Basisdaten: Internetbox 3 mit Firmware 14.00.50/02003; Exposed Host (DMZ) nicht aktiv, UPnP IGD nicht aktiv Die Portweiterleitung funktioniert einfach nicht. Habe bereits mit Swisscom-Support am Telefon einen kompletten Router-Reset durchgeführt, der nichts genutzt hat. Ebenso hatte ich dort die verschiedenen Firewall-Betriebsweisen durchprobiert, was auch nichts genutzt hat. Prinzipiell nämlich per vpn (l2tp,ipsec) kann ich von aussen auf den Router zugreifen, aber eben nicht über weitergeleitete Ports. Auch im myswisscom-Webinterface wird der Router erkannt. Und wie oben schon geschrieben, ist kein DMZ-Host konfiguriert. (In meinen Tests vor dem Router-Reset hatte ich auch das erfolglos probiert.) Zur weiteren Diagnose nachfolgend, wie ich getestet habe. * ddns (bei noip.com) ist eingerichtet und ping von aussen zur IB3 geht * der **_openwrt router_ (OR)** als Ziel der Portweiterleitung wird von der IB3 im LAN erkannt und hat im IB3-Webinterface eine statische IP zugewiesen * im Bereich 554xy sind drei **Portweiterleitungen** definiert; **alle drei von aussen nicht erreichbar.** * udp (gewünschte Anwendung), Eingang und Ziel 55443 zu Device=OR: auf OR lauscht Wireguard auf 55443 * Wenn ich mit einem Wireguard Client direkt im LAN der IB3 bin, funktioniert die Verbindung per Wireguard zum OR * tcp (zum Testen), Eingang 55480, Ziel 80 zu Device=OR, d.h. Webinterface von OR * tcp+udp (**zum Testen mit iperf3**), Eingang **55449**, Ziel 55449 zu Device=OR * als von der IB3 rausgehende Verbindung läuft es ganz normal: Wenn iperf3 als server auf meinem externen Server läuft, kann iperf3 als client auf OR die Verbindung aufbauen, d.h. der von der IB3 bereitgestellte Internetzugang (via ipv4) läuft. * auf externem Server mit iperf3 als Server iperf3 -4 -s -p 55449 -B PUBLIC\_IP\_OF\_EXTERNAL\_SERVER * auf OR mit iperf3 als client iperf3 -4 -c NAME\_OF\_EXTERNAL\_SERVER -p 55449 iperf3 -4 -u -c NAME\_OF\_EXTERNAL\_SERVER -p 55449 * mit vertauschten Rollen also **OR hinter IB3 wartet auf eingehende Verbindung** läuft nicht * OR mit iperf3 als Server: iperf3 -4 -s -p 55449 -B LAN\_IP\_OF\_OR * extern mit iperf3 als Client: Ergebnis, **error - unable to connect to server: Connection timed out** iperf3 -4 -c MYNAME.ddns.net -p 55449 bzw. für udp iperf3 -4 -u -c MYNAME.ddns.net -p 55449 Mittlerweile frage ich mich, ob es an meiner firmware version auf der IB3 liegt? Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten. Also ist meine Frage an die Community: Soll ich mit dem Workaround (Zugriff über builtin L2TP,ipsec-VPN) leben? Oder gibt es doch noch Möglichkeiten für den Zugriff per Wireguard via Portweiterleitung?

Hi @"NichtDerErsteRouter"#1317365 Bist du dir sicher, dass der Traffic nicht am OR ankommt? Ich würde das mal mit [tcpdump](https://openwrt.org/docs/guide-user/firewall/misc/tcpdump_wireshark) noch etwas genauer untersuchen. Wenn ich aus der Ferne tippen müsste, würde ich auf falschen/fehlenden default Gateway auf dem OR tippen. Oder, dass die Firewallkonfiguration des ORs den Zugriff von externen IPs blockiert. LG r00t

> * * * > > @"NichtDerErsteRouter"#1317365 schrieb: > > \[...\] Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten. Nicht nur für VPN-Tunnels wie schon @"Werner"#234740 schrieb, sondern auch fürs Gästenetz der Internetbox werden 10er-Adressen verwendet. Genau genommen das 10.128.0.0/16-Netz, was auch nicht verändert werden kann. Ein Grund mehr, den 10er-Bereich fürs Heimnetz komplett zu meiden.

Internetbox 3 Portweiterleitung geht nicht [gelöst]

NichtDerErsteRouter

Basisdaten: Internetbox 3 mit Firmware 14.00.50/02003; Exposed Host (DMZ) nicht aktiv, UPnP IGD nicht aktiv

Die Portweiterleitung funktioniert einfach nicht. Habe bereits mit Swisscom-Support am Telefon einen kompletten Router-Reset durchgeführt, der nichts genutzt hat. Ebenso hatte ich dort die verschiedenen Firewall-Betriebsweisen durchprobiert, was auch nichts genutzt hat.

