FRITZ!Box 7590: Portfreigaben funktionieren nicht

  • Ist zwar nicht ganz On Topic, aber immerhin hängt ein Raspberry dahinter...

    Ich habe seit gestern eine FRITZ!Box 7590 an einem Vodafone ADSL-Anschluß. Hier habe ich zwei Portweiterleitungen (443 und 22) zu einem meiner Pis eingerichtet. Beide sind von außen nicht erreichbar (timeout). Intern kann ich beide Dienste erreichen.

    DDNS läuft über dyndns.org, die IP-Adresse löst korrekt auf.

    Stealthmodus der Firewall ist deaktiviert.

    An meinem vorherigen Router (Turris Omnia, OpenWRT-basiert) haben beide Portweiterleitungen funktioniert.

    Irgendjemand eine Idee?

  • Beide sind von außen nicht erreichbar (timeout). ...

    Wie hast Du geprüft bzw. getestet?

    "Vodafone ADSL-Anschluß" ist kein CGN oder gleichwertig? Seit wann hast Du diese FritzBox bzw. diesen Internetanschluss?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Wie hast Du geprüft bzw. getestet?

    ssh auf externen Rechner, Versuch per ssh zurückzuverbinden. https aus dem LAN, hat mit dem alten Router problemlos funktioniert. Ich habe gerade noch versucht, die DDNS-Domain in die rebind-Schutz-Ausnahmeliste einzutragen, ergibt keinen Unterschied.

    Seit wann hast Du diese FritzBox

    Ich habe seit gestern eine FRITZ!Box 7590

    bzw. diesen Internetanschluss?

    März 2012.

  • ssh auf externen Rechner, Versuch per ssh zurückzuverbinden.

    März 2012.

    Versuch mal mit der externen IPv4-Adresse der FB7590 und mit gestartetem:

    Code
    sudo tcpdump -c 100 -vvveni eth0 port 443 or port 22

    (statt eth0 evtl. die richtige Bezeichnung) auf deinem PI. Auf dem fernen Gerät mit:

    Code
    nc -zv <externe-IPv4-Adresse-FB7590> 22 443


    EDIT:

    Auf deinem PI kannst Du die externe IPv4-Adresse der FritzBox, mit z. B.:

    Code
    dig +short myip.opendns.com @208.67.222.222

    (oder gleichwertig) feststellen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (10. Januar 2019 um 23:03)

    • Offizieller Beitrag

    und 22) zu einem meiner Pis eingerichtet. Beide sind von außen nicht erreichbar

    =O Ist zwar OT, aber Du hast hoffentlich auf der öffentlichen Seite die Zahlen Deines Nummernschildes (oder gleichwertig) genommen.

  • Code
    sudo tcpdump -c 100 -vvveni eth0 port 443 or port 22

    Danke, das hat's gebracht: Es kamen Pakete von einer IP-Adresse an. Als ich per "host <IP>" überprüfen wollte, ob das tatsächlich der externe Rechner war, habe ich festgestellt, daß ich am Pi keine Namensauflösung bekam. Die /etc/resolv.conf war auch tatsächlich leer. Ein Neustart des dhcpcd hat das dann behoben.

    Ich nehme an, das ist ein Relikt der Umstellung auf den neuen Router: Der hat dem Pi natürlich erst mal nicht seine reservierte Adresse gegeben, weil er ihn noch nicht kannte. Nachdem ich die eingetragen habe, habe ich am Pi nicht den dhcpcd neu gestartet, sondern händisch die IP-Adresse umgestellt.

    Ist zwar OT, aber Du hast hoffentlich auf der öffentlichen Seite die Zahlen Deines Nummernschildes (oder gleichwertig) genommen.

    Nein, wieso sollte ich?

    • Offizieller Beitrag

    Nein, wieso sollte ich?

    Weil dann die üblichen Scans der bösen Buben auf den Standardport ins Leere laufen und ein Brut-Force usw. garnicht erst gestartet wird. Gerade Port 22 ist doch extrem interessant für Angreifer. Den öffentlichen Port zu verschleiern ist zwar kein Schutz im eigentlichen Sinne, aber ein weiterer Schritt in diese Richtung. ;)

  • Ich nehme an, das ist ein Relikt der Umstellung auf den neuen Router: Der hat dem Pi natürlich erst mal nicht seine reservierte Adresse gegeben, weil er ihn noch nicht kannte.

    Ja, das wird so sein, denn leider kann man mit der neusten Firmware der FritzBox auch keine A-/AAAA-Recorde für die Geräte in deren (W)LAN, mehr registrieren.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Den öffentlichen Port zu verschleiern ist zwar kein Schutz im eigentlichen Sinne

    Eben. Ich empfinde das eher als "security by obscurity" und an die glaube ich nicht. ;) Wenn ich der Meinung wäre, meinen SSH-Server verstecken zu müssen, würde ich ihn gar nicht von außen zugänglich machen.

    • Offizieller Beitrag

    Ich kann nur aus Erfahrung schreiben. Seit ich vor langer Zeit den Port geändert hatte, sind keine Einträge über Loginversuche mehr in der auth.log aufgetaucht. Das sind Tatsachen und hätte vorher auch nicht geglaubt, dass diese kleine Anpassung so viel bringt.

  • Das Verlegen des ssh-Ports auf einen non-default verringert sicherlich den Umfang von /var/log/auth.log, aber was bringt das ausser gefühlter Sicherheit?

    Wen interessieren die 1-2000 "Failed password for invalid user blabla" EInträge, wenn ssh nur per key/passphrase geht?

    Wenn du nichts zu sagen hast, sag einfach nichts.

    • Offizieller Beitrag

    Mir soll's doch egal sein, nur weniger Einträge in einer Logdatei, sind u.a. weniger Schreibzugriffe auf die SD. Zum Thema Sicherheit hab ich oben schon geschrieben, dass das keinen Schutz bietet. :daumendreh2:

    Sorry Manul, ich wollte hier keine OT-Diskussion anstoßen! ;)

  • hyle: Kein Problem, das eigentliche Thema ist ja durch. Die Frage mit dem Port halte ich letztlich für Geschmackssache. Solange sich niemand wegen des geänderten Ports fälschlicherweise in Sicherheit wähnt, spricht auch nichts dagegen.

    Einmal editiert, zuletzt von Manul (11. Januar 2019 um 12:59) aus folgendem Grund: Typo

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!