Der uPNP-Router hat den Kompatibilitätstest nicht bestanden

[DeCrypter13]

Hallo, ich versuche die Ports freizugeben über den EZ Assistenten.

Der Router (Fritz!Box 7390) ist in den Heimnetzeinstellungen uPNP eingestellt. Trotzdem kommt der Wizard in der DSM immer bei der Portweiterleitungsanlage mit der Meldung:

"Portweiterleitungsregeln hinzufügen:

Der uPNP-Router hat den Kompatibilitätstest nicht bestanden."

Wo kann der Fehler liegen?

 

[Puppetmaster]

Als Ratschlag:

EZ Assistenten vergessen, UPnP deaktivieren und selbst Hand anlegen bei der Portfreigabe. So weiß man was man tut und lernt auch noch etwas dabei.

 

[DeCrypter13]

Da hast du definitiv recht! Aber es muss doch trotzdem irgendwie mit dem assi funktionieren...
Woran kann es liegen?

 

[Puppetmaster]

Keine Ahnung. Vielleicht ist es möglich, aber ich würde keine 2Minuten Energie für eine Ursachensuche aufwenden, wenn du schon selbst erkennst, dass eine Lösung ohne Assi besser wäre.

 

[g202e]

Aber es muss doch trotzdem irgendwie mit dem assi funktionieren..

Nö, mus es nicht. Wie mein Vorredner bereits sagte, solltest du auf diesen überflüssigen Assi verzichten und selbst die Ports weiterleiten, welche du brauchst.
Dieser Assi ist nur für Leute, die zu faul (oder zu dumm) sind, das selbst vernünftig zu machen. Gib' dir einen Ruck; oder willst du zu denen gehören?

 

[Skeltek]

Hallo

hätte auch Interesse an einer sinnvollen Antwort hier. Es ist aber wohl im ganzen Internet dasselbe; man findet nur Kommentare darüber weshalb man es lassen sollte, aber keine Antworten auf die eigentlichen Fragen (hab hier auch schon gesucht).
Vielleicht mag eine Firewall oder ähnliches für Anfänger eine ganz gute Lösung sein und UPnP ein Sicherheitsrisiko, ist es aber nicht die Verantwortung und Entscheidung der Betroffenen selbst ob sie UPnP und ähnliches laufen lassen möchten oder nicht? Bis auf nutzlose Kommentare darüber, dass man es nicht verwenden soll habe ich nichts verwertbares gefunden - fast jeder Fehleremittlungsthread wird durch diverse Personen recht schnell mit einem Abraten abgewürgt.

Es ist schließlich nicht so, als würde der Router selbstständig im Internet surfen, jeden Mist downloaden und sich ständig Trojaner und ähnliches unaufgefordert installieren. Bei mir wird jeglicher Netzwerkverkehr auf Ports usw geprüft und protokolliert, falls etwas nicht stimmt bekomme ich eine EMail von meinem Mailserver. Wer genau weiß, was er installiert hat und welches Programm auf welchem Prot lauscht, der hat in der Regel auch ohne Firewall einen guten Schutz. Es lauschen nur Programme auf Ports welche ich selbst installiert und eingerichtet habe und ich kenne exakt diese Ports. Meiner Freundin würde ich dringend abraten UPnP zu benutzen, aber eine Antwort für Leute die das wirklich möchten wäre sicherlich wünschenswert.

-> Ich möchte dass Ports nur solange geöffnet bleiben, wie sie benötigt werden und danach wieder geschlossen. Mehrere Geräte sollen denselben Port verwenden können. Vielleicht hat ja einer von den ganz schlauen eine Idee wie ich das ohne UPnP, ständige Wartung, Updates oder Rechnerbetreuung bewerkstelligen soll. Für 5 Minuten Portverwendung um 4 Uhr morgens lasse ich die Ports doch nicht den ganzen verdammten Tag lang geöffnet, das ist ein Sicherheitsrisiko. Vielleicht könnte das g202e oder so beantworten, denn für das andere bin ich um erhlich zu sein wie er sagt zu faul und möglicherweise auch zu dumm.

