FritzBox als exposed Host

      FritzBox als exposed Host

      Guten Morgen,

      Hybrid wird bei mir morgen aktiviert und ich habe heute schon mal die Hausverkabelung angepasst und eine Doppelader bis in den Dachboden frei geschaufelt, von dort gehts mit Netzwerk dann wieder in den Keller zur FritzBox.

      Jetzt die Frage: Normalerweise würde ich die FritzBox als Exposed Host benutzen wollen, einen derartigen Modus hat das Ding aber ja nicht.
      Kann ich das irgendwie sinnvoll erreichen, dass einfach alles an die FritzBox geleitet wird und auf dem Speedport nur die Route für Telefonie über Dsl sauber gesetzt ist?

      Bisher von mir eingesetzte SPH habe ich via PortForwarding soweit brauchbar gemacht, das wäre hier natürlich auch möglich, aber ist mir eigentlich zu umständlich, zudem brauche ich hier im Gegensatz zu den bisherigen Installationen auch die Telefonie. Im Zweifelsfall würde ich aber wohl so starten und den VOIP Proxy vorne dran abschalten gemäß Anleitung hier :)

      Oder alternativ: wie habt ihr es gelöst? Vielleicht lasse ich mich auch einfach mal inspirieren/überzeugen ;)

      Vielleicht hilft es, wenn ich noch beschreibe was aktuell erst Mal funktionieren muss, wenn ich fertig bin:

      - FritzBox als Router / DHCP für das interne Netz usw.
      - FritzBox als VoIP / ISDN Konverter
      - FritzBox als VPN Server
      - DynDNS an HAAP IP und DSL IP
      - Port Forwardings müssen teilweise von der HAAP Seite, als auch von der DSL Seite eingehend funktionieren und richtig abgehend beantwortet werden

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Wisi“ ()

      Hi @Wisi,

      wenn ich richtig Verstanden habe, suchst Du genau mein Setup, nur das Du noch ein wenig mehr Ports erreichbar machen möchtest.

      Aktuell habe ich
      im SPH:
      1. Dyn-DNS mit "No-IP.com"
      2. SIPROXYD ausgeschaltet
      3. NAT, Portforwarding für VPN (UDP 500,4500)sowie VoIP (Telekom über DSL) SIPgate über Bonding) zur Fritzbox. Kann aber auch für mehrere Services erweitert werden. ...bis hin für alle Ports. ;o)
      4. Zusätzlich habe ich noch den DHCPv6 Server getauscht und nutze dibbler, um der Fritzbox einen IPv6 Prefix zu Delegieren. Dadurch nutzen meine Client's hinter der Fritzbox auch IPv6.


      In der Fritzbox:
      1. mach ich alles andere...

      Grüße

      danXde

      Hallo danXde,

      eine Frage: kann man bei SPH dann auch ESP IP Protocol auch weiterleiten lassen? Es ist für VPN bei Windows Mobile 10 notwendig - da kann ich leider nicht durch die Registry das System zwingen, anstatt ESP Protokoll 50 den UDP auf 4500 verwenden. SSTP gibt es bei WM10 auch nicht. Es funktionierte früher, mit FritzBox und ohne SPH - fritz kann ESP Protokoll problemlos weiterleiten....

      Grüß
      Alex

      Hi, klingt schon mal gut. Jetzt habe ich aber noch mind. einen Client im Netz, der aus Stabilitätsgründen immer über den DSL im SPH gehen soll. Der sendet und empfängt nur kleine Datenpakete, da bringt mir das Bonding nichts und es ist einfach besser, wenn der dann direkt senden würde. Würde man das noch hinkriegen in deiner Konstellation? Bzw. könnte man das ja über Port Binding lösen? Bräuchte aber auch einen DynDNS auf dem DSL Teil, damit ich diesen Dienst immer erreichen kann. Ansonsten müsste ich den ja dann direkt an den SPH hängen und dann entsprechend einstellen?

      Bsp:

      TCP Pakete eingehend über DSL auf Port 20000 -> FritzBox -> Device. Wäre zwar doppeltes NAT, aber das würde wohl funktionieren in meinen Augen. Nur wie man das dann mit der Delegierung auf DSL schafft?

      Ansonsten würde ich deine Lösung mal direkt übernehmen wollen, denn das würde schon mal den größten Teil meiner ganzen Themen lösen. Nutzt du die FritzBox als Endpoint für VPN? Denn dazu finde ich die Frage oberhalb nämlich auch ganz interessant.

      @alex_d77 denke auch, das man die iptables so anpassen kann, das er das Protokoll 50, wie von @xdjbx geschrieben, durchreicht.

      @Wisi denke, bekommt man hin. den zusätzlichen Port auf 20000 DSL-legen, kein Problem (geht auch auch 443 für Leute, die Ihre Fritz unbedingt über Inet steuern müssen). wird per iptables erledigt. Für den zusätzlichen DynDNS für den DSL müsste man ein "wget über DSL an einen Provider schicken, dann sollte das auch gehen. ...sicher etwas Bastelarbeit.

