Guten Tag Ilse und liebes willkommen in unserer Feedback-Community,
ich habe Ihnen einen hilfreichen Beitrag zu Ihrem Anliegen rausgesucht. Dort sind allerhand Tipps zu dem Thema entstanden. Schauen Sie bitte mal rein und halten Sie uns auf dem Laufenden, ob es geklappt hat.

Liebe Grüße Lena

Das hilft leider nicht imgeringsten. Die Portweiterleitung ist im Router eingetragen (und das Netbook ist in der Liste der "Geraete im Heimnetz" auch mit der IP-Adresse 192.168.2.100 aufgelistet, und auf dem lauscht auf dieser IP-Adresse auch ein sshd auf Port 22). Die Weiterleitung ("externe IP" TCP/22 auf 192.168.2.100 TCP/22) muesste nun eigentlich gemaess Routerdokumentation dazu fuehren, dass beim Router TCP/22 "offen" ist, dem ist jedoch *nicht* so, ein namp auf die externe IP des Routers ergab:

-bash-3.2$ nmap -P0 xx.xx.xx.xx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2014-05-21 09:25 CEST
Interesting ports on xxxxxxxx.dip0.t-ipconnect.de (xx.xx.xx.xx):
Not shown: 1677 filtered ports
PORT STATE SERVICE
707/tcp closed unknown
3128/tcp closed squid-http
3141/tcp closed vmodem

Nmap finished: 1 IP address (1 host up) scanned in 168.289 seconds

(IP-Adresse und DNS-Namen unkenntlich gemacht). Und ja, der Scan erfolgte von einem Host ausserhalb meines lokalen Netzes aus. Ein nmap aus dem lokalen Netz zeigt auch den laufenden sshd auf Port 22 auf dem Netbook an:

ilse@talaxia:~$ nmap 192.168.2.100

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-21 11:48 CEST
Interesting ports on 192.168.2.100:
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
49/tcp open tacacs
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.73 seconds

Es sieht danach aus, als wuerde der Router den "weiterzuleitenden Port" trotzdem filtern.
Die firmware-Version auf dem Router ist 09011601.00.074 8also die neueste fuer diesen
Router-Typ). Ausserdem habe ich noch einen weiteren Kritikpunkt an dem Router: es ist ausgesprochen aergerlich, dass der Router nicht auf "ping" (von "extern") anwortet (das wuerde keinerlei Sicherheitsluecke darstellen, aber wuerde die remote-Ueberwachung stark erleichtern). Gibt es da eine Moeglichkeit, dieses ausgesprochen aergerliche Verhalten umzustellen?

Ach ja, ich habe das Thema (mit genauerer Beschreibung von Versionsnummern, Seriennummer des Routers, etc.) auch in diesem Thread hier angesprochen (und meinen
Unmut ueber die fehlende Funktionalitaet geaeussert):

https://feedback.telekom-hilft.de/questions/wieso-funktioniert-die-portfreigabe-beim-speedport-724v-nicht

Etwas wirklich hilfreiches kam aber auch da nicht ...

Ist das Netbook per Wlan verbunden? Falls ja: Da scheint es einen Bug beim SpeedPort zu geben.

Generell würde ich aber auch jedem, der ein bisschen Ahnung von der Materie hat, davon abraten, die Telekom-Router zu verwenden. Da gibt es am Markt bessere Alternativen. Ich benutze zum Beispiel einen Router von Mikrotik, bei denen muss man zwar viel Fachkenntnis haben, aber dafür können die fast alles (verschiedene VPN -Protokolle, Routing, selbst einstellbares Bridging, eigene Firewall sowohl eingehend als auch ausgehend, Proxy, Portknocking etc. pp.).

Die Speedports sind halt eher sowas wie DAU-Geräte, die viele Einstellungsmöglichkeiten gar nicht bieten und nur möglichst bunt und einfach daherkommen.

Nein, das Netbook haengt per Kabel am Router.

Hallo Ilse,

bevor ich jetzt noch weitere Beiträge heraussuche und diese nicht helfen, werde ich unsere Fachabteilung mit diesem Thema befragen. Sobald ich eine Antwort bekommen habe, melde ich mich gerne in diesem Beitrag wieder.

Beste Grüße Lena

Vielen Dank. Voerst habe ich mir als workaround eine Loesung mit Hilfe eines zusaetzlichen Cisco-Routers, einer IPSEC-Verbindung (ueber NAT-T) zu einem Router meines Arbeitgebers und zwei Tunneln (einer fuer IPv4 und einer fuer IPv6) ueber die IPSEC-Verbindung beholfen (damit habe ich mir meine vorher genutzten festen Adressen aus dem Netz meines Arbeitgebers zu mir geroutet, den Schutz meiner Rechner erledigte auch vorher schon eine Cisco Pix, die ich schon laenger nutze und nun auch weiter nutze).

