Schlagwort: Fritzbox

Windows Server mit 2 Netzwerkkarten

Die Tage hab ich mich echt wie ein Kack N00b gefühlt. Die Idee war, dass wir zwei Netze teilweise miteinander verbinden, damit im FW-Netz ein PRTG Remote Probe installiert werden kann. Diese Remote Probe sollte dann explizit mit dem PRTG Core Server Verbindung aufnehmen können. Soweit so gut. Es musste eigentlich nur eine Verbindung zum PRTG Server auf Port 23560 geöffnet werden.
Wir hatten nun im Feuerwehr Netz bereits einen Server, welcher 4 Netzwerkkarten hat.
Davon war bisher explizit nur eine Karte im Betrieb. Die welche ins Feuerwehr Netz (192.x.x.x) zeigt. Standardmäßig legt man auf diese Karte ja auch immer einen Gateway an. Damit der Server weiß wohin er die Anfragen außerhalb des eigenen Netzes senden kann.
Die Verbindung zum PRTG Server haben wir mit einer RED Box von Sophos gelöst. Auf der Sophos UTM Firewall, welche im Hauptnetz (10.x.x.x) steht, wurde dazu explizit noch der Port 23560 zum PRTG Server freigeschaltet und die RED Box macht dann via Internet eine ständige VPN Verbindung zur Sophos UTM Firewall und vergibt auch automatisch eine IP Adresse via DHCP an die Clients. Im Testaufbau hat alles wie gewünscht funktioniert. Die RED Box verbindet sich via freiem Internet zur Sophos UTM Firewall und vergibt eine IP Adresse an den angeschlossenen Client. Ich kann darüber auch den PRTG Server anpingen und auch der Port 23560 ist auf. Alle anderen Ports sind zu.

Nun hab ich die RED Box ins Feuerwehr Netz angestöpselt. Internet Verbindung über den WAN Port der RED Box hergestellt und eine weitere Netzwerkkarte des Feuerwehr Servers an einen LAN Port der RED Box angesteckt. Soweit so gut. Zuerst konnte ich mal den PRTG Server pingen, später wieder nicht mehr. Der Port 23560 war dann auch mal offen, später wieder nicht mehr.
Ich hab dann gegoogelt und wollte die Routing Funktion am Server einschalten. Hat aber dann auch nichts geholfen. Dann ging nämlich gar nichts. Dann hatte ich gedacht, dass ich die RED Box einfach an die Firewall im Feuerwehr Netz dran hänge und dann darüber die Verbindung aufmache, hat aber auch nicht getan. Außerdem wollte ich sowieso das Feuerwehr Netz weiter vom Hauptnetz separieren.

Nach mehreren Versuchen war die Lösung (wenn man mal 2 Minuten länger drüber nachdenkt) so einfach wie logisch. Da der Feuerwehr Server aktuell 2 Netzwerkkarten hat, gibt es auch zwei Standard Gateways. Daher weiß der Server auch nie so richtig, wohin er die Pakete in fremde Netze schicken muss. Ein Routing war in diesem Fall auch nicht notwendig, da ich keine Verbindung von einem Client (192.x.x.x) ins Hauptnetz haben wollte. Also hab ich einfach bei der Netzwerkkarte mit 192.x.x.x den Gateway ausgeschaltet und leite den Traffic, der unbekannt ist immer über die zweite Netzwerkkarte (10.x.x.x) weiter.
So kann ich ohne große Probleme die Pakete zum PRTG Server über die zweite Netzwerkkarte (10.x.x.x) leiten und der normale Internet Traffic wird dann intelligentem Split Tunneling von der RED Box vorher über die normale Internet Verbindung geleitet. Da sich das normale Feuerwehr Netz und die RED Box denselben Internetanschluss teilen entsteht hier kein Performance Verlust.

Wenn ihr also mal so ein Thema habt: Nicht kompliziert denken, sondern immer zuerst schauen welcher Anschluss wirklich den Gateway braucht. Und dann bei einer der Karten den Gateway Eintrag entfernen.

Um einen Port per Powershell zu prüfen gibt es noch folgenden Tipp:
1..65335 | % -ThrottleLimit 500 -Parallel {write-host ((new-object Net.Sockets.TcpClient).Connect("192.168.1.5",$_)) "Port $_ is open!"} 2>$null

Ihr müsst nur die IP und vorne die Port Range anpassen. In meinem Fall hab ich halt statt 1..65335 gleich 23560 eingegeben.

