- Anzeige -

Fritz Box Cable und das Zugriffsthema von Außen

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon domi123456 » 21.01.2015, 16:08

Hi Leute,
ich glaube das wir das selbe Problem haben. Ich möchte auf meine Fritzbox von außerhalb zugreifen. Von zuhause aus geht das auch wunderbar auch mit der App von AVM, allerdings nur von zuhause :zerstör: ich kann euren versuchen gerade nicht ganz folgen.
was ist hiermit gemeint? rznbrnft.myfritz.net ?? auf meinen Nas komme ich ohne Probleme von außerhalb aber auf meinen Router nicht. Ich nutze den Portmapper von www.feste-ip.net.
Wäre um Tipps oder Hilfe dankbar
LG domi123456
domi123456
Kabelneuling
 
Beiträge: 2
Registriert: 21.01.2015, 16:03

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon hajodele » 21.01.2015, 16:22

vocaris hat geschrieben:OK. Auf das Webinterface komme ich jetzt auch. Man muss mit httpS aufrufen :glück:
Bleibt jetzt noch die Frage, warum der Zugriff über myfritz.net nicht geht.
Bei Aufruf sehe ich den langen https link, mit dem port 200 (habe ich in der fb von 403 geändert) und dem User
Aber es kommt: Die Webseite ist nicht verfügbar

Das "S" war eine böse Falle. Da bin ich auch schon aus Versehen reingelaufen :zwinker:
Was sich im Detail hinter myfritz.net abspielt, weiß ich leider auch nicht.

@domii123456:
Wie hast du eigentlich dein Doppeleintrag mit dem relativ hohen zeitlichen Abstand hinbekommen? :zwinker:
Zu deiner Frage:
Ja, du hast das gleiche Problem. Weiter oben habe ich ja schon die Links zum lesen gesetzt.
Das "RZNBRNFT" steht für den ziemlich unleserlichen Namen, den man von Myfritz.Net bekommt und den man nicht ändern kann.
hajodele
Kabelkopfstation
 
Beiträge: 3961
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon domi123456 » 21.01.2015, 16:33

Das mit dem Eintrag war ein versehen :wand:
Also nochmal zu meiner Frage ich nutze ja Feste-ip.de um den portmapper zu nutzen. Der kann aber nur eine direkte Adressierung an ein Endgerät. Also demnach nicht an die Fritzbox. Wie bekomme ich es dann hin auch mit meinem iPhone oder HTC von extern drauf zu zugreifen? es geht ja auch mit dem Nas warum sollte es dann nicht auch über den Myfritz dienst gehen, zumal ich ja auch den Myfritz dienst nutze um auf den server zu kommen. Nur auf den Router komme ich halt nicht :kratz: hajodele läuft es denn bei dir?
domi123456
Kabelneuling
 
Beiträge: 2
Registriert: 21.01.2015, 16:03

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon GoaSkin » 21.01.2015, 17:43

@vocaris: Du kannst einen IPv6-Tunnelbroker nutzen, um der von unterwegs eine IPv6-Adresse auf den Endgerät zu holen. Dann kannst du normal per IPv6 auf die Fritzbox und die Rechner dahinter zugreifen. IPv6-Tunnelbroker kosten nichts. Du kannst dich z.B. bei SIXXS registrieren und dort Netcologne als Gateway nutzen; dann ist die Verbindung zu Unity Media auch recht flott.

www.sixxs.org
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1094
Registriert: 12.12.2009, 17:25

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon vocaris » 21.01.2015, 18:52

Tja. Habe jetzt ein ganz anderes Problem. Direkt nach einem Tag Fritz.box ist Jemand von außen auf die FB gegangen und hat eine Rufumleitung auf eine 0137 Nummer eingestellt und hat dann x mal anonym angerufen.
Wie geht das jetzt? Kotzt mich schon an.
vocaris
Kabelneuling
 
Beiträge: 23
Registriert: 20.04.2012, 11:51

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon Seufz » 21.01.2015, 19:44

Bleib doch bitte im anderen sinnvolleren Thema (Hack). Hier geht es doch primär um gewollten ZUgriff auf die FRitzbox und Geräte. Bei dir aber "nur" um Telefon.
Unitymedia 2Play 120/6 MBit/s, Fritzbox 6360 mit 5050 für Sipgate und Easybell, Repeater
Seufz
Kabelneuling
 
Beiträge: 27
Registriert: 02.11.2014, 15:43

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon SpaceRat » 22.01.2015, 08:38

vocaris hat geschrieben:Das funktioniert auch. Es ist aber keine eigene DDNS Adresse sondern eine allg. Das ist irgendwie blöd. Denn jeder nimmt einfach mal die allg. Adresse und spielt hinten an den Ports rum. Irgendwann hat der den, den ich gewählt habe und er kommt zumindest schon mal bis zum Login meines NAS.