Du stellst dir das so eine Hardware hin und dann nutzt du als Router den Speedport?
Schon irgendwie merkwürdig 😛

Ich nutze den Speedport als Router fuer den Traffic "ausserhalb der Tunnel", also im wesenetlichen nur, um darueber eine IPSEC-Verbindung in die Firma aufzubauen.
Der Router ist dann der Tunnelendpunkt (sowohl fuer den IPSEC-Tunnel als auch
fuer die innerhalb des IPSEC-Tunnels laufenden Tunnel fuer IPv4 und IPv6 ins Internet). Wenn es mir nur um IPv4 gínge, wuerde ich den Tunnel auf der Cisco PIX terminieren und auch keinen weiteren Tunnel durch den IPSEC-Tunnel legen. Aber da ich IPv4 und IPv5 haben will, muss das Konstrukt etwas komplexer sein (die letzte Firmware-Version fuer die PIX ist 8.04, und um sowohl IPv4 als auch IPv6 durch einen IPSEC-Tunnel mit dynamischem Tunnelendpunkt zu schieben, wuerde ich wohl mindestens Firmware 8,4 benoetigen, und die gibt es nur fuer die Cisco ASA, nicht aber fuer die alten PIX ... Der Grund dafuer, dass ich IPSEC als "aeusseren Tunnel" benoetige ist, dass ich fuer "ipip" oder "ipv6ip" Tunnel keinen dynamischen Endpunkt konfigurieren kann, fuer IPSEC dagegen schon...
Es ist ein wirklich ziemlich wildes Konstrukt, aber zumindest als Uebergangsloesung
durchaus tauglich.
Ich wuerde mir wuenschen, Cisco haette fuer die PIX515 auch ene 9.2.1 Firmware herausgebracht, aber das wird nicht mehr passieren, da die PIX mittlerweile aus dem Support raus ist (trotzdem ist sie aber noch besser als das meiste "Home-Equipment" dass man so bekommen kann ...

Ach ja, noch ein Nachtrag: Das Problem mit dem nicht funktionierenden DynDNS-Update bei selfhost,de hat sich erledigt, das lag tatsaechlich nur an mir (Tippfehler im Passwort).
Das Problem mit der nicht wirklich funktionierenden Portfreigabe von TCP/22 (ssh) bleibt aber nach wie vor (auch wenn ich dafuer mittels eines weiteren Routers einen Workaround gefunden habe, siehe oben).

Nunja, ich arbeite als Netzwerkadministrator bei einem ISP , da kommt mir manches von dem beruflichen Wissen ggfs. auch privat zu gute, aber nicht alle workarounds sind immer "schoene Loesungen", dafuer aber i.d.R. funktionierend.

Ein Zugriff aus dem LAN über den WAN Port des Speedports auf das LAN wird unterbunden ( Stichwort NAT Loopback), liegt es eventuell daran? Verbindungen zu hosts im LAN können nur aus dem Internet aufgebaut werden, Quelladressen mit RFC1918 Subnets werden nicht zugelassen.

Das ist mir bewusst, und deshalb test ich so etwas grundsaetzlich nur von einem Host ausserhalb meines eigenen Netzes. Das ist also nicht die Ursache.

Da sich das Problem mit der nicht funktionierenden Port-Weiterleitung im Speedport fuer mich mittelerweile erledigt hat (ich habe fuer mich einen Workaround gefunden, der es mir nebenbei auch noch ermoeglicht, meine bisherigen IPv4 und IPv6 Addressen (ueber meinen Arbeitgeber) zu behalten und weiterzunutzen), hat sich bei mir die Dringleichkeit bzgl. dieses Problems erledigt. Es ist mir nun relativ gleichgueltig, ob noch eine Loesung dafuer gefunden wird. Vielleicht ist es aber fuer andere User noch interessant, ob dafuer eine Loesung gefunden werden kann. Ich habe zwar fuer meinen Workaround nun ein Geraet mehr hinter meinem Anschluss laufen (eine Cisco1841), aber das halte ich nicht fuer so schlimm. Ansonsten vielen Dank an alle fuer die bisherigen Bemuehungen und Antworten.

Hallo zusammen,

unsere Kollegen haben geantwortet, danke für eure Geduld.

Grundsätzlich lässt sich auch beim Speedport W 724V Typ C eine Portweiterleitung für den Port 22 (TCP) einrichten. Sofern hinter diesem Port dann eine Anwendung läuft, ist dieser Port 22 auch offen. Unabhängig vom Speedport W 724V Typ C funktionierten bei einigen zum Thema Portweiterleitung das eingerichtete Portmap erst nach einem Neustart des jeweiligen Routers.

@Ilse: Freut mich zu lesen, dass Sie eine passende Lösung gefunden haben und uns daran teilhaben lassen.

Viele Grüße Lena

und wenn nach dem Neustart des Routers immer noch kein Port-Forwarding funktioniert ? Ich bin echt am verzweifeln...

Und ja - ich habe auch von außerhalb (Handy ohne WLAN) die Portabfrage gemacht...

sorry for Cross-Posting - Problem gelöst -> siehe dort...

https://feedback.telekom-hilft.de/questions/wieso-funktioniert-die-portfreigabe-beim-speedport-724v-nicht?page=1#anchor_answer_309153

Hallo ihr Lappen!
Aufgepasst... Ich hab die Lösung... Also ich habe einen Speedport W724V
Es wurde viel diskutiert, woran es liegen könnte, dass Anwendungen, welche aus dem Internet erreicht werden sollen nicht funktionieren, wenn man den Router SpeedportW724v hat...

1.) Der Router unterstützt nicht den Mechanismus, dass man aus dem eigenen Netz heraus ins Internet geleitet wird und wieder zurück zum Router. Das bedeutet jegliche Verusche die Anwendung mittels einer Testanwendung aus dem Heimnetz der Telekom zu testen, scheitern. Man kann die Anwendung nur aus einem anderen Netz testen. Tipp: nutzt dazu euer smartphone, falls es einen anderen netzanbieter hat...

2.) Die EInstellungen, die dazu getroffen werden müssen sind:
-Portfreischaltung
-Anmeldung bei einem Anbieter für dynamisches DNS
-Neustart des Routers

Als Tipp: Man kann die Einstellungen zum Erreichen eines Dienstes welcher über DynDns angebunden wurde bei "Einstellungen"->"System-Informationen" anschauen

3.) Firewall auf dem Host (Wirtssystem) und auf dem Gastbetriebssystem so konfigurieren, dass die Ports freigelegt werden.
bei ubuntu ist das der befehl:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

damit werden alle Verbindungen auf port 22 (ssh) auf dem Gastbetriebssystem freigeschaltet...

Überprüfen , ob der Dienst ssh läuft kann man mit dem befehl:

ps -ax | grep ssh

dazu müssen noch der ssh server und der ssh client richtig konfiguriert werden und dann,
voila!

Hallo ihr Lappen!
Aufgepasst... Ich hab die Lösung... Also ich habe einen Speedport W724V
Es wurde viel diskutiert, woran es liegen könnte, dass Anwendungen, welche aus dem Internet erreicht werden sollen nicht funktionieren, wenn man den Router SpeedportW724v hat...

1.) Der Router unterstützt nicht den Mechanismus, dass man aus dem eigenen Netz heraus ins Internet geleitet wird und wieder zurück zum Router. Das bedeutet jegliche Verusche die Anwendung mittels einer Testanwendung aus dem Heimnetz der Telekom zu testen, scheitern. Man kann die Anwendung nur aus einem anderen Netz testen. Tipp: nutzt dazu euer smartphone, falls es einen anderen netzanbieter hat...

2.) Die EInstellungen, die dazu getroffen werden müssen sind:
-Portfreischaltung
-Anmeldung bei einem Anbieter für dynamisches DNS
-Neustart des Routers

Als Tipp: Man kann die Einstellungen zum Erreichen eines Dienstes welcher über DynDns angebunden wurde bei "Einstellungen"->"System-Informationen" anschauen

3.) Firewall auf dem Host (Wirtssystem) und auf dem Gastbetriebssystem so konfigurieren, dass die Ports freigelegt werden.
bei ubuntu ist das der befehl:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

damit werden alle Verbindungen auf port 22 (ssh) auf dem Gastbetriebssystem freigeschaltet...

Überprüfen , ob der Dienst ssh läuft kann man mit dem befehl:

ps -ax | grep ssh

netstat -tulpen | grep (z.B. netstat -tulpen | grep ssh)

dazu müssen noch der ssh server und der ssh client richtig konfiguriert werden und dann,
voila!

------------------------Hintergrundwissen: -------------------------------------------------------------------
-Router hat eine Firewall (Paketfilter), die alles blockt, was nicht explizit freigegeben wurde
-Das Betriebssystem hat eine Firewall, die ebenfalls alles blockt

==> Mit anderen Worten: Ihr müsst die Firewall auf eurem Rechner freigeben oder ganz ausschalten und auf dem Router den Port freigeben und dem Rechner mit der ausgeschalteten Firewall zuordnen