Port verschleiern - merkwürdiges Phänomen

[betacarve]

Tach zusammen,

aufgrund er aktuellen SynoLocker Problematik, grase ich gerade alle Positionen ab, mit denen ich meine DS etwas sicherer machen kann.

Da der Port 5001 (inoffiziell) ja dem Webinterface der DS vorbehalten ist, möchte ich in meiner Fritzbox gerne eine Portweiterleitung von einem
5-stelligen Port auf den 5001 machen.

Ich habe nun in meiner Fritzbox mit drei verschiedenen Ports eine Weiterleitung auf die 5001 versucht, aber bei allen dreien lande ich bei Eingabe
von xx.xxxxx.deort auf einer Anmeldeseite für eine Dell Sonicwall mit der IP 195.30.107.1

Ich habe dies mit drei unterschiedlichen Ports (65432, 55555 und 53191) und drei unterschiedlichen Providern versucht. Ergebnis = immer das gleiche.

Nicht schlagen, aber sind die Ports von 49152 bis 65535 nicht frei und ich kann nehmen welchen ich will? Ich weiß, das Thema der Verschleierung wurde hier und da kontrovers diskutiert. Ich sage mir; schaden kann es nicht.

 

[Merthos]

Auch wenn Du es mit Deiner externen IP versuchst? Evtl. passt ja der DDNS nicht mehr.

 

[betacarve]

Strange - meine atuelle IP ist by DDNS hinterlegt.

Ich habe jetzt auf der Fritte mal wieder die Ports 5000 und 5001 freigegeben. Bei Aufruf über die DDNS Domain passiert (bei beiden Ports) mal so gar nix.

Nehme ich meine IP mit der 5000 - komme ich auf die Anmeldmaske
Nehme ich meine IP mit der 5001 - kommt folgende Meldung:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
Reason: You're speaking plain HTTP to an SSL-enabled server port.<br />
Instead use the HTTPS scheme to access this URL, please.<br />
</p>
</body></html>

Da es - wenn überhaupt - nur über meine IP geht, würde ich sagen, es besteht ein Problem mit der Umleitung meiner Subdomain auf den DDNS Account. Oder sehe ich das falsch.

 

[Fusion]

hast du der IP auch http bzw https vorangestellt?

Die Fehlermeldung sagt nämlich nichts anderes, als dass versucht wurde auf Port 5001 per unverschlüsseltem http anzufragen.

 

[betacarve]

Also als erstes habe ich die Weiterleitung meiner Subdomain auf meine DDNS kontrolliert - is alles richtig.

Ich habe nun folgende Sache ausprobiert:

1. http://IP => timeout
2. https://IP => timeout
3. http://IP:5000 => Weiterleitung auf 5001 und DS erscheint
4. http://domain => timeout
5. https://domain => timeout
6. http://domain:5000 => timeout

Da stelle ich mir zum einen die Frage, warum die 5001 nicht direkt funktioniert und warum es im Gegenzug mit der Domain:5000 nicht funktioniert. Es ging alles, bis ich aufgrund des Synolockers die Weiterleitungen in der Fritzbox deaktiviert habe.

 

[Fusion]

Also mal zurück zu den Anfängen. Ohne Domain, Ohne Umleitung, Ohne DDNS, nur die öffentliche IP von EXTERN für Tests nehmen.

- Welche Ports sind in der Fritzbox auf die DS weitergeleitet?
- Welche Ports sind in der DS unter Systemsteuerung unter Netzwerk > DSM Steuerung eingetragen?
- Ist https aktiviert?
- Ist Umleitung http > https aktiviert?
- Welche Ports sind in der DS unter Systemsteuerung unter Externer Zugriff > Erweitert eingetragen?
- Ist Webdienste aktiviert?

Edit:
http/https hat ja nur ein Ziel, wenn Web-Dienste aktiviert sind und Port 80 bzw 443 auf die DS verweisen und der Webserver auch eine Seite ausliefern kann. Andernfalls ist der Timeout normal.

