Portfreigaben an der UDM in Verbindung mit Fritz!Box Cable

Hallo zusammen,

Ich möchte den WebDAV Zugriff für unsere NAS einrichten... Dachte mir nichts dabei, aber wie es die Technik so will, funktioniert es nicht...

Wir haben eine Fritzbox 6591 und eine Ubiquiti UDM als Firewall/Gateway/Router. Gestern habe ich mit dem Vodafone Support die UDM mit den passenden Zugangsdaten für die statische, öffentliche IP mit der Endung xx.190 eingerichtet. Diese IP erhält die UDM auch und es funktioniert soweit alles – bis auf die eingerichteten Portfreigaben.

Zur Einrichtung:

WAN <----> Fritzbox <----> UDM <----> NAS

Für den LAN-Port 2 der Fritzbox ist der Bridgemode eingerichtet, dadurch erhält die UDM die die öffentliche, statische IP xx.190.

Die UDM ist zusätzlich als Exposed Host in der Fritzbox festgelegt, damit ich die Portfreigaben direkt von der UDM aus regeln kann und die Fritzbox somit vollständig als „dummes“ Modem fungiert.

Hier die Konfiguration der Fritzbox mit dem UDM:

Meine Tests:

Sind die NAS Ports offen?

Ein interner Scan im Netzwerk der UDM zeigt mir die von mir geöffneten Ports korrekt an.

Dafür habe ich unsere NAS mit der internen IP 192.168.22.202 angepingt.

Open TCP ports

5000 open commplex-main

5001 open commplex-link

5006 open wsm-server

=> An der Einrichtung der Portfreigaben an der NAS ist also nichts falsch.

Sind die Ports der UDM offen?

Sobald ich den Portscanner jedoch über die entsprechenden Ports für unsere öffentliche, statische xx.190 IP, welche die UDM erhält, durchscanne, wird mir eine Fehlermeldung angezeigt, welche besagt, die Ports seien geschlossen.

Ist die Fritzbox irgendwie schuld an dem Ganzen?

Zur Sicherheit habe ich die NAS nochmal direkt an die Fritzbox angeschlossen und eine Portweiterteitung/-öffnung mit dem Port 5006 eingerichtet:

Das lief dann jedoch ohne Probleme. Der Port ist offen.

Wenn ich nun probiere über die Fritzbox/einen mobilen Hotspot eine https Verbindung zum WebDAV Server über die statische IP und den Port 5006 aufzubauen funktioniert es.

Gibt es Probleme durch UPnP?

Habe UPnP bei beiden Geräten (Fritzbox & UDM) deaktiviert. Hat nicht geholfen.

Ist das Threat Management der UDM Schuld?

Habe hier mal alles unter „Global threat management“ testweise deaktiviert und den Content Filter unseres Netzwerkes ausgeschaltet. Kein Erfolg…

Was ist nun das Problem?

Über die Fritzbox direkt funktioniert es. Über die UDM hinter der Fritzbox funktioniert es nicht…

Die Portweiterleitungen und Öffnungen sind in der UDM jedoch eigentlich korrekt eingerichtet…?

Portweiterleitung an NAS im UDM:

Über die Firewall der UDM wird der Port auch eigentlich geöffnet:

Ich bin entnervt und am Ende... Was mache ich falsch...?

Ich würde gerne nochmal die Konfig der UDM Ports mittels CLI überprüfen, wie mache ich das?

Ansonsten wäre ich für jeden Vorschlag 100000 Mal dankbar

Viele Grüße,

-Alex

Zitat von Tuxtom007

Wenn der BridgeModus aktiv ist, ist die FritzBox als Router raus aus dem Ganzen, da brauchst du keinen Exposed Host einrichten. Dein WAN-Schluss liegt direkt an der UDMPRo an und nur dort muss du dann entsprechende Portweiterleitungen einrichten.

Mein Tip aus eigener Erfahrung: Ports einrichten in der UDMPro. 5 min warten und dann das Teil man durchbooten.

Ich hab stundenlang mir Portweiterleitungen auf 80/443 verbracht die nicht funktionieren wollen - erst der Reboot hat die zum funktionieren gebraucht, traurig aber wahr.

Die UDM habe ich gestern mehrmals neugestartet und es heute morgen nochmal probiert...

Leider immer noch ohne Erfolg.

Zitat von Tuxtom007

Wie greifst du gerade auf deine FritzBox zu ?

Wenn BridgeModus aktiv ist, geht das ja nur über LAN1 noch

Wie greifst du dann auf dein Netzwerk von aussen zu - vermuttlich DynDNS - wo ist der eingerichtet ?

Die WAN-IP liegt ja an der UDMPro an und nicht an der FritzBox.

Dann lösche auch mal das Exposed Host Zeug auf der FritzBox - der ist überflüssig.

