Speedport Pro + Fritzbox Portweiterleitung funktioniert nicht

Ja in der Fritzbox ist ja alles freigegeben und funktioniert ja auch hinter dem Speedport Hybrid aber irgendwie will der Speedport Pro nicht

Die Ports sind alle freigegeben (im Speedport alle die soweit möglich sind wie bei lubensky.de)

Der DNS Eintrag wird auch richtig aktualisiert und zeigt auf die Öffentliche WAN-IP.

Hab auch schon auf https://www.yougetsignal.com/tools/open-ports/ getestet ob der Port offen ist und das ist auch OK.

Mir gehen so langsam die Ideen aus ...

Edit: gerade ist noch ein weiteres Problem aufgetreten, bis gestern (ohne LTE) ging die VPN Nutzung noch mit SPP und heute mit aktivem LTE auf SPP funktioniert VPN nach draussen auch nicht, sobald ich LTE deaktiviere funktioniert es wieder ... alles komisch

Vielleicht hat ja @aluny  noch eine Idee

LG,

Thomas

Hallo @FunThomas76 

Pfffffffffff.......

Ich gehe davon aus, dass die Portweiterleitungen korrekt gestzt sind, daher würde ich den Server mal testweise  direkt an den Speedport hängen und schauen, ob es dann funktioniert.

So da der SPP irgendwie garkein zusätzliches LAN Gerät erkannt hat habe ich jetzt einmal komplett auf Werkseinstellungen zurückgesetzt.

In der Anzeige der LAN Gerät wird jetzt mein Raspberry Pi grau angezeigt und für diesen kann ich aber keine direkte Portfreigabe anlegen.

Kann mir bitte einer erklären warum andere Geräte als die Fritzbox grau angezeigt werden und diese dann auch nicht in der Geräteliste für die Portfreigabe stehen ?

EDIT: Also der Raspberry wird irgendwann nach einer Zeit auch endlich schwarz und dann kann auch eine Portfreigabe erfolgen und diese Funktioniert auch für diesen Port 44444.

Aber diese unausgereifte Firmware des SPP im Gegensatz zu denen von AVM ist immer wieder echt harte Arbeit das zu akzeptieren...

Machmal nach dem Hochfahren des SPP werden unter den Portfreigabe nur noch die dynamischen angezeigt und die statischen Portfreigabe sind garnicht sichtbar.

Ich habe jetzt festgestellt auf dem SPP kann man eine Regel für Port 1-65534 für TCP und UDP festlegen und das sollte eigentlich dann wie DMZ arbeiten. Auf dem SPH musste man ja einige Ports aussparen weil die geblockt waren.

Leider werden in dieser Konfiguration 1-65534 nicht alle Ports weitergeleitet.

Wenn ich dann einen FTP auf 44444 habe funktioniert dieser nicht über die DynDNS Adresse.

Wenn ich dann die erste Regel bis Port 44443 begrenze und eine zweite Regel anlege über Port 44444-65534 für jeweils tcp und udp dann funktioniert der FTP dann über DynDNS Adresse.

Allerdings ein anderer FTP auf Port 56000 funktioniert dann immer noch nicht

Dann für diesen auch eine eigene Regel und das funktioniert dann auch.

Hat einer von Euch auch solche Probleme mit der Portfreigabe im SPP ?

LG,

Thomas

Ich habe einen VPN bei AirVPN und würde diesen auch gern weiter nutzen von Geräten hinter SPP + FB7590, allerdings funktioniert dieser nicht wenn ich LTE an habe.

Sobald ich LTE deaktiviere funktioniert der Verbindungsaufbau wieder (ich glaube das ganze läuft über OpenSSL und TCP).

Habt ihr da evtl. ne Idee was da der Unterschied zwischen DSL only und mit LTE Betrieb ist und wo man anfangen könnte mit der Fehlersuche ?

LG,

Thomas

@FunThomas76 

Dass man im Pro/Pro Plus Portweiterleitungen von 1 bis 65534 udp/tcp anlegen kann, ist ganz klar ein Bug.

- Wenn ich dann einen FTP auf 44444 habe funktioniert dieser nicht über die DynDNS Adresse.

Warum verwendest du nicht den Standardport 21?

