WebGUI nach Routerwechsel nicht erreichbar, trotz FW Rule

Wexxler

Moin Moin,

ich vermute nun aber das es schon was mit dem NAT zu tun hat. Sind bei der sense die

WebGUI redirect und DNS Rebind Check deaktiviert (haken drin)?

Ausgehend auf eine Antwort sollte dein cisco es eigentlich durchgehen lassen sofern du ausgehend nichts gesperrt hast, egal welcher port es ist.

sonnensucher

moin wexxler,
sorry für die späte antowort und danke für deine tips. die sense steht dank weltweiter vernetzung ausserhalb meines direkten zugriffs. daher musste ich erst vor ort sein, um deine einstellungen zu testen.

ich habe die beiden optionen geprüft und der webgui redirect war nicht deaktiviert. hab dann die deaktivierung entsprechend eingeschaltet und dachte das wäres dann. ich hatte zum testen nur mein iphone dabei, welches sich via 3g dann vom inet her der sense näherte. damit kam ich aufs system rauf und ich dachte: prima, jetzt klappt es.

wieder zu hause kam dann die ernüchterung. da klappte es nicht :(
ich war etwas verwirrt und habe es dann erfolgreich über eine vpn-verbindung mit einer ip aus russland geschafft… ?!?

warum klappt es nicht vom rechner zu hause oder von der firma aus? einziger unterschied wäre, dass überall dort nat verwendet wird.

der erste versuch mit pppoe (ist übrigens ganz einfach einzurichten) klappte beim testaufbau einwandfrei aber nicht mit dem anschluss vor ort. das modem muss für tdsl mit ram (rate adaptive mode) option wohl adsl2+ fähig sein. meins war das nicht. habe aber noch eins für einen zweiten versuch parat.

melde mich, wenn ich mit einem modem erfolg haben sollte. wenn jemand noch nen tipp für ein setting im cisco hat, dann immer raus damit ;)

mfg
s.sucher

Wexxler

Hej sonnernsucher,

ist es denn auch weiterhin https oder nun http - also hat das gewechselt? Oft haben Browser wie bsp. Firefox/IE Probleme damit wenn er das Ziel schonmal irgendwie gekannt hat.

Der Safari ist da nicht so anfällig.

LG

eSpezi

Oha Mr. Sunnshine,

das einzige was mir noch einfällt ist, dass Du entweder bei der Cisco, oder in der WAN Firewall Regel auf der pfS irgendwo Source IP Sperren drin hast. Wenn dem auch nicht so ist, würde ich das Ganze auf den Cisco schieben und den mal vollständig platt machen und ganz von vorne konfigurieren (Backup einspielen wird vermutlich auch wieder den Fehler mitbringen) - sowas hatte ich noch mit keiner pfS und mit Deiner Fritze hat's ja auch funktioniert.

Zum Thema DSL Modem kurze Info: Nachdem reine Modems mittlerweile Mangelware sind habe ich fast nur noch die Allnet 333 Kisten im Einsatz. Sind bezahlbar (um die 25,- EUR) und haben bisher bei allen DSLs (bei uns gibt's aber auch nur max 16000er) funktioniert.

Gruß
Harry

sonnensucher

guten abend an alle,
habe es mit verschiedenen browsern ausprobiert (ie, ff, safari). der browser fängt an zu laden und bleibt dann hängen.

mit den modems aus dem fundus eines kollegen hatte ich leider kein glück. das eine unterstützte kein adsl2+ (braucht man für die ram option der teledumm) und das andere war im eimer. hoffe nun auf einige auktionen in der bucht am kommenden wochenende. das mit dem modem und der pppoe einwahl ist nun meine favorisierte variante, an der ich auch festhalten will.

trotzdem wurmt es mich, dass ich es mit dem cisco nicht hinbekomme. nach allen tests und befragung unseres netzwerkers in der firma, muss es am source ip-adress check liegen. sowie man aus einem privaten lan kommt und zwangsweise per nat auf die cisco-sense kobi trifft, wird an irgendeiner stelle die source ip im header gesehen und das packet verworfen oder anders behandelt.

da die sense unverändert weiterlief und nur der router getauscht wurde (fritzbox gegen cisco), kann es eigentlich nur am cisco liegen. habe deswegen schon einen grossen teil meiner arbeitszeit mit der suche im web vertrödelt. leider ohne nennenswerte erfolge.

gibts denn bei der sense noch eine option die genannte source ip sperre zu deaktivieren? laut netzwerker macht der cisco nichts in der hinsicht. ich kann es mir nur so erklären, dass die fritzbox irgendwie (benutzerfreundlich und spoofing tollerierend) die tcp packete entsprechend angepasst hat. also die source ip im header ausgetauscht hat und/oder die packete passieren lässt.

die modem preise hab ich ebenfalls bei um die 30€ gesichtet. da das ganze projekt für einen sportverein ist (gäste lan und so) stehen nicht unbegrenzt barmittel zur verfügung. man hat dort nen igel in der hosentasche ;o)

ein gebrauchtes modem für 10€ tuts ja dann auch. aber is schon komisch. hatte vor 3-4 jahren auch noch tonnenweise von dem zeug rumliegen…und heute ist selbst der bestand im bekanntenkreis wie leergefegt...

melde mich hoffentlich nächste woche mit einem modem wieder.
trotzdem würde ich gerne wissen, wie es auch mit dem cisco geht.

