Solved
Webserver hinter 5G Business Mobile Backup Modul
10 months ago
Hallo zusammen,
ich bin seit kurzem glücklicher Nutzer des neuen Tarifs Business DSL Start 250 mit einer DigiBox Smart 2 und mit dem 5G Business Mobile Backup Modul (ZyXEL-Gerät).
In der DigiBox läuft ein DynDNS, der die öffentlichen IPv4 und IPv6 weiter meldet. Außerdem eine Portfreigabe, so dass ich an den Webserver hinter der DigiBox komme. So lange ich über VDSL verbunden bin, läuft das alles prima.
Trenne ich VDSL, so dass über die ZyXEL-Box die Backup-Verbindung aufgebaut wird, stimmen natürlich die öffentlichen IPs der DigiBox nicht mehr. Die DigiBox „sieht“ aber die über Mobilfunk zugeteilten IPs nicht, weil sie von der ZyXEL-Box eine interne IP nach dem Muster 192.168.1.XXX zugeteilt bekommt und kann daher auch nix sinnvolles an den DynDNS weitergeben.
Frage an die Technik: gibt es eine Möglichkeit den Webserver auch über die Backup-Verbindung erreichbar zu machen?
1028
32
This could help you too
1 year ago
275
0
2
420
0
1
122864
470
58
8 months ago
419
0
5
10 months ago
Hallo zusammen,
Die Kurzversion: Es funktioniert wie von mir beschrieben.
Der von mir verwendete Tarif ist: (Business DSL Tarife mit Ausfallschutz) Business DSL Pro 250, mit Business Mobile Backup Pro 5G .
Das 5G Modul ist ein Zyxel NR7302 das sich als Modem schalten läßt, in der Dokumentation heißt das "Cellular IP Passthrough" - da wird NAT abgeschatet.
Es liegt dann wie gewünscht die öffentliche IP direkt am Router an. Ich habe testweise aus dem Internet eine VPN Verbindung auf den Router via 5G Modul getestet - hat funktioniert.
Also @RJPMS - Dein Vorhaben sollte auf diesem Weg umsetzbar sein.
@Kugic- Deine Vermutung daß das Produkt nicht für eingehende Verbindungen gemacht sei sehe ich hiermit als widerlegt.
Ich wünsche viel Spaß und Erfolg bei der Umsetzung.
PS: Das Umschalten des Zyxel 5G Moduls in den Modembetrieb ist nicht Teil der Standardinstallationsvariante - der Techniker vor Ort hatte das nicht auf dem Schirm, hat das aber nach Rückfrage bei der internen Technikhotline wie gewünscht umgestellt.
Grüße
Stephan
1
Answer
from
10 months ago
Hallo @Stephan-STR,
vielen Dank für die Klärung des Anliegens von @RJPMS und das Einstellen der Lösung.
@RJPMS Es tut mir leid, aber die Benachrichtigung über dein Anliegen ist erst mit der Antwort von Stephan-STR bei mir herausgekommen. Ich freue mich darüber, dass du einen Tipp in Richtung Lösung deiner Angelegenheit erhalten hast.
Viele Grüße
Kerstin
Unlogged in user
Answer
from
9 months ago
Hallo @RJPMS,
es ist nun schon ein Weilchen her daß der Lösungsweg aufgezeigt wurde.
Konntest Du das umsetzten oder gibt es dazu noch Fragen ?
Ansonsten kann die Anfrage als von mir gelöst betrachtet werden ?
Grüße
Stephan
0
9 months ago
Hallo zusammen,
und danke @Stephan-STR für den Lösungsvorschlag und das Ausprobieren.
Mit ist noch nicht ganz klar, welche Einstellungen in der DigiBox und im Zyxel geändert werden müssen. Kann das bitte jemand hier reinschreiben? Oder gehört das nicht hierher und ich muss dafür extra einen Techniker-Termin machen?
