20
Gesperrte Ports auf der Fritzbox durch Kabelanbieter!?
Schönen Guten Morgen!
Es geht um folgendes, vielleicht haben weiß ein Profi von euch eine Lösung!
Zur Basis Stand Ende 2013: es ist eine Abus DVR Anlage (ABUS 16-Kanal Netzwerk Videorekorder NVR (TVVR45020) mit IP Kameras >>> an eine Fritzbox 6360 Cable angeschlossen mit Portfreigabe >>> zur Fernwartung der Kameras durch den entsprechende Abus App. Lief alles blendend.
Anfang 2014: Kam heraus das die Fritzbox Sicherheitslücken hatte und aus Sicherheitsgründen sperrten die Kabel Anbieter alle Ports von Außerhalb auf den entsprechenden Geräten!
Kabel Deutschland sperrt Fernzugriff auf FRITZ!Box:
http://www.teltarif.de/kabel-deutschland-fernzugriff-fritzbox-sicherhei ...
6mal bei Kabel Deutschland angerufen! Zeit locker 2-3 Stunden verschwendet! Entweder Schlafzimmer-Musik gehört/ ich werde verbunden und dann aus der Leitung "versehentlich" geschmissen oder "Ja, wir wissen da auch nix, rufen Sie bei AVM an." AVM angerufen und die schicken mir eine Anleitung wie man entspr. Port für die Kamera frei gibt. ;( Leider helfen mir solch Aussagen nicht.
Darum...Frage an die Profis vom Administrator...hat jemand eine Lösung?
Liegt der Fehler bei mir, oder muss Kabel Deutschland nur die entspr. Ports freigeben?
Versuche / Detail:
+Fritzbox hat die neuste Version von Kabel Deutschland erhalten OS 06.04.
+Fritzbox wurde auf Werkseinstellung zurückgesetzt
+Port zur Abus Anlage freigegeben: Port 888 TCP (entsprechend an der Abus Anlage angepasst)
+Dyndns aktiv (Ping möglich)
+Port Scanner laufen lassen, alle Port gesperrt!
Es geht um folgendes, vielleicht haben weiß ein Profi von euch eine Lösung!
Zur Basis Stand Ende 2013: es ist eine Abus DVR Anlage (ABUS 16-Kanal Netzwerk Videorekorder NVR (TVVR45020) mit IP Kameras >>> an eine Fritzbox 6360 Cable angeschlossen mit Portfreigabe >>> zur Fernwartung der Kameras durch den entsprechende Abus App. Lief alles blendend.
Anfang 2014: Kam heraus das die Fritzbox Sicherheitslücken hatte und aus Sicherheitsgründen sperrten die Kabel Anbieter alle Ports von Außerhalb auf den entsprechenden Geräten!
Kabel Deutschland sperrt Fernzugriff auf FRITZ!Box:
http://www.teltarif.de/kabel-deutschland-fernzugriff-fritzbox-sicherhei ...
6mal bei Kabel Deutschland angerufen! Zeit locker 2-3 Stunden verschwendet! Entweder Schlafzimmer-Musik gehört/ ich werde verbunden und dann aus der Leitung "versehentlich" geschmissen oder "Ja, wir wissen da auch nix, rufen Sie bei AVM an." AVM angerufen und die schicken mir eine Anleitung wie man entspr. Port für die Kamera frei gibt. ;( Leider helfen mir solch Aussagen nicht.
Darum...Frage an die Profis vom Administrator...hat jemand eine Lösung?
Liegt der Fehler bei mir, oder muss Kabel Deutschland nur die entspr. Ports freigeben?
Versuche / Detail:
+Fritzbox hat die neuste Version von Kabel Deutschland erhalten OS 06.04.
+Fritzbox wurde auf Werkseinstellung zurückgesetzt
+Port zur Abus Anlage freigegeben: Port 888 TCP (entsprechend an der Abus Anlage angepasst)
+Dyndns aktiv (Ping möglich)
+Port Scanner laufen lassen, alle Port gesperrt!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 241243
Url: https://administrator.de/contentid/241243
Printed on: April 18, 2024 at 06:04 o'clock
20 Comments
Latest comment
Moin,
LG, Thomas
AVM angerufen und die schicken mir eine Anleitung wie man entspr. Port für die Kamera frei gibt. ;( Leider helfen mir solch Aussagen nicht.
warum nicht? Hast Du die benötigten Ports auf der Fritte freigegeben und weitergeleitet?LG, Thomas
Hi,
ich meinte, dass gerade bei Kabel öfter untypische Ports gesperrt sind. Nimm mal 80 oder per HTTPS443.
Grüße,
Christian
ich meinte, dass gerade bei Kabel öfter untypische Ports gesperrt sind. Nimm mal 80 oder per HTTPS443.
Grüße,
Christian
Portfreigabe (Portweiterleitung) auf der Fritzbox:
Und bei der Abus Anlage auch den entsprechenden Port als Standard definiert:
Bevor die Sicherheitslücken bekannt wurden...lief alles fehlerfrei!
Hi,
nur mal so zum Verständnis:
Du hast den Port direkt zur Abus weitergeleitet, der war also offen für alle im Internet?
