Telekom Digitalisierungsbox Smart 2: Probleme mit Firewall- und NAT
vor 4 Monaten
Moin,
ich wende mich an dieses Forum, weil ich momentan etwas ratlos bin und anscheinend Schwierigkeiten habe, die Konfiguration der Telekom Digitalisierungsbox Smart 2 richtig zu verstehen. Hier ist mein Problem: Ich habe eine Unifi UDM Pro direkt hinter dem Telekom-Router, der die gesamte Infrastruktur steuert. An der Digi-Box ist sonst nichts weiter angeschlossen. Sie verwaltet zwar die IP-Telefone (SIPs), das VLAN wird jedoch von der UDM Pro bereitgestellt.
Alle Zugriffe über das Internet auf die Serverdienste, beispielsweise über die Ports 80, 443 und 51820 (WireGuard), schlagen fehl.
Dies lässt sich auch im Firewall-Log erkennen:
- 2024-09-01 12:18:13: src=IP DST=IP LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=45123 SKBPRIO=0 MARK=0x0102 EXTMARK=0x409A0021 DF PROTO=TCP SPT=60580 DPT=51820 WINDOW=26883 RES=0x00 SYN URGP=0
- 2024-09-01 12:18:12: src=IP DST=IP LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=45122 SKBPRIO=0 MARK=0x0102 EXTMARK=0x409A0021 DF PROTO=TCP SPT=60580 DPT=51820 WINDOW=26883 RES=0x00 SYN URGP=0
Die Portweiterleitungen sind korrekt eingerichtet. Ich würde gerne Exposed Host verwenden, da die UDM Pro die NAT- und Firewall-Konfiguration übernehmen soll, aber auch das scheint der Router zu ignorieren.
NAT-Konfiguration (siehe Screenshot 1):
Firewall-Regeln (siehe Screenshot 2):
Zonen-Konfiguration (siehe Screenshot 3):
Meiner Einschätzung nach sollte der Datenverkehr aus dem Internet, der über die TCP-Ports 80, 443 und den UDP-Port 51820 eingeht, über die statische, öffentliche IP-Adresse direkt an die Unifi UDM Pro weitergeleitet werden. Leider blockiert die Firewall trotz meiner Konfiguration alle Anfragen über diese Ports.
Das Deaktivieren von NAT oder der IPv4 SPI ist offenbar auch nicht möglich, da das entsprechende Feld ausgegraut ist. Ich würde den Router gerne gegen eine professionellere Lösung austauschen, jedoch werden über ihn fünf SIP-Telefone verwaltet. Eine ideale Lösung wäre, das Gerät nur als Modem zu nutzen. Die Konfiguration des Exposed Host, um zwischen dem Telekom-Router und der UDM Pro eine DMZ einzurichten, wird enttäuschenderweise von der Digitalisierungsbox Smart 2 ignoriert. Vielleicht hat jemand von euch einen hilfreichen Tipp oder hatte bereits ähnliche Probleme und kann mir einen funktionierenden Lösungsweg aufzeigen.
Viele Grüße,
Alexander
386
7
5 Sterne Mitgestalter
vor 4 Monaten
Wie muß oder soll man das verstehen?
Wenn du die Firewall der DB2 in Verdacht hast, die kann man ja mal temporär deaktivieren.
Daß die Konfiguration Exposed Host nicht funktionieren soll, kann ich nicht recht glauben.
Die DB2 kann Netzwerkmitschnitte erstellen, vielleicht hilft das weiter.
2
Antwort
von
vor 4 Monaten
@alexanderveuhoff
Ich habe nur die DB1 und bei der war es möglich die Firewall zu deaktivieren.
Daß die DB2 das nicht mehr ermöglicht wußte ich bis eben nicht.
Was VLANs sind weiß ich.
Die DB2 kann doch gar nicht mit VLANs umgehen oder irre ich mich da?
Einfacher Versuch:
Man nehme einen Laptop, schließe diesen direkt an die DB2 an und erstelle dann eine Portweiterleitung.
Wenn diese auch nicht funktionieren sollte hat die Firmware der Kiste ein größeres Problem.
In dem Fall passt es ja auch nicht zusammen.
Für tcp gibt es ja auch keine Weiterleitung des Ports 51820.
3 Sterne Mitglied
vor 4 Monaten
@alexanderveuhoff , ich habe keine DB Smart 2, aber ist eventuell Quelle und Ziel im Screenshot 2 verdreht und die Quelle ist vom Intranet (Server) zum Ziel, Internet?
Aber wahrscheinlich liege ich auch falsch. Weil z. B. bei z. B. FRITZ!Box ist es immer vom Intranet zum Internet betrachtet. Das von Hersteller zu Hersteller teils etwas unterschiedlich.
Bei besseren Gerätschaften stellt man so etwas hardwarenäher ein und dann ist es offensichtlicher, weil Interfacenamen in der Konfiguration stehen.
0
1 Sterne Mitglied
vor 29 Tagen
Hallo zusammen,
ich kann deinen Frust absolut nachvollziehen. Ich habe heute ebenfalls mehrere Stunden damit verbracht, die Digitalisierungsbox Smart 2 mit unserem Unifi-Netzwerk zum Laufen zu bringen, und am Ende aus Verzweiflung wieder den alten Router angeschlossen. Mit der Digitalisierungsbox Smart 1 funktioniert bei uns alles problemlos.
Wir nutzen eine USG Pro von Unifi hinter dem Router, und auch bei uns war es absolut unmöglich, die Konfiguration stabil hinzubekommen – weder mit "Exposed Host" noch mit DHCP oder statischen Routen. Selbst Portweiterleitungen blieben wirkungslos.
Ein entscheidender Unterschied: Bei der Digitalisierungsbox 1 gibt es die Möglichkeit, eine Weiterleitungsregel wie wz_UDP/TCP zu nutzen, die den gesamten Traffic sauber weiterleitet. Diese Option fehlt bei der Smart 2, und das scheint der Knackpunkt zu sein.
Ohne eine Lösung oder ein klares Feedback von der Telekom-Technik ist die Digitalisierungsbox 2 in ihrem aktuellen Zustand für unseren Kunden leider nicht brauchbar. Es wäre großartig, wenn sich hier ein Telekom-Techniker mit einem Lösungsansatz melden könnte. Vielen Dank im Voraus!
Viele Grüße
Alex
Bildschirmfoto 2024-11-28 um 23.11.17.png
Bildschirmfoto 2024-11-28 um 23.11.10.png
Bildschirmfoto 2024-11-28 um 23.10.54.png
2
Antwort
von
vor 19 Tagen
Hallo @ein_nutzer,
wir haben dich nicht vergessen.
Es liegt noch keine finale Antwort von unserer Fachabteilung vor. Wir melden uns bei dir, sobald es Neuigkeiten gibt.
Liebe Grüße und einen guten Start in die Woche.
Sarah