LANCOM 1781VA-4G Portweiterleitung

Forum zu LANCOM Mobilfunk Router/Gateways

Moderator: Lancom-Systems Moderatoren

Antworten
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Hallo zusammen!

ich besitze einen LANCOM 1781 LTE Router welcher mit einer festen IP Adresse erreichbar ist. Provioder der festen IP Adresse ist die Firma Internet - XS.
Mittels der zugeteilten IP Adresse ist die Anmeldemaske des Routers problemlos erreichbar. Nun möchte ich jedoch mittels Portweiterleitung auf ein dahinterliegendes Gerät im Netzwerk zugreifen.
Die Portweiterleitung unter Konfiguration -> IP Router -> Maskierung -> Port Forwarding Tabelle habe ich folgendermaßen konfiguriert:

Anfangsport: 80

Endport: 80

Gegenstelle: INTERNET

Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)

Map Port: 0

Protokoll: TCP+UDP

WAN Adresse: 0.0.0.0



Leider ist das Gerät aus dem Internet, unter entsprechenden Port, nicht zu erreichen.
Fehlen mir noch entsprechende Einstellungen innerhalb der Firewall? Bisher habe ich da nichts weiter verändert.
Ich wäre für jede Hilfe dankbar da ich seit stunden nicht wirklich weiter komme.

Das Gerät, welches erreichbar gemacht werden soll, ist ein UKW Kontroll Empfänger "Axel Wolf".

Viele Grüße euer Karl 3
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3
Fehlen mir noch entsprechende Einstellungen innerhalb der Firewall?
nur, wenn du eine "Deyn-All" Strtegie fährst - dann mußt du natürlich eine Regel aufnehmen, die den Zugriff auf das Gerät von überall erlaubt:

Code: Alles auswählen

Quelle:   alle Stationen
Ziel:     IP-Adresse 192.178.168.20
Dienste:  TCP, Ziel-Port 80
BTW: Bist du dirsicher, daß du richtige IP-Adresse eingetragen hast? 192.178.168.20 ist nämlich keine "private" Adresse. Prifate Vadressen sind 10.x.x.x, 192.168.x.x und 172.16.x.x-172.31.x.x
Das Gerät, welches erreichbar gemacht werden soll, ist ein UKW Kontroll Empfänger "Axel Wolf".
Ist das Gerät denn richtig konfiguriert?
sprich:
  • kennt es sein Gateway?
  • läßt es überhaupt Zugriffe aus dem Internet zu? (Die meisten NAS z.B. sind im Default so konfiguriert, daß sie nur Zugriffe aus dem lokalen Netz zulassen)

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Hallo Backslash und danke für deine Antwort !

Wie finde ich denn heraus ob die Firewall sich im "Deyn-All" Modus befindet? Ich habe bisher nichts an diesen Einstellungen verändert.
LANCOM Firewall.jpg
Die IP Adressen habe ich dem Router 192.178.168.1 und dann dem Axel Wolf Messempfänger 192.178.168.20 so vergeben. Ich habe die Adressen jedoch gerade auf 192.168.178.xxx geändert - leider ohne Erfolg.


Ja, die Geräte sind extra zur Fernüberwachung geschaffen. Das Gateway ist dem Gerät bekannt.
Wolf2MS.jpg
Viele Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3
Wie finde ich denn heraus ob die Firewall sich im "Deyn-All" Modus befindet?
dann gibt es eine Regel, die allen Traffic verbietet...
Ich habe bisher nichts an diesen Einstellungen verändert.
du hast nur die Default-Regeln - damit gibt es keine Deny-All-Regel und die Firewall ist "offen"...
Ja, die Geräte sind extra zur Fernüberwachung geschaffen. Das Gateway ist dem Gerät bekannt.
Ok

ABER: Du hast die falsche Adresse im Portforwarding eingetragen... Das Gerät hat die 192.168.178.20 du hast aber die 192.178.168.20 eingetragen:
Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)
siehst du den Dreher?

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

ABER: Du hast die falsche Adresse im Portforwarding eingetragen... Das Gerät hat die 192.168.178.20 du hast aber die 192.178.168.20 eingetragen:

Intranet Adresse: 192.178.168.20 (direkte IP Adresse des Gerätes)

siehst du den Dreher?
Nein, die Portweiterleitung habe ich nach deinem Post auch angepasst. Ich habe echt keine Idee mehr woran es liegen kann.
Portweiterleitung.jpg

Gruß Karl
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3,

dann hilft nur tracen... als erstes wäre das der IP-Router-Trace (trace # ip-router) ... Dort sollten die Pakete an den Server auftauchen (mach das aber, wenn sonst nichgts los ist, denn sonst siehst du den Wald vor lauter Bäumen nicht).

Wenn im Router-Trace nichts auftaucht, dann solltest du schauen, ob es überhaupt bei dem Router ankommt (das wäre bei einem 1781 vermutlich der ADSL-Data-Trace).

Wenn es im Router-Trace auftaucht, dann sollte auch eine ARP-Auflösung gemacht werden und der Serber in der ARP-Tabelle auftauchen (/Status/TCP-IP/ARP/Table-ARP).

Wenn der Server wieder Erwarten nicht in der ARP-Tabelle auftaucht, dann bleibt am Ende nur noch ein Ethernet-Trace um zu sehen, was mit den ARP-Requests passiert. Wenn die raus gehen, aber keine Antwort zurückkommt, dann ist das LANCOM raus und der Fehler liegt auf deinem Server - was ich eh vermute, denn Portforwarding ist kein Hexenwerk und funktioniert normalerweise problemlos (außer die Server blocken Anfragen aus fremden Netzen, wie z.B. die meisten NAS-Boxen)

BTW: den Ethernet-Trace solltest du unbedingt auf die IP des Servers filtern (trace # ethernet @192.168.176.20) , denn sonst baust du am Ende einen "Teilchenbeschleuniger"...

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Wenn der Server wieder Erwarten nicht in der ARP-Tabelle auftaucht, dann bleibt am Ende nur noch ein Ethernet-Trace um zu sehen, was mit den ARP-Requests passiert. Wenn die raus gehen, aber keine Antwort zurückkommt, dann ist das LANCOM raus und der Fehler liegt auf deinem Server - was ich eh vermute, denn Portforwarding ist kein Hexenwerk und funktioniert normalerweise problemlos (außer die Server blocken Anfragen aus fremden Netzen, wie z.B. die meisten NAS-Boxen)
Gäbe es denn eine einfache Lösung, wenn der Server die Ursache des Übels ist?
Der Lancom kommt nur über LTE ins Internet. Eine andere Verbindung ist nicht vorgesehen und auch nicht gewünscht.

Viele Grüße und einen schönen Abend

Karl 3
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Hallo,
könnte mir bitte jemand erklären, was ich noch versuchen könnte? Ich bin absoluter Neuling und habe wirklich schon sehr viel versucht. Das hinter dem Router liegende Gerät bleibt jedoch weiterhin verborgen.

Wo könnte die Schwachstelle liegen?

Viele Grüße Karl 3
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3
Wo könnte die Schwachstelle liegen?
vermutlich hier:
Der Lancom kommt nur über LTE ins Internet
Bist du sicher, daß du das LANCOM überhaupt aus dem Internet erreichen kannst? i.A. bekommen LTE-Hosts private Adressen und liegen hinter einem NAT. Und selbst wenn sie (vermeidnlich) öffentliche Adressen bekommen, unterbinden die Provoder meist Verbindungsaufbaueten "von außen" bzw. lassen sich die Nutzung von "Serverdiensten" extra bezahlen...

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Ja, ich bin mir 100% sicher das ich die Anmeldeseite des LANCOM aus dem Internet und nicht über das Netzwerk erreiche. Ein Handy, welches bei Vodafone im LTE Netz eingebucht ist, gelangt unter der entsprechenden IP auch auf die Anmeldeseite des LANCOM.

Jedoch werde ich nie zu dem freigegebenen Port weitergeleitet. Es erscheint immer folgende Fehlermeldung:
gesicherte Verbindung.jpg


@backslash - ich lasse Dir die entsprechende IP per PN zukommen.

Viele Grüße und Danke für die Hilfe
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3

Code: Alles auswählen

Jedoch werde ich nie zu dem freigegebenen Port weitergeleitet. Es erscheint immer folgende Fehlermeldung: 
(...)
hast du mal versucht, statt https:// nur http:// in dert URL zu nutzen?
eine URL https://x.x.x.x:80 (also HTTPS auf Port 80) ist mehr als ungewöhnlich
Auf Port 80 wird normalerweise nur HTTP gemacht.
Wenn du wirklich HTTPS machen willst, dann solltest du den Port 443 weiterleiten und nicht den Port 80...

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Auch das habe ich schon probiert. Leider ohne Erfolg.

http mit Port 80

und

https mit Port 443 ist in der Portfreigabenliste aufgenommen.

Rufe ich die öffentliche IP unter 212.xx.xx.24:443 auf lande ich wieder auf der normalen Anmeldeseite des Routers.

Würdest Du mal auf den Router schauen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3,

das Problem ist hier wohl, daß moderne Browser automatisch https:// probieren - egal, was du in die URL schreibst - und wenn da jemand antwortet (bei dir das LANCOM), dann bleibt er darauf.

Du könntest jetzt im LANCOM die Konfiguration über das WAN komplett deaktivieren: unter Management -> Gerätezugriff -> Zugriffs-Einstellungen -> Zugriffs-Rechte -> von einer WAN-Schnittstelle die beiden Felder HTTP und HTTPS auf "nicht erlaubt" stellen. Desweiteren muß dann auch unter VPN -> Allgemein das Häkchen bei "Ipsec-over-HTTPS annehmen" entfernt werden, denn sonst nimmt das LANCOM immer noch die Session auf Port 443 an...

Dann geht die HTTP-Anfrage hoffentlich durch...

Oder du leitest statt dem Port 80 dne Port 443 weiter und stellst deinen Server so um, daß er auch HTTPS verwendet...

pures HTTP ist in der heutigen Zeit einfach nicht mehr "state-of-the-art"

Gruß
Backslash
Karl 3
Beiträge: 8
Registriert: 23 Nov 2022, 13:28

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von Karl 3 »

Hallo zusammen!

ich bin bei meinem Problem gerade einen entscheidenden Schritt weiter gekommen. Ich habe unter "Exstras" -> "TCP / HTTP Tunnel erzeugen" den Port des Axel WolfFM (Port 80) vom Lancom auf Port 3144 weitergeleitet. Jetzt ist der Port unter der festen IP erreichbar 212.xx.xx:3144 erreichbar.

Problem - der Tunnel schließt sich nach 300 Sekunden automatsich wenn dieser nicht benutzt wird. Gibt es eine Möglichkeit, diesen Tunnel fest anzulegen?
TCP HTTP Tunnel.jpg

Viele Grüße Karl 3
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM 1781VA-4G Portweiterleitung

Beitrag von backslash »

Hi Karl 3

wenn das bei dir mit dem HTTP-Tunnel (mit einem anderen Port) funktioniert und der Browser dabei nicht wieder zwangsweise auf HTTPS wechslen will, dann kannst du das Mapping auch einfach im Portforwarding eintragen...

Dabein mut du nur beachtren, daß du als weiterzuleitenden Port nicht den Port 80 einträgst, sndern den Port übert den du den Server von ausssen errcichbar haben wills - in deinem Beispiel Port 3144. In der Spaklte Map-Port trägst du dann den Port 80 ein, auf den der Server eigentlich hört:

Code: Alles auswählen

:/Setup/IP-Router/1-N-NAT/Service-Table
> l

D-port-from  D-port-to    Protocol   Peer              WAN-Address      Intranet-Address  Map-Port     Active   Comment                           
========================================================================-------------------------------------------------------
3144         0            TCP        INTERNET          0.0.0.0          192.178.168.20    80           Yes                                        
Damit kannst du dan perr http://212.xx.xx.xx:3144 auf deinen Server zugreifen..


Beachte dabei, daß die Spalten im CLI und der WEBconfig leicht anders angeordnet sind

Gruß
Backslash
Antworten