Das FTP-ALG des Pro/Pro Plus macht das dann richtig.

Wenn es unbedingt ein anderer Control-Port sein muß, dann mußt du selbst dafür sorgen, daß die entsprechenden Daten-Ports im Pro/Pro Plus freigeschaltet werden.

Zum Thema VPN kannst du nur versuchen die MTU zu verkleinern.

Sollte das nicht helfen, wirst du mit der nur DSL-Varainte leben müssen.

Wenn die Freigabe von Port 1-65534 ein Bug ist wie ist dann für den SPP die funktionierende Freigabe der FB7590 als DMZ ?

Welche Portbereiche muss ich alles aufsplitten damit das funktioniert?

@wari1957wie finde ich die richtige MTU für den VPN mit LTE heraus ? Oder für welche Ports muss ich alles eine LTE-Ausnahme anlegen damit es dann trotz LTE nur über DSL funktioniert ? Ich nehme an einige von den VPN Ports werden auch für SFTP verwendet

Und wo würde ich dann die MTU ändern? Im PC, FB7590 oder SPP ?

LG,

Thomas

@FunThomas76 

- Wenn die Freigabe von Port 1-65534 ein Bug ist wie ist dann für den SPP die funktionierende Freigabe der FB7590 als DMZ ?

Welche Portbereiche muss ich alles aufsplitten damit das funktioniert?

DMZ mit dem Pro/Pro Plus ist, meines Wissens nach, nicht möglich.

- @wari1957wie finde ich die richtige MTU für den VPN mit LTE heraus ?

Fang halt mal mit einem Wert von 1288 an.

- Oder für welche Ports muss ich alles eine LTE-Ausnahme anlegen damit es dann trotz LTE nur über DSL funktioniert ? Ich nehme an einige von den VPN Ports werden auch für SFTP verwendet

Es gibt ja mehrere Varianten für LTE-Ausnahmen (Gerät, Zieldomain, ...).

- Und wo würde ich dann die MTU ändern? Im PC, FB7590 oder SPP ?

Im Client, also wahrscheinlich im PC.

Hallo @FunThomas76 

Als Ergänzung zur Antwort von wari1957, schau mal Betreff "DMZ" hier (unter dem 2. Bild) vorbei.

So ich habe jetzt als schnellen Workaround Port 443 als LTE Ausnahme gesetzt.

Damit geht dann auch VPN wieder allerdings auch nur mit DSL-only Geschwindigkeit.

Wegen dem MTU muss ich mal morgen testen ob das auch zum Erfolg führt.

@aluny deine Seite kenne ich und die ist Super! Damit habe ich damals schon meinen SP-H eingerichtet.

Als verwöhnter AVM Fanboy erwartet man eigentlich wenn ich im SPP Ports von 1-65534 zur Weiterleitung einstellen kann das dies auch funktioniert. Bei AVM habe ich noch nie so große Fehler gefunden wie in der SPP Firmware.

Ich kann ja morgen nochmal die einzelnen Ports wie auf deiner Seite einstellen und schauen ob es dann auch mit der Range Freigabe funktioniert. Hab jetzt eine einzelne Regel für den FTP-Port und den Rest davor und dahinter als Range.

Wäre schön wenn mir jetzt noch jemand mit dem VPN nach draussen mit LTE helfen könnte.

LG,

Thomas

So ein paar Stunden probieren später ...

Also der SPP ist echt kein Geschenk, man löscht eine Portfreigabe und für eine neue hinzu und speichert diese ab und nach Neustart ist alles wieder wie vor Änderung. Manchmal zeigt der Speedport garnicht die Übersichtsseite ob DSL und LTE connected sind. Manchmal zeigt er die LTE Ausnahmen nicht richtig an, dann reagiert er des öfteren nicht und man weiß nicht wieviele Minuten er braucht bis die Freigaben übernommen sind ...

Ach wie liebe ich doch AVM wo ich was einstelle und es wird sofort umgesetzt und mit Sicherheit so gespeichert wie es stand und wenn es angezeigt wird dann ist es so

So genug rumgeheult jetzt mal weiter zur Geschichte:

Ich habe erstmal die Ports in den Bereichen wie bei

https://www.lubensky.de/hybrid/portfreigaben.htm

beschrieben gesetzt leider auch ohne Änderung für den VPN.

