Internet Box 3 kann nicht factory-resettet werden

aagaag

Ich habe grössere Probleme mit dem Zugriff auf meine InternetBox-3 von aussen. Die DynDNS von der Swisscom funktioniert nicht, und die IP-Addresse (WAN) der Internetbox kann ich nicht einmal pingen vom Internet aus. Also versuchte ich, die Box komplett zu resetten. Mit der Swisscom-Software (web site internetbox.swisscom.ch) geht es aber nicht. Die Box startet neu, und die Einstellungen sind alle noch da. Ich sehe, dass es ein Reset-Knopf gibt, aber wie geht das? Muss man vor dem Starten drucken, oder danach? Wie lange?

WalterB

@aagaag

Unten am Boden hat es ein kleines Loch und dort musst Du mit einer Büroklammer 10-15 Sekunden drücken wenn die Internet-Box 3 eingeschaltet ist.

Werner

@aagaag

Was Dich nach einem erfolgreichen Hard-Reset mit der "Büroklammer" einfach nicht irritieren darf:

Die wichtigsten Einstellungen, wie z.B. WLAN-SSID, WLAN-Passwort und einiges mehr, werden auch nach einem Hard-Reset einer Internetbox automatisch wieder erscheinen, da der Back-End-Server der Swisscomm beim ersten Internetkontakt der Internetbox, diese sofort wieder erneut mit allen Server-gespeicherten Werten provisioniert.

Eine 100%-ige Rückstellung einer Internetbox auf einen echten Auslieferungszustand ist also wegen der automatisierten Server-Provisionierung durch das Swisscom-Backend eigentlich gar nicht möglich, trotzdem könnte Dir aber ein Hard-Reset bei Deinen Problemen helfen, weil dann da doch vieles neu initialisiert wird und auch alle temporären Caches und Buffers neu angelegt werden.

aagaag

Danke vielmals, ich habe nun auch festgestellt, dass fast alles beim Alten bleibt ausser die LAN-Einstellungen. Mein Problem ist aber, dass ich die Internetbox von aussen gar nicht sehe.

Die IPv4-Adresse (so wie sie von der Internetbox angegeben wird) ist angeblich: 188.62.205.251 (ich denke, es ist unproblematisch, sie hier zu veröffentlichen, die Ports sind alle gesichert. Diese Adresse antwortet aber nicht auf Pings.

Der Swisscom-Kundendienst ist komplett nutzlos, sie habe mir gesagt, ich soll mich beim VPN-Provider beschweren (dabei habe ich gar kein VPN und es geht überhaupt nicht darum). Ich habe auch versucht, die Swisscom-Dynamische DNS zu aktivieren (appenzell.internet-box.ch) aber die ist auch nicht erreichbar - was nicht verwunderlich ist wenn schon die direkte IP-Eingabe nicht geht.

Woran kann es liegen? Ich habe ein zweites Abo für eine andere Wohnung, auch mit Swisscom (bellariastrasse.com) und der Zugriff von aussen geht dort problemlos.

WalterB

aagaag

Wie meinst Du das genau?

**Mein Problem ist aber, dass ich die Internetbox von aussen gar nicht sehe.
**

Die Internet-Box kann nur im eigenen Netzwerk erkannt werden, oder über die VPN Verbindung welche man nach den Vorgaben einrichten kann.

r00t

Hi @aagaag

Die IPv4-Adresse (so wie sie von der Internetbox angegeben wird) ist angeblich: 188.62.205.251 (ich denke, es ist unproblematisch, sie hier zu veröffentlichen, die Ports sind alle gesichert. Diese Adresse antwortet aber nicht auf Pings.

Was sagt denn die Website icanhazip.com dazu? Falls du dort die oben genannte Adresse siehst, funktioniert dyndns - sonst nicht.

r00t

aagaag

also, ich habe das VPN eingerichtet, und nun kann ich meine Internetbox von aussen erreichen und einloggen. Das ist schon mal gut. Was ich aber will, ist was anderes. Ich habe eine pfSense-Box hinter dem Swisscom-Router, welche Firewall-Funktionen hat und zusätzlich DHCP-Server, DNS-Server, NAT, VPN etc. fürs LAN bereitstellt. Ich möchte diese pfSense-Box vom Internet aus erreichen können. Das scheint in der jetzigen Konfiguration nicht möglich zu sein.

Was mich wundert: ich habe 2 Swisscom-Boxen in zwei verschiedenen Gebäuden, je in Zürich und in Appenzell. Die LANs sind sehr ähnlich. In Zürich geht das problemlos: die Internetbox überträgt alle Ports via DMZ an pfSense. In Appenzell scheint nichts zu gehen. Ich kann nicht einmal eine öffentliche Nginx-Seite ins Internet stellen. Kann es wirklich sein, dass die Swisscom das so will???

r00t

Hi aagaag

Was ich aber will, ist was anderes. Ich habe eine pfSense-Box hinter dem Swisscom-Router, welche Firewall-Funktionen hat und zusätzlich DHCP-Server, DNS-Server, NAT, VPN etc. fürs LAN bereitstellt. Ich möchte diese pfSense-Box vom Internet aus erreichen können. Das scheint in der jetzigen Konfiguration nicht möglich zu sein.

