xDSL.at

[schrottgulli1]

Ich hab mir vor kurzem AonSpeed gekauft. Geh über das SpeedTouch 546 im multiuser Modus ins Internet. Möchte nun auch aus der Ferne auf das Modem zugreifen können. Wenn ich über vpn in mein Netzwerk gehe kann ich von "hinten" aufs 546 zugreifen. Es geht auch wenn ich zB. Port 8081 auf meinem Router dahinter weiterleite und der dann wieder aufs 546 (10.0.0.138) auf Port 80 zurück. Hab mir im 546 auch eine Regel eingerichtet wo der 8081 auf 10.0.0.138:80 geforwardet wird. Auch auf Port 51003 hab ichs probiert zuzugreifen (user.ini config secure=disabled port=51003 timeout=20). Einen Benutzer mit root- Rechten bzw mit admin-Rechten hab ich auch angelegt. Mach ich grundlegend was falsch? Wer kann mir hier helfen.

[max_payne]

wo der 8081 auf 10.0.0.138:80 geforwardet wird.

probier mal ihn auf localhost:80 zu forwarden

[wernerkl]

hat vpn nicht 1723, welches 546er hast, und welche firmware ist drauf, bei den älteren gabs probleme mit vpn

[schrottgulli1]

Danke für die Tipps!
Natürlich hat vpn 1723, vpn funktioniert ja auch wunderbar, das 546er

Produktname:SpeedTouch 5x6
Seriennummer:0606CH0DM
Softwareversion:5.3.1.9.0

leitet port 1723 auf meinen Router weiter, der hat einen vpn Server eingebaut.
Das läuft ja wunderbar, nur ab und zu braucht mein Router einen Neustart weil er sich aufhängt, dann hab ich keinen Zugriff mehr. ich hab auch schon versucht auf 127.0.0.1:80 weiterzuleiten leider ohne Erfolg.

[diskette]

Geh über das SpeedTouch 546 im multiuser Modus ins Internet. Es geht auch wenn ich zB. Port 8081 auf meinem Router dahinter weiterleite.

546 im multiuser ist ein router.
wofür dann noch einen router ? (vielleicht VPN)
schau mal in die routingtabelle des 546er dort müsste port 80 auf localhost oder 127.0.0.1 zeigen.
ev firewall kontrollieren bzw freischalten.

[schrottgulli1]

wofür dann noch einen router ? (vielleicht VPN)

Mein Heimrouter erfüllt ja noch andere Aufgaben die das 564 nicht kann. Wlan, USB Platte mit ftp- Server, Webcam, QOS usw.
Bei meinem 546 hab ich noch keine Routingtabelle finden können, außerdem ist es recht langsam immer über die vpn Verbindung und über den Router ins Webinterface des ADSL- Modems zu gehen, mein Router steht in Österreich ich bin aber Im Ausland. Ich trau mich auch keine Neue Firmware draufzumachen da ich micht so einfach den Netzstecker ziehen kann. Die Firewall aus zu machen bringt auch nix, hab ich schon versucht.

[wernerkl]

mit der neueren firmware läuft das ding stabiler, 5.4

[zid]

>"...Bei meinem 546 hab ich noch keine Routingtabelle finden können,..."
=> ip rtlist
wichtiger werden wahrscheinlich d. nat mappings sein ("...Die Firewall aus zu machen bringt auch nix, hab ich schon versucht..."), also
=> nat maplist
wenn du online bist, bzw.
=>nat tmpllist

hoffe, daß ich dein szenario richtig geschnallt habe:
>"...Es geht auch wenn ich zB. Port 8081 auf meinem Router dahinter weiterleite und der dann wieder aufs 546 (10.0.0.138) auf Port 80 zurück. Hab mir im 546 auch eine Regel eingerichtet wo der 8081 auf 10.0.0.138:80 geforwardet wird..."
verstehe ich nicht, funkt das oder nicht?
du kommst rein aufs speedtouch p. 8081, forwardest auf router p.80 und danach soll d. router, d. d. ganze a. p 8081 erwartet, a. p. 80 d. st's weiterleiten?
wahrscheinlich hab' ich wieder mal'n brett vorm kopf.