Wenn ich weiß, was ich tun muss gehe ich das gern an und gebe hier Feedback. Nur dieses Wochenende komme ich nicht dazu.
Freundliche Grüße
rjpms
2
Answer
from
9 months ago
Kann das bitte jemand hier reinschreiben? Oder gehört das nicht hierher und ich muss dafür extra einen Techniker-Termin machen?
Bei den Tarifen mit Ausfallschutz wird das Backup Modul vom Service installiert.
Answer
from
9 months ago
Hallo @Jumpignon ,
die Anmerkung deckt sich mit meiner Erfahrung.
Das Umstellen von Router- auf Modembetrieb könnte vermutlich von der Telekom auch remote erfolgen.
Unlogged in user
Answer
from
9 months ago
Hallo @RJPMS ,
es muß nur das Gerät von Zyxel von Router- auf Modem-Betrieb umgestellt werden - BridgeMode. Siehe Hier bitte nochmals meinen Beitrag vom
11.07.2024 07:42
0
8 months ago
Das kann so nicht funktionieren.
DynDNS als Alternative zu einer statischen IP funktioniert zwar bei Landline-Verbindungen (via DSL, Fibre, DOCSIS etc.), da dort dem Endgerät tatsächlich eine IPv4/IPv6-Adresse zugewiesen wird, die dann exklusiv von dem Endgerät genutzt wird. Damit lassen sich dann mit entsprechenden NAT-Einstellungen etc. interne Systeme von außen erreichbar machen.
Bei einer Verbindung über 4G / 5G etc. ist das so nicht möglich, da es kein echtes "End-to-End"-NAT gibt. Mobilfunk arbeitet so, dass an der Funkzelle dem Endgerät eine interne (meist im 10er-Bereich verortete) IP-Adresse zugewiesen wird (also ähnlich einem internen WLAN, nur mit höherer Reichweite und andere Übertragungsprotokollen). Damit findet quasi nur eine Mitnutzung einer IP-Adresse (eben der der Funkzelle) durch das Endgerät (Handy oder Mobilfunkrouter) statt während die eigentliche Device-IP im Internet nicht geroutet wird. Die Funkzelle ist damit quasi der Router, der dann das NAT ausführt. Und da dort keine Exposed-Hosts gesetzt werden bzw. Port-Forewarding nicht stattfindet ist das Thema durch. By thy way tritt dieses Problem für IPv4-Adressen auch bei DSLite-DSLern auf, also wenn nur noch eine IPv6-Adresse zugewiesen und der IPv4-Stack dann mittels Port-Forewarding an einem externen Router aufgebrochen wird.
Ergo: Es ist unmöglich, ohne weitere Mittel (Public-IP via VPN -Tunnel aus einem öffentlichen Rechenzentrum o.ä.) hinter einem Mobilfunk-Backup einen von außen erreichbaren Webserver zu betreiben. Somit fällt das dann bei einem Failover-Betrieb weg. Wer auf den permanenten Betrieb eines Web- oder Mailservers mit öffentlicher Erreichbarkeit angewiesen ist muss hier schon etwas mehr technischen Aufwand betreiben ODER diesen eben (was die professionellere Lösung wäre) in ein öffentliches Rechenzentrum auslagern. Damit würde dann auch der DynDNS-Frickel-Murks (sorry) wegfallen und auch anders gelagerte Probleme (SPAM-Filter reagieren auf derartige Dinge sehr empfindlich und verwerfen meistens alle eMails von so angebundenen Servern wegen abweichender PTR-Records der senden IP und dergleichen mehr).
1
Answer
from
8 months ago
Hallo @G3Networx
Es ist richtig daß man bei Standard Mobilfunkverbindungen eine Adresse aus den privaten IP-Bereichen zugeordnet bekommt, ABER:
Bei der Backupverbindung wie sie der Themenstarter verwendet wird eine öffentliche IP zugewiesen. Dies habe ich weiter oben bestätigt, da auch ich ein solches Backupmodul habe - siehe bitte auch den Hinweis von @Gelöschter Nutzer . Ferner hatte ich weiter oben darauf hingewiesen daß es bei O2 ebenso die Möglichkeit gibt eine öffentliche IPv4 zu bekommen - gegen eine Einmalzahlung von 49,99€ - auch dies ist von mit getestet.