Das ist aber bei feste-ip.net nicht anders:

Alle User auf demselben System sind User desselben Systems.
Das klingt deshalb so bescheuert, weil es ganz genau so banal ist und eigentlich keiner weiteren Erklärung bedarf.


Die Verwirrung um Hostnames kommt nur daher, weil es ein vollkommen primitives System ist, dem von Laien die wundersamsten, kompliziertesten und aufwendigsten Wundereigenschaften angedichtet wurden.

Das DNS-System ist das Telefonbuch/die Auskunft des Internets, wenn ich "Hein Blöd" erreichen will, frage ich die Auskunft, welche Telefonnummer Hein Blöd hat und wenn ich http://www.google.de erreichen will, frage ich das DNS-System, welche IP die Seite hat.
Mehr nicht.

Der Server, der zum Anbieten des "Port-Mappers" genutzt wird, ist nun für alle Kunden derselbe (myonlineportal) bzw. es sind eine Handvoll Systeme, aus denen der Benutzer zu Anfang eines aussuchen kann (feste-ip.net).

Machen wir es zum Verständnis mal einfach so, daß wir DNS als Adressbuch betrachten und an eine WG denken.
Da kennt man ja die Klingelschilder:
Atze - 1x klingeln
Rotzi - 2x klingeln
Kotzi - 3x klingeln
Bumsi - 4x klingeln

Auch im IPv4-Internet wohnen nun Atze, Rotzi, Kotzi und Bumsi in derselben Wohnung, nämlich in de1.portmap64.net bzw. 89.163.225.168 und wenn man Atzes NAS erreichen will, muß man halt 8800 Mal klingeln und für Bumsis NAS 43759 Mal. Die Anzahl der Klingelzeichen hab ich jetzt einfach mal als Portnummer umgedeutet ...
Wenn Atze nun jemandem seine Adresse de1.portmap64.net mitsamt der Anzahl der Klingelzeichen mitteilt und derjenige geht zu dieser Wohnung, klingelt aber 43759 Mal, dann macht ihm eben Bumsi auf, obwohl er zu Atze wollte.

Nun zu dem Hostname:
Der zugewiesene Hostname ist nichts weiter als ein Alias für den eigentlichen Hostname, welcher nichts weiter ist als eine leichter zu merkende Bezeichnung für ein Flurstück soundso im Flur blablabla.

Oder anders:
atze.feste-ip.net verhält sich zu de1.portmap64.net verhält sich zu 89.163.225.168
wie
"Das angeschrägte Grundstück an der Ecke Antoniusstr./Bösselbach" zu "Antoniusstr. XX" zu "Grundstück Flur 6, Flurstück 470 (Schürscheid), Anzhausen"

Alle Angaben einer Zeile bezeichnen immer das selbe Ziel.
Egal ob Du zum "angeschrägten Grundstück an der Ecke Antoniusstr./Bösselbach" oder in die "Antoniusstr. XX" oder zum "Grundstück Flur 6, Flurstück 470 (Schürscheid), Anzhausen" gehst, Du stehst vor derselben Baulücke.
Genau so klingelt man unter atze.feste-ip.net, de1.portmap64.net und 89.163.225.168 immer an derselben Tür ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon vocaris » 22.01.2015, 10:59

Hallo SpaceRat,

erst mal danke für diese super Erklärung!
Das fest-ip.net nun (ich glaube) 4 verschieden Server als Map-Server anbietet ist das schon mal mehr als myonlineportal.
Sprich mit dem Umstand muss man leben und ist wohl auch nichts sonderbares.
Da ja nun "jeder" durch Probieren oder Zufall vor meiner Haustür stehen kann bliebe mir nur noch übrig ab der Haustür eine Sicherheitschleuse einzubauen. Was dann wohl eine VPN wäre!?
Jetzt müsste ich mal nachlese, wie ich das hinbekomme. Meine in der FB von Unitymedia kann ich keinen VPN Tunnelung einrichten. Da ich aber auf mein NAS nicht nur per myFritz kmmen kann, sondern durch seine eigenständig ipv6 das NAS direkt von Außen ansprechen kann, könnte ich ggf. das VPN auf dem QNAP NAS einrichten?
vocaris
Kabelneuling
 
Beiträge: 23
Registriert: 20.04.2012, 11:51

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon SpaceRat » 22.01.2015, 12:14

vocaris hat geschrieben:erst mal danke für diese super Erklärung!