Meine FritzBox7390 wird durch die DS218+ nicht als UPnP-fähig erkannt und ich würde gerne wissen weshalb. UPnP-Infos übertragen ist in der FB aktiviert, die DS218+ darf auch selbstständig Portfreigaben einrichten. Der Zugriff auf das FB-Administrations-Interface geschieht per Passwort (das wird für UPnP wohl nicht stören denke ich?) und ich verwende es aus Sicherheitsgründen nur via https (hab die Zertifikate auf meine Rechner übertragen). Bis auf meinen RaspberryPi (welchen ich als Built Target für mein Windows-Netbeans verwende) haben alle anderen Server und Rechner teilweise manuelle Portfreigaben (stören bereits manuel vergebene Ports die UPnP-Erkennung?), teilweise via Fritz-DDNS und IPv6. Über den genauen Einsatzzweck kann ich mich hier leider nicht äußern.

Vielleicht hat jemand Erfahrung damit oder eine Idee.

Vielen Dank für Anregungen, Skel

 

[Puppetmaster]

Meiner Freundin würde ich dringend abraten UPnP zu benutzen, aber eine Antwort für Leute die das wirklich möchten wäre sicherlich wünschenswert.

...denn für das andere bin ich um erhlich zu sein wie er sagt zu faul...

Bequemlichkeit kontra Sicherheit.
UPnP ist ein Scheunentor. Setzt du einmal den Haken musst du dich vollends auf die Software verlassen und gibst der DS die Kontrolle über deine Ports, deinen Router, dein Netz.

UPnP ist eben genau für die, die nicht wissen, was es eigentlich macht, oder eben für die Faulen (die dann aber wissen sollten, dass es ein Sicherheitsrisiko ist). Den ersteren würde ich eben genau aus dem Grund immer davon abraten, denn es ist selten gut etwas zu benutzen, von dem man so gar keine Ahnung hat.
Und mit Verlaub: UPnP aktiviert und die Ports nur kurz geöffnet halte ich für weniger sicher als die Ports den ganzen Tag geöffnet und UPnP deaktiviert. Aber das kannst du gerne anders beurteilen.

Für dein Szenario würde ich vielleicht gänzlich von geöffneten Ports absehen und eine Verbindung per VPN wählen. Diese könntest du auch permenent göffnet halten und wärst damit sicherheitstechnischer vermutlich immer noch besser aufgestellt, als wenn du bestimmte Ports nur 5 Minuten am Tag öffnest.

 

[Skeltek]

Du verstehst schon, dass der Stichpunkt faul und dumm ein sarkastischer Kommentar auf von g202e gemachte Aussage war?
Okay, deine Meinung ist ja schon etwas subjektiv und trägt praktisch nicht zur Problemlösung bei sondern widerholt nur die Aufforderung einen Workaround zu verwenden.

Es ist mit egal welche Ports an meiner Fritzbox vorbei kommen, der davorgeschaltete Router hat eine eigene Firewall, welche nur bestimmte Ports der FB weiterleitet und alles andere blockiert. Alle 7 von mir verwendeten Ports sind auf meinem Primär-Router dauerhaft geöffnet - es geht hier darum, dass sich mehrere an der FB angeschlossenen Geräte dieselben Ports teilen können sollen.
Und die DS kann jederzeit einen dauerhaft geöffneten Port für alles mögliche verwenden, da hilft auch die beste externe Firewall nichts. Wenn ich nur einen Port weiterleite, kann Malware einfach diesen einen Port verwenden, da gibt es keinen Unterschied. Primärer Schutz ist zu verhindern, dass Malware überhaupt auf die DS kommt. Das Öffnen nur bestimmter Ports ist 'security by obscurity' und trägt nur sekundär zum Schutz bei. Dass Malware selbstständig einen Port öffnet bietet nur unwesentlich Schutz im Vergleich dazu, dass sie nur bereits geöffnete Ports verwenden kann.

