Moin,folgendes:Ich habe eine Telefonanlage die in meinem Büro steht und eine FritzBox.Von Zuhause aus oder Unterwegs möchte ich mit der Anlage auch via App / Software arbeitenIm Büro habe ich eine wechselnde IP-Adresse, daher habe ich einen DynDNS Dienst eingerichtetDie App funktioniert aber nur sporadisch,da ich nicht alle Ports an der FritzBox freigeben worden sind (z.B. soll ich UDP 10.000 - 20.000 & 1.025 - 65.535 freigeben, bei der FB geht das jedoch nur in 250er Schritten und das ist mir viel zu aufwendig)Daher habe ich die Telefonanlage als Exposed Host freigegeben, seitdem funktioniert alles einwandfreiMir ist jetzt jedoch noch nicht ganz klar, wie sehr es in dieser Konstellation ein Sicherheitsrisiko darstellt.Es ist ja "nur" die Telefonanlage komplett frei und nicht alle anderen Geräte. Da ich einen DynDNS Dienst dafür eingerichtet habe, müsste jemand ja erstmal die URL haben um Schaden anrichten zu können und die Telefonanlage sperrt den User nach 5 Fehlerhaften Anmeldeversuchen. Daher sollte sich das Risiko doch in Grenzen halten, oder habe ich etwas nicht bedacht?Vielen Dank vorab für die Antworten!

Wie kritisch ist ein Exposed Host bei einer Telefonanlage mit DynDNS?

Moin,

folgendes:

Ich habe eine Telefonanlage die in meinem Büro steht und eine FritzBox.
Von Zuhause aus oder Unterwegs möchte ich mit der Anlage auch via App / Software arbeiten
Im Büro habe ich eine wechselnde IP-Adresse, daher habe ich einen DynDNS Dienst eingerichtet
Die App funktioniert aber nur sporadisch,da ich nicht alle Ports an der FritzBox freigeben worden sind (z.B. soll ich UDP 10.000 - 20.000 & 1.025 - 65.535 freigeben, bei der FB geht das jedoch nur in 250er Schritten und das ist mir viel zu aufwendig)
Daher habe ich die Telefonanlage als Exposed Host freigegeben, seitdem funktioniert alles einwandfrei

Mir ist jetzt jedoch noch nicht ganz klar, wie sehr es in dieser Konstellation ein Sicherheitsrisiko darstellt.

Es ist ja "nur" die Telefonanlage komplett frei und nicht alle anderen Geräte. Da ich einen DynDNS Dienst dafür eingerichtet habe, müsste jemand ja erstmal die URL haben um Schaden anrichten zu können und die Telefonanlage sperrt den User nach 5 Fehlerhaften Anmeldeversuchen. Daher sollte sich das Risiko doch in Grenzen halten, oder habe ich etwas nicht bedacht?

Vielen Dank vorab für die Antworten!

LisamagPferde04

07.03.2025, 19:49

Funktioniert es vielleicht über eine VPN Verbindung zur FRITZ!Box?

MrMP95

Beitragsersteller

07.03.2025, 19:50

Ja, das funktioniert.

Allerdings nutze ich halt auch zeitgleich andere Programme die sich bei Aktivierung einer VPN gestört fühlen, daher ist das auch nicht praktikabel.

2 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

BeamerBen

07.03.2025, 21:32

Da ich einen DynDNS Dienst dafür eingerichtet habe, müsste jemand ja erstmal die URL

Nö, man scannt einfach die IP Adressen nach offenen Ports, und schaut ob irgendwo ein verwundbarer Service läuft. Das passiert automatisch. Dein DynDNS muss dafür niemand kennen.

Es ist ja "nur" die Telefonanlage komplett frei und nicht alle anderen Geräte.

Und wenn jemand die Telefonanlage übernimmt, kann man über die Telefonanlage auf alle anderen Geräte zugreifen, als wären sie ebenfalls exposed.

Und außerdem kommt im Zweifel der Traffic dann aus deinem Netzwerk, egal welches Gerät übernommen ist.

oder habe ich etwas nicht bedacht?

Ja, siehe oben.

Mir ist jetzt jedoch noch nicht ganz klar, wie sehr es in dieser Konstellation ein Sicherheitsrisiko darstellt.

Das ist so sicher, wie die Telefonanlage sicher ist :)
Also wenn da ungepatchte Lücken drinnen sind, die bekannt sind, überhaupt nicht sicher.

Nutz einfach ein VPN, wenn du dir nicht sicher bist, ob die Telefonanlage sicher genug ist, um sie direkt erreichbar zu machen. Gerade IoT Geräte die frei im Internet erreichbar sind, sind oft ein Sicherheitsrisiko. Alles andere würde ich als grob fahrlässig ansehen.

davegarten

07.03.2025, 20:52

Ganz ungefährlich ist das schon nicht. Ich hatte mal ein IP-Telefon zuwenig abgeschirmt, und da gab es dann nach einiger Zeit immer wieder Attacken aus ausländischen Netzwerken. Firmware-Updates gibt es schon lang keine mehr, somit ist so ein Telefon natürlich ein erhebliches Sicherheitsrisiko. Ich habe es allerdings mitterweile auf den SIP-Provider und einige weiteren Adressen eingeschränkt.

