xDSL.at

[biohazard999]

Hallo Leute!

Ich weiß, das is inzwischen ein sehr leidig durchgekautes Thema, aber ich weiß schon einfach nicht mehr weiter, und hoffe hier Rat zu finden (einige Probleme hab ich durch das Forum hier schon Lösen können).

Ich hab seit gut einem halben Jahr Tele2, Volles Rohr 16MBit und bin soweit recht zufrieden. Seit gut 3 Monaten bin ich Selbstständiger/Freiberuflicher Softwareentwickler, Administrator, Mädchen für alles

Soviel zur Vorgeschichte.

Ich versuche nun schon seit einiger Zeit ein vernünftige Lösung für das Remote-Arbeiten auf meinem Server zu finden. Egal was ich versucht habe, es funktioniert nichts so richtig.

Die momentane Infrastruktur sieht wie folgt aus:

Tilgin Vood 452W in normaler Konfiguration (also mit dem Tele2 autoconfig)
LAN-IP (statisch): 192.168.10.1
DHCP-Relais: 192.168.10.2
WLAN aktiviert und funktioniert auch tadellos.

Server:
Windows Server 2003
LAN-IP: 192.168.10.2
fungiert als Active Directory, DNS, DHCP, VPN, SVN und HTTP-Server

2 Clients beziehen Adressen via DHCP, funktioniert einwandfrei
1 Client (mein Developer Rechner) kriegt via DHCP eine reservierte Adresse zugewiesen: 192.168.10.111

Was ich nun möchte ist ein Zugriff auf den SVN-Server von außen hin. Der läuft auf Port 8080
Und einen Zugriff auf den HTTP-Server, Port 80

Die Ports sind im Prinzip egal, ich kann ohnehin alles frei konfigurieren, mir gehts hier nicht um eine Live, sondern um eine Test-Umgebung für meine Mitarbeiter.

Die erste Idee war natürlich eine saubere VPN-Verbindung, die Idee scheitert an der Port-Weiterleitung, da man bei dem Tilgin anscheinend GRE nicht forwarden kann..

Die 2te Idee war dann direkt die Ports weiter zu leiten, jedoch ohne Erfolg! Egal welcher Port, das Zeug kommt nicht am Server an!

Was ich jedoch äußerst komisch finde ist das eine einziges Port-Forward funktioniert:
Und zwar UltraVNCSingleClick (Port 5500).
Das Teil hab ich auf meinen Developer Rechner weiter geleitet, damit ich meinen Endkunden Direkt-Support anbieten kann.
Das ist das einzige das funktioniert!

Aber versuche ich die anderen Ports auf meinen Develop-Rechner weiter zu leiten (Lokale Testumgebung, oder Lokaler SVN-Server) funktionierts auch nicht.

Am Tilgin hab ich schon alles erdenkliche versucht:
Die Standard-Port Weiterleitung (die voreingestellten Dinger)
Die User-Standard-Port-Weiterleitung (also selbst solche Sets von Ports festlegen und weiterleiten)
und die Benutzerdefinierte Portweiterleitung.

Was ich noch dazu schreiben sollte:
Da der Tilgin kein DynDNS kann, hab ich auf dem Server den DynDNS-Update-Client installiert und als Dienst laufen, die IP-Adresse stimmt, Namensauflösung funktioniert einwandfrei (sonst würde UltraVNC ja auch nicht funktionieren).

Ich spiele auch schon länger mit dem Gedanken den Server nicht nur als RAS sondern auch als Router zu konfigurieren, jedoch weiß ich nicht ob man den Switch am Tilgin so einstellen kann das er die restlichen 3 Ports isoliert (VLAN), platztechnisch ist leider kein raum mehr für einen 2ten switch..

Ich hoffe das mir Irgendwer einen Tip geben kann, und hoffe das ich nicht zu verwirrend geschrieben habe.

Ich danke euch im Vorraus,
Grüße Manuel.

[jutta]

ein beliebter fehler bei den tilgin-iads ist, dass die falsche verbindung zum forwarden verwendet wird - also voip statt internet.

was ich mir auch vorstellen koennte: ein ip-konflikt. probier einmal, dem server eine "hoehere" ip als *.2 zu geben.

