Moin, Wir haben gerade das große Vergnügen ein LTE Router vom Typ Welotec TK 800 http://www.actesolutions.se/media/5441/tk800-datasheet-en.pdf mit einer Vodafone M2M (= Maschine zu Maschine) SIM Karte in Betrieb zu nehmen. Leider ist der Support sowohl bei Welotec (15min = 30€) als auch bei Vodafone (Hotline: Wir sind die Hotline und haben keine Ahnung, wir schreiben aber dem Support eine Email) wenig hilfreich. Der Router bekommt von Vodafone immerhin eine öffentliche IP (80.x.x.x) und es ist möglich mit einem an den Router angeschlossenen PC ins Internet zu kommen und auch auf das Web-Interface des Routers zuzugreifen. Allerdings lässt sich diese öffentliche IP anpingen, es ist aber kein Zugriff auf den Router möglich, weder HTTP noch SSH. Ein Portscan ergab nur einen offenen Port 7, also echo. Die Firewall des Routers sollte eigentlich alle Ports erlauben ("permit"). Eine nach Handbuch des Routers eingerichtete Portweiterleitung auf ein anderes Gerät funktioniert (natürlich) auch nicht. Nun also meine Frage (da von Vodafone keine Antwort zu bekommen war): Weiss jemand, ob Vodafone einfach sämtliche Ports blockt? Kann man das irgendwo konfigurieren? Oder wo könnte noch der Fehler liegen? Mir ist nicht ganz klar was eine öffentliche IP bringt, wenn dann doch wieder ein VPN eingerichtet werden muss, um einen Fernzugriff zu ermöglichen. Also gehe ich bisher davon aus, dass wir da irgendwo etwas übersehen haben. Vielen Dank!
ist das wirklich eine individuelle öffentliche IP?
Horst schrieb: > Allerdings lässt sich diese öffentliche IP anpingen, es ist aber kein > Zugriff auf den Router möglich, weder HTTP noch SSH. Ein Portscan ergab > nur einen offenen Port 7, also echo. Die Firewall des Routers sollte > eigentlich alle Ports erlauben ("permit"). Admin Access für Remote freigeschaltet?
:
Bearbeitet durch User
Martin schrieb: > ist das wirklich eine individuelle öffentliche IP? Zumindest liegt sie im öffentlichen Adressraum und ist per ping erreichbar. A. K. schrieb: > Admin Access für Remote freigeschaltet? Wüsste nicht, dass es diese Option gibt. Werde morgen nochmal nachsehen. Wäre natürlich eine sinnvolle Option. Aber NAT hat wie gesagt auch nicht funktioniert.
Horst schrieb: > Wüsste nicht, dass es diese Option gibt. Werde morgen nochmal nachsehen. Hatte kurz nach Handbuch gesucht und fand eins vom TK700. Da gibt es das unabhängig von der Firewall, pro Service wählbar. Den Trick gibts auch bei Bintec. Edit: Hab ein PDF vom TK800 gefunden. Mangels Screenshots nicht exakt einschätzbar, könnte aber ähnlich sein.
:
Bearbeitet durch User
Horst schrieb: > Aber NAT hat wie gesagt auch nicht funktioniert. Nicht gleich aufgeben. Die Kämpfe gegen Bintec habe ich zwar jedesmal gewonnen, aber auch nicht immer sofort. ;-)
:
Bearbeitet durch User
Woher weißt du, dass der router eine öffentlich ip hat ? Normalerweise sind alle Teilnehmer hinter einem CG-NAT .. Zugriffe von außen sind so nicht möglich.
TestX schrieb: > Woher weißt du, dass der router eine öffentlich ip hat ? Weil das der Sinn von M2M SIMs ist. Zudem ist seine pingbare 80.x.x.x Adresse keine der für CG-NAT typischen RFC-Adressen (10/8, 172.16/12, 192.168/16).