Büdde.


vocaris hat geschrieben:Das fest-ip.net nun (ich glaube) 4 verschieden Server als Map-Server anbietet ist das schon mal mehr als myonlineportal.

Wenn die 4x so viele Kunden haben, macht es genau gar keinen Unterschied. Und davon gehe ich fast schon aus.


vocaris hat geschrieben:Da ja nun "jeder" durch Probieren oder Zufall vor meiner Haustür stehen kann

Davon sollte man generell ausgehen, wenn man irgendwelche Dienste nach außen öffnet, egal ob per IPv4 oder IPv6, mit oder ohne DynDNS, ...

vocaris hat geschrieben:bliebe mir nur noch übrig ab der Haustür eine Sicherheitschleuse einzubauen. Was dann wohl eine VPN wäre!?

Ein VPN ist eigentlich immer vorzuziehen, wenn es darum geht, etwas im Heimnetz allein zur eigenen Nutzung von außen erreichbar zu machen.

Anstatt 20 Ports für 20 potentiell unsichere Dienste aufzureißen öffnet man dabei einen einzigen Port für das VPN und kommt somit ins ganze Heimnetz.
Damit braucht man sich dann nur noch um die Sicherheit des VPNs selber zu kümmern.

Umgekehrt gibt es aber auch Fälle, wo es sinnvoller ist, den Dienst direkt nach außen zu öffnen.
Wenn man z.B. Freunden/Verwandten den Zugriff auf (bestimmte) Dateien auf dem NAS o.ä. eröffnen will, dann halte ich einen (sicheren) ftps-Zugang für geeigneter.
Ist Onkel Werner z.B. bekannt dafür, sich regelmäßig den Trojaner des Tages einzufangen, dann steht man am Ende schlechter da wenn man aus Onkel Werners LAN per VPN auch in Dein LAN kommt, als wenn ein Angreifer schlimmstenfalls nur den gleichen (Nur-Lese-)Zugriff auf Deinen ftps-Server hatte wie Onkel Werner.

Wenn Dein LAN Dein Haus wäre, dann wäre ein VPN eine Art Teleporter-Haustür in der Fremde und offene Ports Klingel und Briefkasten ...
... überlege einfach, wem Du dann den Schlüssel zur Teleporter-Haustür geben würdest und wer nur Briefe einwerfen und klingeln dürfte.

Den Briefschlitz in der Tür macht man ja z.B. auch nur so groß, daß kein Mensch durchpaßt, auch wenn ein großer Briefschlitz für Pakete auch irgendwie total praktisch wäre ...
... da gewinnt ja auch der Sicherheitsgedanke vor der Faulheit, wegen des Pakets eventuell zur Post latschen zu müssen.

Bei Haustür, Briefschlitz und Katzenklappen obsiegt meistens die Logik ... beim LAN, wo heutzutage Sachen liegen die mindestens so wichtig sind wie das was man aus dem Haus tragen könnte, neigen die Leute aber zum Leichtsinn.

Die Verlockung, einen Webzugang zum NAS zu öffnen, ist riesig, aber man sollte sich da schon mal vorher informieren:
Bei normalem Web-Zugriff (http:// vorne in der Adresse) erfolgt der Zugriff unverschlüsselt. Es reicht, sich einmal von einem öffentlichen WLAN-Hotspot aus einzuwählen und irgendjemand kann alles mitprotokollieren.
Befindet sich im protokollierten Datenstrom Dein Login und Kennwort, hat derjenige dann denselben Zugriff wie Du.

Benutzernamen und Kennwörter allein sind völlig wertlos!

Damit man einen Dienst nach außen freigeben und trotzdem noch ruhig schlafen kann, muß schon der Login zusätzlich auch noch verschlüsselt sein
und
man braucht vor dem Login die Gewißheit, daß es wirklich der heimische Server ist, auf dem man sich anmeldet.

oder

Alle erreichbaren Daten des Dienstes müssen für die Öffentlichkeit bestimmt und sicherheitsmäßig unbedeutend sein.