//ps:

> Die 2te Idee war dann direkt die Ports weiter zu leiten, jedoch ohne Erfolg! Egal welcher Port, das Zeug kommt nicht am Server an!

bist du dir sicher? es waer nicht das erste mal, dass eine lokale firewall oder sonstige sicherheitseinstellung das port-forwarding verhindert. was sprechen die logfiles? eventuell auch mit einem netzwersniffer pruefen (wireshark/ethereal)

[biohazard999]

ein beliebter fehler bei den tilgin-iads ist, dass die falsche verbindung zum forwarden verwendet wird - also voip statt internet.

Das kann ich mal definitiv ausschließen.

was ich mir auch vorstellen koennte: ein ip-konflikt. probier einmal, dem server eine "hoehere" ip als *.2 zu geben.

Das denke ich ebenso wenig (ich habs nicht getestet, die IP von dem server zumzustellen wäre ziemliche knochenarbeit) ich halte das auch für sehr unwahrscheinlich. so viele clients sinds ja nicht, woher sollte da ein konflikt kommen?
192.168.10.1 < Router
192.168.10.2 < Server
192.168.10.111 < Development Rechner
192.168.10.10-128 < DHCP Table (2 Rechner und einige Notebooks)

Ip-Adressenkonflikt wäre ja im LAN intern schon spürbar.

bist du dir sicher? es waer nicht das erste mal, dass eine lokale firewall oder sonstige sicherheitseinstellung das port-forwarding verhindert. was sprechen die logfiles? eventuell auch mit einem netzwersniffer pruefen

Kann ich definitiv auch ausschließen, es läuft keine Firewall und auch die Sicherheitsrichtlinien sind oke, denn mit nem UMTS-Modem am Develop-Rechner oder am Server komm ich ohne weiteres von draussen drauf.

Bei den Logs am Server seh ich nichts was drauf hindeuten würde das das Tilgin-teil was durchlassen würde.

Wireshark werd ich heute am Abend noch versuchen.

Was mich halt total irritiert ist das eben der UltraVNC korrekt weitergeleitet wird, und sonst nichts,..

Wenn ich mit diversen Internet-Port-Sniffern meine IP anschaue (heise zb.) seh ich ja das die Ports offen sind, mir scheints als würd er die irgendwo ins leere weiterleiten.

[jutta]

> Was mich halt total irritiert ist das eben der UltraVNC korrekt weitergeleitet wird, und sonst nichts,..

das ist eine andere ip adresse.

ich habe vage in erinnerung, dass das iad422 (das 452w hatte ich noch nie in der hand) eine ip fuer die usb-schnittstelle reserviert hat. das koennte zb ein grund sein, warum 192.168.0.2 nicht funktioniert. dass du keine stoerung merkst, sagt nichts.

mit netzwerksniffer meinte ich, dass du pruefen sollst, was im lan los ist.

> Wenn ich mit diversen Internet-Port-Sniffern meine IP anschaue (heise zb.) seh ich ja das die Ports offen sind, mir scheints als würd er die irgendwo ins leere weiterleiten.

das denke ich auch. eben, weil das forwarding auf 192.168.0.2 nicht funktioniert. wenn du eh mehrere notebooks hast, dann koenntest du testhalber ja auf einem irgendeinen serverdienst installieren und das portforwarding dahin testen.

als ich vorhin einen portscan auf deine ip machte, war nur 5500 offen und alle anderen "filtered" - also keine spur von einem weiteren forwarding.

//ps: mich irritiert das DHCP-Relais: 192.168.10.2 ein bisschen - was meinst du genau mit dhcp-relais?

[biohazard999]

mit netzwerksniffer meinte ich, dass du pruefen sollst, was im lan los ist.

Das war mir soweit schon klar ich hatte eben nur noch keine gelegenheit, ich muss das später machen wenn alle aus dem haus sind, sonst gibts noch radau in den eigenen reihen

Kannst du nochmal schaun was jetz von draußen los ist? ich hab jetz den 4000er Port auf meinen Development Rechner weitergeleitet, dort sollte jetzt ein HTTP-Server erreichbar sein.
Lt heise ist der port offen sein.

die dyndns-adresse ist übrigens delegate-at.dyndns.org und zeit auf die 91.130.5.100 IP.