:
Bearbeitet durch User
A. K. schrieb: >> Woher weißt du, dass der router eine öffentlich ip hat ? Weil der IP Bereich 80.x.x.x im öffentlichen Bereich liegt. A. K. schrieb: > Hatte kurz nach Handbuch gesucht und fand eins vom TK700. Da gibt es das > unabhängig von der Firewall, pro Service wählbar. Den Trick gibts auch > bei Bintec. > > Edit: Hab ein PDF vom TK800 gefunden. Mangels Screenshots nicht exakt > einschätzbar, könnte aber ähnlich sein. Danke für die Mühe! Im Handbauch habe ich dazu nichts gefunden, es wird allerdinsg auch mit keinem Wort eine Konfiguration via Internet erwähnt. Aus dem eigenen Netz geht es allerdings. Aus Sicherheitsgründen nicht möglich, oder doch noch irgendwo gesperrt?
> Ein Portscan ergab nur einen offenen Port 7, also echo.
Kommt denn auch ein Echo?
(º°)·´¯`·.¸¸.·´¯`·.¸¸.·´¯`·.¸¸.·´¯`·.¸¸.·´¯`·.¸¸.· schrieb im Beitrag #4909757: >> Ein Portscan ergab nur einen offenen Port 7, also echo. > > Kommt denn auch ein Echo? Weiss nicht, nicht getestet. Geht auch erst morgen wieder. Wiki sagt dazu: On various routers, this TCP or UDP port 7 for the Echo Protocol for relaying ICMP datagrams (or port 9 for the Discard Protocol) is also configured by default as a proxy to relay Wake-on-LAN (WOL) magic packets from the Internet to hosts on the local network in order to wake them up remotely (these hosts must also have their network adapter configured to accept WOL datagrams and the router must have this proxy setting enabled, and possibly also a configuration of forwarding rules in its embedded firewall to open these ports on the Internet side.
Horst schrieb: > Danke für die Mühe! Im Handbauch habe ich dazu nichts gefunden, es wird > allerdinsg auch mit keinem Wort eine Konfiguration via Internet erwähnt. > Aus dem eigenen Netz geht es allerdings. Der Satz zwar kein Verb, aber in diesem Dunstkreis könnte es sein:
1 | Management Services |
2 | Unter Administration / Admin Access / Management Services kann der Zugriff auf das Webinterface mit HTTP und HTTPS sowie auf das Command |
3 | Line Interface (CLI) via Telnet und SSH. |
4 | HTTP |
5 | HTTP ist die Abkürzung für Hypertext Transfer Protocol und wird genutzt um Webseiteninformationen über ein Netzwerk oder das Internet zu |
6 | übertragen. |
7 | HTTPS |
8 | HTTPS ist die Abkürzung für Hypertext Tranfer Protocol Secure und nutzt SSL (Security Socket Layer) für die gesicherte Übertragung von HTTP. |
9 | TELNET |
10 | TELNET wird genutzt um auf das Command Line Interface (CLI) des Routers zuzugreifen. |
11 | SSH |
12 | SSH ist die Abkürzung für Secure Shell und ist ein zu Telnet vergleichbarer verschlüsselter Dienst. |
:
Bearbeitet durch User
A. K. schrieb: > Der Satz zwar kein Verb, Ach komm, Grammatik wird völlig überbewertet ;) > Management Services > Unter Administration Admin Access Management Services kann der > Zugriff auf das Webinterface mit HTTP und HTTPS sowie auf das Command > Line Interface (CLI) via Telnet und SSH. Das klingt für mich wie die Konfiguration des Routers übers Internet. Möchte der TO wirklich aus dem Internet auf die Oberfläche des Routers? Für mich klingt das eher so als ob er eigentlich per Portforwarding auf ein anderes Gerät hinter dem Router möchte um das dann fernwarten zu können. Ich denke es gibt hier 2 mögliche Ursachen: 1. Vodafone hat bei sich am Gateway eine Firewall, die alle aus dem Internet auf die IP eingehenden Verbindungsversuche blockt. In diesem Fall kann nur Vodafone das Problem lösen. Vielleicht geht das über eine Option im Vertrag, vielleicht über eines der vielen Kundenportale bei denen. 2. Vodafone gibt die eingehenden Pakete brav an den Router weiter. Der Router blockt aber den Zugriff. Das könnte man mit einer Einstellung auf dem Router selbst lösen. Ich würde zur Unterscheidung der beiden Probleme die SIM in ein Mobilfunkmodem (nicht Router) einlegen. Damit dann eine Einwahl starten und schauen ob die Pakete ankommen oder nicht. Das kann auch nen älteres Mobilfunkmodem sein, muss kein UMTS oder LTE-Teil sein. Die Einwahl, IP-Zuordnung etc. macht da zwischen den Netzen keine Unterscheidung. Wenn Du ein Android-Telefon mit Rootrechten hast könntest Du alternativ auch das nehmen. Dann mit tcpdump schauen was auf dem ppp-Device so ankommt.
