Portweiterleitung bei SpeedPort W724V funktioniert nicht

Hallo,

wie bekommt man denn eine Portweiterleitung beim SpeedPort W724V *funktionierend* hin?
Ich habe eine Portweiterleitung von TCP/22 auf mein Linux-Netbook eingerichtet, aber es funktioniert nicht. Der rechner ist vom internen Netz unter seiner RFC1918-Adresse per ssh ansprechbar, aber eine ssh-Verbindung "von extern" auf die (externe) IP-Adresse des Routers wird anscheinend nicht an das Linux-Netbook weitergeleitet (sieht nach timeout aus, als ob die nicht abschaltbare Firewall im Router die Verbindung blockieren wuerde). Es handelt sich um einen SpeedPort W724V Typ C mit neuester Firmware und angeschaltetem "HotSpot". Wie bekommt man das in "funktionierend" hin?
Telekom hilft Team

Guten Tag Ilse und liebes willkommen in unserer Feedback-Community,
ich habe Ihnen einen hilfreichen Beitrag zu Ihrem Anliegen rausgesucht. Dort sind allerhand Tipps zu dem Thema entstanden. Schauen Sie bitte mal rein und halten Sie uns auf dem Laufenden, ob es geklappt hat.


Liebe Grüße Lena

Das hilft leider nicht imgeringsten. Die Portweiterleitung ist im Router eingetragen (und das Netbook ist in der Liste der "Geraete im Heimnetz" auch mit der IP-Adresse 192.168.2.100 aufgelistet, und auf dem lauscht auf dieser IP-Adresse auch ein sshd auf Port 22). Die Weiterleitung ("externe IP" TCP/22 auf 192.168.2.100 TCP/22) muesste nun eigentlich gemaess Routerdokumentation dazu fuehren, dass beim Router TCP/22 "offen" ist, dem ist jedoch *nicht* so, ein namp auf die externe IP des Routers ergab:

-bash-3.2$ nmap -P0 xx.xx.xx.xx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2014-05-21 09:25 CEST
Interesting ports on xxxxxxxx.dip0.t-ipconnect.de (xx.xx.xx.xx):
Not shown: 1677 filtered ports
PORT STATE SERVICE
707/tcp closed unknown
3128/tcp closed squid-http
3141/tcp closed vmodem

Nmap finished: 1 IP address (1 host up) scanned in 168.289 seconds

(IP-Adresse und DNS-Namen unkenntlich gemacht). Und ja, der Scan erfolgte von einem Host ausserhalb meines lokalen Netzes aus. Ein nmap aus dem lokalen Netz zeigt auch den laufenden sshd auf Port 22 auf dem Netbook an:

ilse@talaxia:~$ nmap 192.168.2.100

Starting Nmap 5.00 ( http://nmap.org ) at 2014-05-21 11:48 CEST
Interesting ports on 192.168.2.100:
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
49/tcp open tacacs
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.73 seconds

Es sieht danach aus, als wuerde der Router den "weiterzuleitenden Port" trotzdem filtern.
Die firmware-Version auf dem Router ist 09011601.00.074 8also die neueste fuer diesen
Router-Typ). Ausserdem habe ich noch einen weiteren Kritikpunkt an dem Router: es ist ausgesprochen aergerlich, dass der Router nicht auf "ping" (von "extern") anwortet (das wuerde keinerlei Sicherheitsluecke darstellen, aber wuerde die remote-Ueberwachung stark erleichtern). Gibt es da eine Moeglichkeit, dieses ausgesprochen aergerliche Verhalten umzustellen?
Ach ja, ich habe das Thema (mit genauerer Beschreibung von Versionsnummern, Seriennummer des Routers, etc.) auch in diesem Thread hier angesprochen (und meinen
Unmut ueber die fehlende Funktionalitaet geaeussert):

https://feedback.telekom-hilft.de/questions/wieso-funktioniert-die-portfreigabe-beim-speedport-724v-...

Etwas wirklich hilfreiches kam aber auch da nicht ...
Ist das Netbook per Wlan verbunden? Falls ja: Da scheint es einen Bug beim SpeedPort zu geben.

Generell würde ich aber auch jedem, der ein bisschen Ahnung von der Materie hat, davon abraten, die Telekom-Router zu verwenden. Da gibt es am Markt bessere Alternativen. Ich benutze zum Beispiel einen Router von Mikrotik, bei denen muss man zwar viel Fachkenntnis haben, aber dafür können die fast alles (verschiedene VPN-Protokolle, Routing, selbst einstellbares Bridging, eigene Firewall sowohl eingehend als auch ausgehend, Proxy, Portknocking etc. pp.).

Die Speedports sind halt eher sowas wie DAU-Geräte, die viele Einstellungsmöglichkeiten gar nicht bieten und nur möglichst bunt und einfach daherkommen.
Nein, das Netbook haengt per Kabel am Router.
Telekom hilft Team
Hallo Ilse,

bevor ich jetzt noch weitere Beiträge heraussuche und diese nicht helfen, werde ich unsere Fachabteilung mit diesem Thema befragen. Sobald ich eine Antwort bekommen habe, melde ich mich gerne in diesem Beitrag wieder.

Beste Grüße Lena
Vielen Dank. Voerst habe ich mir als workaround eine Loesung mit Hilfe eines zusaetzlichen Cisco-Routers, einer IPSEC-Verbindung (ueber NAT-T) zu einem Router meines Arbeitgebers und zwei Tunneln (einer fuer IPv4 und einer fuer IPv6) ueber die IPSEC-Verbindung beholfen (damit habe ich mir meine vorher genutzten festen Adressen aus dem Netz meines Arbeitgebers zu mir geroutet, den Schutz meiner Rechner erledigte auch vorher schon eine Cisco Pix, die ich schon laenger nutze und nun auch weiter nutze).
Du stellst dir das so eine Hardware hin und dann nutzt du als Router den Speedport?
Schon irgendwie merkwürdig 😛
Ich nutze den Speedport als Router fuer den Traffic "ausserhalb der Tunnel", also im wesenetlichen nur, um darueber eine IPSEC-Verbindung in die Firma aufzubauen.
Der Router ist dann der Tunnelendpunkt (sowohl fuer den IPSEC-Tunnel als auch
fuer die innerhalb des IPSEC-Tunnels laufenden Tunnel fuer IPv4 und IPv6 ins Internet). Wenn es mir nur um IPv4 gínge, wuerde ich den Tunnel auf der Cisco PIX terminieren und auch keinen weiteren Tunnel durch den IPSEC-Tunnel legen. Aber da ich IPv4 und IPv5 haben will, muss das Konstrukt etwas komplexer sein (die letzte Firmware-Version fuer die PIX ist 8.04, und um sowohl IPv4 als auch IPv6 durch einen IPSEC-Tunnel mit dynamischem Tunnelendpunkt zu schieben, wuerde ich wohl mindestens Firmware 8,4 benoetigen, und die gibt es nur fuer die Cisco ASA, nicht aber fuer die alten PIX ... Der Grund dafuer, dass ich IPSEC als "aeusseren Tunnel" benoetige ist, dass ich fuer "ipip" oder "ipv6ip" Tunnel keinen dynamischen Endpunkt konfigurieren kann, fuer IPSEC dagegen schon...
Es ist ein wirklich ziemlich wildes Konstrukt, aber zumindest als Uebergangsloesung
durchaus tauglich.
Ich wuerde mir wuenschen, Cisco haette fuer die PIX515 auch ene 9.2.1 Firmware herausgebracht, aber das wird nicht mehr passieren, da die PIX mittlerweile aus dem Support raus ist (trotzdem ist sie aber noch besser als das meiste "Home-Equipment" dass man so bekommen kann ...
Ach ja, noch ein Nachtrag: Das Problem mit dem nicht funktionierenden DynDNS-Update bei selfhost,de hat sich erledigt, das lag tatsaechlich nur an mir (Tippfehler im Passwort).
Das Problem mit der nicht wirklich funktionierenden Portfreigabe von TCP/22 (ssh) bleibt aber nach wie vor (auch wenn ich dafuer mittels eines weiteren Routers einen Workaround gefunden habe, siehe oben).
Telekom hilft Team

Guten Morgen Ilse,
von Ihren Kenntnissen und Ihrem Wissen kann ich mir noch „eine dicke Scheibe“ abschneiden, da ich jeden Tag noch dazulerne. Fröhlich Lena hat bereits eine Anfrage bezüglich der Ports eingestellt. Daher schlage ich vor, dass wir abwarten, was diese ans Tageslicht bringt, okay?
Greetz
Stefan

Nunja, ich arbeite als Netzwerkadministrator bei einem ISP, da kommt mir manches von dem beruflichen Wissen ggfs. auch privat zu gute, aber nicht alle workarounds sind immer "schoene Loesungen", dafuer aber i.d.R. funktionierend.
Gelöschter Nutzer
Ein Zugriff aus dem LAN über den WAN Port des Speedports auf das LAN wird unterbunden ( Stichwort NAT Loopback), liegt es eventuell daran? Verbindungen zu hosts im LAN können nur aus dem Internet aufgebaut werden, Quelladressen mit RFC1918 Subnets werden nicht zugelassen.
Das ist mir bewusst, und deshalb test ich so etwas grundsaetzlich nur von einem Host ausserhalb meines eigenen Netzes. Das ist also nicht die Ursache.
Da sich das Problem mit der nicht funktionierenden Port-Weiterleitung im Speedport fuer mich mittelerweile erledigt hat (ich habe fuer mich einen Workaround gefunden, der es mir nebenbei auch noch ermoeglicht, meine bisherigen IPv4 und IPv6 Addressen (ueber meinen Arbeitgeber) zu behalten und weiterzunutzen), hat sich bei mir die Dringleichkeit bzgl. dieses Problems erledigt. Es ist mir nun relativ gleichgueltig, ob noch eine Loesung dafuer gefunden wird. Vielleicht ist es aber fuer andere User noch interessant, ob dafuer eine Loesung gefunden werden kann. Ich habe zwar fuer meinen Workaround nun ein Geraet mehr hinter meinem Anschluss laufen (eine Cisco1841), aber das halte ich nicht fuer so schlimm. Ansonsten vielen Dank an alle fuer die bisherigen Bemuehungen und Antworten.
Telekom hilft Team
Hallo zusammen,

unsere Kollegen haben geantwortet, danke für eure Geduld.

Grundsätzlich lässt sich auch beim Speedport W 724V Typ C eine Portweiterleitung für den Port 22 (TCP) einrichten. Sofern hinter diesem Port dann eine Anwendung läuft, ist dieser Port 22 auch offen. Unabhängig vom Speedport W 724V Typ C funktionierten bei einigen zum Thema Portweiterleitung das eingerichtete Portmap erst nach einem Neustart des jeweiligen Routers.

@Ilse: Freut mich zu lesen, dass Sie eine passende Lösung gefunden haben und uns daran teilhaben lassen.

Viele Grüße Lena

und wenn nach dem Neustart des Routers immer noch kein Port-Forwarding funktioniert ? Ich bin echt am verzweifeln...

Und ja - ich habe auch von außerhalb (Handy ohne WLAN) die Portabfrage gemacht...

Hallo Olaf Knueppel,
das ist wirklich ärgerlich, dass die Portweiterleitung bei Ihnen immer noch nicht funktioniert. Ich gehe davon aus, dass die Einstellungen im Routermenü, denen aus der Bedienungsanleitung des Routers entsprechen? Wenn ja, dann füllen Sie bitte einmal unser Kontaktformular aus, damit wir uns mit Ihnen in Verbindung setzen können. Ganz wichtig ist es dann, dass Sie uns eine genaue Beschreibung mitschicken, welche Ports Sie freigeben wollen. Viele Grüße Mareike

Hallo ihr Lappen!
Aufgepasst... Ich hab die Lösung... Also ich habe einen Speedport W724V
Es wurde viel diskutiert, woran es liegen könnte, dass Anwendungen, welche aus dem Internet erreicht werden sollen nicht funktionieren, wenn man den Router SpeedportW724v hat...

1.) Der Router unterstützt nicht den Mechanismus, dass man aus dem eigenen Netz heraus ins Internet geleitet wird und wieder zurück zum Router. Das bedeutet jegliche Verusche die Anwendung mittels einer Testanwendung aus dem Heimnetz der Telekom zu testen, scheitern. Man kann die Anwendung nur aus einem anderen Netz testen. Tipp: nutzt dazu euer smartphone, falls es einen anderen netzanbieter hat...

2.) Die EInstellungen, die dazu getroffen werden müssen sind:
-Portfreischaltung
-Anmeldung bei einem Anbieter für dynamisches DNS
-Neustart des Routers

Als Tipp: Man kann die Einstellungen zum Erreichen eines Dienstes welcher über DynDns angebunden wurde bei "Einstellungen"->"System-Informationen" anschauen

3.) Firewall auf dem Host (Wirtssystem) und auf dem Gastbetriebssystem so konfigurieren, dass die Ports freigelegt werden.
bei ubuntu ist das der befehl:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

damit werden alle Verbindungen auf port 22 (ssh) auf dem Gastbetriebssystem freigeschaltet...

Überprüfen , ob der Dienst ssh läuft kann man mit dem befehl:

ps -ax | grep ssh

dazu müssen noch der ssh server und der ssh client richtig konfiguriert werden und dann,
voila!
Hallo ihr Lappen!
Aufgepasst... Ich hab die Lösung... Also ich habe einen Speedport W724V
Es wurde viel diskutiert, woran es liegen könnte, dass Anwendungen, welche aus dem Internet erreicht werden sollen nicht funktionieren, wenn man den Router SpeedportW724v hat...

1.) Der Router unterstützt nicht den Mechanismus, dass man aus dem eigenen Netz heraus ins Internet geleitet wird und wieder zurück zum Router. Das bedeutet jegliche Verusche die Anwendung mittels einer Testanwendung aus dem Heimnetz der Telekom zu testen, scheitern. Man kann die Anwendung nur aus einem anderen Netz testen. Tipp: nutzt dazu euer smartphone, falls es einen anderen netzanbieter hat...

2.) Die EInstellungen, die dazu getroffen werden müssen sind:
-Portfreischaltung
-Anmeldung bei einem Anbieter für dynamisches DNS
-Neustart des Routers

Als Tipp: Man kann die Einstellungen zum Erreichen eines Dienstes welcher über DynDns angebunden wurde bei "Einstellungen"->"System-Informationen" anschauen

3.) Firewall auf dem Host (Wirtssystem) und auf dem Gastbetriebssystem so konfigurieren, dass die Ports freigelegt werden.
bei ubuntu ist das der befehl:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

damit werden alle Verbindungen auf port 22 (ssh) auf dem Gastbetriebssystem freigeschaltet...

Überprüfen , ob der Dienst ssh läuft kann man mit dem befehl:

ps -ax | grep ssh

netstat -tulpen | grep (z.B. netstat -tulpen | grep ssh)

dazu müssen noch der ssh server und der ssh client richtig konfiguriert werden und dann,
voila!

------------------------Hintergrundwissen: -------------------------------------------------------------------
-Router hat eine Firewall (Paketfilter), die alles blockt, was nicht explizit freigegeben wurde
-Das Betriebssystem hat eine Firewall, die ebenfalls alles blockt

==> Mit anderen Worten: Ihr müsst die Firewall auf eurem Rechner freigeben oder ganz ausschalten und auf dem Router den Port freigeben und dem Rechner mit der ausgeschalteten Firewall zuordnen

Speedport W 724V

 

1. Firewall des PC's der als Serveranwendung fungieren soll, konfigurieren das der zu verwendende Port angenommen und verarbeitet wird.

 

Zu Testzwecken kann man auch mal die PC Firewall ausschalten, nur um sicherzustellen das dies nicht das Hindernis ist.

 

2. Router port Umleitungen, bei einem einzigen Port: z.B.1337

einfach in alle 3 beschreibaren Texfelder 1337 eintragen, dahinter aus der Auswahlbox den PC auswählen an den die Anfrage weitergeleitet werden solll. Speichern

 

3. Router Neustarten, ein Reset über Einstellungen -> Problembehandlung -> Neu Starten ist ausreichend.

 

4. ACHTUNG, für gewöhnlich haben wir jetzt eine neue Internet IP zugewiesen bekommen. Aus einem Client heraus der im Netzwerk enthalten ist ermitteln, z.B. hier http://www.wieistmeineip.de/

 

5. Diese IP:Port in einem entfernen Client, nicht im Netz befindlichen, verwenden der die Serveranwendung verwenden soll.

 

Das Bedeutet, ein Client innerhalb des Netzes der die Internet IP des Routers verwendet, erhält keine Antwort und es scheint als würde es nicht funktionieren. Du kannst deine Severanwendung jedoch immer noch lokal testen, in dem du einfach "localhost " anstatt "<internetIp>" verwendest, jedoch testet du damit natürlich nicht den Zugriff von außen.

 

Bei mir gings auch nicht, und ich dachte auch drecks Speedport, aber letzendlich funktionierte es.