Edit2:
Weiterleitung von 5000 > 5001, wo ist diese umgesetzt? Im Router?

 

[betacarve]

Ok - also:

- auf der FB ist der Port 5000 auf die 5000 weitergeleitet und der Port 5001 auf den 5001
- in DSM Steuerung sind HTTP und HTTPS eingetragen, HTTPS-Verbindung aktivieren, HTTP-Verbindungen automatisch auf HTTPS umleiten
- bei Externer Zugriff sind keine IPs eingetragen

 

[Fusion]

Den Port 5000 würde ich in der Fritzbox mal entfernen.
Ebenso die Umleitung von http > https in der DS (kannst du später wieder aktivieren, wenn du das unbedingt brauchst).

Wenn jetzt https://publicIP:5001 auf den DSM führt geht's einen Schritt weiter.

Nächster Test ist dann https://meineDDNS:5001, erscheint das DSM?
Wenn nicht:
- Was sagt nslookup meineDDNS?
- wieistmeineIP? Identisch zu nslookup?

 

[betacarve]

Also mal zurück zu den Anfängen. Ohne Domain, Ohne Umleitung, Ohne DDNS, nur die öffentliche IP von EXTERN für Tests nehmen.

- Welche Ports sind in der Fritzbox auf die DS weitergeleitet?

5000 auf 5000 und 5001 auf 5001

- Welche Ports sind in der DS unter Systemsteuerung unter Netzwerk > DSM Steuerung eingetragen?

http = 5000
https = 5001

- Ist https aktiviert?

ja

- Ist Umleitung http > https aktiviert?

ja

- Welche Ports sind in der DS unter Systemsteuerung unter Externer Zugriff > Erweitert eingetragen?

keine

- Ist Webdienste aktiviert?

nein

Edit2:
Weiterleitung von 5000 > 5001, wo ist diese umgesetzt? Im Router?

In der DS

EDIT:
Ich arbeite Deine Liste ab, sobald ich zuhause bin

 

[Benares]

Strange - meine atuelle IP ist by DDNS hinterlegt.

Aber die mit "ping <DDNS-Name>" oder "nslookup <DDNS-Name>" angezeigte IP ist schon deine aktuelle, externe IP, oder?

 

[betacarve]

Den Port 5000 würde ich in der Fritzbox mal entfernen.
Ebenso die Umleitung von http > https in der DS (kannst du später wieder aktivieren, wenn du das unbedingt brauchst).

Hab ich gemacht

Wenn jetzt https://publicIP:5001 auf den DSM führt geht's einen Schritt weiter.

Hat funktioniert

Nächster Test ist dann https://meineDDNS:5001, erscheint das DSM?

Nein - hier kommt auch sehr schnell die Fehlermeldung in FF, dass die Verbindung unterbrochen wurde, während die Seite geladen wurde

Wenn nicht:
- Was sagt nslookup meineDDNS?

Server:
127.0.0.1

Address:
127.0.0.1#53


Non-authoritative answer:
Name:
xx.xxxxx.de

Address:
195.30.107.188

- wieistmeineIP? Identisch zu nslookup?

Nein - ich muss allerdings dazu sagen, dass ich den Test aus meinem Büro mache. Lookup gibt mir für meine Domain die 195.30.107.188 zurück, während mir bei WimIP die 62.96.70.150 angezeigt wird.

 

[Fusion]

Ok, die beiden Tests "nslookup meineDDNS" und "wieistmeineip.de" können natürlich nur diesselbe Antwort ergeben, wenn sie aus dem lokalen Netz gestartet werden. Andernfalls sind sie leider auch nicht aussagekräftig. Der Test soll ja nur sicherstellen, dass die DDNS Adresse zum Testzeitpunkt auf die Öffentliche IP des eigenen Internetanschlußes verweist.

