Basisdaten: Internetbox 3 mit Firmware 14.00.50/02003; Exposed Host (DMZ) nicht aktiv, UPnP IGD nicht aktiv
Die Portweiterleitung funktioniert einfach nicht. Habe bereits mit Swisscom-Support am Telefon einen kompletten Router-Reset durchgeführt, der nichts genutzt hat. Ebenso hatte ich dort die verschiedenen Firewall-Betriebsweisen durchprobiert, was auch nichts genutzt hat.
Prinzipiell nämlich per vpn (l2tp,ipsec) kann ich von aussen auf den Router zugreifen, aber eben nicht über weitergeleitete Ports. Auch im myswisscom-Webinterface wird der Router erkannt. Und wie oben schon geschrieben, ist kein DMZ-Host konfiguriert. (In meinen Tests vor dem Router-Reset hatte ich auch das erfolglos probiert.)
Zur weiteren Diagnose nachfolgend, wie ich getestet habe.
iperf3 -4 -s -p 55449 -B PUBLIC_IP_OF_EXTERNAL_SERVER
iperf3 -4 -c NAME_OF_EXTERNAL_SERVER -p 55449
iperf3 -4 -u -c NAME_OF_EXTERNAL_SERVER -p 55449
iperf3 -4 -u -c MYNAME.ddns.net -p 55449
Mittlerweile frage ich mich, ob es an meiner firmware version auf der IB3 liegt?
Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten.
Also ist meine Frage an die Community: Soll ich mit dem Workaround (Zugriff über builtin L2TP,ipsec-VPN) leben? Oder gibt es doch noch Möglichkeiten für den Zugriff per Wireguard via Portweiterleitung?
Bist du dir sicher, dass der Traffic nicht am OR ankommt? Ich würde das mal mit tcpdump noch etwas genauer untersuchen.
Wenn ich aus der Ferne tippen müsste, würde ich auf falschen/fehlenden default Gateway auf dem OR tippen. Oder, dass die Firewallkonfiguration des ORs den Zugriff von externen IPs blockiert.
LG
r00t
Danke!! Die Internetbox 3 stellt einen zusätzlichen Zugang ins Internet dar, der neu dazugekommen ist. Deshalb war das default gateway auf den Hauptrouter gesetzt. Mit einem zusätzlichen auf die Internetbox 3 zeigenden default gateway läuft der Zugang.
Damit ist meine Frage der Portfreigabe gelöst. - Und für mich bleibt die Aufgabe , zu prüfen, wie ich das mit meinem restlichen Setup (vpn-routen über den Haupt-Internetzugang) kompatibel machen kann ...
Vielen Dank an die Community hier! So schnell so viele nützliche Hinweise zu bekommen, das ist Spitze.
PS: Als Diagnose ein Gerät, das nur als Webserver arbeitet, ins LAN der Internetbox 3 zu hängen, hätte auch auf diese Spur geführt. Allerdings hätte ich dazu vor Ort, und nicht remote, arbeiten müssen.
Hallo @NichtDerErsteRouter
Wureguard funktioniert definitiv mit der IB3.
Ich hab es auf einem Netgate.
Du kannst aber zum Testen auch ein Raspi einsetzten.
Die Portweiterleitung funktioniert.
Auch der Webserver ist von aussen erreichbar.
Der Netzgaten läuft bei mir auf 192.168.x.1
Gruss Lorenz
Auf welcher Appliance läuft denn der OpenWRT-Router?
Und sitzt der WireGuard-Server direkt auf dem OpenWRT-Router, oder auf einem anderen Gerät im Netz des OpenWRT-Routers?
Der IB selbst würde ich übrigens lieber kein Netz aus dem 10er Bereich geben, denn dieser wird sehr oft für VPN-Verbindungen verwendet.
Muss nicht unbedingt einen Konflikt geben, aber teste das ganze doch nochmals kurz mit einem Netz der IB im 192er oder im 172er-Bereich.
Openwrt läuft als Hardware (GL-MT1300) und der Wireguard-Server läuft direkt auf diesem Gerät. (Wie gesagt vom IB3-LAN aus kann ich mit einem Notebook erfolgreich die Wireguard-Verbindung aufbauen).
Vielleicht sollte ich wirklich nochmal mit 192er-Netz testen.
@NichtDerErsteRouter schrieb:
[...] Noch letzte technische Details: Das LAN der IB3 ist auf ein 10.x.0.0/16 Netz eingestellt. Und die IB3 muss mit einem 24-Port Mikrotik Switch CSS326 zusammenarbeiten.