Beispiel zu 2. wäre die "Wetter-Cam", also eine IP-Cam, die irgendwas filmt, was jeder sehen darf und auch soll.
Sollte soweit klar sein, wieso hier die Zugangssicherheit keine Rolle spielt ...

Bei der anderen Geschichte wird's komplizierter:
Benutzername und Kennwort alleine sind wertlos, wie schon gelernt.
Damit die Sache funktioniert, muß die Übertragung zusätzlich noch verschlüsselt sein, damit der Loginvorgang nicht von jedermann mitprotokolliert werden kann. Telnet, ftp, http, ... sind nie verschlüsselt.

Aber:
Eine verschlüsselte Übertragung allein verhindert noch keinen Angriff durch einen MITM (Man-In-The-Middle)!
Jeder kann einen gleichen oder ähnlichen Server errichten und Dir als Deinen vorsetzen. Wenn Du Dich nun dort einloggst, kann er wieder ganz einfach die Login-Daten mitprotokollieren und Dich netterweise auch noch zu Deinem ursprünglichen Ziel (Deinem echten Server) weiterleiten, damit Du davon nichts merkst.
Genau das ist das Prinzip von Phishing-Attacken und der ganzen eMails, die Dich dazu auffordern, zum 2000. Mal Deine Kreditkarte, Deine PayPal-/eBay- oder Amazon-Daten zu bestätigen.

Diese Phishing-Attacken sind sogar weniger gefährlich als MITM-Angriffe auf Ziele bei Dir zuhause:
1. Ist schon die Aufforderung zum Irrsinn meistens nur mit Google Translate übersetzt und nach Betrug stinkend falsch.
2. Sollte selbst ein Vollidiot der sich den Hut mit dem Hammer aufsetzt spätestens beim Öffnen der Webseite sehen, daß die angezeigte Adresse nicht die richtige ist (z.B. paypal-phishing.myspamhost.cn statt paypal.com)
3. Hat man schon bei der Kontoeröffnung eröffnet bekommen, daß man niemals per Telefon oder eMail nach vertraulichen Daten wie Passwort oder PIN gefragt werden wird.

Beim Zugriff auf Deine Server zuhause befindest Du Dich aber in Fremdnetzen.
Ist der MITM im selben Fremdnetz oder kontrolliert es sogar, dann kann er Dir Deinen Server zuhause aber unter genau der Adresse vorsetzen, die Du erwartest (DNS-Spoofing).

Sicher ist die Verbindung also nur dann, wenn sich Dein Server zuhause vor dem Login ausweisen und der Client diesen Identitätsnachweis auch überprüfen kann.
Dafür müßte man z.B.
- ein CA-Root-Zertifikat
- einen Server-Key
- ein Server-Zertifikat
erzeugen (alles mit OpenSSL)
und
das CA-Root-Zertifikat auf dem Client-Rechner als vertrauenswürdiges Zertifikat installieren, damit der Client die Echtheit des Servers validieren kann (Genau das tut z.B. auch OpenVPN).

Das Ganze funktioniert dann zumindest, solange man auch wirklich brav darauf achtet, daß das "https://" in der Adresszeile von Chrome/Firefox/Opera grün wird, bevor man sich anmeldet.
Alternativ kann sich auch der Client mit einem Client-Cert ausweisen, welches dann der Server überprüft. Diese Authentifizierung in zwei Richtungen nutzt OpenVPN, wenn man will, dann kann man das auch bei https-Seiten machen.

Das ist natürlich alles etwas mehr Arbeit, als einfach nur mal eben einen Port aufzureißen.


vocaris hat geschrieben:könnte ich ggf. das VPN auf dem QNAP NAS einrichten?

Wenn es auf dem QNap einen IPv6-tauglichen OpenVPN-Server gibt (Bei Synology gibt es das) ja.

Bevor Du loslegst, würde ich aber als allererstes mal den IPv4-Adressbereich Deines Heimnetzes in irgendwas anderes als
- 192.168.0.x (Standardbereich vieler Router)
- 192.168.1.x (Standardbereich vieler Router)
- 192.168.100.x (Standardbereich vieler Bridges für die Admin-Oberfläche)
- 192.168.178.x (Standardbereich der Fritz!Box)
- 192.168.189.x (Standard-Gastnetz der Fritz!Box)
ändern.

