Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

Portforwarding mit einem Zyxel Gerät

Portforwarding - Portweiterleitung - ist ein Thema, dass viele Internetnutzer betrifft. Zumindest solange es IP V4 und die NAT gibt. Der Datenverkehr von eigenen Netzwerk zum Internet wird über Protokolle abgewickelt. Jedes Protokoll benötigt für den Datenaustausch die Information über welchen der 65635 Ports  kommuniziert wird.   Nachfolgend ein kleines Beispiel aus der Praxis. Auf einem Windows PC ist das Programm Calibre  installiert. Damit können elektronische Dokumente wie E-Books verwaltet werden. Calibre hat einen "Nachrichtenserver" integriert. Dieser Nachrichtenserver ermöglicht den Zugriff auf die E-Books über das Internet. U.a. bestimmt man mit dem aktivieren des Nachrichtenservers auf welchem Port er "hören" soll. D.h. der Nachrichtenserver reagiert nur auf Anfragen, die über diesen Port kommen. Nach dem starten des Nachrichtenservers kann man klassisch über "netstart /a" überprüfen, ob der Port abgehört wird Interessante Frage, welche einem zeigt wie weit man das Konzept von NAT und Port verstanden hat: Warum sieht man den offen Port nur auf diesem Computer? Auf einem anderen Computer im Netzwerk sieht das Resultat der Abfrage so aus Jetzt ist der abschliessende Schritt, die Verbindung von NAT zum Computer auf der der Service läuft. Der Router den man vom ISP erhält hat weniger Optionen als der Durchschnitt der Geräte. Das hat den Vorzug, dass er einfach einzurichten ist. Hier die Einstellung im aktuellen Router der Swisscom: "Internet-Box 2". In diesem Beispiel werden die eingehenden IP Pakete am TCP Port 9000 an den Computer mit dem Namen "raspberrypi" weitergeleitet.    Nachfolgend das Beispiel mit einem Zyxel Gerät. Das Betriebssystem dieses Gerätes entspricht in seiner Komplexität den typischen Modellen am Markt. In der Regel findet man die Einstellung unter NAT. Dort fügt man eine neue Regel hinzu. Die Einstellungen sind selbsterklärend. Auch die WAN IP ist nicht erforderlich, da man i.d.R. nicht über mehr als eine Verbindung zum Internet hat. Der Test mit dem Zugriff auf diese WAN IP gelangt nicht mit einem Gerät aus dem LAN. Selbst die deaktivierte (SPI-) Firewall und das neustarten des Routers änderte nichts daran. D.h. man sollte den Zugriff extern (Remote) prüfen.   Im nächsten Versuch verwende ich anstatt des Routers eine reine Firewall von Zyxel. In diesem Beispiel eine USG 100. Im Vergleich mit anderen Produkten am Markt hat sie geringere Einstiegshürden. Ideal für zu Hause oder einen kleinen Betrieb. Nach Installation der Firewall ist sie betriebsbereit. Die Prüfung über den Heise Netzwerk Check zeigt, dass nur Port 443 (TLS) offen ist. Die Menustruktur ist vergleichbar mit dem Router des letzten Beispieles. Daher die ähnliche Menustruktur. Hier ist eine Anleitung wie man es einrichtet.    In der verlinkten Anleitung ist die Logfunktion nicht aktiviert. Für ein späteres Troubleshooting sollte man das besser aktivieren. Die Anleitung ist so aufgebaut das zuerst drei Objekte erstellt werden: WAN IP-Adresse ("WAN1_IP") RDP Server        ("RDP_Server") RDP Dienst        ("RDP_Service") Diese findet man anschliessend auch im Menupunkt "Objekte", wenn eine Änderung gemacht werden muss. Natürlich kann man eigene Werte für das Feld "Namen" verwenden. Einfach in der Anleitung ab Punkt 6 auf diese 3 Namen referenzieren, wenn man eigene Bezeichnungen verwendet. Der Punkt 8 der Anleitung - die Erstellung der Firewall Regel - aktiviere ich zumindest am Anfang das loggen. Damit wird eine Fehlersuche überhaupt erst möglich. Die neue Regel müsste im "IPv4 Rule Summary" zuoberst (FIFO) eingefügt sein. Andernfalls kann die Berüchsichtigung nicht mit Sicherheit erwartet werden.     "Netstat /a" ist nicht das effizienteste Windows Kommando. "netsh int ipv4 show" liefert deutlich mehr Informationen. Einfach in der CLI das Kommando abschicken, dann sieht man welche Zusätze zu diesem Befehl welche Resultate liefern.  Die anfangs gestellte Frage, warum "netstat /a" nur auf dem einen Gerät den Port 9000 als offen zeigt hat folgende Antwort. Ein Port ist offen, wenn ein Programm den Port öffnet. Das Programm in diesem Beispiel ist "Calibre". Da Calibre in diesem Beispiel nur auf dem Computer Minix läuft, ist auch nur dort der Port offen. Und daher müssen Anfragen die über diesen Port erfolgen, an diesen Computer weitergeleitet ("Portforwarding") werden. Nur hier ist das Programm installiert, dass diese Anfrage verarbeiten kann.  Quellen: Superuser.com    

Swisscom ALL IP (N-Stack) und Fremdrouter

  Um was geht es? All IP kann sowohl auf Fibre als auch auf Kupfer aufgeschaltet sein. Die Konfiguration bleibt sich gleich. Mit der Einführung der Vektorisierung (DSL) werden an die Kompatibilität fremder Router neu Anforderungen gestellt. Hier geht es um ein Beispiel wie man einen nicht Swisscom Router (ZyXEL SBG-3300N) an einem ALL-IP (N-Stack) Anschluss konfiguriert.     Einleitung Warum bzw. wer sollte sich überlegen einen eigenen Router anzuschliessen? Sinnvollerweise kommen dafür Kunden in Frage, die für sich zu Hause ein IT Konzept erstellt haben, dass sich mit dem von Swisscom gebotenen nicht realisieren lässt. Auch grundsätzliche Überlegungen (Überwachung, Bevormundung) können den Ausschlag geben. Der Artikel von TuxOne ist ein schönes Beispiel dafür. Hintergrund Vor 11 Monaten als die technische Umsetzung (SC ALL IP auf einem nicht SC CPE) erfolgte, entschied man sich für dieses Gerät: Hersteller/Model:            ZyXEL SBG-3300NProduktelink:            http://www.zyxel.ch/de/products/zyxel-sbg3300-n/Offizieller Anbieter/Vertrieb:     Studerus (Bezug über Fachhändler) Problemstellung: Wenn dieser ZyXEL an einen Swisscom VDSL Anschluss, welcher auf der All IP Plattform geschalten ist, in Betrieb genommen wird, wird man merken: - Synchronisiert auf der DSL Ebene, er verarbeitet das Signal - Die Internetverbindung kommt aber nicht zustanden, das Ding keine WAN IP von der "Gegenstelle" erhält. UDP müsste also gehen. - Der ZyXEL versucht darauf dann immer wieder eine öffentliche IP abzuholen ("Discovers") und wird dann schon bald ignoriert* * nach einer bestimmten Anzahl seiner Anfragen die eben nicht so daherkommen wie das die Gegenstelle hätte, wird die DHCP Lease Vergabe für den Anschluss für eine bestimmte Zeit gesperrt. Wenn ich in diesem Fall wieder einen Swisscom Router anschliesse, werde ich auch mit diesem etwas warten müssen (theoretisch bis zu drei Stunden, praktisch bis zu 30 Minuten), bis ich wieder online komme. Deshalb der Tipp, konfiguriert den Zyxel zuerst wie nachfolgend beschrieben     