Prinzipiell nämlich per vpn (l2tp,ipsec) kann ich von aussen auf den Router zugreifen, aber eben nicht über weitergeleitete Ports. Auch im myswisscom-Webinterface wird der Router erkannt. Und wie oben schon geschrieben, ist kein DMZ-Host konfiguriert. (In meinen Tests vor dem Router-Reset hatte ich auch das erfolglos probiert.)

Zur weiteren Diagnose nachfolgend, wie ich getestet habe.

ddns (bei noip.com) ist eingerichtet und ping von aussen zur IB3 geht
der openwrt router (OR) als Ziel der Portweiterleitung wird von der IB3 im LAN erkannt und hat im IB3-Webinterface eine statische IP zugewiesen
im Bereich 554xy sind drei Portweiterleitungen definiert; alle drei von aussen nicht erreichbar.
- udp (gewünschte Anwendung), Eingang und Ziel 55443 zu Device=OR: auf OR lauscht Wireguard auf 55443
  - Wenn ich mit einem Wireguard Client direkt im LAN der IB3 bin, funktioniert die Verbindung per Wireguard zum OR
- tcp (zum Testen), Eingang 55480, Ziel 80 zu Device=OR, d.h. Webinterface von OR
- tcp+udp (zum Testen mit iperf3), Eingang 55449, Ziel 55449 zu Device=OR
  - als von der IB3 rausgehende Verbindung läuft es ganz normal:
    Wenn iperf3 als server auf meinem externen Server läuft, kann iperf3 als client auf OR die Verbindung aufbauen, d.h. der von der IB3 bereitgestellte Internetzugang (via ipv4) läuft.
    - auf externem Server mit iperf3 als Server
      
      iperf3 -4 -s -p 55449 -B PUBLIC_IP_OF_EXTERNAL_SERVER
    - auf OR mit iperf3 als client
      
      iperf3 -4 -c NAME_OF_EXTERNAL_SERVER -p 55449
      
      iperf3 -4 -u -c NAME_OF_EXTERNAL_SERVER -p 55449
  - mit vertauschten Rollen also OR hinter IB3 wartet auf eingehende Verbindung läuft nicht
    - OR mit iperf3 als Server:
      iperf3 -4 -s -p 55449 -B LAN_IP_OF_OR
    - extern mit iperf3 als Client: Ergebnis, error - unable to connect to server: Connection timed out
      iperf3 -4 -c MYNAME.ddns.net -p 55449
      bzw. für udp
      
      iperf3 -4 -u -c MYNAME.ddns.net -p 55449

Mittlerweile frage ich mich, ob es an meiner firmware version auf der IB3 liegt?

Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten.

Also ist meine Frage an die Community: Soll ich mit dem Workaround (Zugriff über builtin L2TP,ipsec-VPN) leben? Oder gibt es doch noch Möglichkeiten für den Zugriff per Wireguard via Portweiterleitung?

Lori-77

Hallo @NichtDerErsteRouter

Wureguard funktioniert definitiv mit der IB3.

Ich hab es auf einem Netgate.

Du kannst aber zum Testen auch ein Raspi einsetzten.

Die Portweiterleitung funktioniert.

Auch der Webserver ist von aussen erreichbar.

Der Netzgaten läuft bei mir auf 192.168.x.1

Gruss Lorenz

Werner

@NichtDerErsteRouter

Auf welcher Appliance läuft denn der OpenWRT-Router?

Und sitzt der WireGuard-Server direkt auf dem OpenWRT-Router, oder auf einem anderen Gerät im Netz des OpenWRT-Routers?

Der IB selbst würde ich übrigens lieber kein Netz aus dem 10er Bereich geben, denn dieser wird sehr oft für VPN-Verbindungen verwendet.

Muss nicht unbedingt einen Konflikt geben, aber teste das ganze doch nochmals kurz mit einem Netz der IB im 192er oder im 172er-Bereich.

NichtDerErsteRouter

Hallo @Lori-77

Danke für deine Rückmeldung. Ist das bei dir auch mit Firmware 14.00.50/02003?

NichtDerErsteRouter

Openwrt läuft als Hardware (GL-MT1300) und der Wireguard-Server läuft direkt auf diesem Gerät. (Wie gesagt vom IB3-LAN aus kann ich mit einem Notebook erfolgreich die Wireguard-Verbindung aufbauen).

Vielleicht sollte ich wirklich nochmal mit 192er-Netz testen.

PowerMac

@NichtDerErsteRouter schrieb:

[...] Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten.

