Forum: Offtopic Speedport W 724V Einstellungen zur Portfreischaltung Port-Umleitungen und Port-Weiterleitungen


von Bernhard S. (bernhard)


Angehängte Dateien:

Lesenswert?

Viel Zeit musste ich investieren, bis die Portfreischaltung 
funktionierte, darum dieser Beitrag:

Die Portfreischaltung beim Speedport W 724V könnte für einen Port
z.B. so aussehen (s.Bild).

Warum so viele Eingabefelder vorgesehen sind, kann ich mir nicht 
erklären.

Die ersten beiden linken Felder dienen zur Eingabe von Port Bereichen, 
aber die anderen beiden, wozu?



Aus meinem eigenen LAN/WLAN Netz kann ich meinen Router (öffentliche 
IP-Adresse Telekom) anpingen.

Aber aus einem anderen Netz (Vodafone) ist ein Ping nicht möglich,
trotz 20s Wartezeit, warum?


Ein Aufruf meines Webservers z.B. http://91.50.114.114:100 aus meinem 
LAN/WLAN Netz funktioniert nicht, aus einem anderen Netz (Vodafone) 
aber schon, warum?


Bernhard

: Bearbeitet durch User
von Md M. (Firma: Potilatormanufaktur) (mdma)


Lesenswert?

Bernhard S. schrieb:
> Warum so viele Eingabefelder vorgesehen sind, kann ich mir nicht
> erklären.
>
> Die ersten beiden linken Felder dienen zur Eingabe von Port Bereichen,
> aber die anderen beiden, wozu?
Na auch Bereiche. Wahrscheinlich kann man z.B. Ports 20-30 auf 120-130 
mappen.

> Aus meinem eigenen LAN/WLAN Netz kann ich meinen Router (öffentliche
> IP-Adresse Telekom) anpingen.
>
> Aber aus einem anderen Netz (Vodafone) ist ein Ping nicht möglich,
> trotz 20s Wartezeit, warum?
Weil der Ping aus deinem LAN deinen Speedport nicht verlässt. Wenn der 
Ping aus der anderen Richtung kommt, spielt entweder dein Provider noch 
mit oder dein Speedport ist halt so konfiguriert.

Edit:
Jo, scheint so zu sein, dass die Speedports nicht auf Pings aus dem 
Internet auf die WAN IP antworten. Keine Ahnung, ob man das irgendwo 
einstellen kann.

: Bearbeitet durch User
von Stephan H. (stephan-)


Lesenswert?

ich glaube mich zu erinnern das die Speedports kein Loopback können.
Dann kannst Du nicht von hinten durch die Brust ins Auge.
Ja die Forwardings sind blöd gemacht in den Speedports. Den WAN Ping 
findest Du in der Firewalleinstellung. Ist im allg. An. Schadet ja auch 
nicht. Wie gesagt, ohne Loopback geht kein Zugriff und kein ICMP.
Da die Speedport auch kein VPN können und Pass Trough auch nicht ist was 
es vorgibt, lasse ich die Finger von solchem Müll.

: Bearbeitet durch User
von Md M. (Firma: Potilatormanufaktur) (mdma)


Lesenswert?

Ich habe für ältere Speedorts immer die alternative Firmware Bitswitcher 
benutzt und war sehr zufrieden. Allerdings bin ich nicht sicher, ob das 
Projekt einfach nur brach liegt oder sowas wie fertig ist.

von Bernhard S. (bernhard)


Angehängte Dateien:

Lesenswert?

Danke für Eure Antworten.

Mir ist die Bedeutung der 4 Eingabefelder klar geworden.

Das ist Forwarding (Portweiterleitung), hier kann ein einzelner Port, 
oder sogar ein Portbereich umgeleitet werden.