Ebenso erfolgreich getestet ist in beiden Szenarien der Aufbau eines VPN Tunnels von außen über eine solche Verbindung - siehe oben von mir.
Was der Themenstarter aus meiner Sicht nicht kommuniziert hat ist, welche Art von WEB Server er betreibt, also ob das eine Internetpräsenz darstellen soll, oder er z.B. irgendwelche Stati von internen Geräten via Webinterface im Zugriff haben möchte - für diesen Fall kann ein DYNDNS Ansatz durchaus die Anforderungen befriedigen.
Final hat der Themenstarter lediglich gefragt ob es technisch realisierbar ist eine öffentliche IP via Mobilfunkverbindung am Firewallrouter anliegen zu haben damit er auf einen dahinterliegenden Webserver zugreifen kann. Die Antwort ist eindeutig "Ja" - ergo ist seine Frage vollständig beantwortet.
Unlogged in user
Answer
from
8 months ago
Ergo: Es ist unmöglich, ohne weitere Mittel (Public-IP via VPN -Tunnel aus einem öffentlichen Rechenzentrum o.ä.) hinter einem Mobilfunk-Backup einen von außen erreichbaren Webserver zu betreiben.
Das stimmt zumindest bei der Telekom nicht. Wenn man den passenden APN einträgt, erhält der Router eine öffentliche IPv4-Adresse, die auch von außen erreichbar ist. Das habe ich vor wenigen Wochen erst via LTE getestet. Den passenden APN habe ich im Moment leider nicht zur Hand.
0
8 months ago
Hallo zusammen,
nochmal vielen Dank an @Stephan-STR für die detaillierte Antwort vom 11.07. Leider kam ich erst jetzt dazu, das alles mal gründlich durchzutesten. Folgendes Ergebnis:
Ich konnte den Zyxel in den IP-Passthrough-Modus versetzen und habe dann die externe IP des Zyxel tatsächlich als IP in der DigiBox 2 anliegen gehabt. Zugeteilt wurde mir eine IP nach dem Schema:
2.164.XXX.XXX
Über diese IP war es aber NICHT möglich eine OpenVPN-Verbindung von Extern zum VPN -Server (Port 1194) oder Webserver (Port 443) aufzubauen. Meines Wissens nach ist das aber keine private Adresse, sondern eine übers Internet routing fähige. Oder irre ich hier?
Zusätzlich hatte ich das Problem, dass im IP-Passthrough-Modus die Telefonie im Backupfall NICHT funktioniert hat. Das ist natürlich ein No-Go für mich.
Richtig vermutet hattest du schon, dass ich keinen großen Webauftritt, sondern lediglich Zugriff auf einen VPN -Server bzw. NAS-Webinterface nach außen freigebe (natürlich hinter einer Web Application Firewall). In sofern genügt mir DynDNS.
Was diesbezüglich leider ebenfalls nicht geht, ist, dass die DigiBox im Backup-Fall die öffentliche IP des Zyxel ans DynDNS überträgt.
Für mich ist das Experiment daher dann an dieser Stelle beendet mit dem Ergebnis, dass ich mein Vorhaben leider nicht umsetzen konnte wie geplant.
Abschließend nur eines noch:
Was genau muss ich wo in der DigiBox eintragen, wenn die IP des Zyxel die 192.168.0.1 ist, um das Webinterface des Zyxel auch aus dem LAN der DigiBox zu erreichen?
