Willkommen in der Business Community

micha606 · ‎22.06.2020

Liebes Telekom-Team,

an normalen VDSL-Anschlüssen funktioniert das nachfolgende Szenario mit einer Fritzbox, mit Speedport-Routern jedoch nicht. Bei einem Endkunden mit einem Speedport-LTE-Router kommt es nun ebenfalls zu Problemen.

Gegeben ist eine LUPUS-Alarmanlage (XT1-Plus) sowie ein Speedport-LTE-Router mit funktionierendem DynDNS (selfhost.eu) sowie zwei iPhones mit installierter LUPUS-App zur Alarmanlagen-Steuerung. Die iPhone-App ist eingerichtet mit dem Zugriff auf den bei selhost.eu eingerichteten DynDNS-Eintrag und die Portweiterleitung ist ebenfalls eingerichtet.

Befindet sich der Kunde nun mit seinem iPhone im LTE-Netz, funktioniert der Zugriff von extern reibungslos.

Befindet sich der Kunde jedoch im WLAN seines Speedport-LTE-Routers, dann funktioniert der Zugriff NICHT.

Ich weiß: es wird der WAN-Port des Speedports von "intern" angesprochen.

Eine Fritzbox leitet in so einem Fall das Datenpaket zurück ins Heimnetz und die App erhält Zugriff auf die Alarmanlage.

Im Fall des Speedport-LTE-Routers funktioniert das jedoch NICHT.

Meine Beobachtungen an Speedport-Routern (DSL/VDSL) in den vergangenen Jahren brachten immer ähnliche Ergebnisse zutage, weshalb die Kunden am Ende auf Fritzboxen umgestiegen sind.

Im Falle des Magenta-Zuhause-LTE-Vertrags "soll" eine Fritzbox (6820, 6890) jedoch zu Problemen bei der Telefonie führen. Sagte mir ein befreundeter Inhaber eines Telekom-Shops. Bei einem Magenta-Zuhause-LTE-Vertrag "soll" die Telefonie strikt an den Speedport-Router gebunden (abhängig) sein. Während mit einer Fritzbox dann der WLAN-Zugriff auf die Dyndns-Adresse möglich wäre, könnte der Kunde nicht mehr telefonieren. (Stimmt das????)

Was ist also in dem Speedport-LTE-Router einzustellen, damit auch aus dem heimischen WLAN heraus ein Zugriff auf die interne Alarmanlage möglich wird, wenn der Zugriff über die externe IP-Adresse bzw. den externen Port des Speedport-LTE-Routers geschehen soll?

Ich danke Euch im Voraus für Eure Antworten!

Viele Grüße,

M. Radke

micha606 · ‎17.08.2020

Ich hatte heute zwei Router zum Test:

1.: Telekom Speedbox (LTE)

2.: AVM Fritzbox 6820

Ergebnisse:

Um eine öffentliche IPv4-Adresse zu erhalten, muss der APN geändert werden.

1.: Portweiterleitungen funktionieren bei beiden Routern einwandfrei

2.: Der Zugriff per LTE auf ein internes Device (hier: Alarmanlage per IPv4) funktioniert gut

3.: Der Zugriff per WLAN auf diese Alarmanlage funktioniert nicht immer.

Zu 3):

Problemlos mit einer AVM Fritzbox 6820. Hier ist es egal, ob ich mich mit meinem Smartphone im LTE-Netz befinde oder im heimischen WLAN. Die Fritzbox wird den Zugriff auf die WWAN-IP per Portweiterleitung immer ins interne Netz zurückschicken.

Telekom Speedbox: heija.......

Von extern, per LTE: problemlos. Sobald ich allerdings zu Hause ankomme und sich mein Smartphone in mein Speedbox-WLAN einbucht, habe ich keinen Zugriff mehr auf meine Alarmanlage.

Ich stehe also vor der Haustür und kann die Alarmanlage nicht unscharf schalten, keinen Zustand einsehen, keine Smarthome-Funktionen nutzen.

Lösung:

Für den lokalen Zugriff auf die Alarmanlage MUSS ich in der App ein zweites Profil für ein-und-dieselbe Alarmanlage einrichten, mit Zugriff auf die lokale IP-Adresse. Dabei muss ich als Nutzer immer aufpassen, welches Profil meine Smartphone-App gerade benutzt. "Komfortabel" - ist anders.

Mit einer AVM Fritzbox 6820 gibt es dieses Problem NICHT.

Die Telekom, bzw. dieses Forum, verkauft dieses Problem dem Kunden als "DNS Rebind Schutz".

Das kann ich nicht nachvollziehen.

Denn: in der AVM Fritzbox gibt es Einstellungen zum DNS Rebind Schutz (ein großes Eingabefeld zur Eingabe von Hostnamen, die "ok" sind). Es ist egal, ob ich bei der Fritzbox hier etwas eintrage (lokale IP-Adressen, externe IPs, Hostnamen etc.) - oder ob ich das Eingabefeld leer lasse. Ich habe mit einer Fritzbox IMMER Zugriff auf die Alarmanlage.

Die Erfahrungen, die ich heute in meinen Tests sammeln konnte, bestätigen meine bisherigen Erfahrungen mit Telekom-Routern: der Zugriff auf die externe WAN-Adresse des Routers, auf einen bestimmten Port der weitergeleitet wird ins interne Netz, funktionierte bisher durchgängig NICHT mit Telekom-Routern.

Ich habe das Problem (den Paketverlauf) einmal in Powerpoint skizziert und füge an diesen Post eine PDF-Datei an, um zu verdeutlichen was ich eigentlich meine.

Ich glaube, die Telekom-Router haben hier ein echtes Problem...

Viele Grüße,

Michael

Lösung in ursprünglichem Beitrag anzeigen

micha606 · ‎24.06.2020

Was soll das denn? --> "Beitrag als Lösung akzeptiert".

Das Problem ist mitnichten gelöst.

Ein "Geht nicht!" ist KEINE Lösung.

Die Lösung lautet: Fritzbox anschaffen, Speedport kündigen.

Und dann vielleicht diesen Thread löschen, um die "Lösungs-Quote" des Telekom-hilft-Mitarbeiters zu korrigieren...

Lösung in ursprünglichem Beitrag anzeigen

muc80337_2 · ‎22.06.2020

Ja, das ist ein schon lange bekanntes "Sicherheitsfeature" der Speedports. Ist absichtlich so implementiert, nicht nur versehentlich oder fehlerhafterweise.

muc80337_2 · ‎22.06.2020

Aus dem internen Netz muss auf die interne IP-Adresse zugegriffen werden.
Ist halt ein wenig doof, wenn das von innen anders ist als von außen/wenn man unterwegs ist.

micha606 · ‎22.06.2020

Das ist dann aber ein unbefriedigendes "Sicherheitsfeature" - gewollte Zugriffe zu unterbinden...

muc80337_2 · ‎22.06.2020

Vielleicht funktioniert dieser Trick

https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Implementierung-von-Hairpin-NAT-aka-NAT-Loopback...

lejupp · ‎22.06.2020

@micha606 schrieb:
[...]
Im Falle des Magenta-Zuhause-LTE-Vertrags "soll" eine Fritzbox (6820, 6890) jedoch zu Problemen bei der Telefonie führen.
[...]

Wie das denn? Bei MagentaZuhause via Funk kommt die Telefonie als analoger Telefonanschluss über die Festnetzleitung. Auf welche Weise soll der LTE-Router darauf Einfluss nehmen?

Kugic · ‎22.06.2020

Geht halt um den DNS Rebind Schutz - dieser hat schon seine Berechtgung.
Bei einer FritzBox kann man bestimmte Domainen halt freigeben.

muc80337_2 · ‎22.06.2020

@lejupp schrieb:
Bei MagentaZuhause via Funk kommt die Telefonie als analoger Telefonanschluss über die Festnetzleitung. Auf welche Weise soll der LTE-Router darauf Einfluss nehmen?

Randbemerkung: Bei einem MagentaZuhause via Funk ist man nicht zwingend nur auf den analogen Telefonanschluss angewiesen - es gibt ja auch noch z.B. sipgate etc. (ob es darum aber ging weiß ich nicht)

micha606 · ‎22.06.2020

Hey muc80337_2,

das ist ein vielversprechender Ansatz, Danke! Ich hoffe dann aber, dass es kein DNS-Caching-Problem mit den Smartphones gibt... ich werd's sehen... Danke!

lejupp · ‎22.06.2020

@muc80337_2 schrieb:
@lejupp schrieb:
Bei MagentaZuhause via Funk kommt die Telefonie als analoger Telefonanschluss über die Festnetzleitung. Auf welche Weise soll der LTE-Router darauf Einfluss nehmen?
Randbemerkung: Bei einem MagentaZuhause via Funk ist man nicht zwingend nur auf den analogen Telefonanschluss angewiesen - es gibt ja auch noch z.B. sipgate etc. (ob es darum aber ging weiß ich nicht)

Sipgatge läuft aber mit einer Fritz!Box mindestens genauso gut wie mit einem Speedport.

micha606 · ‎24.06.2020

Leider hat dieser Trick nicht funktioniert. Im Router "Speedport-LTE II" kann man den einzelnen Hosts leider keine Namen zuordnen.

Ich habe mich durch alle Menüs und Optionen geklickt (so viele sind das ja nicht...) - NO CHANCE.

Dem Kunden muss ich daher leider zur Fritzbox raten... die Dinger haben bislang immer funktioniert (mal sehen, ob es die LTE-Variante auch tut..).

micha606 · ‎24.06.2020

Was soll das denn? --> "Beitrag als Lösung akzeptiert".

Das Problem ist mitnichten gelöst.

Ein "Geht nicht!" ist KEINE Lösung.

Die Lösung lautet: Fritzbox anschaffen, Speedport kündigen.

Und dann vielleicht diesen Thread löschen, um die "Lösungs-Quote" des Telekom-hilft-Mitarbeiters zu korrigieren...

Kalle2014 · ‎24.06.2020

Der eigentliche Fehler ist die App, denn der Hersteller müsste normalerweise berücksichtigen, das man sich auch per WLAN verbinden kann und dafür dann die interne IP-Adresse benutzen muss.

Ergänzend möchte ich noch darauf aufmerksam machen, das weder der Speedport noch eine Fritzbox zu den Geschäftskundengeräten gehört.

micha606 · ‎17.08.2020

Lieber Karlheinz,

die Idee, dass die App zwei Hostnamen/IP-Adress-Felder besitzen *könnte*, ist ja nicht schlecht. Die App könnte tatsächlich gucken, ob sie sich im WLAN befindet. Aber: dann müsste sie auch wissen, ob sie sich im "richtigen" WLAN befindet.

Ich kenne keine App, die so etwas anbietet. Also müssen alle Apps fehlerhaft sein.

Im Fall einer Alarmanlagen-App kann das Szenario unangenehm sein. Da dürfte das Smartphone sich ja grundsätzlich nie im heimischen WLAN befinden, wenn man per IP von einem Einbruch informiert werden möchte, da ja nur der LTE-Zugriff reibungslos funktioniert.

Viele Grüße,

Michael

micha606 · ‎17.08.2020

Ich hatte heute zwei Router zum Test:

1.: Telekom Speedbox (LTE)

2.: AVM Fritzbox 6820

Ergebnisse:

Um eine öffentliche IPv4-Adresse zu erhalten, muss der APN geändert werden.

1.: Portweiterleitungen funktionieren bei beiden Routern einwandfrei

2.: Der Zugriff per LTE auf ein internes Device (hier: Alarmanlage per IPv4) funktioniert gut

3.: Der Zugriff per WLAN auf diese Alarmanlage funktioniert nicht immer.

Zu 3):

Problemlos mit einer AVM Fritzbox 6820. Hier ist es egal, ob ich mich mit meinem Smartphone im LTE-Netz befinde oder im heimischen WLAN. Die Fritzbox wird den Zugriff auf die WWAN-IP per Portweiterleitung immer ins interne Netz zurückschicken.

Telekom Speedbox: heija.......

Von extern, per LTE: problemlos. Sobald ich allerdings zu Hause ankomme und sich mein Smartphone in mein Speedbox-WLAN einbucht, habe ich keinen Zugriff mehr auf meine Alarmanlage.

Ich stehe also vor der Haustür und kann die Alarmanlage nicht unscharf schalten, keinen Zustand einsehen, keine Smarthome-Funktionen nutzen.

Lösung:

Für den lokalen Zugriff auf die Alarmanlage MUSS ich in der App ein zweites Profil für ein-und-dieselbe Alarmanlage einrichten, mit Zugriff auf die lokale IP-Adresse. Dabei muss ich als Nutzer immer aufpassen, welches Profil meine Smartphone-App gerade benutzt. "Komfortabel" - ist anders.

Mit einer AVM Fritzbox 6820 gibt es dieses Problem NICHT.

Die Telekom, bzw. dieses Forum, verkauft dieses Problem dem Kunden als "DNS Rebind Schutz".

Das kann ich nicht nachvollziehen.

Denn: in der AVM Fritzbox gibt es Einstellungen zum DNS Rebind Schutz (ein großes Eingabefeld zur Eingabe von Hostnamen, die "ok" sind). Es ist egal, ob ich bei der Fritzbox hier etwas eintrage (lokale IP-Adressen, externe IPs, Hostnamen etc.) - oder ob ich das Eingabefeld leer lasse. Ich habe mit einer Fritzbox IMMER Zugriff auf die Alarmanlage.

Die Erfahrungen, die ich heute in meinen Tests sammeln konnte, bestätigen meine bisherigen Erfahrungen mit Telekom-Routern: der Zugriff auf die externe WAN-Adresse des Routers, auf einen bestimmten Port der weitergeleitet wird ins interne Netz, funktionierte bisher durchgängig NICHT mit Telekom-Routern.

Ich habe das Problem (den Paketverlauf) einmal in Powerpoint skizziert und füge an diesen Post eine PDF-Datei an, um zu verdeutlichen was ich eigentlich meine.

Ich glaube, die Telekom-Router haben hier ein echtes Problem...

Viele Grüße,

Michael

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Zugriff auf Alarmanlage von intern UND extern mit Speedport LTE funktioniert nicht!