nice we
s.sucher

eSpezi

Hi Mr. Sunshine,

guter Mann der "Netzwerker in Eurer Firma" - hat 1:1 dieselbe Vermutung, die ich Dir schon in meinem letzten Post geschrieben habe ;-)

Beim genauen Hinsehen, auch auf den 2. Blick, bleibt einfach nur der Cisco über.
Ich habe (leider) auch hinter diversen Routern (z.B. alle möglichen Fritz Modelle, LANCOM, Netgear, Allnet, pfS) pfSensen hängen und so ein Verhalten noch nie gehabt. Mit Cisco habe ich bisher keine einschlägigen Erfahrungen, deswegen kann ich Dir leider nicht weiterhelfen beim Herausfinden, was beim Cisco da nun genau schief läuft.

Deine Rechnung, dass 30,- EUR zu teuer sein sollen, um ein (stabil) laufendens System zu bekommen finde ich nicht ganz schlüssig. Wenn Du mal rechnest wieviel Zeit Du da jetzt schon verbraten hast (oder auch nur die Jagd in der Bucht nach etwas Billigem), müsste doch schon lange mehr als 20,- EUR herausgekommen sein. Ich verstehe schon Ehrenamt und so, aber da bin ich so gestrickt, dass ich lieber dem Verein das Modem aus meiner Tasche schenken würde, als ewige Zeiten eher unproduktiv zu verbraten und dann weiß man ja noch nicht, wie gut das geschossene Teil dann tatsächlich ist…

Gruß
Harry

sonnensucher

nabend harry,
haste recht. die 30€ wären mir dann auch fast egal, aber das gfanze projekt hab ich allein ins leben gerufen und schon genug aus meiner eigenen tasche dafür ausgegeben. es ist auch so eine art hobby, dass ich nebenbei betreibe. dass ich damit auch gleich die fällige vereinarbeit von 20h im jahr mit abreisse ist ein netter nebeneffekt. ausserdem ist man immer gerne gesehen ;o). es macht ja auch spass und man lernt etwas dabei.

mir geht nur zusätzlich gegen den strich, dass:
a) der cisco nicht so will, wie ich es gerne möchte (kann ja nich so schwer sein)
b) so ein sch…modem mehr kostet, als so mancher router. und dass ums verrecken keiner mehr so ein teil rumliegen hat.

thema a) will ich trotz funktionierendem modem-szenario (hoffentlich ab nächster wopche) gerne lösen. mich interessiert warum der nicht so funktioniert. treffe mich mit etwas glück am 10.10. mit nem ehemaligen kollegen zu nem bierchen. der gute hat selber (fast) ccie status hat. er kann mir dazu sicher etwas sagen, ich werde dann natürlich berichten.

n8i
s.sucher

JeGr

Hi sonnensucher,

kann es eher sein, dass auf dem Cisco kein ausgehendes NAT konfiguriert ist und das die Wurzel des Übels ist? Das hört sich ansonsten nämlich sehr dubios an. Die pfSense verhält sich an der Stelle wie ein HTTP(S) Server und der sprich über seinen Port ganz "normal". Da du die Sense erreichen willst, spielt auch kein NAT auf der Sense ne Rolle, könnte also nur noch der Cisco sein.

Grüße

Wexxler

Naja aber wieso sollte SSH gehen aber HTTPS nicht wegen NAT wenn der refferer check, die redirect rule und das dns rebinding deaktiviert ist an der sense?

sonnensucher

moin,

habe alle von euch genannten optionen noch einmal überprüft. leider ohne erfolg. warum mit dem cisco ssh geht und https nicht, bleibt, hoffentlich nur vorerst, ein rätsel.

ich habe nun ein neues allnet-modem erworben (26€) und gestern in betrieb genommen. etwas rumgefummel und die kiste läuft. zugriff von ausserhalb klappt nun auch wieder.

was mir jetzt fehlt ist ein status des modems. ich hab jetzt keine richtige möglichkeit mehr die ausgehandelte geschwindigkeit zu sehen und sehe nicht, ob die leitung selber fehlerbehaftet ist. ich habe ja noch den trödel mit dem provider. da wären aussagekräftige logs hilfreich.

hat dazu jemand eine idee?

thx
s.sucher

sonnensucher

moin zusammen,
das gespräch mit dem cisco spezi hat leider auch keine neuen erkenntnisse gabracht. so ein port forwarding habe ich schon ein paar mal eingerichtet. ist zwar immer etwas fummelei, bis man den kompletten befehl zusammen hat, aber bisher haben immer alle forwardings funktioniert.

die tatsache, dass ssh geht und https nicht und die zusätzliche info, dass es mit einer genatteten ip-adresse aus dem heimischischen lan nicht geht, wohl aber mit einer realen ip aus dem netz, schloss mehrere faktoren aus. der erstverdacht lag auf falschen zertifikaten. dass es am cisco lag, steht nun ausser frage. wir haben das thema an diesem abend noch mit den anerern netzwerkern am tisch etwas dikutiert und man tipt auf einen bug im cisco ios. dieses ist zugegeben schon etwas in die jahre gekommen, ich kann es mir aber erhlich gesagt nicht so richtig vorstellen.

den fehler können wir hier also nicht lösen. naja. etwas mystik is halt immer dabei.

mfg
s.sucher