Wenn du einen Client vor der pfSense ins Swisscombox-Netz hängst, kannst du auf die pfSense zugreifen?

...In Appenzell scheint nichts zu gehen.... Kann es wirklich sein, dass die Swisscom das so will???

Vielleicht steht ja eine Kuh auf der Leitung? 😉

Nein im ernst - scheint mir eher eine Fehlkonfiguration auf der sense zu sein. Du hast ja zu Beginn erwähnt, dass der Anschluss nicht per ping erreichbar ist. Im DMZ-Modus leitet die Internetbox alle Anfragen von extern an den DMZ-Host weiter - auch Pings!

Du musst also auf dem WAN Interface der Sense sicherstellen, dass du ICMP-echo requests zulässt. Die Regel sollte in etwa so aussehen:

Zeig mal die Konfiguration deiner Sense (Interface Übersicht auf der Hauptseite, Firewallregeln auf WAN Seite, NAT Regeln (Port Forwardings)

Zum Beitrag von @Lori-77: Wenn du von extern über deinen dyndns-Namen den du weiter oben genannt hast per VPN auf die Box zugreifen kannst, und die IP mit icanhazip.com übereinstimmt, hast du bereits eine öffentliche IP-Adresse und musst nichts unternehmen.

PS: die Ports welche für das VPN zur Internetbox verwendet werden, werden nicht an die Sense weitergeleitet.

r00t

Lori-77

Hallo @aagaag

Nicht jede IP Adresse von Swisscom ist eine öffentliche.

Der Support soll dir eine öffentliche Teiche IP Adresse für den Router von Appe zell geben

Dann kannst du auch eine PfSense und was zum Geier dahinter betreiben.

Uns es wird funktionieren, denn meine Nextcloud läuft auch so.

Gruss Lorenz

Werner

@aagaag

Wenn Du das Netz der pfSense aus dem Internet erreichen willst, installierst Du Dir am besten einen Open VPN Server (alternativ ev. auch einen WireGuard VPN-Server, falls das von pfSense wieder unterstützt wird) direkt auf der pfSense-Appliance.

Die dafür von der IB3 her benötigte Portweiterleitung erfolgt dann entweder implizit via den DMZ-Modus oder alternativ explizit manuell ohne den DMZ- Modus.

Den Swisscom-DynDNS, den Du ja bereits auf der IB3 hast, kannst Du dabei auch unverändert weiterverwenden für den Zugriff auf den pfSense VPN-Server.

aagaag

Ich habe das Problem einigermassen gelöst, aber nur zur Hälfte. Ich kann nun die internetbox via Swisscom-VPN ansprechen, und zwar sowohl über ihr IP-Adresse als auch über den DNS-Resolver. Das ist schon mal gut.

Allerdings ist VPN das Einzige, was geht. Ich habe die Box so eingestellt, dass sie alle Ports an die DMZ weitergeben soll, aber das scheint nicht zu funktionieren. RDP zu meinem Server (hinter der pfSense) geht nur, wenn ich erst via VPN in die Box einwähle, und dann durch RDP-NAT über die pfSense zum Server gelange. Und natürlich kann ich so auch keine Nginx-Seite dem Internet gegenüber öffnen.

Ist es wirklich so, dass die Swisscom ausschliesslich VPN-Zugriffe auf Internetboxen von Privaten erlaubt?

r00t

Hi @aagaag

Wie gesagt: nein - bei mir sind diverse Portweiterleitungen aktiv 😉

aagaag

@r00t: ja, bei mir auch in Zürich. Bei meinem 2. Anschluss (in Appenzell) geht das nicht, obwohl ich glaube, dass ich das genau gleich eingestellt habe. Ich muss allerdings sagen, dass die Firewall der Internetbox scheinbar drei Sicherheitsstufen anbietet, und bei allen ist der Zugriff von aussen (IPv4) gesperrt. Könnte es daran liegen? Bei IPv6 kann man von aussen zugreifen, wenn ich das richtig verstehe.

r00t

Hi @aagaag

Ich würde an deiner Stelle die in meinem Beitrag empfohlenen Schritte durchführen. Du kannst testweise auch mal den DMZ-Modus deaktivieren und dann schauen, ob du von extern die IB wieder pingen kannst.

Ich vermute den Fehler zwischen Internetbox und deinen Servern - also verm. auf der Sense.

Du kannst auf der pfsense mit tcpdump ja mal gucken, ob da pakete auf den entsprechenden Port reinkommen, sobald du von extern darauf zugreifen willst.

r00t