TP-Link Mesh WLAN Repeater Probleme

Vorgefundene Netzwerk Topologie

Die Tage hat mich ein alter Bekannter gefragt, ob ich mal vorbeikommen könnte. Seine Internetverbindung sei sehr langsam. Hab ihn nach dem Internetvertrag gefragt. Es sei wohl ein alter Unitymedia Kabel Internetvertrag. Heute bin ich dann mal vorbeigegangen und hab mir das Ganze angeschaut.
Denn urplötzlich war wohl seine Internetverbindung am PC sehr langsam. Ich habe dann mal geschaut, wie das Ganze aufgebaut ist.
Im Keller kommt das Internet an und geht auf eine Fritz!Box mit einem 192.168.178.0 /24 Netz. Soweit so normal. Dann geht eine Leitung in den 2. Stock. Ich hab mal die Patchverbindung von oben nach unten auf Durchgang geprüft. Alles gut so weit. Die Kabel waren gut und sogar die Schirmung aufgelegt.
Dann hab ich den Rechner mal angemacht und das Internet geprüft. Totale Störung und total langsam. Zwischen dem TP-Link Router und dem Rechner war noch ein Switch dazwischen. An diesem war auch ein TP-Link WLAN Repeater eingesteckt. Nun kann man WLAN Repeater oftmals in mehreren Modes betreiben. Einmal als reiner WLAN Repeater und dann auch wieder Access Point, wo das Signal per LAN weiter verbunden wird. In dem Fall war der Repeater aber direkt als Repeater konfiguriert und hat so gesehen die LAN Verbindung gar nicht gebraucht. Aber der Rechner hat wohl aus irgendwelchen Gründen den WLAN Access Point als Router angesehen und an diesen immer seine Pakete verschickt. So war darüber die Bandbreite immer ultra langsam. Speedtest ca. 5 Mbit statt den erwarteten 120 Mbit.
Als ich den Rechner dann mal direkt an den TP-Link Router angeschlossen habe, ging plötzlich alles wunderbar. Der Rechner hatte also keine Probleme.

Angepasste Netzwerktopologie mit angepasstem Repeater

Später hab ich dann mal direkt auf den Router draufgeschaut und den WLAN Repeater entdeckt. Außerdem war hier ganz klar als Verbindungsart WLAN aktiviert. Ich habe mich dann mal auf den RE605X drauf verbunden und die Art gesehen. Auf den ersten Blick konnte ich einen Wechsel der Betriebsart entdecken. Wir haben dann aber mal bewusst die LAN Verbindung vom Repeater zum Switch getrennt gelassen und siehe da, alles ist wieder normal.

Was lernen wir daraus: Wenn man einen WLAN Repeater einsetzen möchte, unbedingt darauf achten, dass nur eine Verbindungsart vom Repeater genutzt wird. WLAN oder LAN. Wird WLAN als Repeater zum Router verwendet, sollte man die LAN Verbindung weglassen. Sonst haben die Clients, welche zufälligerweise am gleichen Switch hängen, mal das Problem, dass die Pakete mal zum Router und mal zum Repeater geschickt werden. Das erzeugt Konflikte und Störungen.
Im Normalfall ist eine LAN Verbindung zwischen Router und Repeater als Quelle immer zu bevorzugen. Dann wird der Repeater aber auch immer in der Betriebsart "Access Point (AP)" betrieben.
Der Repeater kann übrigens auch als AP verwendet werden. Das ist mir aber erst jetzt beim Schreiben des Posts aufgefallen. Egal, beim Bekannten ist nun WLAN möglich. Der Speedtest ist auch schnell genug und vor allem funktioniert der PC wieder ohne Probleme.

Xbox und Fritzbox an einem IPv6 Anschluss betreiben

Ein Kamerad aus der Feurwehr hat schon relativ lange eine Xbox One an einem KabelBW Anschluss. Dazu hat er dann auch eine Fritzbox bekommen. Wie so ziemlich jeder moderne Internetanschluss verwendet KabelBW heutzutage auch IPv6 und via DSLite noch einen virtuellen IPv4 Zugang. Doch vor kurzem kam ja FIFA 15 heraus und das kann man so schön übers Internet spielen. Aber mit den Standardeinstellungen der Fritzbox geht dies leider nicht. :(
Die Fritzbox sperrt standardmäßig Toredo Verbindungen sobald eine IPv6 Verbindung besteht. Toredo erstellt nämlich über die Internetverbindung über einen Toredoserver eine zweite virtuelle IPv6 Verbindung ins Internet und verwendet dabei den den UDP Port 3544. Technisch gesehen braucht man bei einem IPv6 Internetanschluss eigentlich auch keine Toredo Verbindung mehr. Microsoft verwendet diese Technik aber schon seit Einführung von Windows Vista in ihrem Betriebssystem und daher natürlich auch in ihrem Xbox One System. Deshalb muss also bei der Fritzbox nun der Toredo Filter ausgeschaltet werden.