:
Bearbeitet durch User
A. K. schrieb: > Management Services > Unter Administration Admin Access Management Services kann der > Zugriff auf das Webinterface mit HTTP und HTTPS sowie auf das Command > Line Interface (CLI) via Telnet und SSH. Dort lassen sich die einzelnen Optionen generell aktivieren/ deaktivieren, jedoch hat das nur Auswirkungen auf die Verfügbarkeit im lokalen Netz des Routers. Gerd E. schrieb: > Für mich klingt das eher so als ob er eigentlich per Portforwarding auf > ein anderes Gerät hinter dem Router möchte um das dann fernwarten zu > können. Ja, der tiefere Sinn der ganzen Sache ist natürlich der Zugriff auf einen Rechner hinter dem Router. Das funktioniert jedoch nicht (ohne VPN). Daher wurde erstmal der Zugriff auf das Webinterface getestet. Ausserdem wäre es nicht unpraktisch über das Internet auf das Webinterface des Routers zugreifen zu können. Gerd E. schrieb: > In diesem > Fall kann nur Vodafone das Problem lösen. Vielleicht geht das über eine > Option im Vertrag, vielleicht über eines der vielen Kundenportale bei > denen. Es gibt keine Logindaten zu irgendeinem Kundenportal und die Hotline konnte erstmal überhauptnicht helfen. Hoffen wir mal, dass der Support sich noch meldet. Gerd E. schrieb: > Ich würde zur Unterscheidung der beiden Probleme die SIM in ein > Mobilfunkmodem (nicht Router) einlegen. Damit dann eine Einwahl starten > und schauen ob die Pakete ankommen oder nicht. Eine sehr gute Idee, das wird gleich morgen ausprbiert! Vielen Dank!
Ein Versuch mit einem reinen LTE Modem hat ergeben, dass ebenfalls keine Verbindung von aussen möglich ist.
Hallo. Bei der Telekom muss ein spezieller APN benutzt werden um eine IP zu bekommen die von aussen erreichabr ist. Martin
Martin schrieb: > Bei der Telekom muss ein spezieller APN benutzt werden um eine IP zu > bekommen die von aussen erreichabr ist. Meinst du speziell für M2M? Ich habe mal gehört, dass es bei der Telekom spezielle APNs für "Festnetz-LTE-Modems" gibt, die man auch mit einer beliebigen Telekom-SIM benutzen kann und dann eine öffentliche IP bekommt. Mit einer Congstar-Karte (gehört zur Telekom) konnte ich mich zwar einwandfrei zu diesen APNs verbinden, habe jedoch weiterhin eine private IP bekommen... also alles wie immer. Werde das aber für diese SIM nochmal checken.
Es ist nicht ungewöhnlich, dass man auf dem Device tatsächlich eine öffentliche IP-Adresse zugewiesen bekommt, unter der dann auch die ausgehenden Verbindungen laufen. Eine Mobilfunkverbindung ohne NAT habe ich allerdings noch nie gesehen. VF bietet für M2M IPSec-Lösungen an; damit wäre dann ein direkter Zugriff auf das Device möglich. Alternativ ein eigenes VPN aufbauen.
Hallo Horst, konntest Du das Problem lösen? Wenn ja, wie?