Nicht nur für VPN-Tunnels wie schon @Werner schrieb, sondern auch fürs Gästenetz der Internetbox werden 10er-Adressen verwendet. Genau genommen das 10.128.0.0/16-Netz, was auch nicht verändert werden kann. Ein Grund mehr, den 10er-Bereich fürs Heimnetz komplett zu meiden.

NichtDerErsteRouter

@Werner @PowerMac Danke für die Info! Ich hatte mir 10.50.0.0/16 ausgesucht. Ist das etwa auch ein bekanntermassen von der Internetbox 3 intern verwendetes Netz?

... es handelt sich eben nicht einfach um ein Heimnetz (nur das Internet-Abo und damit der Router ist auf Heimnetze ausgerichtet.) Aber notfalls kann ich schon auf 192er Netzte ausweichen.

PowerMac

@NichtDerErsteRouter schrieb:

@Werner @PowerMac Danke für die Info! Ich hatte mir 10.50.0.0/16 ausgesucht. Ist das etwa auch ein bekanntermassen von der Internetbox 3 intern verwendetes Netz?

Wäre mir nicht bekannt, daher sollte es im Prinzip auch keine Überschneidung mit dem Gästenetz auf 10.128.0.0/16 geben. Aus den genannten Gründen würde ich persönlich den ganzen 10er-Bereich meiden, aber das ist wohl Geschmackssache.

r00t

Hi @NichtDerErsteRouter

Bist du dir sicher, dass der Traffic nicht am OR ankommt? Ich würde das mal mit tcpdump noch etwas genauer untersuchen.

Wenn ich aus der Ferne tippen müsste, würde ich auf falschen/fehlenden default Gateway auf dem OR tippen. Oder, dass die Firewallkonfiguration des ORs den Zugriff von externen IPs blockiert.

r00t

Werner

@NichtDerErsteRouter

Nur zur Sicherheit um ein Problem mit dem DynDNS sicher auszuschliessen, wie führst Du eigentlich den NO-IP-DynDNS nach, schon direkt mit dem DynDNS-Client auf der Internetbox?

Und im kaskadierten Netz auch keinen zusätzlichen parallelen DynDNS-Client aktiv, welcher da zusätzlich noch reinpfuschen könnte?

NichtDerErsteRouter

Ja, man sollte auch die kleinen Stolpersteine beachten. - DynDns läuft direkt auf der Internetbox 3 und nur dort 🙂

NichtDerErsteRouter

@r00t

Danke!! Die Internetbox 3 stellt einen zusätzlichen Zugang ins Internet dar, der neu dazugekommen ist. Deshalb war das default gateway auf den Hauptrouter gesetzt. Mit einem zusätzlichen auf die Internetbox 3 zeigenden default gateway läuft der Zugang.

Damit ist meine Frage der Portfreigabe gelöst. - Und für mich bleibt die Aufgabe, zu prüfen, wie ich das mit meinem restlichen Setup (vpn-routen über den Haupt-Internetzugang) kompatibel machen kann...

Vielen Dank an die Community hier! So schnell so viele nützliche Hinweise zu bekommen, das ist Spitze.

PS: Als Diagnose ein Gerät, das nur als Webserver arbeitet, ins LAN der Internetbox 3 zu hängen, hätte auch auf diese Spur geführt. Allerdings hätte ich dazu vor Ort, und nicht remote, arbeiten müssen.

r00t

Hi NichtDerErsteRouter

Freut mich, konnte ich helfen 😉.

Und für mich bleibt die Aufgabe, zu prüfen, wie ich das mit meinem restlichen Setup (vpn-routen über den Haupt-Internetzugang) kompatibel machen kann...

Ich denke, was du suchst, nennt sich policy based routing 😊

r00t

Werner

Der von Dir verwendete GL-MT1300 ist ja wirklich ein ulkiger Router.

Hätte eigentlich nicht gedacht, dass da drauf ein VPN-Server performant läuft, aber man lernt ja dank der Community immer wieder aufs Neue dazu.

r00t

Hi @Werner

Habe tatsächlich auch so ein Gerät - absolutes Spitzenteil für in den Ferien an Orten ohne Mobilfunk und sehr überteuertem WLAN. 😉

r00t

NichtDerErsteRouter

@Werner Hat dasselbe Chipset wie Mikrotik RB760iGS ( MT7621A). Nicht rasend schnell, läuft aber stabil. Und wenn die Leitung nur dsl mit 40MB/s upload hergibt, völlig ausreichend. Dient bei mir dazu Zugriffe zwischen separaten lokalen Netzwerke zu ermöglichen (Fernwartung, Backup etc.).

NichtDerErsteRouter

Danke! Ja danach sieht es aus. Werde es mit der PBR app probieren. Freundlicherweise unter openwrt sogar mit web-interface.