Beispiel (s.Bild) Port 90 umleitung auf Port 222

: Bearbeitet durch User
von c. m. (Gast)


Lesenswert?

ich habe das gleiche gerät.

wenn du den router von außen anpingst anwortet er nicht darauf. das 
protokoll ICMP wird nicht weiter geleitet an deinen internen rechner, 
nur TCP, so wie du das konfiguriert hast.

du kannst von seinem internen netz nicht auf die internet-ip deines 
routers zugreifen.
bedeutet in meinem fall z.b. das ich (von innen) kein ssh auf meine 
dyndns adresse camikusch.dyndns.blarg:2000 machen kann, von außen aus 
dem internet gehts. totale scheiße.
ich hab das ssh auf die äußere adresse jahrelang benutzt um rauszufinden 
ob ich den dyndns record updaten muss - geht nicht mehr.

von Md M. (Firma: Potilatormanufaktur) (mdma)


Lesenswert?

Bernhard S. schrieb:
> Mir ist die Bedeutung der 4 Eingabefelder klar geworden.

Hä? Ich dachte das wär klar. Hab ich doch auch so erklärt. Siehe

Md M. schrieb:
> Bernhard S. schrieb:
>> Warum so viele Eingabefelder vorgesehen sind, kann ich mir nicht
>> erklären.
>>
>> Die ersten beiden linken Felder dienen zur Eingabe von Port Bereichen,
>> aber die anderen beiden, wozu?
> Na auch Bereiche. Wahrscheinlich kann man z.B. Ports 20-30 auf 120-130
> mappen.

Du hattest selber schon geschrieben, dass du weißt, was das ist.

Bernhard S. schrieb:
> Viel Zeit musste ich investieren, bis die Portfreischaltung
> funktionierte, darum dieser Beitrag:
>
> Die Portfreischaltung beim Speedport W 724V könnte für einen Port
> z.B. so aussehen (s.Bild).

Etwas wirr, was du schreibst.

von Bernhard S. (bernhard)


Lesenswert?

>das protokoll ICMP wird nicht weiter geleitet an deinen internen rechner

Doch den google lässt sich auch anpingen "ping 216.58.214.35"




> Etwas wirr, was du schreibst.

Nein, denn Du vermutetest nur "Wahrscheinlich kann man z.B...."

von Jens N. (Firma: privat) (franzderzweite)


Lesenswert?

Stephan Henning meinte
> Da die Speedport auch kein VPN können ....
die Funktion wird laut deren Verkauf nicht unterstützt oder supportet, 
aber funktionieren tut es trotzdem leidlich,
Mit dem 724er selber über Wochen dort praktizieren müssen, nur 
verkraftet der mehr als 2 gleichzeitige Verbindungen nicht so recht und 
stellt sich dann tot = hängt sich dann auf.

> lasse ich die Finger von solchem Müll.
den u.a. 701er und 920 kann man noch Fritzisieren, von daher bist du 
wohl etwas unwissend?

von Md M. (Firma: Potilatormanufaktur) (mdma)


Lesenswert?

Bernhard S. schrieb:
>> Etwas wirr, was du schreibst.
>
> Nein, denn Du vermutetest nur "Wahrscheinlich kann man z.B...."

Ich war mir sogar sicher, das ist trivial. Da ich so ein Gerät aber 
nicht besitze und keine Lust hatte zu googlen, habe ich mich so 
ausgedrückt, um zu verdeutlichen, wovon man getrost ausgehen kann. 
Eigentlich wunderte ich mich aber nur über deine späte Erkenntnis, dass 
es sich um die Einstellungen fürs Port forwarding handelt, wo es doch 1. 
in dem von dir geposteten Bild fett drin steht und du 2. über diese 
Einstellungen ja ein funktionierendes Port forwarding eingerichtet hast. 
Ich hatte dir eigentlich nur erklärt, wozu die vielen Felder da sind, 
denn danach hattest du gefragt. Egal, sei es drum.

von Stephan H. (stephan-)


Lesenswert?

Jens N. schrieb:
>> lasse ich die Finger von solchem Müll.
> den u.a. 701er und 920 kann man noch Fritzisieren, von daher bist du
> wohl etwas unwissend?

warum sollte ich einen Router mit anderer Software betreiben ? Es gibt 
genug am Markt was von Hause aus funktioniert. Im Business wo ich mein 
Geld verdiene habe ich keine Zeit für solche Spielerein. Da wird ein 
ordentlicher Router genommen und dann funktioniert auch alles.

von Jens N. (Firma: privat) (franzderzweite)


Lesenswert?

Stephan Henning meinte

> warum sollte ich einen Router mit anderer Software betreiben ?
mußt du selber wissen, passt nicht so recht in das Thema da oben, haste 
ja Recht.

> Es gibt genug am Markt was von Hause aus funktioniert.
wenn sie denn mal online kommen, siehe folgendes Szenario

> Im Business wo ich mein Geld verdiene habe ich keine Zeit für solche
> Spielerein.
Aha Spielereien also? Manchmal ist man aus Zeit- oder Geldmangel dazu 
genötigt Alternativen zu finden.

> Da wird ein ordentlicher Router genommen und dann funktioniert auch
> alles.
Dein Wort in Gottes Ohr? Ein Lancom 1724 hat ganze 11 Tage mit mehr als 
10 Störungstickets gebraucht um am ADSL2+ im T-C-Netz läuffähig zu 
werden.
So viel zu der Pauschalaussage ordentliche weil Businees-Router 
funktionieren einfach.
Nächstes Bsp., wenn auch etwas underground Business Zyxel-> Speedlink 
5501, schon 2 Tage mit der Störungsstelle um das Ding am VDSL DE LAN IP 
zum Onlinezustand zu bringen.
Danach geht bekanntlich erst der Rest weiter wie eventuell Telefonie 
oder Onlinenutzung etc. pp . VPN oder Netzkopplung.

Mit einem uralt Billiggerät ala SP701 bekam ich die IP-Telefonie in 
0,Nix eingerichtet und funktional, eine FB würde das auch klaglos ohne 
große Probleme annehmen. Nur so Businessgeräte sind für viele NB etwas 
hakelig an gewissen Anschlüssen.
Der Vorbesitzer des Lancom hier hat es mit solchen Größen wie dir als 
Business Einrichter dann auch nur über den WAN-Port statt mit dem int. 
ADSL2+ Modem zum Laufen gebracht.
Welche Netzzugangsprobleme hast du schon so mit diversen NetzBetreibern 
gelöst?
Der Rest auf der Box ist ja dann eher einfach zu lösen.

von Joerg W. (joergwolfram)


Lesenswert?

Das kenne ich...

> bedeutet in meinem fall z.b. das ich (von innen) kein ssh auf meine
> dyndns adresse camikusch.dyndns.blarg:2000 machen kann, von außen aus
> dem internet gehts. totale scheiße.

Doch, das geht (muß man nur drauf kommen ;-). Der W724V löst die ihm im 
Netz bekannten Rechnernamen bei DNS-Anfragen auf. Verpasse einfach 
deinem Rechner im Speedport eine feste IP-Adresse (braucht Du ja 
sowieso) und stelle den Namen (im Speedport) auf 
"camikusch.dyndns.blarg" um. Der original Hostname kann bleiben. Dann 
klappts auch mit SSH und OwnCloud im eigenen Netzwerk. Wichtig ist noch, 
dass bei den Clienten die IP des Speedports bei den verwendeten 
DNS-Servern steht (Bei DHCP ist das normalerweise der Fall).

Jörg

von c. m. (Gast)


Lesenswert?

Joerg W. schrieb:
> Das kenne ich...
>
>> bedeutet in meinem fall z.b. das ich (von innen) kein ssh auf meine
>> dyndns adresse camikusch.dyndns.blarg:2000 machen kann, von außen aus
>> dem internet gehts. totale scheiße.
>
> Doch, das geht (muß man nur drauf kommen ;-). Der W724V löst die ihm im
> Netz bekannten Rechnernamen bei DNS-Anfragen auf. Verpasse einfach
> deinem Rechner im Speedport eine feste IP-Adresse (braucht Du ja
> sowieso) und stelle den Namen (im Speedport) auf
> "camikusch.dyndns.blarg" um.

das hilft in meinem fall nicht.
ich will die namensauflösung von dyndns verwenden um per ssh auf die 
WAN-adresse meines routers herauszufinden, ob der DNS-Record noch 
aktuell ist, oder ich inzwischen eine andere WAN IP habe - dann muss ich 
nämlich den DNS-record bei dyndns updaten.

und das geht nicht, weil anfragen vom LAN auf die WAN-IP nicht geroutet 
werden.

von Stephan H. (stephan-)


Lesenswert?

dann nutze einen DynDNS CLient um deine IP alle Stunde zu aktualisieren.
Ist ja nicht so schwer.

von Bernhard S. (bernhard)


Angehängte Dateien:

Lesenswert?

Der Port 7547 ist beim beim Speedport W 724V permanent offen.

Gibt es eine Möglichkeit diese Sicherheitslücke zu schließen?

von Bernhard S. (bernhard)


Angehängte Dateien:

Lesenswert?

Der Port UDP 5060 ist ebenfalls offen und läßt sich nicht 
schließen....

: Bearbeitet durch User
von Tom T. (kyu)


Lesenswert?

Bernhard S. schrieb:
> Der Port UDP 5060 ist ebenfalls offen und läßt sich nicht
> schließen....

Port 5060 wäre VoIP, der sollte nicht nach außen offen sein. Bist du 
denn sicher dass er von außen auch erreichbar ist? Port 7547 wäre 
TR-069, wird von Providern zur Fernkonfiguration benutzt und ist 
manchmal nicht abschaltbar. Auch hier, sicher dass der von außen 
erreichbar ist? Nur weil er für interne Zwecke reserviert ist muss er 
noch nicht aktiviert sein.

Solche Sachen sind mit ein Grund warum ich auf meinen Geräten FOSS 
firmware laufen hab, die machen wenigstens nur was ich von denen will.

von Jens N. (Firma: privat) (franzderzweite)


Lesenswert?

Bernhard S. fragte
> Der Port 7547 ist beim beim Speedport W 724V permanent offen.
garantiert nicht, oder hast du noch nicht mal danach im Netz gesucht?
Der Port 7547 ist der Hintereingang für das TR069 und damit die "Hilfe" 
per Fernzugang durch den Provider.
Also Fernwartung oder Fern-Support oder wie das dort bei dem Ding auch 
heißt, deaktivieren!

Tom T. (kyu) meinte
> Port 5060 wäre VoIP, der sollte nicht nach außen offen sein.
der UDP-Port 5060 ist für SIP verwaltet, wenn er IP-Telefonie aktiv auf 
der Kiste hat, und dafür sind die Teile ja gebaut, dann ist der schon 
nach außen und innen offen.

> Solche Sachen sind mit ein Grund warum ich auf meinen Geräten FOSS
> firmware laufen hab,
na dann mach mal einen konstuktiven Vorschlag, wie sich das zu dem Gerät 
u.v.a. Hersteller verhält?

> die machen wenigstens nur was ich von denen will.
du bist der Entwickler von der Foss-FW?

von Bernhard S. (bernhard)


Lesenswert?

>Der Port 7547 ist der Hintereingang für das TR069 und damit die "Hilfe"
>per Fernzugang durch den Provider.

Nennt sich beim Speedport W 724V "EasySupport"...

habe ich bei mir von Anfang an deaktiviert.

Offene Ports, ein Eldorado für Angreifer.

http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

von Jens N. (Firma: privat) (franzderzweite)


Lesenswert?

Bernhard S. fragte Vorgestern
> Der Port 7547 ist beim beim Speedport W 724V permanent offen.
woraus siehts du das bitte?

> Gibt es eine Möglichkeit diese Sicherheitslücke zu schließen?

Bernhard S. von heute
> habe ich bei mir von Anfang an deaktiviert.

Also hat sich das für dich schon lange erledigt! Warum dann so 
verunsichert?

von Bernhard S. (bernhard)


Lesenswert?

>Also hat sich das für dich schon lange erledigt! Warum dann so
>verunsichert?

Vermutlich sind nun alle Router-Ports geschlossen.

Danke für Eure Antworten.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.