How to: - Am Web Interface des Gerätes (Default: 192.168.1.1) anmelden - Die Konfiguration lässt sich über den Quick Start oder manuell über den entsprechenden Menü Punkt machen. Hier wird der zweite Weg gewählt. - Belasst die Pre-Konfig., also mit diesen Einstellungen mit denen das Gerät bereits ausgeliefert wird. - Im Menü links auf 'Network Setting' > 'Broadband' Es ist bereits ein WAN Interface 'VDSL' vorhanden. Ein Klick auf das Edit-Symbol auf der rechten Seite des Eintrags um die Einstellungen der Verbindung zu bearbeiten. Folgende Einstellungen müssen angepasst werden: > 'Mode' = Routing > 'Encapsulation' = IPoE > Bei 'Option 60 Vendor ID:' folgenden Wert 1:1 übernehmen "100008,0001,Zyxel" > Änderungen mit 'Apply' übernehmen. DSL Line verbinden - das Gerät synchronisiert nun. Der Router sollte ein wenig später erfolgreich eine Internet-Verbindung hergestellt haben. Hinweis: Mir ist aufgefallen, dass das Gerät relativ prompt eine synchrone VDSL Verbindung hinkriegt, es aber darauf dann etwas länger geht, bis die WAN-IP bezogen wurde und man effektiv "online" ist. Dies dauert etwas zusätzlich eine Minute in der die Internet LED des Gerätes zuerst rot leuchtet. Anschliessend wird sie auf grün wechseln Bleibt sie auf Rot ist etwas fehlgeschlagen und / oder die gerade erwähnte Konfiguration falsch. Z.B. wenn das Gerät zuvor mit der falschen Konfiguration. den Anschluss und die IP Vergabe temporär gesperrt hat (siehe oben bei Problemstellung). Entscheiden auf der All IP Plattform bei VDSL Anschlüssen ist, dass sich das Modem "korrekt" Vorstellt, wenn Swisscom seitig beim DHCP Server für die WAN-IP vorstellig wird. Dafür muss es einfach gesagt sagen, ich bin von Swisscom, ich brauch was von diesem/r Service/Klasse und ich bin ein ZyXEL. Das Ganze erfolgt "als Anhang" über die Option 60 Vendor ID. Prinzipiell müsste also jedes Swisscom VDSL taugliche Modem auf der All IP Plattform verbinden, wenn sich diese Opt. 60 wie oben beschrieben anpassen lässt.     Quellen: Linkliste https://www.ietf.org/rfc/rfc2132.txt https://tools.ietf.org/html/rfc3925 Wikipedia: Dynamic Host Configuration Protocol BBCS Proved Equipment List Swisscom WARP phaq my daily IT madness - Swisscom Vivo FTTH Anschluss mit Cisco Router betreiben Swisscom Community: Ipfire mittels SFP PCI-Karte betreiben Swisscom Community: DrayTek Vigor 2860, kein Zugriff Swisscom Community: Zyxel P-870H im falschen Range, verliert Verbindung Swisscom Community: AVM Fritz Box 7490 A/CH Version mit Medienconv​erter Tuxone: pfSense 2.1 mit Swisscom Access Ihsan Dogan's IT Blog" pfSense mit Swisscom FTTH   Fazit Swisscom baut mit dem Routermodell "Internet-Box" ein enormes Serviceportfolio auf. In Kombination mit der App können und SC TV können auf unkomplizierte Weise viele Funktionen (Multimedia, Hausautomatisierung, Kommunikation, etc.) genutzt werden. Die Öffnung erfolgt schrittweise. Z.B. mit dem neuen Release 7 der Internet-Box sind fremde SIP Geräte möglich. D.h. man muss das vorhandene Know How sowie Zeit / Geld zum Nutzen eines eigenen Routers kalkulieren. So wie der Buchhändler dem Riesen Amazon unterliegt, werden daher viele Kunden vor dieser Freiheit zurück schrecken…   ELEMENT Wert Erstellt       1.8.2015 Letzte Änderung   ID       00004 Kategorie Swisscom Tag Netzwerk Autor      Peter Gyger