Du müsstest erst einmal prüfen, welche TCP oder UDP-Ports die Telefonanlage abhört, und dann je nach Service prüfen, ob Du nicht einfach einen einzelnen Port forwarden willst, statt alles zu exposen.

Ähnliche Beiträge

Minecraft Server Port freigeben?

Guten Abend,

Ich möchte gerne einen Minecraft-Server für mich und ein paar wenige Freunde auf meinem PC hosten.

Dafür muss ich ja den Port 25565 forwarden. Das habe ich (siehe Bild) auch ein Mal für TCP sowie einmal für UDP gemacht. Für meinen PC. Hab den Router auch neu gestartet und die Firewall in Windows vorübergehend deaktiviert.

Dennoch ist der Port nicht freigegeben wie mir die Internetseite "youtetsignal" sagt + niemand kann meinem Server beitreten.

Woran kann das liegen? Ist etwas falsch konfiguriert? Fritz.box 6591 Cable.

...zum Beitrag

Die IPv4 Adresse 1.1.1.1 ist etwas Besonderes. Die wievielte IP im Netz 1.0.0.0/8 ist das genau?

Ich habe da 65.793 weiß aber nicht ob das richtig ist deswegen würde ich gerne noch ein paar antworten hören

...zum Beitrag

Was Internet Anbieter sagen um öffentliche IPv4 Adresse zu bekommen?

Hi ich habe DS Lite würde aber gerne eine öffentliche IPv4 Adresse haben und IPv6. Was könnte ich da dem Anbieter sagen damit sie es auch wirklich umstellen?

...zum Beitrag

Kann man auch ein Netzwerk ohne eigenenständigen Router betreiben wenn man einen DHCP- und DNS Server und ein Modem hat?

Habe die letzten Tage mal mit verschiedenen DNS Servern herimgespielt, darunter auch mit Adguard Home, dort ist mir aufgefallen dieser bietet auch die Möglichkeit einen DHCP-Server einzurichten was bedeutet meine FritzBox würde ja nach meinem Wissen nichts mehr machen, da Ich für meinen Glasfaseranschluss ein externes Modem (der Telekom) verwende.

Daher meine Frage könnte Ich reintheoretisch den Router auch mit der Konfiguration weglassen? (mir ist schon klar man müsste den Gateway und so natürlich auch umändern...
PS. Würde Ich auch sicher nicht machen da das FritzBox W-Lan Mesh für mich unverzichtbar ist

...zum Beitrag

Pc bekommt IPv4 Adresse zugewiesen und gibt sie direkt wieder ab?

Hallo ich habe seit ein paar Tagen das Problem auf zwei Computern, dass ihnen keine IPv4 Adresse richtig zugewiesen wird.
Das läuft so ab:
DHCP weist den PC vorläufige Adresse mit 169. als Anfang zu -> im Router interface wird dem PC eine Adresse zugewiesen -> der PC dupliziert diese und gibt sie nach wenigen Sekunden wieder ab -> PC besitzt nur noch IPv6 Adresse
Ich hab mich schon durch viele Foren gearbeitet und so gut wie alles erdenkliche ausprobiert (DNS Server, DHCP neustarten, IP-Vergabe Reichweite vergrößern, usw.)
Ich bin echt ratlos und hoffe mir kann jemand helfen

...zum Beitrag

FritzBox Portfreigabe Problem – Externe Ports werden nicht wie gewünscht gesetzt!?

Hallo zusammen,

ich versuche, auf meiner FritzBox 6660 Cable eine Portweiterleitung einzurichten, stoße aber auf das Problem:

"Für diese Freigabe wurden andere Ports extern vergeben als von Ihnen gewünscht."

Mein Setup:

Gerät: Raspberry Pi
Ziel: Zugriff auf einen Webserver via DuckDNS
Dienste: Caddy als Reverse-Proxy (läuft auf Port 80/443), Flask-Server (läuft auf Port 8000)

Was ich gemacht habe:

1️⃣ Freigabe für Port 80 & 443 auf die interne IP des Raspberry Pi eingerichtet

2️⃣ Port 8000 nur intern genutzt (Caddy leitet an Port 8000 weiter)

3️⃣ IPv6 aktiviert & Firewall für delegierte IPv6-Präfixe geöffnet

4️⃣ Caddy richtig konfiguriert:

XXXX.duckdns.org {
    reverse_proxy localhost:8000
}

5️⃣ Caddy-Dienst neugestartet & überprüft, ob er auf 80/443 lauscht.

