Hallo

Ich bin mittlerweile den Zyxel Router los und habe ein Fritzbox 7490 vom neuen Provider erhalten.

Darin habe ich die Portweiterleitung eingerichtet um das Netzwerk für VPN zu öffnen, laut Fritzbox ist die Weiterleitung aktiv (Status: Grün). Jedoch wenn ich von Aussen einen Portscan mache, sind alle Ports geschlossen.

macOS Server hat intern die IP 192.168.1.40







Ideen?

Hi,
du betreibst deine FB nicht zufällig im Stealth Mode? Denn dann funktionieren Portscans zur Kontrolle nicht. Unter Internet - Filter - Listen kannst du nachsehen (je nach FB- und Firmwareversion vielleicht auch wo anders).

Gruß
Uli

Und du machst den auch definitiv von draußen ja? Nicht von einem Rechner aus deinem Netz.

Was für einen Provider hast du und hast du eine IPv4 für extern bekommen?

maculi

Nein, denke nicht, das etwas gesperrt ist:


Fard Dwalling:
Provider ist FL1, ja sollte funktionieren, pingen geht

bitte weiter runterscrollen!

Weiter unten finden sich noch die Globalen Filtereinstellungen

maculi
war in der standard ansicht… scheint deaktiviert zu sein




Was mir noch komisch vorkommt, habe den Server (192.168.1.40) mal kurz als Exposed Host aktiviert, trotzdem von Aussen die VPN Ports zu…

Was sollen das für Ports sein?
L2TP/Ipsec benötigt 500,1701 und 4500 jeweils UDP.
Hast du nen echten IPv4-Anschluss oder einen IPv6/DualStack Lite?

caMpi

500 und 4500 lässt er mich nicht hinzufügen, diese seien schon vorhanden. Durch UPnP?

Ja ist ein IPv4 Anschluss.

Moin,

ist eventuell in der Fritzbox irgendeinen VPN-Zugang eingerichtet ("Internet" > "Freigaben" > "VPN")? Denn dann würde die Fritzbox selber auf den entsprechenden Ports "lauschen" und es wäre auf den VPN-Ports kein Portforwarding möglich.

BTW - was spricht gegen den VPN-Zugang direkt über die Fritzbox?

Der Server ist leistungsfähiger. Bei nur einer Verbindung mag das noch angehen, aber wenn mehrere gleichzeitig genutzt werden, dann läuft das ganze direkt über den Server schlicht und ergreifend flüssiger. Der Prozessor in der FB ist dafür letzten Endes nicht ausgelegt, der ist für anderes optimiert, und macht VPN nur nebenher.

OK, ist nur die Frage, ob das beim Threadstarter relevant ist. Das ist noch nicht klar.

Wenn es lediglich um eine VPN-Verbindung geht kann man das ja durchaus über die Fritzbox laufen lassen. Ich habe bei der beschriebenen Problematik auf jeden Fall die Fritzbox in Verdacht.

Mal sehen, ob die Fritzbox selbst die VPN-Ports verwendet.

Josch

Die Fritzbox VPN ist deaktiviert, bzw wie finde ich das raus? In den Einstellungen ist keine eingetragen.

Hi,

was mich stutzig macht ist, dass die Fritzbox bei Deinen Freigaben die externen Ports 61002 und 61003 verwendet. Das passiert eigentlich nur, wenn in der Fritzbox VPN aktiv ist.

Nachsehen kannst Du das unter ("Internet" > "Freigaben" > "VPN"). Dort dürfen keine Benutzer aktiv sein. Ich habe das eben kurz nachgestellt. Sobald bei mir die VPN-Benutzer deaktiviert waren wurden bei den Portfreigaben auch die korrekten Ports (500 und 4500) angezeigt und keine 62000er. Dann wird auchnim macos Server nter VPN bei Erreichbarkeit die externe IP-Adresse der Fritzbox angezeigt.

Eingerichtet habe ich bei den Portfreigabenndie Ports 500, 1701, 4500, jweils UDP und ESP als Protokoll.

Josch

die ports habe ich ja eingetragen, nicht fritzbox freigeschaltet.

Kannst Du bitte einmal versuchen in den Portfreigaben die 61002 und 61003 gegen 500 und 4500 auszutauschen und noch eine weitere Portfreigabe mit dem Protokoll ESP einzurichten. Dann mit OK speichern und schauen, ob die Fritzbox die Ports 500 und 4500 wieder selbsttätig ersetzt.

Schau bitte mal in der Fritzbox unter "Diagnose" > "Sicherheit"
unter "1. Verbindung, Internet" nach und poste mal einen Screenshot davon - "FRITZ!Box-Dienste" und "Portfreigaben auf Heimnetzgeräte" reichen fürs Erste.

Josch:

Jetzt funktioniert es, der 500 und 4500 Port wurden automatisch umgeschrieben auf den 61002 und 61003.



Verbindung steht, jedoch sehe ich nicht die Macs im Netzwerk, kann aber per IP darauf zugreifen.

Dann musst du die DNS Einstellungen in der VPN Config noch anpassen - das der DNS Server auch mit übergeben wird.

Anbei - im ersten Screenshot steht eine Freigabe von Port 1723 - pptp VPN. Wenn Du das nutzen willst (jetzt bitte keine Sicherheitsdiskussion zu pptp), musst du GRE noch weiterleiten.

ich meine folgendes:

normal im Netzwerk sieht es so aus:


über VPN so, Geräte sind jedoch via IP erreichbar würde sie gerne in der Liste sehen, was fehlt dafür noch?

Das liegt an Bonjour.
Bonjour sendet im Netzwerk einen Multicast um andere Geräte zu entdecken. Der Multicast geht aber in dem Fall nicht in ein anderes Netz (mit dem du dich per VPN verbindest), weil Multicasts nicht geroutet werden.
Ich lasse mich gerne korrigieren, aber da lässt sich nichts machen.

Recht hast du.
Es soll wohl Kniffe und Tricks geben Bonjour ebenfalls zu tunneln, aber trivial ist das wohl nicht. Einfach mal nach "bonjour over vpn" googlen.

vielleicht hilft es...

Dann lag ich mit meiner Mail ja nicht ganz falsch...

Die von Apple genutzten Ports (nicht wirklich hilfreich)
https://support.apple.com/de-de/HT202944

Bonjour über (im) VPN von heise

https://www.heise.de/ct/artikel/Bonjour-fuer-das-VPN-997853.html

und hier eine Diskussion zum Thema:

https://discussions.apple.com/thread/1549218?tstart=0

Ich persönlich vermute, das IPSEC (IKEV2) hier die bessere VPN Variante ist - l2tp ist ja "nur" ein Art Weiterentwicklung von pptp. - Und das war/ist in seinen Fähigkeiten dann doch recht eingeschränkt.

Was aber sicherlich funktionieren sollte: OpenVPN. Aber das hängt dann auch mit den Endgeräten zusammen.

Gruss,

ch

die ist mit macos server nicht möglich?

Der Artikel ist mangelhaft. Erst wird von einem "bridgevpn geschrieben und am Ende heißt es das du Tunnelblick auf den Client brauchst. Das wiederum setzt auf der Serverseite einen Openvpn Server voraus. Es gibt sicher 3. Software die auch auf dem Macserver läuft. Gerade in dem erwähnten Enterpriseumfeld darf man aber nicht "mal eben" sowas installieren.
Unterm Strich heißt es, das du Multicast über das VPN leiten mußt wenn du auf der Clientseite die Dienst sehen willst. Ob das in MacOS Server eingebaute VPN das kann, weis ich nicht.
Ein Stichwort wäre hier "wide area bonjour".