Das mit dem IP-Konflikt wäre aber sehr sehr sehr sehr böse, weil aufgeregt hat sich der Tilgin-Router ja nicht, als ich eine Statische IP auf 192.168.1.2 gesetzt hatte (ich seh schon schlaflose nächte auf mich zukommen....)

[jutta]

bingo

Not shown: 1713 filtered ports
PORT STATE SERVICE
4000/tcp open remoteanything
5500/tcp open hotline

und ja, der server ist erreichbar
so sah ich zum ersten mal im leben ein phpinfo auf einem windows server.

[biohazard999]

Du bist ein goldengel!

Da hätt ich selbst drauf kommen können...

Also Zusammengefasst:
Bei dem Tilgin Teil darf man keine IP verwenden die direkt nach der LAN-IP ist..
Und Port 80 wird immer auf den Tilgin weiter geleitet, ob man will oder nicht..


Danke du hast mir wirklich geholfen
Erklärt auch warum VPN nicht wollte

Wegen der PHP-Info: das is Lighttpd mit PHP5.3RC2, ne bessere Testumgebung für PHP-Entwickler unter Windows kenn ich nicht

[jutta]

danke fuers feedback und schoen, dass es jetzt funktioniert

[LJstc]

Hi!

Mein erster Beitrag! Somit auch gleich meine vorstellung! Bin aus NÖ und habe seit neuesten TELE2 XL internet bestellt!

mein Tilgin 452W ist auch schon gekommen!


Hab mal bisschen gestöbert auf der weboberfläche und habe gesehen das unter Firewalleinstellungen es auch Dynamic DNS Client gibt! dort kann ich die Verbindung auswählen (momentan noch die IPC verbindung da ich das modem noch nicht Autoconfigurieren lassen habe).

Allerdings dachte ich immer das 452W kann kein DYNDNS updaten. Für mich sieht es aber so aus als ob ich dort meinen DynDNS server eintragen kann mit benutzer und passwort fürs updaten der IP?

Oder liege ich da falsch? vielleicht kann mir jemand genauere Infos geben!

und noch was:

soll ich das modem nach meinem entbündelungstermin dranhängen für die Autoconfiguration? oder gleich Manuell konfigurieren? Bin ja noch neu und weiß nicht ob nach der Autoconfig von Tele2 es überhaupt noch geht das modem wieder Manuell zu konfigurieren?

VOIP brauch ich eigentlich nicht haben nur handys zuhause das heißt INternet sollte hald per Manueller config funktionieren!

Allerdings habe ich noch keine zugangsdaten für das internet bekommen. Ich meine damit Benutzer und Passwort das ich für die internetverbindung brauche! Wie lautet das? Hab bis jetzt den Wilkommensbrief und den Brief für den Entbündelungstermin bekommen! und das Modem eben! Aber nirgends waren noch zugangsdaten für das internet dabei! Im ersten brief standen nur Kundennummer und Telefonnummer dabei!


Ich hoffe ihr könnt mir helfen!


mfg LJ

[jutta]

ich bin mir nicht sicher, ob du das modem ohne auto-config überhaupt manuell konfigurieren kannst. zumindest bei manchen modellen ist/war bei der auslieferung eine firmware drauf, bei der man nur sehr wenige moeglichkeiten hat. die wird beim ersten online-gehen durch die production-firmware ersetzt. andererseits werden dann auch einige zugaenge gesperrt.

aber wenn du abenteuerlustig und interessiert bist, probier es einfach aus und berichte dann

die zugangsdaten bekommst du von der hotline - frag einfach danach. du kannst als begruendung angeben, dass du das modem als bridge konfigurieren und deinen eigenen router anschliessen willst, wenn du nach einer begründung gefragt wirst. (die bridge-config ist auch in den hilfe-texten auf der tele2-homepage enthalten, ist also offiziell sanktioniert.).

normalerweise braucht man sie nicht, weil das modem sich die zugangsdaten vom server abholt, deshalb werden sie nicht routinemaessig bekannt gegeben.

//ps: hier viewtopic.php?f=20&t=49014&p=390522#p390522 berichtet jemand, dass die zugangdaten in einem zweiten schreiben waren. schau vielleicht noch einmal alle papierln durch, die du bekommen hast.