Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox Smart: Gastnetz hat kein Zugriff auf freigegebene Ports

Gelöst

Digitalisierungsbox Smart

 

Ein lokales Netzwerk 192.168.16.xx mit Home-Server https://192.168.16.3

Der Home-Server ist mittels Portfreigabe 443 auch aus dem Internet https://meineip.com erreichbar.

Loopback wurde aktiviert, so dass auch aus dem internen LAN der Server über die öffentliche Adresse https://meineip.com erreicht werden kann.

Dh alles ok!

 

Jetzt wurde ein WLAN Gastnetz aktiviert 192.168.3.xx

Aus dem Gastnetz ist der Home-Server nicht erreichbar https://meineip.com

Welche zusätzlichen Einstellungen müssen getroffen werden, damit die Digitalisierungsbox die Anftrage aus dem Gastnetz https://meineip.com routet?

dh eine Route von (br0-1 VLAN-ID3) -> br0(VLAN-ID1)

 

Ich hatte bisher eine Fritz!Box und die hat den Zugriff auf freigegebene Ports auch vom Gastnetz zugelassen.

IP-Ports.jpgPortweiterleitung.jpgNAT-Schnittstelle.jpgFirewall.jpg

Diesen Artikel habe ich ohne Erfolg beachtet:

https://telekomhilft.telekom.de/t5/Festnetz-Internet/Digitalisierungsbox-Vlan-Exchange-Probleme/m-p/...

2 AKZEPTIERTE LÖSUNGEN

@wari1957  schrieb:

Dann passe doch einfach die von mir vorgeschlagene Regel an.

Dort einfach als Ziel deinen Rechner auswählen.

 


Jup, jetzt passt es perfekt!

Danke für Deine Geduld

 

Quelle = BRIDGE_BR0-1

Ziel = Host_192.168.16.3

Dienst = http (SSL)

Aktion = Zugriff

Lösung in ursprünglichem Beitrag anzeigen  

Hallo @jfrie71 ,

du mußt noch eine Firewallregel anlegen.

Quelle = BRIDGE_BR0-1

Ziel = BRIDGE_BR0

Dienst = http (SSL)

Aktion = Zugriff

Dann sollte das auch funktionieren.

 

Lösung in ursprünglichem Beitrag anzeigen  

Eigentlich ist das standardmäßig genau so, wie es sein soll: Gäste haben keinen Zugriff auf interne Resourcen.

Das ist doch der Sinn  eines Gastnetzes, dass sie nur den standardmässigen Zugang zum Internet haben.

 

Geb deinen Gästen die Zugangsdaten zu deinem normalen WLan, dann dürfen sie alles was du auch darfst.

 

 

 

 

Wenn der Rest der Welt auf den freigegeben Port zugreifen darf, dann sollte doch ein Gastnetz nicht schlechter gestellt sein.

>Geb deinen Gästen die Zugangsdaten zu deinem normalen WLan

Die Trennung von LAN und DMZ ist ein Grundkonzept der IT-Sicherheit.

Deshalb gibt man doch niemals Gästen die Zugangsdaten des "normalen WLANs" Zwinkernd

Hallo @jfrie71 ,

du mußt noch eine Firewallregel anlegen.

Quelle = BRIDGE_BR0-1

Ziel = BRIDGE_BR0

Dienst = http (SSL)

Aktion = Zugriff

Dann sollte das auch funktionieren.

 

Das funktioniert!!

Vielen Dank

Telekom hilft Team
Hallo @jfrie71,

herzlich willkommen in unserer Community und vielen Dank für Ihren Beitrag.

Hier gab es ja schon ganz viele Hinweise zu diesem Thema.

Wie mir schient ist Ihr Problem damit schon gelöst worden. Oder gibt es noch offene Fragen?

Viele Grüße Martina Ha.

Hallo @jfrie71 ,

ich würde die Firewall Regeln aber noch modifizieren, denn so wie vorgeschlagen geben Sie den Zugriff aus dem Gast-WLAN auf das komplette lokale Netzwerk frei.

@Kalle2014 

Wo ist das Problem?

So viele https-Server wird der Fragesteller in seinem Netzwerk nicht nutzen.

 

Man übersieht vielleicht doch mal, das viel Geräte zur Konfiguration ein Webinterface haben.

@Kalle2014  schrieb:

ich würde die Firewall Regeln aber noch modifizieren, denn so wie vorgeschlagen geben Sie den Zugriff aus dem Gast-WLAN auf das komplette lokale Netzwerk frei.


wow, das hätte ich übersehen, da ich nur die öffentliche IP getestet hatte...

Ich habe es getestet und kann jetzt vom Gastnetz leider auch direkt auf alle https-Server im LAN zugreifen https:\\192.168.16.xx !

 

Wie kann ich die Firewall Regel weiter modifizieren, so dass nur der eine Server 192.168.16.3 vom Gastnetz 192.168.3.xx über die öffentlche IP erreichbar ist?

(so wie es die Portweiterleitung vom LAN ins WAN eigentlich auch macht)

@jfrie71 

Die anderen https-Server haben alle keine Zugangsbeschränkungen?

Wenn du den Zugriff auf einen bestimmten Rechner beschränken möchtest, legst du diesen unter Firewall -> Adressliste an und änderst die entsprechende Regel.


@wari1957 

Die anderen https-Server haben alle keine Zugangsbeschränkungen?


Es ist nur der eine Rechner 192.168.16.3 über eine öffentliche IP Adresse aus dem WAN erreichbar (NAT + Loopback)

Durch die vorgeschlagene Route sind jetzt, wie von Dir vorausgesehen, aus dem WLAN-Gastnetz Port443-Verbindungen auf alle Rechner ins LAN zugelassen. Wütend

 


Wenn du den Zugriff auf einen bestimmten Rechner beschränken möchtest, legst du diesen unter Firewall -> Adressliste an und änderst die entsprechende Regel.


ich sehe leider den Wald  vor lauter Bäumen nicht:

Die Adresse 192.168.16.3 ist bereits vorhanden

Adressliste.jpg

aber wie geht es weiter?

Filter.jpg

Vielen Dank für deine Bemühungen!

@jfrie71 

- Durch die vorgeschlagene Route

Das ist keine Route, sondern eine Firewallregel.

-wie von Dir vorausgesehen, aus dem WLAN-Gastnetz Port443-Verbindungen auf alle Rechner ins LAN zugelassen. 

Und davon geht die Welt jetzt unter?

 

Wenn der Rechner schon in der Adressliste eingetragen ist, schön.

Dann passe doch einfach die von mir vorgeschlagene Regel an.

Dort einfach als Ziel deinen Rechner auswählen.

 


@wari1957  schrieb:

Dann passe doch einfach die von mir vorgeschlagene Regel an.

Dort einfach als Ziel deinen Rechner auswählen.

 


Jup, jetzt passt es perfekt!

Danke für Deine Geduld

 

Quelle = BRIDGE_BR0-1

Ziel = Host_192.168.16.3

Dienst = http (SSL)

Aktion = Zugriff