      Ja ich nutze sie als Endpunkt für MacBook/PC und für's Telefon. ....kann überalle per VPN von zu Hause telefonieren.... ...stimmt's @Heiko. *lol*

      Grüße

      danXde

      Kann auch den RPi, der über DSL angesprochen werden soll, an den SPH hängen mit Ausnahme und dann ein Routing von intern eintragen, dann kommt da drauf ein DynDNS Client und das Thema ist erledigt. Denke das müsste so gehen.

      Kannst du mir mal die groben Schritte und Skripte für den Start sagen / geben. Dann arbeite ich mich da mal ein heute Abend, grundsätzlich ist mir das meiste als IT-ler hier verständlich im Forum, wobei ich tatsächlich in der Windows Welt zuhause bin ;)

      danXde schrieb:

      ... SIPgate über Bonding ...

      Ich frage mich in wie weit speedport.ip/engineer/html/filterlist.html -> Filter List Info -> VOICE_RTP und VOICE_SIP hier zum Tragen kommen. Kannst du noch über Sipgate telefonieren ,wenn das DSL-Kabel abgezogen wurde? Wahrscheinlich kommt es darauf an ob die Pakete entsprechend markiert sind und das sind sie wahrscheinlich nicht zwingend: telekomhilft.telekom.de/t5/Tel…ungen/m-p/1348895#M255333

      So, nachdem ich jetzt das Script online habe, bleibt nur noch das Problem mit meinem RPi.
      Wie kann ich dessen Pakete über die DSL Strecke erzwingen? Da die Pakete am SPH wegen NAT ja alle via 192.168.2.2 ankommen, habe ich noch nicht verstanden wie man das lösen könnte (außer den RPi in das Netz vom SPH zu setzen und dort eine statische Route einzutragen für den Weg in das andere Netz usw.). Der RPi muss auf jeden Fall auch aus dem internen Netz hinter der Fritz erreicht werden und der Dienst für die verschiedenen IP Adressen ist aber der gleiche.

      edit: die restlichen Ports usw. habe ich mir in deinem Script schon ergänzt ;)

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Wisi“ ()

      @Wisi Der RasPi sollte jetzt von Port tcp 20.000 aus dem Internet erreichbar sein. ..und am liebsten willst Du ihn im internen Fritz.box-Netz haben?

      - einmal eine Portweiterleitung auf der Fritz-box für den Port tcp 20.000 zum RasPi einrichten unter Internet/Freigaben/Portfreigabe

      - dann das FW-Script anpassen

      - Noch offen, wie die DSL-Adresse im Internet bekannt gegeben wird, ich denke das man das mit einem wget auf einen DYNDNS-Server im SP-H hinbekommen müsste, Script per crond aufrufen

      Quellcode

      1. #/bin/sh
      2. ...
      4. # ipt iptables --list-rules
      5. ..
      7. #
      8. # Wer VPN zur Fritzbox braucht
      9. #
      10. ...
      11. #
      12. # Wer TCP/20.000 zur RasperryPi hinter der Fritzbox braucht
      13. #
      14. ipt iptables -A FWD_SERVICE -d $FRITZBOXIP/32 -i ppp256 -p tcp -m tcp --dport 20000 -j ACCEPT
      15. #
      16. # Wer HTTPS zur Fritzbox braucht
      17. #
      18. ...
      20. # ipt iptables -t mangle --list-rules
      21. ...
      22. #
      23. #
      24. #
      25. ipt iptables -t mangle -A FWD_FILTER_LIST -p tcp -m tcp --dport 20000 -j MARK --set-xmark 0x10000000/0xf0000000
      26. #
      27. # Telekom VoIP
      28. #


      so die Richtung. ..ich muss es mir aber heute abend noch mal anschauen....Kannst Du noch mal die Kommunikation genau beschreiben, finde hin und rückweg über Port 20.000 statt?

      Gegenfrage: Warum nutzt Du nicht IPv6? ;o)

      Grüße

      danXde

      Inbound ist es ein TCP Port. Outbound habe ich da keine Einflussmöglichkeit. Soweit mir bekannt läuft aber alles über den Port, es gibt keinen getrennten Rückweg. Ist ein Dienst, der auf dem RPi erreichbar ist und Werte zurückliefert.

      IPv6 ist dafür nicht geeignet, daher keine Wahl. Muss mich aber noch mit deinem IPv6 Thema auseinandersetzen, damit zumindest die Clients intern via IPv6 surfen können.

      Muss gar nicht, halte ich nur für den besseren, weil letztlich stabileren Weg. Wie beim VoIP, welches ich auch über DSL jage :)

      Vermutlich ist die beste Lösung den RPi eben in das SPH Netz zu legen und eine Routing Richtlinie anzulegen. Danach maskiere ich dann die Pakete wie von dir vorgeschlagen. Statt Port eben mit der IP Adresse und dann kann auf dem Ding auch der DynDNS Client laufen.

      Wie kriege ich das ICMPv4 von außen zum Laufen bei deinem FW Script? Ich habe jetzt schon die Regeln soweit mir klar editiert, aber die Pakete werden immer noch gedroppt. Iptables ist leider auch nicht mein Fachgebiet, d.h. ich brauche immer recht lange um einen Gesamtüberblick zu kriegen. Wahrscheinlich sehe ich nur den Wald vor lauter Bäumen nicht...