Problem:

Wenn ich in der FritzBox Port 8000 → 443 weiterleiten will, kommt die Fehlermeldung:

"Für diese Freigabe wurden andere Ports extern vergeben als von Ihnen gewünscht."

Ich verstehe nicht, warum die FritzBox das blockt. Hat jemand eine Idee, woran das liegt?

Danke für eure Hilfe! 🙏

...zum Beitrag

IP freigeben?

guten Abend,

gibt es eine Möglichkeit seine IP Adresse mit einem Speedport Smart 4 an eine andere Adresse Freizugeben mit einer Fritzbox oder die IP irgendwie mit der Fritzbox (die in einem anderen Haus steht) zu teilen?

...zum Beitrag

VPN auf WAN Fritz Box?

Ich habe eine Haupt-Fritzbox mit dem Netz 192.168.2.0/24 und eine zweite Fritzbox, die über WAN angebunden ist und das Netz 192.168.178.0/24 verwaltet. Die zweite Fritzbox bekommt im Hauptnetz die IP 192.168.2.197. Geräte im 178er Netz können auf das 2er Netz zugreifen, aber nicht andersherum. Statische Routen auf der Fritzbox funktionieren nicht, weil sie als unzulässig abgelehnt werden, und WireGuard-VPN hilft auch nicht. Wie kann ich es einrichten, dass Clients aus dem Hauptnetz auf Server im 178er Netz zugreifen können?

...zum Beitrag

IP ändert sich nicht mehr?

Wenn ich meine Fritzbox per browser neu verbinde bekomme ich in der regel eine neue IP. Zumindest war es früher so. Nun ändert sie sich nicht mehr egal ob ich neu verbinde, cmd exe nutze oder den router an und aus schalte.

Was kann ich machen? Meine aktuelle IP wurde von einem Forum was ich eigentlich gerne besuche verbannt.

Kann ich plötzlich eine feste ip haben wenn das früher nicht so war?

...zum Beitrag

Warum kann ich mich mit den teamviewer mit mein Kunpel nicht verbinden?

Es steht ja so ne IP da z.B. 1 222 22 222 z.b. und ich geb die ein und es kommt dann das die Sitzung unbekannt oder Ungültig ist oder sowas in der Art.

Wie kann das sein, er hat mir ein Foto von seiner IP geschickt aber es geh nicht, und die IP blieb ja gleich, das Passwort ändert sich halt aber die IP bleibt gelich.

Warum kann icih mich mit ihn nicht verbienen???

...zum Beitrag

Blockiert mein ISP mein portforwarding?

Alsoo ich habe einen vertrag bei pyur und irgendwas läuft hier falsch. ich möchte einen port freigeben (25565, 19132) aber irgendwie geht des nicht alle ports sind blockiert auch wenn ich sie in den router einstellungen freigebe (Fritzbox 6660 Cable Privat) folgende ports sind geblock (FTP 21 SSH 22 Telnet 23 SMTP 25 DNS 53 HTTP 80 POP3 110 IMAP 143) was ja eigentlich nicht sein kann auch hat sich anscheinend meine Public IP geändert denn in cloudflare hatte ich noch eine andere drinnen haben die was gemacht ? port 80 kann ja eigentlich nicht gesperrt sein der einzige port der jetzt offen ist ist 51513 was für die diagnose usw der fritzbox zuständig ist was mach ich jetzt ?

...zum Beitrag

Ist der klassische Netzwerkadministrator am Sterben?

Mit klassischer Netzwerkadministrator meine ich der Admin der nur für die Netzwerkinfrastruktur zuständig ist.

Nicht für Firewalls oder Server. In dem Bereich macht er nur basic Sachen wie ACLs erstellen oder ein DHCP Scope erstellen oder DNS Eintrag ändern.

...zum Beitrag

Domain Controller DHCP IP Reservierung?

Hallo.

Wir bekommen nächste Woche zwei neue Geräte. Diese brauchen eine feste Ip-Adresse. Ich möchte daher zwei freie IPs reservieren, sodass diese im DHCP nicht vergeben werden können. Wenn ich aber unter der "DHCP Software" vom Domaincontroller eine neue Reservierung anlegen möchte, zeigt es immer an:

Die Zeichenfolge für die Client-UID ist ungültig. Will der eine MAC? Die habe ich ja noch nicht.
Kann mir vielleicht wer weiterhelfen?

...zum Beitrag

Address Pool Range:?

pfsense, ipv6 dhcp server

die LAN Schnittstelle pfsense hat eine entsprechendes Präfix.ist 64 Die Schnittstelle LAN teilt den Systemen die entsprechende Prefix mi Damit bilden Sie sich ihre IP V6 Adresse Jetzt frage ich mich dieser Pool. Was steht dort für Daten drin? Beziehen sich diese Daten auf die Geräte ID Also auf die letzten 64 bits sprich den Host anteil oder auf was? Bitte ein Beispiel, damit ich das verstehe

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen