[Maertyrer]

Hallöchen werte Gemeinde,

weis jemand wie man im Netzwerk von einem MU5001 eine Portweiterleitung zu einem Serverdienst machen kann bzw. ist es überhaupt möglich?

[ich256]

Leider habe ich nirgends eine Anleitung gefunden, die überhaupt etwas über die Konfigurationsmöglichkeiten des Gerätes sagt. Das dürfte daran liegen, dass die Firmware meistens durch den Provider beschnitten wird, der das Gerät ausgibt. Ist denn die erste Voraussetzung gegeben, hast Du also eine öffentlich IP, über die Du aus dem I-Net erreichbar bist. Normaler Weise ist die ja schon kostenpflichtig.

[Maertyrer]

Guten Abend,

gibt es im Mobilfunk Unterschiede zum "normalen" Internet. Hatte über MeineIP meine öffentliche IP gesucht. Jeder Anwender hat doch eine öffentliche IP der im Internet "hantiert"?

#edit: aber ich sehe gerade dass beim Nachfolger 5002 explizit mit Portweiterleitung geworben wird ich gehe mal davon aus dass es bei dem 5001 wirklich beschnitten wurde. Sehr Schade

[Draalz]

Ist denn überhaupt eine Firewall darauf?
Vielleicht gibt es ja Firmware Updates.

Überprüfen kannst Du die Zugänglichkeit Deines Netzwerks hinter der Mobilbox mit [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Gibt es, soweit ich weiß, für jede Plattform.
Programm installieren und dann mit der Konsoleneingabe:

Code:

nmap <DeineIPAdresse>

Dir wird dann aufgelistet, welche Ports Deines Netzwerkes offen sind.
Falls Du offene Ports findest, bring auf jedem Gerät eine Firewall an.

Für die gewünschten Serverdienste lässt Du den entsprechenden Port aus Firewall raus.

Falls die Mobilbox dyndns beherrscht, kannst Du z.B. bei selfhost.de eine kostenlose Subdomain nutzen. So kannst Du Dein Netzwerk auch aus dem Internet finden.
Falls die Mobilbox das nicht beherrscht, kannst Du eine Applikation auf der Maschine installieren, die die Anmeldung bei selfhost übernimmt.

/*
* Nachtrag:
* Hab das Programm schon ewig nicht mehr gebraucht
* Offenbar wurde nmap der DSVGO etwas angepasst
* Wenn die IP des Routers, die er vom Anbieter erhielt, gescannt wird, müssen die Ports beschränkt werden (Parameter -p 22-500 z.B.)
* Eine Subdomain kann jedoch ohne Parameter gescannt werden
*/

[ich256]

Leider ist es bei den großen Providern keines Wegs so, dass jeder Router eine öffentliche IP bekommt, weil die insbesondere so viele IPv4-Adressen gar nicht haben. Statt dessen gibt es private Adressen und der Router des Providers macht das, was Du jetzt in Deinem Netz auch vorhast. Der von Draalz beschriebe Weg die Adresse zu ermitteln, mit der die Mobilbox kommuniziert, ist also zielführend. Und um den DynDNS führt auch kein Weg herum, denn wenn Du eine öffentliche IP bekommst, wird die täglich wechseln.

[Maertyrer]

Hallo.

Eine Firewall ist leider nicht verfügbar. Update ist auch keins vorhanden.

Host is up (0.061s latency).
Not shown: 994 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
53/tcp open domain
80/tcp open http
443/tcp open https
5555/tcp filtered freeciv

Nmap done: 1 IP address (1 host up) scanned in 1.81 seconds


Denke mal muss dann wohl auf den Nachfolger umsteigen, da beim 5001 nichts installierbar ist.

[Draalz]

Ok, jetzt hast Du einige offene Ports.

• 53/tcp open domain
• 80/tcp open http
• 443/tcp open https

Du könntest zunächst mal einen DNS Server betreiben, unverschlüsselte Homepages, oder eben verschlüsselte Homepages.

Jetzt stellt sich natürlich die Frage welche Serverdienste Du zur Verfügung stellen möchtest.

[Maertyrer]

Guten Morgen sind die Ports nicht offen weil das Gerät ja selber im Hintergrund einen kleinen Webserver am laufen um die eine oder andere Einstellung via Browser zu tätigen.

[Draalz]

Das kommt drauf an.

Ist das Webinterface des Routers den so einstellbar, dass es vom Internet zu erreichen ist?

/*
* Nachtrag:
* Hier hab ich was gefunden:
* [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
*/

[ich256]

Noch ein Versuch: Hat der Router denn nun eine öffentlich IP? Z.B. bei der Telekom bekommt er die nur mit inoffiziellem Trick und nur, wenn Du wenigstens den APN konfigurieren kannst: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] So wird auch der Umstieg auf ein Nachfolgemodell nur helfen, wenn der Provider die Funktionen nicht abschaltet, wie er offenbar bei Deine 5001 getan hat. Mit der Werks-FW kann der das nämlich mit Sicherheit.

[Maertyrer]

Hallöchen, leider das falsche Gerät.

Das ZTE MU 5001 hat nicht solche Einstellungsmöglichkeiten


Edit: @ Draalz

[Draalz]

Zitat:

Zitat von Maertyrer

Hallöchen, leider das falsche Gerät.

Sorry, da ist mir wohl die 1 am Ende beim Drag & Drop entfallen.

[ich256]

Die Ports sind offen, weil er die auf dem Gerät aufgedruckte interne IP des Routers gescannt hat und nicht die Internet-IP. Da sind die Ports offen, die man braucht, um surfen zu können. DNS, ssh und telnet sind aus dem Internet hoffentlich nicht offen.

[Draalz]

Zitat:

Zitat von ich256

Die Ports sind offen, weil er die auf dem Gerät aufgedruckte interne IP des Routers gescannt hat und nicht die Internet-IP.

Den Umstand solch einer Konfiguration verstehe ich durchaus, allerdings wurde das hier weder bestätigt noch verneint. Indes erschließt sich mir auch nicht, weshalb Port 443 für ein internes Netzwerk geöffnet wird. Das ist so, als würde man mit Kanonen auf Spatzen schießen.

[ich256]

Wenn ich von meinem Browser aus auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] zugreifen will, wird zuerst der Domainname per DNS-Anfrage in die IP aufgelöst. Dazu muss der Router im internen Netz aus Port 53 horchen und die Anfrage an den per DHCP vom Provider bekanntgegebenen DNS-Server weitergeben. Mit der Antwort baut der Browser dann eine http-Anfrage mit der aufgelösten IP-Adresse auf dem für verschlüsselte Anfragen konfigurierten Port 443 auf und schickt sie wieder an den Router, der sie dann an den Router des Providers weiterleitet. Das geht natürlich auch nur, wenn der Port 443 intern offen ist, d.h. der Router Anfragen auf dem Port entgegennimmt. Das der Router http-Anfragen auf seiner eigenen IP auf Port 80 oder 443 filtert und an sein internes Konfig-GUI weiterleitet, ist davon unberührt. Die aufgerührten Ports auf der externen Seite des Routers per Default zu öffnen, wäre allerdings fahrlässig und sinnfrei. So eine Fehl-Konfig sollte keinem Hersteller / Provider passieren.

[ich256]

Mit welcher IP man selbst im Internet sichtbar ist, kann man z.B. bei [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ermitteln. In 99.9% aller Anfragen von Mobilboxen oder Telefonen wird dort wohl die IP des Routers des Providers, z.B. der Telekom stehen. Meine Fritz.box bekommt vom Provider eine dynamische öffentliche IP-Adresse, weil sonst die Fernwartung nicht funktioniert. Siehe dazu mein Link auf die Telekom-Hilfe. Da ich den Fernzugriff aktuell aber deaktiviert habe, liefert Nmap auf der externen IP das Folgende:

Starting Nmap 7.94 ( [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ) at 2024-03-11 13:39 Mitteleuropäische Zeit
Nmap scan report for 14x.xxx.xxx.xxx.dynamic-xxx.pv4.xxx.xxx (14x.xxx.xxx.xxx)
Host is up (0.0043s latency).
All 100 scanned ports on 14x.xxx.xxx.xxx.dynamic-xxx.pv4.xxx.xxx (14x.xxx.xxx.xxx) are in ignored states.
Not shown: 92 filtered tcp ports (no-response), 8 filtered tcp ports (admin-prohibited)