Eine Firewall bietet dir dann und nur dann relativ guten Schutz, wenn sie auch Einfluss darauf hat welches Program auf dem geöffneten Port lauschen darf. Das ist im Falle eines dauerhaft geöffneten weitergeleiteten Ports auf der FB nicht der Fall. Die FB hat keinerlei[/] Einfluss darauf, welches Program nun tatsächlich auf dem weitergeleiteten Port lauscht.
Außerdem benutzt doch heute ohnehin jeder der was auf sich hält Sicherheitszertifikate und richtet alles entsprechend ein. Sämtlicher Datenverkehr innerhalb des Netzwerkes ist unverschlüsselt, für die Kommunikation ab dem Router ins Internet verwendet man eben SSL-strip mit vorher abgeglichenen Zertifikaten. Ich will mal sehen wie jemand an meinem vor die FB geschalteten Router vorbei kommt, wenn er nur mit Key daran vorbei kommt.
Das ganze kostet mich jetzt schon wieder Recherche-Zeit und Wireshark-Time, was mir dann anderweitig fehlt um meine verteilten Systeme sicherer zu machen.

Vielleicht solltest du mal deine Vorurteile ablegen und nicht davon ausgehen, dass jeder User der hier ein Problem hat auf Anfänger-Niveau herumhantiert. VPN ist zu unpraktikabel, und ansonsten ist aus oben genannten Gründen das dauerhafte Öffnen von Ports auf der FB fast genauso schlecht wie das übergeben der Weiterleitungsregel-Kontrolle an die dahintergeschalteten Geräte. Weiterleitungsregeln in der FB sind kein Firewall-Ersatz. Einen Hammer sollte man eben auch nur benutzen, wenn man weiß wie man ihn bedient. Diese Einsicht ist mir recht klar - darauf muss man mich nicht hinweisen. Wenn du UPnP für schlecht hälst und nicht weißt wie man es sicher bedient, würde ich dir deutlich abraten es zu verwenden.

Im übrigen habe ich das Problem mittlerweile selbst gelöst nach dem Stundenlangen durchforsten von Logs und Netzwerkverkehr. Es ist trotzdem ein Graus sich mi so etwas herumstressen zu müssen wenn womöglich irgendjemand die Antwort kennt, aber das Verbreiten dieser Information bzw jegliche längere Diskussion darüber systematisch unterbunden oder im Keim erstickt wird.

ps: Es gibt ja auch Leute, die haben alle Ports dauerhaft geöffnet... mit Dummy-Listenern, welche die Ports einfach reservieren/blockieren. Da komme ich auch ins Stutzen, aber welche Sicherheitslösung Leute wählen ist deren eigene Verantwortung.

 

[Puppetmaster]

Hm, vermutlich gehörst du einfach nicht zur Zielgruppe manch nicht näher erleuterter Ratschläge.

Vorurteile ablegen... Wo kämen wir denn da hin...?

 

[Andy14]

...

Im übrigen habe ich das Problem mittlerweile selbst gelöst nach dem Stundenlangen durchforsten von Logs und Netzwerkverkehr. Es ist trotzdem ein Graus sich mi so etwas herumstressen zu müssen wenn womöglich irgendjemand die Antwort kennt, aber das Verbreiten dieser Information bzw jegliche längere Diskussion darüber systematisch unterbunden oder im Keim erstickt wird.
...

Da du dich schon beschwerst das hier keiner eine Lösung für das eigentliche Problem anbietet wäre es natürlich schön gewesen wenn du hier beschrieben hättest woran es bei dir lag!

 

[Skeltek]

Es kommen ca 13 Änderungen die ich am Netzwerk vorgenommen habe in Frage. Da ich gerade nicht backtracken kann ist es schwierig die anderen Änderungen als Fehlerursachen auszuschließen. Was in jedem Fall zu gelten scheint ist, daß wird die FritzBox 7390 als nicht UPnP-fähig eingestuft wird, wenn sich gleichzeitig User oder Programme über die Webmaske in der FritzBox anmelden.

-> Ein Ausloggen aus der Administrations-Maske der FB7390 bewirkt jedenfalls momentan ein Erkennen als UPnP-fähiger Router. Ein gleichzeitiges geöffnetes Fenster der FB-Web-Administrationsmaske bewirkt einen Fehlschlag bei der UPnP-Erkennung.

Hatte noch ein kleines selbstgeschriebenes Program laufen, welches die Einstellungen meiner FB automatisch je nach Bedarf ändert bzw kontrolliert. Auch in abgeschaltetem Zustand war das gleichzeitige Prüfen der FB-einstellungen über die Webmaske eher hinderlich für die Erkennung des UPnP.