Wäre da generell VPN nicht besser um auch den Abus zu schützen?
Allerdings meine ich, gäbe es da auch Probleme mit den Kabelanbietern, wie die zum Teil nur private Adressen haben ...
VG
Deepsys
nur mal so zum Verständnis:
Du hast den Port direkt zur Abus weitergeleitet, der war also offen für alle im Internet?
Wäre da generell VPN nicht besser um auch den Abus zu schützen?
Allerdings meine ich, gäbe es da auch Probleme mit den Kabelanbietern, wie die zum Teil nur private Adressen haben ...
VG
Deepsys
Das Problem hier ist das die FB selber einen internen Webserver hat fürs Setup und auf TCP 80 Frames selber reagiert und deshalb NICHT weiterleitet, denn sie kann ja nicht entscheiden ob sie selber gemeint ist oder diese Pakete nun weiterleiten soll.
Du musst also mindestens den Web Zugriff auf die FB am WAN Port zwingend deaktivieren, denn sonst wird das mit TCP 80 nicht klappen da die FB das nicht weiterleitet.
Aus Sicherheitsgründen solltest du auch niemals Standardports nehmen, denn es dauert nichtmal 20 Sekunden ! bis du bei Standard Port Scanner Angriffen die minütlich auf Router einprasseln detektiert wirst wenn du Standard Ports verwendest.
Mal abgesehen davon das deine Daten mit simplen, dummen Port Forwarding auch unverschlüsselt übers Netz gehen und jeder mitsehen kann !!
Besser ist hier immer ein VPN !!
Besser ist es immer eine Port Translation mit den sog. "Ephemeral Ports" zu machen die von der IANA nicht vergeben sind und eine Port Translation zu aktivieren in der FB. Damit verschleierst du wenigstens den Zugang und fällst bei klasssichen Port Scanner Angriffen nicht sofort auf !
Diese Ports gehen von 49152 bis 65535 ! Wenn du also eingehend z.B. 58080 auf der FB definierst und dann 80 an die 192.168.0.2 weiterleitest wäre es halbwegs ok und diese Ports blockt dein provider ganz sicher nicht.
Im Browser gibst du dann an http://<WAN_IP_FB>:58080 oder eben http://>DynDNS_Name>:58080 und fertig ist der Lack.
Du musst also mindestens den Web Zugriff auf die FB am WAN Port zwingend deaktivieren, denn sonst wird das mit TCP 80 nicht klappen da die FB das nicht weiterleitet.
Aus Sicherheitsgründen solltest du auch niemals Standardports nehmen, denn es dauert nichtmal 20 Sekunden ! bis du bei Standard Port Scanner Angriffen die minütlich auf Router einprasseln detektiert wirst wenn du Standard Ports verwendest.
Mal abgesehen davon das deine Daten mit simplen, dummen Port Forwarding auch unverschlüsselt übers Netz gehen und jeder mitsehen kann !!
Besser ist hier immer ein VPN !!
Besser ist es immer eine Port Translation mit den sog. "Ephemeral Ports" zu machen die von der IANA nicht vergeben sind und eine Port Translation zu aktivieren in der FB. Damit verschleierst du wenigstens den Zugang und fällst bei klasssichen Port Scanner Angriffen nicht sofort auf !
Diese Ports gehen von 49152 bis 65535 ! Wenn du also eingehend z.B. 58080 auf der FB definierst und dann 80 an die 192.168.0.2 weiterleitest wäre es halbwegs ok und diese Ports blockt dein provider ganz sicher nicht.
Im Browser gibst du dann an http://<WAN_IP_FB>:58080 oder eben http://>DynDNS_Name>:58080 und fertig ist der Lack.
Hi aqui,
da liegst du falsch. Die FB haben zwar einen interne Webserver, reagieren aber von außen nicht darauf, außer, man stellt das exakt so ein (Weiterleitung auf interne IP). Bei HTTPS musst du natürlich die Fernwartung ändern. Das dürfte also nicht das Problem sein, außer, wenn das Update andere Fehler provoziert hat.
Grüße,
Christian
da liegst du falsch. Die FB haben zwar einen interne Webserver, reagieren aber von außen nicht darauf, außer, man stellt das exakt so ein (Weiterleitung auf interne IP). Bei HTTPS musst du natürlich die Fernwartung ändern. Das dürfte also nicht das Problem sein, außer, wenn das Update andere Fehler provoziert hat.
Grüße,
Christian
An der firewall kann's nicht liegen? Was ist das überhaupt für eine??
LG, Thomas
LG, Thomas
Ich bin gerade am durchtesten..um irgendwie Kontakt herzustellen, aber wie gesagt bis jetzt ohne Lösung.
VPN dann müsste jedesmal beim abrufen der Kameras über die Abus App eine VPN aktiviert werden...mmh.
Mit den privaten Adressen hatte ich auch schon gehört...aber bei Kabel Deutschland wusste keiner was davon, wie man z.B. als Geschäftskunde reservieren kann.
VPN dann müsste jedesmal beim abrufen der Kameras über die Abus App eine VPN aktiviert werden...mmh.