>"...Auch auf Port 51003 hab ichs probiert zuzugreifen (user.ini config secure=disabled port=51003 timeout=20)..."
p. 51003 wird v. alcatel tatsächlich f. rem. assistance verwendet, um damit port 443/https zu verstecken. der dienst heißt SRAS u. ist rel. restriktiv angelegt:
user ist "tech", also rel. hoch, pw. ist e. token gebunden a. e. timeout v. 1200s, fw. SRAS-regel wird 2x modifiziert, 1x b. aktivierung d. dienstes (da wird auch d. napt-map erzeugt), danach b. zugriff d. technikers (s. "sink_system_service" chain). wenn d. ganze steht, sind sowohl src.ip als auch src.intf. verankert.
diese konfig. wird, wenn ich's richtig verstanden habe, nicht deinen wünschen gerecht, könnte aber i. modifizierter form durchaus tauglich sein (mal davon abgesehen, daß du permanent e. port m. statischen pw. am speedtouch offen hast, risiko: hoch).
wie erfolgt dein remote zugriff? stat.ip od. dyn.ip?
was ich nicht kapiere: umweg über router, wozu?

[schrottgulli1]

verstehe ich nicht, funkt das oder nicht

Also das funktioniert so. Ich komm rein vom Internet auf Port 8081 (IP von Dyndns), da Modem forwardet auf den dahinter liegenden Router auf Port 8081, dieser wiederum schickt das Paket dann von hinten aufs Modem auf Port 80. Das ist die einzige Möglichkeit (außer vpn und RemoteDesktop vom Heimrechner) um aufs ADSL Modem zugreifen zu können.

[lordpeng]

warum konfigurierst du das modem ned auf spoofing oder stellsts auf single-betrieb und wählst dich mit dem router ein?

[schrottgulli1]

warum konfigurierst du das modem ned auf spoofing oder stellsts auf single-betrieb und wählst dich mit dem router ein?

Das war mein alter Zustand, als dann mal der Router in einer Endlosschleife war ging gar nix mehr, konnte also nicht mehr in mein Netzwerk rein da ja nix mehr ging mit dyndns und online sein.

[lordpeng]

ordentlichen router kaufen, dann klappts auch ...

[schrottgulli1]

ordentlichen router kaufen

Hab ich mir gedacht dass es um 280€ was Gscheits sein müsste. Aber er steht nun mal zu Hause und das kann ich so aus der Ferne nicht mehr ändern. Hilft mir momentan nicht weiter der Tipp.

[zid]

>"...Also das funktioniert so. Ich komm rein vom Internet auf Port 8081 (IP von Dyndns), da Modem forwardet auf den dahinter liegenden Router auf Port 8081, dieser wiederum schickt das Paket dann von hinten aufs Modem auf Port 80..."
das hast du schon gemacht und alles geht? na egal, muß nicht alles verstehen.

>"...Das ist die einzige Möglichkeit (außer vpn und RemoteDesktop vom Heimrechner) um aufs ADSL Modem zugreifen zu können..."
geht auch anders (imitiere jetzt d. rem. assistance d. st f. e. dyn.ip a. modem -> "tmpladd"), vielleicht ist es das, was du willst:

1. napt f. p. 51003:
=>nat tmpladd intf=Internet* type=napt outside_addr=0.0.0.1 inside_addr=127.0.0.1 protocol=tcp outside_port=51003 inside_port=443
* kann auch anders heißen ("Shared_Internet"), d. richtigen ausdruck findest du m. "interface list".
=>nat tmpllist
...
...
8 NAPT Internet any 0.0.0.1:51003 127.0.0.1:443 1
...
und wenn du online bist:
=>nat maplist
...
...
2 NAPT Internet ip.deiner.wan.schnittstelle:51003 127.0.0.1:443 0
...

2. routen zum loopback device prüfen, müßte passen.

3. firewall öffnen:
=>firewall rule add chain=sink_fire index=1 name=my_SRAS srcintf=_Interne
t* serv=HTTPs_sv_0* log=enabled state=enabled action=accept
*diese namen können variieren, schau nach mit "expr list" und definiere gegebenenfalls passende ausdrücke. wenn du mit einer stat. ip a. d. st zugreifst, dann src.ip i.d. regel einbauen.
=>firewall rule list
...
sink 1 CDE : link sink_fire
2 CDE : link sink_system_service
sink_fire 1 C EL my_SRAS : accept HTTPs_sv_0 _Internet.* > *.*
...

4. user m. hinreichend hohen priv.s f. remote assistance anlegen, admin zu schwach, root zu stark. geeignetes priv. niveau: "TechnicalSupport" (schau sicherheitshalber nach, wie deine roles definiert sind).

du hast jetzt keinen timeout für sras, hmm, manche mögens heiß...

[schrottgulli1]

=>:nat tmpladd intf=Shared_Internet type=napt outside_addr=0.0.0.1 inside_addr=127.0.0.1 protocol=tcp outside_port=51003 inside_port=445
Failed to add template : failed to auto instantiate.