 

[Andy14]

Das mit dem gleichzeitig Eingeloggt sein finde ich schon mal sehr interessant!
Danke

 

[Skeltek]

Mir ist im Laufe meines aktuellen Problems noch eine Fehlerquelle eingefallen, nachdem ich einige Tage darüber nachgedacht hatte: Die FritzBox kann den Port 443 gegebenenfalls für ihr SSL verwenden, weshalb die automatische Konfiguration fehl schlagen kann, falls UPNP versucht den port 443 weiterzuleiten. Leider hat das jedoch keinen Einfluss auf die erstmalige automatische Erkennung des UPNP-Routers. Die einzige Frage die sich stellt ist, ob der Port 443 benötigt wird für das gegebenenfalls Einloggen (falls das für das Erkennen des UPNP-Routers notwendig wäre, was ich allerdings nicht glaube).

Mein aktuelles Problem: Und es geht wieder nicht. Vor drei Tagen oder fing an die Freigabe fehlzuschlagen. Router wird nicht mehr als UPNP-fähig erkannt. Versuche schon alles mögliche gerade aus, bekomme es nicht wieder zum Laufen. SSL-Port der FritzBox 443 oder sonstiges: Es geht egal was ich einstelle nicht.

Mir ist ohnehin nicht ganz klar, was beim Klicken auf 'Einrichten des Routers' genau passiert. Auf welchem Port wird die FritzBox angesprochen, wo gibt sie ihre Antworten wieder? Muss der SSL-port der Fritzbox auf 443 bleiben oder kann ich ihn ändern?
Hatte den SSL Port der Fritzbox nun eine ganze zeit lang auf einen freien 40xxx-Port gelegt, dachte vielleicht schlägt hier was fehl, änderte ihn also zunächst wieder auf 443.
Das Passwort der FritzBox spielt ja für die Erkennung der UPNP-Funktionalität keine Rolle nehme ich an, also wäre es egal?

In der FritzBox sind keine Ports manuel freigegeben - also nichts was die automatische Konfiguration stören könnte. Wenn die Konfiguration fehlschlagen würde, weil der 443 weiter geleitet werden soll aber die FritzBox den 443 nicht hergibt, schlägt zwar die Konfiguration fehl... aber mit der UPNP-Erkennung hat das ja reichlich wenig zu tun, oder?

Meine DS418+ läuft schon seit dem fertig Einrichten fast absolut fehlerfrei, nur gelegentlich Probleme mit WebDav (da war Windows 10 schuld, konnte es aber beheben). Es ist aber ziemlich ärgerlich dass das UPNP nicht mehr funktioniert. Die Einrichtung hat ewig gedauert mit ziemlich vielen Einstellungen und Querzusammenhängen; wenn das nicht funktioniert, müsste ich mein gesammtes Netzwerk und die meisten Apps komplett neu konfgurieren.

Vielleicht hat jemand anderes Rat oder weiss inzwischen, was den Fehler beim UPNP auslöst. Vielleicht gab es vor kurzem ein fehlerhaftes Update der Router-Liste (und deren automatischen Konfigurationslisten)? Keine Ahnung wie ich das Prüfen soll.
Früher konnte ich es noch irgendwie hinkriegen, dass es läuft, jetzt irgendwie nicht mehr. Das letzte FritzOS-Update war vor zwei Wochen, entsprechend würde ich hier tendieren die Fehlerquelle auszuschließen, da der Fehler erst seit 3 Tagen auftritt. Aufgefallen war mir das ganze, als ich gestern feststellte, dass die Anmeldung meiner iPhone-Mail-App für meine Mailbox einen Fehler warf.

 

[Skeltek]

Hab es wieder hinbekommen.
Das Ein- und Ausschalten der selbstständigen Portfreigabe und ähnlichem half nichts. Anscheinend lag der Fehler bei der FritzBox: Ein- und Ausschalten der Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen-> 'Statusinformationen über UPNP übertragen' (jeweils 'Übernehmen' klicken nicht vergessen) hat geholfen. Anscheinend hängt sich unter Umständen das Protokol in der FritzBox auf.
Die FritzBox scheint ohnehin relativ empfindlich zu sein, falls irgendetwas fehlerhaft übertragen wird wie z.B. eine Portweiterleitung doppelt vorhanden.