HankJW
Frage in Installation Mittwoch, 26.10.2016 um 10:35 Uhr

Ausnahmen in Connect Box-Firewall für externen Zugriff

Hallo liebes Support-team,
folgendes ist gerade bei mir das Problem:
Ich möchte von außerhalb, zum Beispiel von meiner Uni aus, auf einen Raspberry Pi zugreifen der bei mir zuhause steht. Ehemals bei IPv4 und NAT ging das ganz gut mit einer Portweiterleitung die im Router eingestellt wurde, ist dank IPv6 jetzt ja nicht mehr notwendig. Mein Problem ist nun dass ich aber generell nicht mehr von außerhalb auf mein Heimnetzwerk zugreifen kann. Wenn ich die interne Firewall des Routers ausschalte sind zwar theoretisch alle meine Probleme gelöst, allerdings ist das halt dann nicht wirklich elegant oder sicher.
Zusammengefasst: Wie kann ich der Firewall Ausnahmen hinzufügen? Also dass Anfragen von außerhalb an bestimmte IPv6-Adressen an bestimmten Ports durchgelassen werden, zum Beispiel für SSH? Ist das bei der Kategorie "IP und Portfilter" einzutragen? Und wenn ja, wie? Das Manual ist da ja absolut nichtssagend bei den Einstellungsmöglichkeiten.
Die routingfähige IPv6 ist bei dem Raspberry Pi aktiviert und bekannt, nicht dass es da Missverständnisse gibt.
Über eine schnelle und kompetente Antwort würde ich mich sehr freuen.
Viele Grüße,
Simon.
Mehr zu diesem Thema:
Speichern Abbrechen
10 Antworten
thomasschaefer 2016-10-26T12:46:03Z
Mittwoch, 26.10.2016 um 14:46 Uhr
Sorry für die Gegenfrage:
Kommt der Raspberry Pi mit ssh/ping via IPv6 zur Uni? Nur um erstmal zu wissen, dass das Routing generell funktioniert. (manchmal(selten) sind auch die Routen zwischen den ISPs kaputt)
Wenn das Handbuch nicht viel hergibt, gilt leider Probieren geht über Studieren, sowie Durchgehen aller Möglichkeiten an der GUI der Box.
Der Raspberry Pi kriegt auch keinen großen Schreck, wenn er mal kurzzeitig ohne Firewall im Internet steht. Einfach mal so viel möglich öffnen, gucken was geht und danach vorsichtig eingrenzen - auf tcp Port 22 und icmp.




HankJW 2016-10-26T13:39:05Z
Mittwoch, 26.10.2016 um 15:39 Uhr
Vielen Dank für den Beitrag! Ping und SSH funktionieren auch rückwärts, die Lösung war tatsächlich in dem was du geschrieben hast. Man braucht bei der Kategorie IP- und Portfilter tatsächlich zwei Regeln, einmal tcp und einmal icmp, beide entsprechend für die IP vom Raspberry Pi. Jetzt geht es jedenfalls, danke dir!
cmamsteffen 2016-12-13T18:54:32Z
Dienstag, 13.12.2016 um 19:54 Uhr
Hallo HankJW.
Ich stehe gerade vor dem selben Problem.
Könntest du kurz beschreiben wie du das in die IP und Portregeln eingetragen hast. Ich bin mir nicht sicher was uch genau bei eingehend umd susgehend und traffic policy ja oder nein usw eintragen muss. Du würdest mir einen sehr großen gefallen damit machen. Ich mach da hetzt schon eine Woche rum aber es will mir einfach nicht gelingen.
Gruß Steffen
HankJW 2016-12-21T08:01:58Z
Mittwoch, 21.12.2016 um 09:01 Uhr
Bitte entschuldige die so enorm späte Antwort! Hoffentlich hilft es dir trotzdem noch weiter. Bei traffic policy muss man soweit ich weiß garnicht eintragen, das wird nur benötigt wenn man manche Geräte oder Verbindungen von draußen "abschneiden" möchte, wie eine Art Kindersicherung also. Für mein Problem musste ich folgenden Pfad gehen: "Erweiterte Einstellungen>Sicherheit>Ip-und Portfilter". Dann "Eine neue Regel erstellen", eingetragen wird dann die routingfähige(manchmal auch global genannte) IP-Adresse des Gerätes das von draußen erreichbar sein soll. Das Protokoll auswählen was benutzt werden soll - ICMPv6 ist notwendig für zum Beispiel Ping und eine generelle Kommunikation. TCP/UDP ist dann notwendig für zum Beispiel SCP, SSH oder einen Webserver. Gegebenenfalls muss halt noch der entsprechende Port eingetragen werden, also 8080 (hör bin ich mir nicht ganz sicher?) für den html-Server oder 22 für SSH. Benutzt auf deinem Gerät dann unbedingt ein langes sicheres Passwort da du ab dem Zeitpunkt angreifbar bist. Viel Erfolg!
cmamsteffen 2016-12-21T16:34:37Z
Mittwoch, 21.12.2016 um 17:34 Uhr
Hallo HanJW.
Vielen vielend Dank für diese Erklärung. Ich bin immer noch an diesem Problem dran. Dank Dir weiß ich jetzt das all meine Versuche falsch waren. Ich werde das Morgen sofort ausprobieren und auf jedenfall hier Rückmeldung geben wenn es geklappt hat.
Endlich ein Lichtblick
Gruß Steffen
cmamsteffen 2016-12-22T16:14:40Z
Donnerstag, 22.12.2016 um 17:14 Uhr
Hallo HankJW.
Leider hatte ich keinen Erfolg.
Ich habe traffic policy bei jeder regel deaktiviert. Bei quelladresse All eingetragen (Sind doch die IP Adressen gemeint die von Außen zugreifen wollen oder?) Bei Zieladresse die Globale IP die mit 2a02 anfängt des raspberry pi eingetragen. Protokoll habe ich tcp/udp eingestellt. Bei Quellport Start 22 und Ende 22 eingetragen und bei Zielport SSH eingestellt. Ach ja ganz oben kann man erlauben oder deaktivieren auswählen. Da habe ich erlauben angeklickt.
Dann habe ich eine weitere Regel erstellt. Auch wieder quellip All und ZielIP die globale IPV6 des Raspberry eingetragen. Bei Protokoll icmpv6 eingetragen. Sieht das bei dir auch so aus oder mache ich schon wieder was falsch? Kann auf jedenfall mit putty nicht auf den Raspberry pi zugreifen
Würde mich freuen von dir zu hören.
Gruß Steffen
hajodele 2016-12-22T16:28:11Z
Donnerstag, 22.12.2016 um 17:28 Uhr
Ich habe keine Connectbox, deshalb ist es nur etwas Raterei:
In der Fritzbox werden nur die letzten 4 Blöcke eingetragen.
Die Präfix kommt von der Fritzbox, da sich diese ja ändern kann.
In der Freigabeübersicht der Fritzbox sieht das dann so aus: ": :6968:30ed:bbfd:266d" (gefaket)
Hast du den Test über einen fremden Provider gemacht. Es gibt Geräte, bei denen das aus dem eigenen Netz nicht geht. Mir ist allerdings unbekannt, wie das bei der Connectbox ist.
cmamsteffen 2016-12-22T16:33:09Z
Donnerstag, 22.12.2016 um 17:33 Uhr
Ja ich habe zuhause auch einen DS-lite Anschluss allerdings mit eim anderen Router von UM.
Die Connect Box mit dem Raspberry PI den ich erreichen will ist drei Ortschaften weiter.
cmamsteffen 2016-12-22T16:37:02Z
Donnerstag, 22.12.2016 um 17:37 Uhr
Muss ich evtl den Präfix beim Verbindungsversuch mit angeben bzw. mit in dir filterregel reinschreiben?
HankJW 2017-01-10T23:08:26Z
Mittwoch, 11.01.2017 um 00:08 Uhr
So, wieder 19 Tage her. Bitte entschuldige die erneut späte Antwort, ich weiß wie dämlich das ist.
Grundsätzlich habe ich die Regeln fast genauso wie du eingetragen. Also TCP/UDP und icmpv6. Womit ich jedoch in letzter Zeit häufiger mal zu tun hatte ist dass ich auf das RasPi zugreifen wollte, ich mich selbst jedoch in einem IPv4-Netz bewegt habe, deshalb hatte das Routing nicht funktioniert. Ich glaube das ist es bei dir aber nicht, du sagtest ja dass du selber einen DS-Lite-Anschluss hast.
Die IPv6-Adresse hatte ich vollständig eingetragen, sogar noch manuell ausgeschrieben, keine Ahnung ob da auch die gekürzte Version nutzbar ist.
Was mir jetzt noch durch den Kopf ging - kann es sein dass du als Quellport "alle" eintragen musst? Ich kenne mich leider auch nicht gut genug aus, aber es kommt ja auf Port22 an (der Zielport) - vielleicht musst du als ausgehenden Port eine größere Range einstellen? Das habe ich zumindest bei mir noch so. Probier einfach mal, vielleicht hilft es ja.
Viele Grüße,
HankJW

Dateianhänge
    Ähnliche Fragen

    Unterschied zwischen IPv4 und IPv6?

    Ich lese oft, dass UM Kunden IPv4 behalten oder zurück haben wollen. Warum?  Was ist der Unterschied zwischen IPv4 und IPV6? Kann mir das... mehr

    Warum wird der Kunde beim Fritzbox OS Update von IPv4 auf IPv6 umgestellt?

    In der letzten Zeit fragen mich mehrere Leute bzw. ärgern sich, dass nach dem aktuellen Fritzbox OS Update der 6360 von IPv4 einfach ohne Info auf... mehr

    Horizon per WLAN mit der Fritz!Box verbinden

    Es hat mir keine Ruhe gelassen, dass sich meine Horizon, nach dem letzten Update, nicht mehr per WLAN mit meiner Fritz!Box verbunden hat. Es... mehr

    Multimediadose oder Push-on-Adapter

    Es gibt zwei Möglichkeiten die UM Hardware anzuschließen. Entweder mit einer 3-Loch oder 4-Loch Multimediadose (MMD) oder bei einer... mehr

    Repeater

    Hallo,Leute! Wie verbinde ich den Fritz!Repeater 310 mit der Connect Box? Und falls nötig: Wie deaktiviere ich den Mac-Filter bei der Connect... mehr