Horst schrieb: > Allerdings lässt sich diese öffentliche IP anpingen, es ist aber kein > Zugriff auf den Router möglich, weder HTTP noch SSH. Ein Portscan ergab > nur einen offenen Port 7, also echo. Die Firewall des Routers sollte > eigentlich alle Ports erlauben ("permit"). Das ist mit 99% Warscheinlichkeit CG-NAT. Wie schon vorgeschlagen: VF bietet auch M2M-Lösungen mit einem IPSec Tunnel an (haben wir hier, tut problemlos wenn es mal steht) - dann obliegt alles ab Layer 3 deiner Macht. Öffentliche IPs im M2M-Umfeld sind super selten, zumal der IPv4-Space voll ist. Höchstens IPv6 ist erbettelbar.
acab schrieb: > Öffentliche IPs im M2M-Umfeld sind super selten, Ich hätte vermutet, dass "machine to machine" (M2M) mit CG-NAT ziemlich unverträglich ist. Oder sind die mittlerweile so knapp an IPs, dass sie damit ausschliesslich Verbindungen innerhalb eines bestimmten Providernetzes meinen?
:
Bearbeitet durch User
acab schrieb: > VF bietet auch M2M-Lösungen mit einem IPSec Tunnel an (haben wir hier, > tut problemlos wenn es mal steht) - dann obliegt alles ab Layer 3 deiner > Macht. Wie funktioniert das genau, also nicht in Vodafone-Marketing-Sprech, sondern wirklich? Das Mobilfunkmodem wählt sich normal ein und bekommt eine IP aus dem reservierten privaten Bereich (z.B. 10.xxx). Dein Server an der Gegenstelle baut einen IPSec-Tunnel zu einem speziellen Gateway im VF-Netz auf und kann darüber jetzt zu dieser privaten IP des Mobilfunkzugangs routen? Oder muss der IPSec-Tunnel direkt zwischen dem Mobilfunkgerät und Deinem Server an der Gegenstelle aufgebaut werden? Oder nochmal anders?
Hallo. Das Modem bekommt eine VF interne IP. Du machst eine VPN zu VF und kannst dann auf diese interne IP zugreifen. Das funktioniert über interne VLANs. Das Modem muss dazu nichts können. Wenn das Modem selber VPN kann, kann es auch einen Tunnel zu einem Server im Netz aufbauen und man kann erhebliche Kosten sparen. Martin
Beitrag #5197129 wurde von einem Moderator gelöscht.
Beitrag #5252688 wurde von einem Moderator gelöscht.
Hallo Zusammen, ich habe wohl ein ähnliches Problem mit der TK800 Serie. Bisher hatten wir immer den TK711U im EInsatz, die Einstellungen, welche wir benötigen habe ich in einem Screenshot angehängt, mit dieser Einstellung funktioniert alles wunderbar. Nun ist es aber so, dass die TK711U Serie ausläuft und wir deshalb auf LTE Router TK875L-EXO umgestiegen sind. Die Einstellungen, welche wir vorgenommen haben, habe ich in einem zweiten Sccreenshot angehängt. (Einstellungen des 711U in einer Zeile) Der Aufbau ist wie folgendermaßen: Heizungsregler<->Patch Kabel<->Router<->Internet<->"Eigener Server" Der "Eigene Server" hat eine feste IP Adresse. Die IP Adresse des Routers ändert sich bei jedem Neustart (Telekom) IP 80.x.x.x Der Heizungsregler sendet eine SIP Nummer, welche wir an unserem Server auch Empfangen, die IP Adresse des Routers wird uns am Server ebenfalls angezeigt. Nur die Kommunikation findet irgendwie nicht statt. Wenn ich anstelle des TK875 Routers einen TK711U mit den Seinstellungen wie im Screenshot zu sehen, an das gleiche Patch Kabel und die Datenkarte tausche, meldet sich der Heizungsregler sofort. Sollte meiner Meinung nach ein Problem des Routers (Einstellung) sein. Der Router hat die aktuellste Firmware die es zum downlaoden gibt drauf. Uns wird ja wie oben schon beschrieben die IP Adresse des Routers an unserem Server angezeigt. Wenn man einen TK711U verwendet, dann kann man, wenn man diese IP Adresse im Browser eingibt von der ferne auf den Router zugreifen. Beim TK875L-EXO funktioniert das nicht. Für mich als Leihen sieht es so aus, als ob der Router zwar Daten raussenden kann, diese aber nicht Empfangen kann bzw. bleibt in der Firewall o.ä hängen. Das Internet über den Router funktioniert wunderbar. (Perfekter LTE Empfang, Websiten können Problemlos geöffnet werden) Vielleicht hat ja jemand von euch eine Idee an was es liegn kann? Viele Grüße
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.