Da der Test mit der PublicIP ja aber erfolgreich war gibt es zumindest kein prinzipielles Verbindungsproblem. Jetzt müssen wir halt Schritt für Schritt weiter die Zwiebel zusammensetzen, bis es so geht wie angedacht.

 

[betacarve]

Ich kann einen Erfolg vermelden:
Ich habe mal die Weiterleitung meiner Subdomain auf die DDNS Adresse neu eingetragen. Wenn ich jetzt die Subdomain aufrufe, dann klappt auch die Weiterleitung auf die DDNS URL

Bei der Weiterleitung meiner Subdomain habe als Ziel meinen DDNS Account mit dem Port 5001 angegeben. Ich rufe also xx.xxxxx.de auf und werde auf die DDNS Domain mit dem Port 5001 weitergeleitet. So weit - so gut. Ich kann die DS also jetzt erst mal wieder über die Domain aufrufen.

Kommen wir nun zurück zum Kern der Sache;
Wenn ich es richtig sehe, dann leitet meine Fritzbox die Anfrage, die ich von außen an meine öffentliche IP an Port 5001 stelle, an den internen Port 5001 weiter.Sehe ich doch soweit richtig?

Jetzt komme ich nur zu der Frage, was ich wo konfigurieren muss, damit meine DS von außen nicht direkt auf Port 5001 ansprechbar ist, sondern meinetwegen auf Port 65432

 

[Fusion]

Du mußt in der Fritzbox die Portweiterleitung abändern, dass diese nicht 5001 > 5001 lautet sondern 65432 > 5001

von.. bis Port ist also 65432
an Port ist also 5001

Deine Domainweiterleitung muß dann auch noch entsprechend abgeändert werden, dass sie auf den neuen externen Port weiterleitet.

 

[Frogman]

Wenn ich es richtig sehe, dann leitet meine Fritzbox die Anfrage, die ich von außen an meine öffentliche IP an Port 5001 stelle, an den internen Port 5001 weiter.Sehe ich doch soweit richtig?

Ja.

Jetzt komme ich nur zu der Frage, was ich wo konfigurieren muss, damit meine DS von außen nicht direkt auf Port 5001 ansprechbar ist, sondern meinetwegen auf Port 65432

Dazu musst Du die Weiterleitung in der Fritzbox nicht von 5001 auf 5001 machen, sondern von 65432 auf 5001 sowie dementsprechend bei der Weiterleitung beim Provider nicht 5001 benutzen, sondern ebenfalls 65432.

 

[betacarve]

OK, dann war mein Gedankengang ja schon mal grundsätzlich nicht verkehrt.

Nur noch ne Verständnisfrage - bevor ich die Weiterleitung ändere:
Jetzt steht die Weiterleitung zu der DDNS mit HTTPS und Port 5001 drin. Den Port ändere ich jetzt meinetwegen auf den 65432. Was ist mit dem HTTPS? Sehe ich es richtig, dass ich den durch HTTP ersetzen muss?

Aktuelle Weiterleitung auf
https://DDNS:5001

Neue Weiterleitung auf
http://DDNS:65432 ???

 

[Fusion]

Nein, https gibt nur verschlüsseltes http vor. Das ist unabhängig vom Port. Du brauchst also https UND 65432
Nur wenn du https angibts und KEINEN Port nimmt er automatisch 443.

Wenn du die Weiterleitung nur auf http und 65432 machen würdest, würde er vermutlich einen Fehler bringen, da du versuchst ein "verschlüsseltes" Ziel unverschlüsselt aufzurufen.

 

[betacarve]

Vielen Dank euch beiden - funktioniert einwandfrei

Wenn ich jetzt nur xx.xxxxx.de (ohne Portangabe) im Browser aufrufe, dann lande ich auf meiner DS - auf Port 65432. PERFEKT!

Die Regiosperre habe ich nun auch wieder aktiviert - dachte am Anfang erst, das sie vielleicht Schuld wäre. Aber es läuft auch jetzt noch alles einwandfrei