Nmap done: 1 IP address (1 host up) scanned in 5.07 seconds
--------------------------------------------------------------------------------------

Für die interne IP-Adresse meines Routers liefert Nmap dagegen, was wir schon kennen:

Starting Nmap 7.94 ( [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] ) at 2024-03-11 13:48 Mitteleuropäische Zeit
Nmap scan report for fritz.box (10.xxx.xxx.xxx)
Host is up (0.010s latency).
Not shown: 93 closed tcp ports (reset)
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
5060/tcp open sip
5357/tcp open wsdapi

Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds

Die zusätzlichen Ports sind der Tatsache geschuldet, dass die Fritzbox Anfragen an das NAS und andere Rechner im internen Netz weiterleiten soll.

[Draalz]

@ich256,

ich hab seinerzeit mit einem Smoothwall Softwarerouter angefangen, später kam ich auf die FritzBox.
Auf die Idee einen Portscan vom internen Netzwerk zu machen, bin ich in der Tat noch nicht gekommen.
Danke für die Erklärung.

Da die FritzBox ein Backup Laufwerk unterhält sind bei mir diese Ports offen:

Code:

PORT     STATE SERVICE
21/tcp   open  ftp  (Backup)
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
5060/tcp open  sip (VOIP)
8089/tcp open  unknown (TR-069)

[Rassalam]

Sollte Port 53 für die Nameserver Konfiguration nicht auf dem UDP Protokoll laufen? Prinzipiell sollte der Nameserver nur auf Port 53 TCP Antworten, wenn die Antwort 512bytes übersteigt. Wenn es nicht nötig ist sollte man Port 53 TCP vlt. doch blocken, wird nämlich gern für DDos Angriffe genommen.

Eigentlich sollte Port 53 UDP die Anfrage stellen und eigentlich auch eine Antwort da kommen, TCP wird eigentlich nur verwendet, wenn ein UDP Paket nicht ausreicht.

Da frag ich mich echt, was für DomainNamen ihr nutzt und vor allem wie lang die sind, wenn ihr jedes mal die 512 Bytes reißt.

[Draalz]

Zitat:

Zitat von Rassalam

Wenn es nicht nötig ist sollte man Port 53 TCP vlt. doch blocken, wird nämlich gern für DDos Angriffe genommen..

Interessant. Jetzt musst Du mir nur noch erklären, wie man, z.B. auf einer FritzBox, einen Port, der für das interne Netzwerk geöffent ist, blocken kann.

[Rassalam]

Zitat:

Zitat von Draalz

Interessant.

Den internen DNS der Fritzbox kannst du nur über Umwege sperren. Die Port 53 TCP blockierung würde auch am internen Verkehr soweit ich weiß nichts ändern. Da du ja die Antworten vom DNS Server über UDP Port 53 bekommst.

Mir ist das halt bei dir auch nur aufgefallen das der Port 53 auf TCP bei dir ist. Der Sipgate Telefoniespaß und die Konfigurationsschnittstelle für den Provider ist ja nix besonderes. Aber Port 53 TCP ist mir sofort ins Auge gesprungen.

Du kannst natürlich alles blocken über die Listen in Verbindung mit den Zugangsprofilen. Im Unternehmen würdest du halt einfach ne FirewallRegel anlegen die sämtliche Pakete größer 512 bytes die auf Port 53 kommen sperrt.

Aber prinzipiell legst du dir in der Fritzbox über den Filter die Listen an gehst denn zu den Zugangsprofilen, bearbeitest die, scrollst runter, öffnest Erweiterte Einstellungen. Da erscheint denn gesperrte Netzwerkanwendungen und wählst du denn deine vorher erstellte Liste aus mit den angelegten Ports. Die dann für dieses Zugangsprofil gesperrt sind. Das kannst du denn je nachdem für das StandardProfil setzen denn gilt es für alle oder du legst dir selber ein Profil an wo du die Endgeräte reinballerst, die das betreffen soll. Im Prinzip blockierst du damit auch nicht den Fritzbox eigenen DNS, sondern jeden anderen DNS.

Die Gefahr ist halt, das du auf Port 53 TCP größere Pakete schicken kannst als an 53 UDP. Was Tür und Tor öffnet für DDos Angriffe ala 10000 DNS Abfragen die Sekunde.

Du könntest auch über eine Firewall jeglichen Verkehr auf Port 53 der größer 512 Bytes ist sperren. Das würde das ganze Protgedöns erübrigen. Aber leider kann die Fritzbox in Ihrem normalen Zustand sowas nicht.

Du hast übrigens bei der Fritzbox schon die Rebind Schutz integriert soweit ich weiß, also Antworten auf Port 53 die an eine IP Adresse im Netzwerk gehen, werden von der Fritzbox rausgefiltert. Aber auch da kann man Ausnahmen einrichten.

Was natürlich mal jemand mit viel langeweile testen kann. Was passiert wenn direkt eine Liste für die Fritzbox also 192.168.178.1 erstellst und denn direkt Port 53 komplett blockst, ob er dann noch was auflösen kann weiß ich nicht. Möchte ich aber grad auch nicht probieren . Oder nur den eingehenden Verkehr auf Port 53 blocken sollte ja schon reichen, denn kommt ja keine Antwort mehr .


Achja und zum Thread: Bei welchem Anbieter bist du denn z.b? Die Telekom weiß ich bietet für solche Geräte verschiedene Zugangspunkte an auf denen du denn auch eine wirkliche IPv4 Adresse bekommst.

[ich256]

Rassalam: da geht jetzt aber doch ein bisschen was durcheinander. Ein DDos Angriff aus dem eigenen Intranet scheint mir ein etwas exotisches Szenario zu sein, um da irgendwelche Filterexperimente zu machen. Tatsächlich sperrt die Fritzbox den Angriff dann hoffentlich rechtzeitig, bevor es der Provider tut. Der sperrt dann nämlich den ganzen Internetzugang.

[Draalz]

Hmm, beim TO ist scheinbar auch Port 22 von 'innen' geöffnet.
Warum das so ist, erschließt sich mir nicht.
In meinem Netzwerk steht ein NAS. Auf dem läuft ein Downloadmanager, den ich weltweit ansprechen kann. Wenn dieser dann Downloads startet, macht er das über eine ssh Tunnel, der mit meinem VPN Anbieter verbunden ist. Ich denke, dass die FritzBox diese Konstellation gar nicht nachvollziehen kann, weil der Tunnel vom NAS aufgebaut wird.
DNS Auflösungen werden zumeist von meinen Anwendungen von CloudFlaire angefordert. Der Router ist eigentlich nur aus Kompatibilitätsgründen auch auf CloudFlaire DNS eingestellt.
VPN wird eigentlich nur von den Maschinen im Heimnetz aufgebaut und geht durch die FritzBox hindurch.

Bei den Portscanns anderer Beiträge von 'innen' in diesem Thread, steht Port 53 auf TCP.

Zitat:

Zitat von Rassalam

Achja und zum Thread: Bei welchem Anbieter bist du denn z.b? Die Telekom weiß ich bietet für solche Geräte verschiedene Zugangspunkte an auf denen du denn auch eine wirkliche IPv4 Adresse bekommst.

Auch an anderer Stelle habe ich schon gelesen, dass T Online mittlerweile private IP's an Router verteilt (10.x.x.x), weil ihnen wohl die IP's ausgehen.
Ich bin bei Telefonica und bekomme immer noch eine richtige öffentliche IP.

[ich256]

Draalz: Der Port 22 ist von innen geöffnet, damit Du eine ssh-Session auf einem anderen Gerät in Deinem Intranet (das stimmt natürlich nicht, weil der Switch vor dem Router liegt!) oder auch auf einem externen Server öffnen kann. Für die von Dir verwendete Konstellation wird der also nicht gebraucht. Ich verwende den Port 22 aber z.B. um meinem NAS (über den Switch in der Fritzbox) im Intranet am Abend per putty ein "poweroff" zu schicken, damit es stromsparend runterfährt. Am Morgen schickt der erste gestartete Rechner dann ein wakeonlan-Paket ans NAS, damit es auffwacht.

[ich256]

zu den IP-Adressen: Hier müssen wir unterscheiden, über welches Netz wir reden. Die Original-Anfrage bezog sich auf eine Mobilbox im G4/G5-Netz. Das verhält sich aber anders, als ein (v)DSL- oder Glasfasernetz und hängt hinter anderen Routern und Firewalls. Ich habe gerade kein Lust, mein Mobiltelefon mit dem vom T-Support erwähnten Zugangspunkt umzukonfigurieren, habe aber Zweifel, ob selbst eine öffentliche IP im Mobilnetz überhaupt von außen erreichbar wäre.

[Rassalam]

Zitat:

Zitat von ich256

Rassalam: da geht jetzt aber doch ein bisschen was durcheinander.

Ja natürlich ist das sehr skurril. Ich kann mich aber auch noch an Zeiten erinnern in denen 1und1 gern mal Mails verschickt hat mit dem Tenor: "Wir haben ungewöhnlichen Traffic auf Port 53 bei Ihnen festgestellt, wir sperren mal Vorsichtshalber den Internetzugang".

Und das kam nicht nur einmal vor, ich glaub das war damals auch der Grund für den Rebindschutz von AVM. Das Thema ist aber schon so lang her, aber daher hab ich das Port 53 TCP = Schlecht .

@Draalz

Ich glaube auch den Tunnel hast du Vorweg erstmal nur bei Glasfaser und Kabel bei IPv4. Du kriegst bei Vodafone auch ne richtige IP . Du musst nur den FirstlevelSupport solange nerven, bis er dich zum 2nd Level durchstellt und die erzählen dir denn das du für einen monatlichen Obulus auch eine "echte" IPv4 bekommst. Hat nen Bekannter von mir, der Glasfaser hat, auch gemacht.

Und bei Telefonica hab ich monatelang genervt das die endlich IPv6 im Mobilfunk freischalten, damit man trotz des IPv4 Tunnels über die IPv6 aus dem MobilNetz auf die Fritzbox zugreifen kann ohne großes gespiele. Das war erstmal ein Drama, aber ich hab mich durchgesetzt .

[ich256]

Meinem lokalen Anbieter reichte die Argumentation, dass die Fritzdienste der von ihm selbst bereitgestellten Fritzbox sonst nicht funktionieren für eine kostenfreie zwar dynamische, aber öffentliche IP.

[Draalz]

Zitat:

Zitat von ich256

Draalz: Der Port 22 ist von innen geöffnet, damit Du eine ssh-Session auf einem anderen Gerät in Deinem Intranet (das stimmt natürlich nicht, weil der Switch vor dem Router liegt!) oder auch auf einem externen Server öffnen kann.

Um das noch einmal zu verdeutlichen mein Portscann von Heimnetzwerk auf den Router:

Code:

PORT     STATE SERVICE
21/tcp   open  ftp
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
5060/tcp open  sip
8089/tcp open  unknown

Damit kann ich problemlos auf ssh Instanzen im Internet zugreifen.

Portscann von 'aussen' über eine Domain:

Code:

PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
443/tcp  open   https
587/tcp  closed submission
5060/tcp open   sip
8089/tcp open   unknown
9001/tcp open   tor-orport
9050/tcp closed tor-socks

Auch ich greife von ausserhalb des öfteren auf mein NAS per ssh zu, weil auf ihm einige Server laufen. Alle offenen Ports werden gar nicht aufgelistet. Sie sind für Gameserver geöffnet.

[Draalz]

Zitat:

Zitat von Rassalam

@Draalz

Ich glaube auch den Tunnel hast du Vorweg erstmal nur bei Glasfaser und Kabel bei IPv4. Du kriegst bei Vodafone auch ne richtige IP . Du musst nur den FirstlevelSupport solange nerven, bis er dich zum 2nd Level durchstellt und die erzählen dir denn das du für einen monatlichen Obulus auch eine "echte" IPv4 bekommst. Hat nen Bekannter von mir, der Glasfaser hat, auch gemacht.

SSH Tunnel fahre ich seit über 20 Jahren in beide Richtungen, über 1&1, Telekom, Kabel Deutschland und jetzt über Telefonica. Ich hatte noch nie Probleme mit diesem Protokoll.

[ich256]

Draalz: Dann sind wohl beide Aussagen falsch und ich muss nochmal darüber nachdenken. :-|