Danke vorab und schönes WE allen
rjpms
3
Answer
from
8 months ago
Das konnte ich doch realisieren, indem ein zusätzliches DynDNS Profil in der DigiBox 2 angelegt wird. Ganz unten muss dann als überwachte Schnittstelle die Backup-Verbindung "DHCP -> WANoE" ausgewählt werden.
Da aber wie gesagt die Telefonie nicht geht und auch keine Verbindung von Extern zum VPN bzw. Webserver durchgeht, ist das mehr theoretisches als praktisches Wissen...
Answer
from
8 months ago
Hallo @RJPMS
dass das mit der Telefonie im Modembetrieb nicht funktioniert ist nicht gut.
Dann versuche doch den Ansatz daß Du für DSL- und 5G -Anschluß je einen separaten DynDNS Account hast.
Den DynDNS Account vom 5G Modul trägst Du direkt im 5G Modul ein (Network Setting > DNS > Dynamic DNS).
Dann richtest Du passende Portweiterleitungen im Zyxel ein die auf die Digibox zeigen, dort richtest Du wiederum die passenden Portweiterleitungen ein. Das unschöne an diesem Ansatz ist, dass du DoppelNAT hast, was gelegentlich zu Problemen führen kann.
Zugriff vom internen Netzwerk auf das Zyxel:
Beispiel: Dein Zyxel hat die IP 192.168.0.1, Dein internes Netzwerk hinter der Digibox hat 192.168.5.x/24.
In der Digibox richtest Du in der Routingtabelle einen Eintrag ein der bewirkt, daß aller Verkehr für die IP 192.168.0.1 über den "WAN"-Anschluß geht an dem das Zyxel hängt. Die meisten Firewalls haben eine Voreinstellung die verhindert daß der Verkehr an Private IP Adressen (192.168.0.0/16 , 172.16.0.0/12 , 10.0.0.0/8) ins Internet weitergeleitet wird, d.h. da muss noch eine Regel erstellt werden die den Verkehr nach 192.168.0.1 durchläßt.
Jetzt solltest Du von Deinem 192.168.5.x Netzwerk auf das Interface Deines Zyxels kommen.
Da ich keine Digibox habe konnte ich Dir nur den ungefähren Weg skizzieren.
Viel Erfolg
Answer
from
8 months ago
Danke @Stephan-STR ,
ich habe das mit dem zweiten Dyn-DNS Account probiert, aber aus irgend einem Grund möchte der Zyxel meine Anmeldedaten von DynDNS-Anbieter dynv6.com nicht fressen - alles probiert.
Außerdem kann ich im Zyxel kein Portforwarding auf die Digibox machen, weil die per DHCP eine dynamische IP von Zyxel erhält. Wenn ich versuche in der Zyxel eine feste IP an die Digibox zu bringen per StaticDHCP, dann verlangt er natürlich die MAC-Adresse vom 2. WAN-Interface der Digibox. Dumm nur, dass man nirgends in der Digibox an die MAC-Adressen der Interfaces ran kommt.
Verknappe ich künstlich den DHCP-Bereich in der Zyxel, so dass sie nur eine Adresse per DHCP raus geben darf, dann bekommt die Digibox zwar genau diese IP, aber dann funktioniert der Internetzugang nicht mehr und die Digibox bekommt auch keine DNS-Server vom Zyxel zugewiesen.
Ich weiß nicht, an wie vielen Stellen da was im Hintergrund zwischen Digibox und Zyxel abläuft oder einfach noch buggy programmiert ist, dass ich in den beiden Userintface nicht sehe oder einstellen kann, aber für mich ist jetzt der Punkt gekommen entnervt das Handtuch zu werfen - es ist wirklich schlimm, was da alles undokumentiert passiert bzw. einander unvorhergesehen beeinflusst.
Ich danke allen, vor allem @Stephan-STR, für die wirklich konstruktiven Beiträge, aber ich schließe das Thema jetzt hier - mit offenem Ende und der Erkenntnis, dass ich weder Web- noch VPN -Server so von außen über die Backupschnittstelle erreiche.