Nicht nur für VPN-Tunnels wie schon @Werner schrieb, sondern auch fürs Gästenetz der Internetbox werden 10er-Adressen verwendet. Genau genommen das 10.128.0.0/16-Netz, was auch nicht verändert werden kann. Ein Grund mehr, den 10er-Bereich fürs Heimnetz komplett zu meiden.
@Werner @PowerMac Danke für die Info! Ich hatte mir 10.50.0.0/16 ausgesucht. Ist das etwa auch ein bekanntermassen von der Internetbox 3 intern verwendetes Netz?
... es handelt sich eben nicht einfach um ein Heimnetz (nur das Internet-Abo und damit der Router ist auf Heimnetze ausgerichtet.) Aber notfalls kann ich schon auf 192er Netzte ausweichen.
@NichtDerErsteRouter schrieb:
@Werner @PowerMac Danke für die Info! Ich hatte mir 10.50.0.0/16 ausgesucht. Ist das etwa auch ein bekanntermassen von der Internetbox 3 intern verwendetes Netz?
Wäre mir nicht bekannt, daher sollte es im Prinzip auch keine Überschneidung mit dem Gästenetz auf 10.128.0.0/16 geben. Aus den genannten Gründen würde ich persönlich den ganzen 10er-Bereich meiden, aber das ist wohl Geschmackssache.
Bist du dir sicher, dass der Traffic nicht am OR ankommt? Ich würde das mal mit tcpdump noch etwas genauer untersuchen.
Wenn ich aus der Ferne tippen müsste, würde ich auf falschen/fehlenden default Gateway auf dem OR tippen. Oder, dass die Firewallkonfiguration des ORs den Zugriff von externen IPs blockiert.
LG
r00t
Nur zur Sicherheit um ein Problem mit dem DynDNS sicher auszuschliessen, wie führst Du eigentlich den NO-IP-DynDNS nach, schon direkt mit dem DynDNS-Client auf der Internetbox?
Und im kaskadierten Netz auch keinen zusätzlichen parallelen DynDNS-Client aktiv, welcher da zusätzlich noch reinpfuschen könnte?
Ja, man sollte auch die kleinen Stolpersteine beachten. - DynDns läuft direkt auf der Internetbox 3 und nur dort 🙂
Danke!! Die Internetbox 3 stellt einen zusätzlichen Zugang ins Internet dar, der neu dazugekommen ist. Deshalb war das default gateway auf den Hauptrouter gesetzt. Mit einem zusätzlichen auf die Internetbox 3 zeigenden default gateway läuft der Zugang.
Damit ist meine Frage der Portfreigabe gelöst. - Und für mich bleibt die Aufgabe , zu prüfen, wie ich das mit meinem restlichen Setup (vpn-routen über den Haupt-Internetzugang) kompatibel machen kann ...
Vielen Dank an die Community hier! So schnell so viele nützliche Hinweise zu bekommen, das ist Spitze.
PS: Als Diagnose ein Gerät, das nur als Webserver arbeitet, ins LAN der Internetbox 3 zu hängen, hätte auch auf diese Spur geführt. Allerdings hätte ich dazu vor Ort, und nicht remote, arbeiten müssen.
Freut mich, konnte ich helfen 😉.
Und für mich bleibt die Aufgabe , zu prüfen, wie ich das mit meinem restlichen Setup (vpn-routen über den Haupt-Internetzugang) kompatibel machen kann ...
Ich denke, was du suchst, nennt sich policy based routing 😊
LG
r00t
Der von Dir verwendete GL-MT1300 ist ja wirklich ein ulkiger Router.
Hätte eigentlich nicht gedacht, dass da drauf ein VPN-Server performant läuft, aber man lernt ja dank der Community immer wieder aufs Neue dazu.
Hi @Werner
Habe tatsächlich auch so ein Gerät - absolutes Spitzenteil für in den Ferien an Orten ohne Mobilfunk und sehr überteuertem WLAN. 😉
LG
r00t
@Werner Hat dasselbe Chipset wie Mikrotik RB760iGS ( MT7621A). Nicht rasend schnell, läuft aber stabil. Und wenn die Leitung nur dsl mit 40MB/s upload hergibt, völlig ausreichend. Dient bei mir dazu Zugriffe zwischen separaten lokalen Netzwerke zu ermöglichen (Fernwartung, Backup etc.).
Danke! Ja danach sieht es aus. Werde es mit der PBR app probieren. Freundlicherweise unter openwrt sogar mit web-interface.