Alles anzeigen

Hey,

Ich habe mir für den Zugriff auf die Fritzbox MyFritz eingerichtet. Dadurch kann ich von unterwegs und auch im Bridge Mode auf die Fritzbox zugreifen, um z.B. die Rufumleitung noch zu setzen. (Verwenden die Fritzbox noch als Telefonanlage für ein paar DECT Telefone)

Habe mir ein zweites WLAN Netzwerk in der Fritzbox gemacht, über welches ich dann auf die Fritzbox Oberfläche Zugriff habe...

Ich greife über meine öffentliche WAN IP von Vodafone x.190 darüber testweise zu. Habe aber auch einen A-Record in der Domain gesetzt und auf die IP verwiesen, damit man die IP auch über unsere Domain ansurfen kann...

Den Exposed Host Eintrag in der Fritzbox habe ich nun gelöscht, hat das Problem leider noch nicht behoben... Die Tests habe ich natürlich über die vorher mir an das UDM zugeteilten öffentliche WAN IP von Vodafone x.190 gemacht.

Hast Du eine Idee, wie ich die Portkonfiguration des UDMs in der Konfig Datei auslesen kann? Vielleicht gibt es hier einen Fehler...

Hey,

danke für die vielreichen Antworten!

Zum Bridge Mode:

Wir haben einen Business Tarif von Vodafone, hier ist der Bridge Mode inklusive und vom ISP freigeschaltet. An der Konfig selbst habe ich nichts geändert. Den Bridge Mode haben wir auch schon seit einigen Monaten auf der Box, kam jedoch erst jetzt dazu das alles einmal einzurichten.

Zu weiteren Portfreigaben:

Habe ich nun alle gelöscht...

Zitat von tesme33

Da verstehe ich dann aber auch Deine erste Regel nicht für KD-Storage. Wo hängt denn das NAS ? Am UDM oder and der Fritte.

Desweiteren kann die Fritte meines Wissens gar keinen Bridge Modus mehr. Es wundert mich also wie dann der UDM Pro diese IP kriegen soll.

Es wäre hilfreich ein Bild zu malen wo man sieht wie die Kisten hintereinander hängen und die IP Nummern je Port / Netz.

Zum Aufbau des Ganzen:

WAN <----> Fritzbox <----> UDM <----> NAS

FritzBox: IP Range 192.168.178.0

UDM: IP Range 192.168.22.0

NAS: 192.168.22.202

Danke für Deinen Link in das VFKD Forum, sehe hier gleich nochmal rein!

Zitat von mickeys

Hallo,

hat die FB vom Vodafone auch schon das Modem-Profil geladen (Reeboot der FB ect) Soweit ich mich erinnern kann, dauerte das bei mir ein paar Stunden und erst dann funktionierte der Bridgemode (den ich in denen Screeshots vermisse).

Exposed Host rauswerfen!

Entspricht nicht dies dem Bridge Mode?

Zitat von Tuxtom007

Hallo,

du kannst mal mit einem

iptables -L -n

schauen, ob die Regeln gesetzt wurden.

Beispiel von mir ( WireGuard Forward bei mir, IPs geändert )

Code

Chain UBIOS_WAN_IN_USER (2 references)
target     prot opt source               destination

LOG        udp  --  0.0.0.0/0            10.10.50.33           udp dpt:51820 ctstate NEW LOG flags 0 level 4
RETURN     udp  --  0.0.0.0/0            10.10.50.33           udp dpt:51820 ctstate NEW /* 00000000008589937597 */

Chain UBIOS_WAN_PF_IN_USER (1 references)
target     prot opt source               destination
RETURN     udp  --  0.0.0.0/0            10.10.50.33           udp dpt:51820 /* 00000000009856653237 */

Chain UBIOS_WAN_PF_OUT_USER (1 references)
target     prot opt source               destination
RETURN     udp  --  10.10.50.33           0.0.0.0/0            udp spt:51820 /* 00000000009856653237 */

Alles anzeigen

Alles anzeigen

So, habe nun mal nochmal nachgesehen, ob auch wirklich die Portweiterleitungen gesetzt wurden.

Chain UBIOS_WAN_IN_USER (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED /* 00000001095216663481 */
DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID /* 00000001095216663482 */
RETURN     udp  --  0.0.0.0/0            192.168.22.202       udp dpt:1194 /* 00000000008589937597 */
RETURN     tcp  --  0.0.0.0/0            192.168.22.202       tcp dpt:5001 /* 00000000004294970302 */
RETURN     tcp  --  0.0.0.0/0            192.168.22.202       tcp dpt:5006 /* 00000000004294970303 */
DROP       all  --  0.0.0.0/0            0.0.0.0/0            /* 00000001097364144127 */

Chain UBIOS_WAN_LOCAL_USER (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED /* 00000001095216663481 */
DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID /* 00000001095216663482 */
RETURN     udp  --  0.0.0.0/0            0.0.0.0/0            match-set UBIOS_ipsec_ports dst /* 00000000008589937597 */
RETURN     esp  --  0.0.0.0/0            0.0.0.0/0            /* 00000001095216663486 */
RETURN     udp  --  0.0.0.0/0            0.0.0.0/0            match-set UBIOS_l2tp_port dst policy match dir in pol ipsec /* 00000000008589937599 */
DROP       all  --  0.0.0.0/0            0.0.0.0/0            /* 00000001097364144127 */

Chain UBIOS_WAN_OUT_USER (1 references)
target     prot opt source               destination         
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            /* 00000001097364144127 */

Chain UBIOS_WAN_PF_IN_USER (1 references)
target     prot opt source               destination         
RETURN     tcp  --  0.0.0.0/0            192.168.22.202       tcp dpt:5001 /* 00000000004856742062 */
RETURN     tcp  --  0.0.0.0/0            192.168.22.202       tcp dpt:5006 /* 00000000005044910221 */
RETURN     udp  --  0.0.0.0/0            192.168.22.202       udp dpt:1194 /* 00000000009394629103 */

Chain UBIOS_WAN_PF_OUT_USER (1 references)
target     prot opt source               destination         
RETURN     tcp  --  192.168.22.202       0.0.0.0/0            tcp spt:5001 /* 00000000004856742062 */
RETURN     tcp  --  192.168.22.202       0.0.0.0/0            tcp spt:5006 /* 00000000005044910221 */
RETURN     udp  --  192.168.22.202       0.0.0.0/0            udp spt:1194 /* 00000000009394629103 */

Sieht doch soweit gut aus. Anfrage bei Vodafone hab ich parallel auch noch laufen, mal sehen, ob sich hier (zeitnah) etwas tut...

Danke Dir!

Zitat von tesme33

Hi

jetzt wird es lustig . Was bei Dir steht sieht ja ganz anders aus. Interessant. Könnte also sein das AVM implementiert was der jeweilige Provider will und ihn dann damit sein Kunden ärgern lässt.

Aber zurück zum Thema.

HiroKhan hat irgendwas von dieser Diskussion Dir geholfen ?

Mein aktueller Interpretationsstand:

- 1 Port wird gebridged. Da sollte Deine UDM dran. Ob man exposed host braucht oder nicht musst du ausprobieren.

Den Rest der Portfreigaben machst Du dann auf der UDM.

Die anderen Ports würde ich erst mal aussen vor lassen.

Gruss

Alles anzeigen

Ich raff es nicht, wieso man hier wieder Verniedlichungen der Ausdrucksweise braucht und das Ganze im Fritz!Box UI nicht bridge-mode nennt...

Laut der Einstellungsseite und des (wirklich hilfreichen...) Erklärtexts, vermute ich mal, dass hier nur eine Weitergabe einer public IP eingerichtet werden kann und dann noch die Einstellung des Exposed Host festgelegt werden muss... Das zusammen ergibt dann anscheinend den "Bridge Mode".

=> Nur eine Vermutung...

Aber:
Wenn ich probiere die public IP als exposed Host festzulegen, wird mir der Fehler angezeigt, dass diese IP-Adresse bereits von einem anderen Gerät verwendet wird... Also müsste als Schlussfolgerung eigentlich durch die Seite für die "Portkonfiguration" bereits eine Art Brige-Mode bzw. Exposed Host Freigabe gesetzt sein... Wenn ich mein UDM aus der Geräteliste wähle, kann ich hier jedoch eine Exposed Host Freigabe erstellen. Puuh

Ich danke euch auf jeden Fall allen bei eurer Hilfe. Durch euch weiß ich zumindest, dass an der Einrichtung soweit eigentlich nichts falsch ist...

Kleines Update von Vodafone zum Abendmahl:

Also, ein Techniker hat sich die Konfig seitens Vodafone nochmal angesehen.

Da die Fritzbox 6591 keinen Bridgemode im dem bekannten Sinne mehr hat müssen tatsächlich beide Optionen aktiviert werden:

Einmal unter Internet > Zugangsart > Portkonfiguration muss ein LAN Port für die Durchschleifung einer Public IP ausgewählt werden

und

unter Internet > Freigaben > Portfreigaben muss das Gerät als Exposed Host festgelegt werden.

=> Nur dadurch kann der Bridgemode quasi wieder realisiert werden. Good to know, I guess!

Die im vorherigen Beitrag von mir gezeigte Fehlermeldung im Screenshot hat jedoch noch niemand irgendwann mal gesehen und da dort eigentlich die Public IP stehen sollte und keine lokale IP der Fritzbox hat es viele Fragen aufgeworfen... Es wird von einer speziellen Abteilung nochmals weiter untersucht.

#StayTuned