Wenn jemand von der Telekom-Technik hier mitliest und mal an einem lauen Herbstnachmittag Ideen sucht...
Freundliche Grüße
rjpms
Unlogged in user
Answer
from
8 months ago
Ich habe von einem Telekommitarbeiter erfahren, dass die Telefonie im Backupfall generell noch NICHT funktioniert. Dieses Feature soll erst implementiert werden in nächster Zeit. Es ist im Backupfall zur Zeit immer nur Internet möglich.
1
Answer
from
8 months ago
Das kann ich so nicht bestätigen. Nachdem ich den IP-Passthrough-Modus wieder deaktiviert habe, konnte ich reproduzierbar im Backup-Fall über Festnetz telefonieren. Dauert nach abziehen der DSL-Leitung zwar 2-3 Min. aber ging/geht bei mir immer.
Freundliche Grüße
rjpms
Unlogged in user
Answer
from
8 months ago
Hallo @RJPMS
vielen Dank für das Lob, aber aus meiner Sicht sind wir vermutlich noch nicht am Ende. Daher hoffe ich, dass das geworfene Handtuch nicht allzuweit entfernt liegt.
Wenn die WAN-MAC Adresse in der Digibox nicht sichtbar ist, dann schau mal auf dem Zyxel unter "System Monitor / ARP Table" - die Digibox sollte dafür eingeschaltet am Zyxel hängen. Mit der Kenntnis der IP der DIGIBOX BACKUP WAN Schnittstelle kannst Du dann in der Tabelle die zugeörige MAC Adresse finden.
Falls Du nicht von innerhalb der Digibox auf das Zyxel kommst, kannst Du entweder das WLAN des Zyxels benutzen, oder Du hängst zwischen Digibox und ZYXEL einen Switch, dann hast Du auch direkt per LAN einen Zugriff.
Das Thema DYNDNS: Versuche es mal mit einem relativ kurzen (z.B.8) Passwort nur mit Ziffern und Buchstaben ohne Umlaute und Sonderrzeichen
Ferner hatte ich beim Thema eMailbenachrichtigung die Situation daß die Adresse komplett nicht mehr als 33 Zeichen beinhalten durfte, vielleicht gibt es bei DYNDNS Namen / Passwörter... auch eine Begrenzung. Wenn ich mich recht erinnere kam da auch keine hilfreiche Fehlermeldung ....
Ich wünsche gutes Gelingen ...
Grüße aus STR
Stephan
1
Answer
from
7 months ago
Besten Dank @Stephan-STR , das alles ist mir aber zu viel Gefrickel und ich hab weder Zeit noch Muße das auf Teufel komm raus alles durchzuprobieren.
Ich habe mittlerweile eine gänzlich andere Herangehensweise an mein ursprüngliches Problem gefunden, bei der ich weder NAT oder Portfreigaben oder öffentliche IP brauche: Cloudflare Tunnel.
Das werde ich demnächst umsetzen und dann kann Digibox und Zyxel machen, was sie wollen und können, einfach einen Internetzugang bieten. Den Rest macht Cloudflare.
Freundliche Grüße
rjpms
Unlogged in user
Answer
from
Accepted Solution
accepted by
7 months ago
Besten Dank @Stephan-STR , das alles ist mir aber zu viel Gefrickel und ich hab weder Zeit noch Muße das auf Teufel komm raus alles durchzuprobieren.
Ich habe mittlerweile eine gänzlich andere Herangehensweise an mein ursprüngliches Problem gefunden, bei der ich weder NAT oder Portfreigaben oder öffentliche IP brauche: Cloudflare Tunnel.
Das werde ich demnächst umsetzen und dann kann Digibox und Zyxel machen, was sie wollen und können, einfach einen Internetzugang bieten. Den Rest macht Cloudflare.
Freundliche Grüße
rjpms
0
Unlogged in user
Ask
from