Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

externe Zugriff (vom WLAN Fritz!Box)

Akcent
Hallo,

wir haben bei einem Kunden eine UTM installiert.
Vor der UTM ist eine AVM Fritz!Box.
In der Fritz!Box ist auch WLAN aktiv. Hier verbinden sich die USer mit dem iPhone und iPAD.

Im LAN gibt es eine Kamera-Überwachung welche mit dem Port 8180 kommuniziert. Diese Dienst sind auch über normale ext. Connections erreichbar. 

Nutzen die User aber Ihr iPAD über das WLAN der Fritz!Box geht das nicht. Leider sieht man auch im Packetfilter keine Daten die geblockt werden.

Jemand eine Idee, was hier noch konfiguriert werden muß?

Danke & Gruß
Herry


This thread was automatically locked due to age.
  • 0
    Hi

    Du must auf der Fritzbox noch eine statische Route definieren für dein Netz hinter der UTM. Als Gateway wählst du das WAN Interface der UTM.  Im moment weiss die Fritzbox nicht, dass dieses Netz existiert und routet daher das Netz nicht weiter.  Da du aber das WLAN nicht unter kontrolle hast würde ich empfehlen das WLAN der Fritzbox zu deaktivieren und ein AP an der UTM zu benutzen.

    Gruss Michi
  • 0 in reply to solae
    Hi

    Du must auf der Fritzbox noch eine statische Route definieren für dein Netz hinter der UTM. Als Gateway wählst du das WAN Interface der UTM.  Im moment weiss die Fritzbox nicht, dass dieses Netz existiert und routet daher das Netz nicht weiter.  Da du aber das WLAN nicht unter kontrolle hast würde ich empfehlen das WLAN der Fritzbox zu deaktivieren und ein AP an der UTM zu benutzen.


    Ich habe noch was vergessen. Die APP welche auf die KameraSoftware (scheint ein Webserver zu sein) greift auf die statische IP-Adresse des DSL-Interfaces zu.

    Muß ich dann auch eine Route setzen?
    Wenn ja, welches Subnetz wähle ich?
  • 0
    @Akcent

    Du schreibst, dass du auf deiner Firewall keine eingehenden Verbindungen der iPhones sehen kannst, die geblockt werden.

    Man kann an der Stelle davon ausgehen, dass die Verbindungen der iPhones gar nicht an deiner UTM ankommen, denn wenn diese in der Vergangenheit bereits durch deine UTM geblockt wären, hättest du auch eine entsprechende Firewall-Regel erstellt,
    die den Traffic erlaubt.

    Du musst wahrscheinlich drei Dinge erledigen:

    1. Auf deiner FritzBox musst du eine statische Route für das Netzwerk erstellen,
    in welchem sich der Server befindet, auf dem dieser Kamera-Überwachungs-Dienst läuft.

    2. Auf der FritzBox muss eine DNAT-Regel ( Portweiterleitung ) eingerichtet werden,
    die den Port 8180 an den entsprechenden Server weiterleitet.

    3. Auf deiner UTM musst du den aus dem Internet eingehenden Traffic in Richtung deines Servers ( Zielport 8180 ) durch eine Firewall-Regel erlauben.

    Bei der Firewall-Regel trägst du also als Quelle "Internet (IPv4)" ein,
    als Dienst den Port 8180 ( entsprechende Port-Definition anlegen ) und als Ziel
    die IP-Adresse des Servers ( entsprechende Host-Definition anlegen ).

    Ich habe genau diese Konfiguration gerade eben mit einem VNC-Server getest,
    den ich an Stelle des Kamera-Überwachungs-Dienstes benutzt habe.

    Die Konfiguration ist aber genau die gleiche wie deine,
    du müsstest die beschriebenen Schritte 1:1 für deinen Fall umsetzen können.

    Gruß, Datax
  • 0 in reply to Datax_87
    @Akcent

    Du musst wahrscheinlich drei Dinge erledigen:

    1. Auf deiner FritzBox musst du eine statische Route für das Netzwerk erstellen,
    in welchem sich der Server befindet, auf dem dieser Kamera-Überwachungs-Dienst läuft.


    ok, habe ich verstanden. Nur welche? 
    Die APP ruft eine öffentliche IP auf 217.***.***.***
    Das interne LAN inter der UTM = 192.168.178.0/24
    Das LAN der Fritz!Box (vor der UTM) = 192.168.1.0/24


    2. Auf der FritzBox muss eine DNAT-Regel ( Portweiterleitung ) eingerichtet werden,
    die den Port 8180 an den entsprechenden Server weiterleitet.

    hier habe ich alles freigegeben (Exposed Host) und auf die UTM geleitet, da noch andere Dienste von extern. erreichbar sein müssen.


    3. Auf deiner UTM musst du den aus dem Internet eingehenden Traffic in Richtung deines Servers ( Zielport 8180 ) durch eine Firewall-Regel erlauben.

    Bei der Firewall-Regel trägst du also als Quelle "Internet (IPv4)" ein,
    als Dienst den Port 8180 ( entsprechende Port-Definition anlegen ) und als Ziel
    die IP-Adresse des Servers ( entsprechende Host-Definition anlegen ).

    habe hier eine DNAT Regel erstellt. Der Zugriff auf den Dienst geht ja auch, wenn man von extern kommt. Nur nicht über das WLAN der Fritz!Box

    Ich denke also ich muß eine Route machen. das habe ich verstanden.
    Meine Frage ist auf die externe / öffentliche IP?
    Wenn ja, wo bekomme ich das Subnetz her? bei 255.255.255.255 meckert die Fritz!Box

    Oder muß ich das interne LAN hinter der Fritz!Box routen?

    Sorry wenn ich etwas auf dem Schlauch stehe.
  • 0
    Hat der Client eine IP Adresse aus dem gleichen Subnetz wie die UTM? Dann prüfe auf dem externen Interface der UTM (eth1?) ob die Pakete vom Client mit der Internen IP- Adresse ankommen (tcpdump -n -i eth1 port 8180).
  • 0 in reply to K.N.
    Hat der Client eine IP Adresse aus dem gleichen Subnetz wie die UTM? Dann prüfe auf dem externen Interface der UTM (eth1?) ob die Pakete vom Client mit der Internen IP- Adresse ankommen (tcpdump -n -i eth1 port 8180).


    Das iPAD bekommt die IP-Adresse vom DHCP der Fritz!Box
  • 0
    Das beantwortet aber nicht die Frage.

    Bsp.: 
    Fritbox 192.168.178.1
    UTM 192.168.178.20
    Client 192.168.178.21

    Und dann fehlt noch der tcpdump, bzw. die Erkenntnis daraus ...
  • 0 in reply to K.N.
    Das beantwortet aber nicht die Frage.

    Bsp.: 
    Fritbox 192.168.178.1
    UTM 192.168.178.20
    Client 192.168.178.21

    Hatte ich weiter oben bereits geschrieben

    Öffentliche IP =217.***.***.***
    Das interne LAN inter der UTM = 192.168.178.0/24
    Das LAN der Fritz!Box (vor der UTM) = 192.168.1.0/24

    Konkreter:
    Fritz!Box = 192.168.1.1
    UTM = 192.168.1.254

    LAN Intern:
    UTM = 192.168.178.254

    iPAD Client
    192.168.178.1.xx


    Und dann fehlt noch der tcpdump, bzw. die Erkenntnis daraus ...

    [/QUOTE]

    Aktuell keiner Vor Ort um das zu testen. Erst Montag wieder
  • 0
    Warum erhält der Client im WLAN der Fritzbox eine IP Adresse per DHCP aus dem LAN der UTM?  

    Um es zu beschleunigen: Ich vermute, der Client  (192er Netz) baut die Verbindung zu 217* auf und die Fritzbox schickt alles direkt an die UTM und die antwortet an die 192er Adresse des Clients, weil die Fritzbox ja kein NAT machen muss ...
  • 0 in reply to K.N.
    Warum erhält der Client im WLAN der Fritzbox eine IP Adresse per DHCP aus dem LAN der UTM?  

    Sorry ... Fehler.
    Das iPAD bekommt eine IP vom DHCP der Firtz!Box (192.168.1.***x)


    Um es zu beschleunigen: Ich vermute, der Client  (192er Netz) baut die Verbindung zu 217* auf und die Fritzbox schickt alles direkt an die UTM und die antwortet an die 192er Adresse des Clients, weil die Fritz!Box ja kein NAT machen muss ...

    Also müßte ich eine Route 
    192.168.178.0
    255.255.255.0
    auf Gateway 192168.1.254
    erstellen
Cookie Information Banner