Mit den privaten Adressen hatte ich auch schon gehört...aber bei Kabel Deutschland wusste keiner was davon, wie man z.B. als Geschäftskunde reservieren kann.
aqui wird gemacht, Fritzbox Fernzugriff deaktvieren! Ok ich schau gleich mal nach. Danke erstmal
Also meint Ihr es liegt nicht am Kabel Anbieter???
Ich dachte vorher lief alles wie Butter und auf einmal ist nach dem Port Scan alles tot
Ich dachte vorher lief alles wie Butter und auf einmal ist nach dem Port Scan alles tot
Beantworte doch mal zwei Basisfragen:
1. Was ist das für eine firewall in Deinem Malbuch und
2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?
LG, Thomas
1. Was ist das für eine firewall in Deinem Malbuch und
2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?
LG, Thomas
Es gibt ja sogar von ABUS aus Hauseignes Dyndns das nennt sich DDNS https://www.abus-server.com/ aber leider auch nicht von Erfolg gekrönt.
Fritzbox Fernzugriff deaktvieren! Ok ich schau gleich mal nach.
Wäre Blödsinn, denn der "Fernzugriff" ist ein IPsec VPN nach AVM Definition !! Nicht aber HTTP auch die Konfig mit doofem Port Forwarding.Aber du kannst ja oben an der Antwort vom Kollegen certifiedit.net ja sehen das dies bei AVM vermutlich nicht der Fall ist wie bei anderen Herstellern.
Folglich wäre AVM dann also ausgenommen davon. So oder so ist es aber kontraproduktiv einen offenen Port wie TCP 80 zu nehmen für sowas wenn du nicht willst das BND, NSA und andere deine Videos mitsehen...
P.S.: DynDNS bekommst du kostenfrei noch von noip.com
Nun, zumindest für einen Test wäre ein Standardport sinnvoll. Hier befürchte ich aber "tiefere" Probleme.
Kannst Du gnädigerweise mal meine zwei o.g. Fragen beantworten:
LG, Thomas
1. Was ist das für eine firewall in Deinem Malbuch und
2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?
irgendwie schwindet sonst zumindest mein Interesse für Dein Problem ...2. was passiert überhaupt, wenn Du Deine DDNS-Adresse im Browser aufrufst?
LG, Thomas
Hallo,
in der AVM FB zu tun?
Es gibt von AVM auch APPs für iOS und Android und einen eignen
DynDNS Dienst haben die auch für Ihre Kunden am laufen!
- AVM APP starten, und VPN Verbindung herstellen
- ASUS APP starten und auf den Videorecorder zugreifen
Ich habe das selbe mit einer Fritz!Box 7490 einem Lupus Recorder
mit 8 Kameras am laufen.
Gruß
Dobby
P.S.
Das mit der Firewall würde ich auch mal gerne wissen, nicht das
dort eine Routerkaskade mit doppeltem NAT läuft.
Ich dachte vorher lief alles wie Butter und auf einmal ist nach
dem Port Scan alles tot
Und das hat nicht mit der hauseigenen Firmware von Kabel BWdem Port Scan alles tot
in der AVM FB zu tun?
VPN dann müsste jedesmal beim abrufen der Kameras über
die Abus App eine VPN aktiviert werden...mmh.
Nein musst Du nicht und warum auch?die Abus App eine VPN aktiviert werden...mmh.
Es gibt von AVM auch APPs für iOS und Android und einen eignen
DynDNS Dienst haben die auch für Ihre Kunden am laufen!
- AVM APP starten, und VPN Verbindung herstellen
- ASUS APP starten und auf den Videorecorder zugreifen
Ich habe das selbe mit einer Fritz!Box 7490 einem Lupus Recorder
mit 8 Kameras am laufen.
Gruß
Dobby
P.S.
Das mit der Firewall würde ich auch mal gerne wissen, nicht das
dort eine Routerkaskade mit doppeltem NAT läuft.
Firewall keine direkt, weder zusätzlich durch Hardware noch Software.
Die Abus hängt direkt an der Fritzbox.
Leider bin ich gerade nicht vor Ort um dies zu testen *grr*.
*Ping Test folgreich!
Aufruf über den Browser (keine Weiterleitung) :
Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
Portscan:
Alle Ports geschlossen
Die Abus hängt direkt an der Fritzbox.
Leider bin ich gerade nicht vor Ort um dies zu testen *grr*.
*Ping Test folgreich!
Aufruf über den Browser (keine Weiterleitung) :
Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
Portscan:
Alle Ports geschlossen
Firewall keine direkt, weder zusätzlich durch Hardware noch Software.
Warum zeichnest Du dann eine ein - damit wir hier das heitere Beruferaten spielen können?Tracer mal die FQDN Deines DDNS-accounts und schau, wo der trace endet. Und wer ist die 192.168.0.2?
1
Du musst hierfür unter
Einstellungen-> Internet -> Portfreigabe einfach den Port 443 an die IP der Recorders freigeben
Einstellungen-> Internet -> Portfreigabe einfach den Port 443 an die IP der Recorders freigeben