Dann habe ich die MTU ermittelt:

DSL 1492

LTE 1448

und dann die 1448 für meine Netzwerkadapter in Windows gesetzt aber leider auch ohne Änderung.

Dann habe ich noch weiter mit OpenVPN gespielt und gemerkt OpenVPN über UDP (mit LTE) ist irgendwie garnicht möglich, Grund ist mir unbekannt

Über TCP auf Port 443 oder 1194 ist es möglich aber die Geschwindigkeit ist miserabel

DSL liefert bei mir normal 12 MB/s und mit LTE sind ca. 17 MB/s möglich ohne VPN (VDSL100 + LTE Band 20 glaube max 50 MBit)

Mit VPN über TCP egal ob Port 443 oder 1194 komme ich nur auf 8MB/s Transfer max

Da nutze ich doch lieber ohne LTE und komme dann auf Max der DSL Leitung mit 12 MB/s

Letztendlich bin ich nicht so richtig glücklich aber ich habe mich entschieden eine LTE Ausnahme für Port 1194 zu machen und dann den OpenVPN über Port 1194 UDP nur über DSL zu fahren

und für Port 443 wird keine LTE Ausnahme gemacht weil sonst auch der ganze HTTPS/SSL Datenverkehr (also fast alle Webseitenbesuche) dann auf DSL ausgebremst werden würde und der Boost garkeinen Sinn hätte.

Ich danke Euch für eure Tipps und Hinweise und wünsche Euch nen schönes Wochenende,

LG Thomas

Eine kleine Frage hab ich noch ...

Habt ihr bei der Telefonie an der Fritzbox auch Probleme, dass das Ende des Telefonats nicht richtig erkannt wird und wenn der externe Anrufer auflegt kommt nur das Piepen im Hörer (ich glaube wie bei besetzt) aber das Telefon an der Fritzbox beendet nicht den Anruf alleine ?

LG,

Thomas

@FunThomas76 

Zitat:

Dann habe ich die MTU ermittelt:

DSL 1492

LTE 1448

und dann die 1448 für meine Netzwerkadapter in Windows gesetzt aber leider auch ohne Änderung.

Zieh mal 40 Bytes davon ab.

Also ich habe 1420 als Paketgröße ermittelt die ohne Fragmentierung durchgeht

und habe dann 20 Bytes für IPv4 Header und 8 Bytes für ICMP hinzugenommen wie in sehr vielen Anleitungen beschrieben

Somit komme ich auf 1448

@viper.de  Wo kommt denn deine Zahl her ?

---

@FunThomas76  schrieb:

Eine kleine Frage hab ich noch ...

 

Habt ihr bei der Telefonie an der Fritzbox auch Probleme, dass das Ende des Telefonats nicht richtig erkannt wird und wenn der externe Anrufer auflegt kommt nur das Piepen im Hörer (ich glaube wie bei besetzt) aber das Telefon an der Fritzbox beendet nicht den Anruf alleine ?

 

LG,

Thomas

---

Ich nicht, habe die Telefonie über den S0 an die FRITZ!Box 7590 eingerichtet. FRITZ!Box denkt die hängt an einem ISDN Anschluss. Vorteil dabei ist das die Telefonie auch beim DSL Ausfall weiterhin funktioniert 

---

@FunThomas76  schrieb:

Also ich habe 1420 als Paketgröße ermittelt die ohne Fragmentierung durchgeht

und habe dann 20 Bytes für IPv4 Header und 8 Bytes für ICMP hinzugenommen wie in sehr vielen Anleitungen beschrieben

Somit komme ich auf 1448

 

@viper.de  Wo kommt denn deine Zahl her ?

---

Du musst den IP Header abziehen und nicht draufaddieren.

@viper.de  und wieso steht in allen möglichen Anleitungen das ich das dazu addieren soll ?

Wäre schön wenn Du mal erklären könntest wie Du da drauf kommst und nicht nur kurze Bruchstücke hier in den Raum wirfst die keiner nachvollziehen kann.

Die maximale Paketgrösse die durchgeht ist beispielsweise 1420 bei Dir, das schließt den IP Header mit ein und damit Dein Paket im VPN durchgeht musst Du dann 20 abziehen für die Größe der Nutzdaten. Im Tunnel ist ja wieder ein komplettes Paket eingepackt.

Hallo in die Runde,

ev. kann das ja @danXde mal aufdröseln, der kann das immer so gut erklären.

also einmal sagst Du minus 40 dann wieder minus 20,

ich glaube diese Aussagen stützen sich nur auf nicht fundiertes Halbwissen

Da traue ich doch lieber

https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on-Router

oder

https://code-bude.net/2017/02/20/mtu-auslesen-und-setzen-in-windows-linux-und-osx/

Ich könnte ja noch nen Wireshark Log machen aber das ist mir momentan nen bisschen viel Aufwand für nix

@FunThomas76   ...kommt halt immer darauf an, aus welcher Richtung  man schaut.  Gehen wir mal von der PPPoE-MTU von 1492 aus. das ist die Ausgangslage.  die fehlenden 8Byte zu 1500 werden als PPPoE-Header gebraucht.  In diesem Paket steckt dann aber ein weiteres Übertragungspaket GRE  drinen. ...das brauch als IP-Pakete mindestens weitere 24 Byte.  ...also musst Du von 1492 mindestens 24 abziehen usw.  ...somit bleibt dann an deinen Endgerät eine geringere MTU-Size übrig.

Leider hat Telekom auf den beiden Interfaces unterschiedliche MTU-Sizes,  was  ein wenig den technischen Gegebenheiten und den eingesetzten Technologien geschuldet ist.

Dadurch können die automatischen Paketsize-Ermittlungen fehlschlagen,  weil z.B. der Tunnelaufbau von VPN über DSL passiert ist (größere MTU) und dann die vielen Daten-Pakete versucht werden über LTE mit kleinerer MTU Size zu transportieren.  Wenn dann die Pakete nicht  fragmentiert werden,  werden sie verworfen...  da die Keepalive-Pakete meist sehr klein sein, gehen die durch und der Tunnel ist "up and running" - läßst sich aber nicht für Nutzdaten verwenden.

Die 1492 auf dem PPPoE-Interface gilt nur, wenn Du nicht im Hybrid-Mode arbeitest.  Denn in diesem packt der SPP/SPH ja die  Pakete in einen GRE-Tunnel um sie zum HAAP zu schicken (und bekommt die Pakte über den Tunnel).  Somit kommt noch ein GRE-Header davor, das  bedeutet, von den technisch möglichen MTU-Size 1492 musst Du den GRE-Header abziehen.   Damit hast Du dann den Size, der deinen Pakete  maximal betragen sollte.  Wenn du jetzt noch eine VPN-Technologie einsetzt, kann es sein, das diese ebenfalls noch mal einen Header vor das eigentliche Pakete (mit den verschlüsselten Nutzdaten) hängt.  Dann müsstest Du diesen Headersize ebenfalls noch mal abziehen, als  Größe für ein Paket.   Die 1440 galten meines Archivwissens bei dem SPH, beim SPP/SPP sollten es  1420 sein. Damit auf jeden Fall beide Interfaces genutzt werden können (Müsste ich noch mal nachrecherchieren, wenns geauer sein soll) .

...und anstatt eines Tools (welche die Problematik SPP/SPH nicht kennen), haben wir das auf dem Interface des SPH direkt ermittelt.  Beim SPP haben wir uns dann mit Try/Error angenähert.

Nachtrag:  Da Telekom uns in den Benutzer-Releasenotes nicht alle technischen Änderungen miteilt, kann es auch sein, das sich die max MTU Size ändert. ..ist schon vorgekommen.

Viele Grüße

danXde

Hallo zusammen,

es gibt was neues:
neue Firmware für den Speedport Pro / Speedport Pro Plus

Firmware-Änderungen Speedport Pro (Plus) /  Stand 02/2021
Firmware Version 120141.4.0.022.3

Speedport Pro 

https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport/speedport-pro/firmware-speedport-pro

Speedport Pro Plus

https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport/speedport-pro-plus/firmware-speedport...

Zuerst wie immer über manuelles Update, später dann über Easy Support 👍

Gruß

Waage1969