Genau das wollte ich gestern schon von Anfang versuchen. Da ich die Anleitung aber nicht mehr richtig gelesen habe und die Ansicht auf "Standard" gesetzt war, hab ich die Option die ganze Zeit nicht gefunden. Selbst ein Versuch die Ports manuell freizuschalten hat nicht funktioniert. Ein tolles Youtube Video wollte die Xbox dann sogar als Exposed Host freigeben. Damit ist die Xbox quasi direkt mit allen Ports aus dem Internet erreichbar. Mal abgesehen davon, dass ich das für höchst fragwürdig halte, hat es nicht funktioniert.

Hier also mal eine Anleitung, die funktioniert. Die Xbox wird dabei via WLAN betrieben und bekommt ihre Adresse per DHCP von der Fritzbox. Die Fritzbox war in meinem Fall eine 6340 mit KabelBW Anschluss.

Alle Funktions- und Einstellungshinweise in dieser Anleitung beziehen sich auf das aktuelle FRITZ!OS. Einige der beschriebenen Einstellungen werden nur angezeigt, wenn die "Erweiterte Ansicht" der Benutzeroberfläche (unten/mittig: ) aktiv ist.

1. Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf "Internet".
2. Klicken Sie im Menü "Internet" auf "Filter".
3. Klicken Sie auf die Registerkarte "Listen".
4. Deaktivieren Sie die Option "Teredo-Filter aktiv".
5. Klicken Sie zum Speichern der Einstellungen auf "Übernehmen".

Das Ganze sollte auch einen Neustart der Xbox und eventuell eine Neuzuweisung der Netzwerkverbindung bei der Xbox One überstehen. Es ist nämlich eine grundsätzliche Einstellung der Fritzbox und keine Verbindungsspezifische Portfreigabe.

FritzBox Hack - Es gibt ein Update

Seit jeher bekommt man beim Abschluss eines DSL Vertrages oder sogar Kabelanschluss Vertrages eine Fritzbox als Modem dazu. Die Fritzboxen konnten damals noch recht wenig. Eigentlich nur den Internetzugang bereitstellen und gewisse Ports freischalten. Ein gewisser Grundschutz in Form einer kleinen Firewall war auch schon immer dabei. Allerdings beschränkte sich die Firewall hauptsächlich darauf, dass von außen die Ports gesperrt sind und von innen alles offen ist.

Nachdem die Fritzboxen mittlerweile nun auch NAS Funktionalität oder USB Anschlüsse bekommen haben war es nur ein weitere logischer Schritt, dass die Fritzbox auch aus dem Internet ansteuerbar sein sollte. So hat AVM im Laufe der letzten Zeit einen Dienst namens "MyFritz" eingebaut. Damit können sich Fritzbox Besitzer auch mal von unterwegs aus via HTTPS auf ihre Fritzbox einloggen. Da mit jeder offenen Schnittstelle die potenzielle Gefahr eines "Einbruchs" wächst war es nur eine Frage der Zeit, bis die pöhsen Hacker sich hermachen und reihenweise die Fritzboxen aufmachen.

AVM hat dieses Feature aber mit einer sinnvollen Grundeinstellung bereitgestellt. Es ist standardmäßig ausgeschaltet. Und ich habe es auch ausgeschaltet, genauso wie tagsüber mein WLAN aus ist. Zum einen spart es Strom, zum anderen biete ich damit keinen unnötigen Honigtopf an. :) Das geht bei regelmäßigen Nutzungszeiten mit der Nachtschaltung automatisch, wenn ich dann doch mal früher daheim bin reicht ein Knopf und eine halbe Minute später ist das WLAN wieder da. ;)

Falls ihr nun eine Fritzbox habt: Schaut nach ob es schon ein Update gibt und updatet eure Box. Das ist nicht schwer, aber die Gefahr eines Missbrauchs via Mehrwertrufnummern ist real und kostet euch dann richtig viel Geld.
Mehr Information bei Heise oder auch direkt bei AVM.