Guten Tag Ilse und liebes willkommen in unserer Feedback-Community,
ich habe Ihnen einen hilfreichen Beitrag zu Ihrem Anliegen rausgesucht. Dort sind allerhand Tipps zu dem Thema entstanden. Schauen Sie bitte mal rein und halten Sie uns auf dem Laufenden, ob es geklappt hat.

Liebe Grüße Lena

Das hilft leider nicht imgeringsten. Die Portweiterleitung ist im Router eingetragen (und das Netbook ist in der Liste der "Geraete im Heimnetz" auch mit der IP-Adresse 192.168.2.100 aufgelistet, und auf dem lauscht auf dieser IP-Adresse auch ein sshd auf Port 22). Die Weiterleitung ("externe IP" TCP/22 auf 192.168.2.100 TCP/22) muesste nun eigentlich gemaess Routerdokumentation dazu fuehren, dass beim Router TCP/22 "offen" ist, dem ist jedoch *nicht* so, ein namp auf die externe IP des Routers ergab:

-bash-3.2$ nmap -P0 xx.xx.xx.xx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2014-05-21 09:25 CEST
Interesting ports on xxxxxxxx.dip0.t-ipconnect.de (xx.xx.xx.xx):
Not shown: 1677 filtered ports
PORT STATE SERVICE
707/tcp closed unknown
3128/tcp closed squid-http
3141/tcp closed vmodem

Nmap finished: 1 IP address (1 host up) scanned in 168.289 seconds

(IP-Adresse und DNS-Namen unkenntlich gemacht). Und ja, der Scan erfolgte von einem Host ausserhalb meines lokalen Netzes aus. Ein nmap aus dem lokalen Netz zeigt auch den laufenden sshd auf Port 22 auf dem Netbook an:

ilse@talaxia:~$ nmap 192.168.2.100

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-21 11:48 CEST
Interesting ports on 192.168.2.100:
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
49/tcp open tacacs
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.73 seconds

Es sieht danach aus, als wuerde der Router den "weiterzuleitenden Port" trotzdem filtern.
Die firmware-Version auf dem Router ist 09011601.00.074 8also die neueste fuer diesen
Router-Typ). Ausserdem habe ich noch einen weiteren Kritikpunkt an dem Router: es ist ausgesprochen aergerlich, dass der Router nicht auf "ping" (von "extern") anwortet (das wuerde keinerlei Sicherheitsluecke darstellen, aber wuerde die remote-Ueberwachung stark erleichtern). Gibt es da eine Moeglichkeit, dieses ausgesprochen aergerliche Verhalten umzustellen?

Ach ja, ich habe das Thema (mit genauerer Beschreibung von Versionsnummern, Seriennummer des Routers, etc.) auch in diesem Thread hier angesprochen (und meinen
Unmut ueber die fehlende Funktionalitaet geaeussert):

https://feedback.telekom-hilft.de/questions/wieso-funktioniert-die-portfreigabe-beim-speedport-724v-nicht

Etwas wirklich hilfreiches kam aber auch da nicht ...

Ist das Netbook per Wlan verbunden? Falls ja: Da scheint es einen Bug beim SpeedPort zu geben.

Generell würde ich aber auch jedem, der ein bisschen Ahnung von der Materie hat, davon abraten, die Telekom-Router zu verwenden. Da gibt es am Markt bessere Alternativen. Ich benutze zum Beispiel einen Router von Mikrotik, bei denen muss man zwar viel Fachkenntnis haben, aber dafür können die fast alles (verschiedene VPN -Protokolle, Routing, selbst einstellbares Bridging, eigene Firewall sowohl eingehend als auch ausgehend, Proxy, Portknocking etc. pp.).

Die Speedports sind halt eher sowas wie DAU-Geräte, die viele Einstellungsmöglichkeiten gar nicht bieten und nur möglichst bunt und einfach daherkommen.

Nein, das Netbook haengt per Kabel am Router.

Hallo Ilse,

bevor ich jetzt noch weitere Beiträge heraussuche und diese nicht helfen, werde ich unsere Fachabteilung mit diesem Thema befragen. Sobald ich eine Antwort bekommen habe, melde ich mich gerne in diesem Beitrag wieder.

Beste Grüße Lena

Vielen Dank. Voerst habe ich mir als workaround eine Loesung mit Hilfe eines zusaetzlichen Cisco-Routers, einer IPSEC-Verbindung (ueber NAT-T) zu einem Router meines Arbeitgebers und zwei Tunneln (einer fuer IPv4 und einer fuer IPv6) ueber die IPSEC-Verbindung beholfen (damit habe ich mir meine vorher genutzten festen Adressen aus dem Netz meines Arbeitgebers zu mir geroutet, den Schutz meiner Rechner erledigte auch vorher schon eine Cisco Pix, die ich schon laenger nutze und nun auch weiter nutze).

Du stellst dir das so eine Hardware hin und dann nutzt du als Router den Speedport?
Schon irgendwie merkwürdig 😛

Ich nutze den Speedport als Router fuer den Traffic "ausserhalb der Tunnel", also im wesenetlichen nur, um darueber eine IPSEC-Verbindung in die Firma aufzubauen.
Der Router ist dann der Tunnelendpunkt (sowohl fuer den IPSEC-Tunnel als auch
fuer die innerhalb des IPSEC-Tunnels laufenden Tunnel fuer IPv4 und IPv6 ins Internet). Wenn es mir nur um IPv4 gínge, wuerde ich den Tunnel auf der Cisco PIX terminieren und auch keinen weiteren Tunnel durch den IPSEC-Tunnel legen. Aber da ich IPv4 und IPv5 haben will, muss das Konstrukt etwas komplexer sein (die letzte Firmware-Version fuer die PIX ist 8.04, und um sowohl IPv4 als auch IPv6 durch einen IPSEC-Tunnel mit dynamischem Tunnelendpunkt zu schieben, wuerde ich wohl mindestens Firmware 8,4 benoetigen, und die gibt es nur fuer die Cisco ASA, nicht aber fuer die alten PIX ... Der Grund dafuer, dass ich IPSEC als "aeusseren Tunnel" benoetige ist, dass ich fuer "ipip" oder "ipv6ip" Tunnel keinen dynamischen Endpunkt konfigurieren kann, fuer IPSEC dagegen schon...
Es ist ein wirklich ziemlich wildes Konstrukt, aber zumindest als Uebergangsloesung
durchaus tauglich.
Ich wuerde mir wuenschen, Cisco haette fuer die PIX515 auch ene 9.2.1 Firmware herausgebracht, aber das wird nicht mehr passieren, da die PIX mittlerweile aus dem Support raus ist (trotzdem ist sie aber noch besser als das meiste "Home-Equipment" dass man so bekommen kann ...

Ach ja, noch ein Nachtrag: Das Problem mit dem nicht funktionierenden DynDNS-Update bei selfhost,de hat sich erledigt, das lag tatsaechlich nur an mir (Tippfehler im Passwort).
Das Problem mit der nicht wirklich funktionierenden Portfreigabe von TCP/22 (ssh) bleibt aber nach wie vor (auch wenn ich dafuer mittels eines weiteren Routers einen Workaround gefunden habe, siehe oben).