unter VPN -> Allgemein das Häkchen bei "Ipsec-over-HTTPS annehmen" entfernt werden, denn sonst nimmt das LANCOM immer noch die Session auf Port 443 an...
Dann geht die HTTP-Anfrage hoffentlich durch...
Oder du leitest statt dem Port 80 dne Port 443 weiter und stellst deinen Server so um, daß er auch HTTPS verwendet...
pures HTTP ist in der heutigen Zeit einfach nicht mehr "state-of-the-art"
Gruß
Backslash
Re: LANCOM 1781VA-4G Portweiterleitung
Hallo zusammen!
ich bin bei meinem Problem gerade einen entscheidenden Schritt weiter gekommen. Ich habe unter "Exstras" -> "TCP / HTTP Tunnel erzeugen" den Port des Axel WolfFM (Port 80) vom Lancom auf Port 3144 weitergeleitet. Jetzt ist der Port unter der festen IP erreichbar 212.xx.xx:3144 erreichbar.
Problem - der Tunnel schließt sich nach 300 Sekunden automatsich wenn dieser nicht benutzt wird. Gibt es eine Möglichkeit, diesen Tunnel fest anzulegen?
Viele Grüße Karl 3
ich bin bei meinem Problem gerade einen entscheidenden Schritt weiter gekommen. Ich habe unter "Exstras" -> "TCP / HTTP Tunnel erzeugen" den Port des Axel WolfFM (Port 80) vom Lancom auf Port 3144 weitergeleitet. Jetzt ist der Port unter der festen IP erreichbar 212.xx.xx:3144 erreichbar.
Problem - der Tunnel schließt sich nach 300 Sekunden automatsich wenn dieser nicht benutzt wird. Gibt es eine Möglichkeit, diesen Tunnel fest anzulegen?
Viele Grüße Karl 3
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: LANCOM 1781VA-4G Portweiterleitung
Hi Karl 3
wenn das bei dir mit dem HTTP-Tunnel (mit einem anderen Port) funktioniert und der Browser dabei nicht wieder zwangsweise auf HTTPS wechslen will, dann kannst du das Mapping auch einfach im Portforwarding eintragen...
Dabein mut du nur beachtren, daß du als weiterzuleitenden Port nicht den Port 80 einträgst, sndern den Port übert den du den Server von ausssen errcichbar haben wills - in deinem Beispiel Port 3144. In der Spaklte Map-Port trägst du dann den Port 80 ein, auf den der Server eigentlich hört:
Damit kannst du dan perr http://212.xx.xx.xx:3144 auf deinen Server zugreifen..
Beachte dabei, daß die Spalten im CLI und der WEBconfig leicht anders angeordnet sind
Gruß
Backslash
wenn das bei dir mit dem HTTP-Tunnel (mit einem anderen Port) funktioniert und der Browser dabei nicht wieder zwangsweise auf HTTPS wechslen will, dann kannst du das Mapping auch einfach im Portforwarding eintragen...
Dabein mut du nur beachtren, daß du als weiterzuleitenden Port nicht den Port 80 einträgst, sndern den Port übert den du den Server von ausssen errcichbar haben wills - in deinem Beispiel Port 3144. In der Spaklte Map-Port trägst du dann den Port 80 ein, auf den der Server eigentlich hört:
Code: Alles auswählen
:/Setup/IP-Router/1-N-NAT/Service-Table
> l
D-port-from D-port-to Protocol Peer WAN-Address Intranet-Address Map-Port Active Comment
========================================================================-------------------------------------------------------
3144 0 TCP INTERNET 0.0.0.0 192.178.168.20 80 Yes
Beachte dabei, daß die Spalten im CLI und der WEBconfig leicht anders angeordnet sind
Gruß
Backslash