Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
HankJW

Ausnahmen in Connect Box-Firewall für externen Zugriff

Hallo liebes Support-team,
folgendes ist gerade bei mir das Problem:
Ich möchte von außerhalb, zum Beispiel von meiner Uni aus, auf einen Raspberry Pi zugreifen der bei mir zuhause steht. Ehemals bei IPv4 und NAT ging das ganz gut mit einer Portweiterleitung die im Router eingestellt wurde, ist dank IPv6 jetzt ja nicht mehr notwendig. Mein Problem ist nun dass ich aber generell nicht mehr von außerhalb auf mein Heimnetzwerk zugreifen kann. Wenn ich die interne Firewall des Routers ausschalte sind zwar theoretisch alle meine Probleme gelöst, allerdings ist das halt dann nicht wirklich elegant oder sicher.
Zusammengefasst: Wie kann ich der Firewall Ausnahmen hinzufügen? Also dass Anfragen von außerhalb an bestimmte IPv6-Adressen an bestimmten Ports durchgelassen werden, zum Beispiel für SSH? Ist das bei der Kategorie "IP und Portfilter" einzutragen? Und wenn ja, wie? Das Manual ist da ja absolut nichtssagend bei den Einstellungsmöglichkeiten.
Die routingfähige IPv6 ist bei dem Raspberry Pi aktiviert und bekannt, nicht dass es da Missverständnisse gibt.
Über eine schnelle und kompetente Antwort würde ich mich sehr freuen.
Viele Grüße,
Simon.
Speichern Abbrechen
10 Kommentare
2016-10-26T12:46:03Z
  • Mittwoch, 26.10.2016 um 14:46 Uhr
Sorry für die Gegenfrage:
Kommt der Raspberry Pi mit ssh/ping via IPv6 zur Uni? Nur um erstmal zu wissen, dass das Routing generell funktioniert. (manchmal(selten) sind auch die Routen zwischen den ISPs kaputt)
Wenn das Handbuch nicht viel hergibt, gilt leider Probieren geht über Studieren, sowie Durchgehen aller Möglichkeiten an der GUI der Box.
Der Raspberry Pi kriegt auch keinen großen Schreck, wenn er mal kurzzeitig ohne Firewall im Internet steht. Einfach mal so viel möglich öffnen, gucken was geht und danach vorsichtig eingrenzen - auf tcp Port 22 und icmp.




2016-10-26T13:39:05Z
  • Mittwoch, 26.10.2016 um 15:39 Uhr
Vielen Dank für den Beitrag! Ping und SSH funktionieren auch rückwärts, die Lösung war tatsächlich in dem was du geschrieben hast. Man braucht bei der Kategorie IP- und Portfilter tatsächlich zwei Regeln, einmal tcp und einmal icmp, beide entsprechend für die IP vom Raspberry Pi. Jetzt geht es jedenfalls, danke dir!
2016-12-13T18:54:32Z
  • Dienstag, 13.12.2016 um 19:54 Uhr
Hallo HankJW.
Ich stehe gerade vor dem selben Problem.
Könntest du kurz beschreiben wie du das in die IP und Portregeln eingetragen hast. Ich bin mir nicht sicher was uch genau bei eingehend umd susgehend und traffic policy ja oder nein usw eintragen muss. Du würdest mir einen sehr großen gefallen damit machen. Ich mach da hetzt schon eine Woche rum aber es will mir einfach nicht gelingen.
Gruß Steffen
2016-12-21T08:01:58Z
  • Mittwoch, 21.12.2016 um 09:01 Uhr
Bitte entschuldige die so enorm späte Antwort! Hoffentlich hilft es dir trotzdem noch weiter. Bei traffic policy muss man soweit ich weiß garnicht eintragen, das wird nur benötigt wenn man manche Geräte oder Verbindungen von draußen "abschneiden" möchte, wie eine Art Kindersicherung also. Für mein Problem musste ich folgenden Pfad gehen: "Erweiterte Einstellungen>Sicherheit>Ip-und Portfilter". Dann "Eine neue Regel erstellen", eingetragen wird dann die routingfähige(manchmal auch global genannte) IP-Adresse des Gerätes das von draußen erreichbar sein soll. Das Protokoll auswählen was benutzt werden soll - ICMPv6 ist notwendig für zum Beispiel Ping und eine generelle Kommunikation. TCP/UDP ist dann notwendig für zum Beispiel SCP, SSH oder einen Webserver. Gegebenenfalls muss halt noch der entsprechende Port eingetragen werden, also 8080 (hör bin ich mir nicht ganz sicher?) für den html-Server oder 22 für SSH. Benutzt auf deinem Gerät dann unbedingt ein langes sicheres Passwort da du ab dem Zeitpunkt angreifbar bist. Viel Erfolg!
2016-12-21T16:34:37Z
  • Mittwoch, 21.12.2016 um 17:34 Uhr
Hallo HanJW.
Vielen vielend Dank für diese Erklärung. Ich bin immer noch an diesem Problem dran. Dank Dir weiß ich jetzt das all meine Versuche falsch waren. Ich werde das Morgen sofort ausprobieren und auf jedenfall hier Rückmeldung geben wenn es geklappt hat.
Endlich ein Lichtblick
Gruß Steffen
2016-12-22T16:14:40Z
  • Donnerstag, 22.12.2016 um 17:14 Uhr
Hallo HankJW.
Leider hatte ich keinen Erfolg.
Ich habe traffic policy bei jeder regel deaktiviert. Bei quelladresse All eingetragen (Sind doch die IP Adressen gemeint die von Außen zugreifen wollen oder?) Bei Zieladresse die Globale IP die mit 2a02 anfängt des raspberry pi eingetragen. Protokoll habe ich tcp/udp eingestellt. Bei Quellport Start 22 und Ende 22 eingetragen und bei Zielport SSH eingestellt. Ach ja ganz oben kann man erlauben oder deaktivieren auswählen. Da habe ich erlauben angeklickt.
Dann habe ich eine weitere Regel erstellt. Auch wieder quellip All und ZielIP die globale IPV6 des Raspberry eingetragen. Bei Protokoll icmpv6 eingetragen. Sieht das bei dir auch so aus oder mache ich schon wieder was falsch? Kann auf jedenfall mit putty nicht auf den Raspberry pi zugreifen
Würde mich freuen von dir zu hören.
Gruß Steffen
2016-12-22T16:28:11Z
  • Donnerstag, 22.12.2016 um 17:28 Uhr
Ich habe keine Connectbox, deshalb ist es nur etwas Raterei:
In der Fritzbox werden nur die letzten 4 Blöcke eingetragen.
Die Präfix kommt von der Fritzbox, da sich diese ja ändern kann.
In der Freigabeübersicht der Fritzbox sieht das dann so aus: ": :6968:30ed:bbfd:266d" (gefaket)
Hast du den Test über einen fremden Provider gemacht. Es gibt Geräte, bei denen das aus dem eigenen Netz nicht geht. Mir ist allerdings unbekannt, wie das bei der Connectbox ist.
2016-12-22T16:33:09Z
  • Donnerstag, 22.12.2016 um 17:33 Uhr
Ja ich habe zuhause auch einen DS-lite Anschluss allerdings mit eim anderen Router von UM.
Die Connect Box mit dem Raspberry PI den ich erreichen will ist drei Ortschaften weiter.
2016-12-22T16:37:02Z
  • Donnerstag, 22.12.2016 um 17:37 Uhr
Muss ich evtl den Präfix beim Verbindungsversuch mit angeben bzw. mit in dir filterregel reinschreiben?
2017-01-10T23:08:26Z
  • Mittwoch, 11.01.2017 um 00:08 Uhr
So, wieder 19 Tage her. Bitte entschuldige die erneut späte Antwort, ich weiß wie dämlich das ist.
Grundsätzlich habe ich die Regeln fast genauso wie du eingetragen. Also TCP/UDP und icmpv6. Womit ich jedoch in letzter Zeit häufiger mal zu tun hatte ist dass ich auf das RasPi zugreifen wollte, ich mich selbst jedoch in einem IPv4-Netz bewegt habe, deshalb hatte das Routing nicht funktioniert. Ich glaube das ist es bei dir aber nicht, du sagtest ja dass du selber einen DS-Lite-Anschluss hast.
Die IPv6-Adresse hatte ich vollständig eingetragen, sogar noch manuell ausgeschrieben, keine Ahnung ob da auch die gekürzte Version nutzbar ist.
Was mir jetzt noch durch den Kopf ging - kann es sein dass du als Quellport "alle" eintragen musst? Ich kenne mich leider auch nicht gut genug aus, aber es kommt ja auf Port22 an (der Zielport) - vielleicht musst du als ausgehenden Port eine größere Range einstellen? Das habe ich zumindest bei mir noch so. Probier einfach mal, vielleicht hilft es ja.
Viele Grüße,
HankJW

Dateianhänge
    😄
    Ähnliche Fragen

    Connect Box und Dynds und Portweiterleitung

    Hallo liebes Forum, ich hatte bisher bei Kabel-BW/ UnityMedia eine 32.000 Verbindung mittels IPV4. Hinter dem damaligen (Motorola-Modem; ich meine... mehr

    IPv6 und Port Freischaltung? Cloud und Webserver?

    Ich bin seit kurze Zeit Kunde. Es wurde mir nicht gesagt dass nach den wechsel zu UM es wird nicht mehr möglich mene Servers zu benutzen. Hat... mehr

    Wie kann man die Erweiterten Einstellungen der ConnectBox nutzen?

    Hallo, hat mal jemand ein möglichst konkretes und anschauliches Beispiel für eine sinnvolle Nutzung des folgenden Menüpunktes der... mehr

    DDNS bzw. Portweiterleitung mit der neuen Connect Box

    Hallo, ich habe die Connect Box von Um und finde keine Möglichkeit die Ports manuell freizugeben. Ich habe hier ein NAS und in einer anderen... mehr

    WLAN Drucker wird nicht erkannt (offline); in der ConnectBox: Gerätename unknown

    Hallo, bin von "Clever Kabel 20" (ARRIS Kabelmodem + D-Link-WLAN-Router) auf "2play COMFORT 120" gewechselt (neue Hartware CONNECTBOX). Habe... mehr