Ansonsten wirst Du nämlich früher oder später eine der anderen Tücken von IPv4 kennenlernen, nämlich die identischen Pseudo-Adressen (Private IPv4-Adressen halt) in unterschiedlichen LANs ...

Routen kann man nämlich nur zwischen unterschiedlichen Netzen und das Netz 192.168.178.x Deiner Fritz!Box ist zwar physisch ein anderes Netz als das Netz 192.168.178.x der Fritz!Box Deines Nachbarn, aber adressmäßig ist es das selbe Netz = Kein Routing möglich. Eines der vielen IPv4-Probleme, die IPv6 löst, da man da keine privaten IPs mehr nötig hat ...
Es gibt zwar Tricks, wie das trotzdem geht, aber wozu, wenn man es auch vermeiden kann ...

Wenn man z.B. die Schwanzlänge
192.168.35.x
oder die Quersumme aus Geburtstag, -Monat und Jahr nimmt
20.4.1889 = 20+4+89 = 192.168.113.x
sinkt die Wahrscheinlichkeit extrem, bei McBrech, am Flughafen, im Hotel oder bei Freunden im WLAN denselben Bereich zu haben.

Man kann natürlich auch in das Netz 10/8 gehen, da hat man noch mehr Spielraum:
10.20.4.89
oder
10.35.55.200 (Schwanzlänge, Gewicht der Frau, Jahresgehalt in kEUR ;) )
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Fritz Box Cable und das Zugriffsthema von Außen

Beitragvon vocaris » 22.01.2015, 12:41

Uff. Das war viel.

Also ich habe schon vor Open VPN zu nutzen. QNAP bietet das auch an. Ob es jetzt auch iVm ipv6 geht weiß ich nicht. Auf jeden Fall ist das NAS ipv6 fähig. Habe ja auch eine ipv6 Adresse für das NAS, welches ich von Außen derzeit auch ansprechen kann ohne den Weg über die myFritz Freigabe zu gehen.

Ob ich das konfiguriert bekomme!? Mal sehen und probieren. So wie ich das verstanden habe, wird die Konfiguration in eine Art Datei gespeichert, die ich dann bei den Clients wieder brauche.
Den Zugriff auf das NAS brauche ich hauptsächlich dahingehend, dass ich immer Zugriff auf Dokumente etc. habe. Das kann man schön über die eigen QNAP App QFiles arrangieren. Das müsste ja auch weiterhin gehen, wenn ich z.B. mit dem Smartphone vorher einen VPN Verbindung zu dem Server hergestellt habe. Dann muss ich die APP ja auch anders einrichten. Denn ich gebe ihr ja nicht die externe ipv6 Adresse, sondern (ich bin ja schon drin in meinem Haus) die interne IP Adresse.

Das ist dann wohl auch der Grund, warum du meinst, dass ich meine interne Steuerung von den Standartwerten z.B. 192.168.8.xx abändern soll.
Jetzt meine ich, dass ich das wieder nicht könnte, da die FritzBox von Unitymedia in vielen Bereichen Beschnitten ist. Ich kann kein DynDNS eingeben und ich meiner, ich kann auch die interne IP Vergabe nicht ändern. Aber mal gucken.
Das mit einem letzten Abschnitt gemeinte "Identitätsnachweis" ist somit per OpenVPN gelößt?

Bin mal gespannt ob ich das alles hin bekomme. Dennoch werde ich einen Dienst wie feste-ip.net etc. benötigen, oder? Denn das NAS ist im ipV6 und ich muss es über ipv4 Netze erreichen können. Demzufolge werde ich eine test.feste-ip.net:65521 benötigen, die ich dann dem OpenVPN Client als URL mitgeben muss.

Eins habe ich noch nicht geschnallt: Wenn ich nun die Daten des NAS per VPN erreichen will, aber z.B. die WEbCam, die am NAS hängt für jeden zugänglich machen möchte, wie geht das denn?
Ich denke, wenn ich im NAS das VPN konfiguriere, ist die gesamte Kiste NUR über den Tunnel zu erreichen.
vocaris
Kabelneuling
 
Beiträge: 23
Registriert: 20.04.2012, 11:51

VorherigeNächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste