Portfreigabe via Mesh System?
Hallo, habe folgendes Problem:
Habe einen Windoes Server bei mir zuhause stehen. Dieser ist via LAN an einem wif6 mesh system angeschlossen (Das Mesh System gilt als eigener Router)
Das Mesh System ist wiederum am hauptrouter angeschlossen.
Nun möchte ich Ports via Router freigeben, was aber nicht funktioniert. Auch wenn ich die ports am mesh system und am Router freigebe funktioniert es nicht.
Gibt es irgendeine Möglichkeit das zu umgehen, bzw überhaupt zu wissen wo das Problem ist?
Vorab: Ich möchte das mesh system nicht in den bridge Modus setzen.
--------
Zyxel Multy M1 Mesh-System
Router von der Telekom, nicht mehr das neuste Modell - falls genauere Infos benötigt werden kann ich die nachreichen.
Achja, bin 16 und das ist alles nur ein Hobbyprojekt. Daher bin ich jetzt nicht der absolute Experte ^^
6 Antworten
Mesh hat nichts mit einem Router gemein. Von einem Mesh spricht man wenn ein Kontroller die Steuerung eines WLAN Netzwerkes mit mehreren APs übernimmt. Dabei können sich dann Anwender im Bereichs des Mesh bewegen ohne das sie den Wechsel der APs bemerken.
Das hat man auch schon früher so gemacht. Allerdings hatte jeder Hersteller seine eigenen Protokolle und Geräte verschiedener Hersteller funtionierten oft nicht miteinander. Erst mit Einführung eines einheitlichen Protokolls kam der Begriff Mesh auf.
Bei einem Heimnetzwerk mit z.B. einer Fritzbox übernimmt die Fritzbox die Aufgabe des Kontrollers.
Alle Portanfragen werden zum Router weitergeleitet.
Innerhalb eines Netzes sollten Ports eigendlich nicht gesperrt sein.
Ein Programm öffnet einen Port und lauscht auf eine Antwort.
Das gleiche gilt für Anfragen aus dem Internet.
Wenn du z.B. eine Internetseite öffnest ist der Port 80 dafür zuständig.
Lauscht kein Programm an einem Port sollte dieser immer geschlossen sein.
Am Router gibt man eigendlich keine Ports manuell frei. Man kann sie aber direkt zu einem Ziel leiten. (Portforwarding). Dabei kann man auch den Port wechseln.
Ein Beispiel:
Ein Programm lauscht auf Port 8000 auf eine Anfrage. Der Anfragende kommt aber über Port 9000 rein. Dann kann man im Router bei Anfragen über Port 9000 direkt auf den Port 8000 des Ziels umleiten.
Und nicht vergessen es gibt zwei übliche Protokolle für Ports: TCP und UDP.
Man muss also wissen welches Protokoll vom Ziel benötigt wird.
Spiele verwenden gerne UDP da bei Fehlern die Pakete einfach verworfen werden. Was die Geschwindigkeit erhöht.
Bei TCP werden Fehlerhafte Pakete erneut angefragt. Das kann zu Verzögerungen führen.
Hacker nutzen gerne allgemeine Ports für einen Angriff. So ist z.B. der Port 3389 für RDP bekannt. Ist da hinter eine Anwendung für RDP kommt der Hacker bis zu dieser Anwendung. Jetzt ist es wichtig das die RDP Anwendung nach 3 Anmeldeversuchen den Angreifer sperrt. Leider sind RDP Server von Microsoft oft nicht mit einer Anmeldesperre versehen wenn es nicht extra eingerichtet wird. Der Hacker kann nun mit einer Brute focre Attacke alle Passwörter ausprobieren bis er sich irgendwann anmelden kann.
Auch sollte der Administrator Account anders heißen. Das ist der erste den ein Hacker versucht.
Darum ist es immer wichtig Sicherheitsabdates zu installieren und nur wenige Anmeldeversuche zuzulassen.
Ein Hacker probiert alles Ports aus um zu sehen ob sich dahinter eine Anwendung befindet die fehlerhaft ist und man so ins System kommt.
So etwas muss ein Router erkennen können und gegebenfalls dicht machen.
(Das Mesh System gilt als eigener Router)
Und warum? Warum nicht einfach nur als WLAN-APs?
Nun möchte ich Ports via Router freigeben, was aber nicht funktioniert. Auch wenn ich die ports am mesh system und am Router freigebe funktioniert es nicht.
Ich nehme an, du möchtest per IPv4 erreichbar sein. Hast du denn eine eigene öffentliche IPv4 - auch am Gateway / Haupt-Router? Oder nutzt dein Anbieter DSLite oder GCNAT?
Kannst du denn im Netz vom Gateway Dinge problemlos freigeben?
Gibt es irgendeine Möglichkeit das zu umgehen, bzw überhaupt zu wissen wo das Problem ist?
Ja. Erstelle einen Tunnel aus dem Netzwerk heraus - z.B. per Cloudflare Tunnels oder mit Pangolin auf einem gemieteten VPS
Achja, bin 16 und das ist alles nur ein Hobbyprojekt. Daher bin ich jetzt nicht der absolute Experte ^^
Muss es denn Windows Server sein? Sofern man nicht auf die Features von Windows Server angewiesen ist, nutzt man als Server eher Linux
Du kannst dich erstmal per LAN (oder WLAN) mit dem Telekom Router verbinden. Für dein Mesh System bist du dann im "Internet".
Kannst du von dort auf dein Server zugreifen? Du musst dann auch die IP von deinem Mesh Router nutzen.
Der nächste Schritt wäre aus dem Internet mit der öffentlichen IP.
Ich weiß nicht wie stark Telekom die DS Lite Thematik nutzt. Hast du überhaupt eine eigene öffentliche IP Adresse oder teilst du die mit anderen Kunden? Bei letzterem kommst du nie Zuhause bei deinem Router an.
Ein weiterer Versuch wäre, wenn du den Server (oder anderen) direkt mit dem Telekom Router verbindest und testest.
Router von der Telekom, nicht mehr das neuste Modell
Hier könnte bereits die Ursache liegen.
Ältere Speedports haben schon mal die Eigenheit, dass sie Portfreigaben als aktiv angezeigt haben, die Ports aber dennoch nicht geöffnet wurden. Das passiert vor Allem bei Ports, die der Speedport selbst für seine eigene Oberfläche nutzt.
Und wenn neben der Portfreigabe in manchen Modellen keine Weiterleitung explizit eingetragen wurde, dann sind die Ports zwar offen, aber ohne Weiterleitungsziel werden die Pakete einfach verworfen statt zum erhofften Server weitergereicht zu werden.
Sollten die Standard IP-Adressen der Router verwendet werden, könnte das Netz etwa so aussehen:
Auch auf dem Server müssen die Ports freigegeben werden. Testen kann man mit Ping oder Telnet, wobei Telnet separat installiert werden muss.
https://www.heise.de/tipps-tricks/Windows-10-Telnet-Client-aktivieren-4569277.html
Um herauszubekommen was für eine öffentliche IP-Adresse du hast, kann:
tracert -4 google.com
oder
tracert google.com
verwendet werden. Der zweite Hop sollte deine öffentliche IP-Adresse sein.
