Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Fritzbox 7581 portweiterleitung für Kontaktedienst

Fritzbox 7581 portweiterleitung für Kontaktedienst

virk
virk30.04.2017:17
Folgendes Szenario:
- Fritzbox 7581 mit interner fester IP 192.168.117.1; IP unseres Internetanschlusses ist vom provider vorgegebene fixe IP. Fritzbox als DHCP konfiguriert und vergibt im Netzt ab 192.168.117.5.
- MBP 10.12.6 server mit fester IP 192.168.117.2 im Netzwerk (Dieser stellt einen Kontaktedienst bereit)
- Mac mini 10.15.4 mit fester IP 192.168.117.3 im Netzwerk. (Läuft parallel als dummy-server)
- andere Rechner mit DHCP im Netzwerk.

In der Fritzbox folgende portfreigaben eingerichtet:
a) 192.168.117.3 port 44444 extern, port 443 intern (für https-Zugriff auf webserver) (44444 entspricht nicht der wirklichen Nr.)
b) 192.168.117.2 port 55555 extern, port 443 intern (für https-Zugriff auf webserver) (55555 entspricht nicht der wirklichen Nr.)
c) 192.168.117.2 port 8843 extern, port 8843 intern (für Zugriff auf Kontaktedienst)

Der Kontaktedienst funktioniert nicht mehr zuverlässig.
1) Kann jemand einen prinzipiellen Fehler in oben stehender Konfiguration erkennen?
2) Was muss ich tun, damit ich Kontakte beibringen kann, einem Zertifikat (neu) zu vertrauen?
3) Hat jemand Erfahrung damit, dass evtl. die Fritzbox buggy sein kann und eine portweiterleitung nicht mehr sauber funktioniert, wenn man eine andere eingerichtet und (nur) diese später gelöscht hat.
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentare

john
john30.04.2017:26
der "server" ist per NAT am internet?!

„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
+1
caMpi
caMpi30.04.2022:10
Von intern und/oder extern?
1) nein
2) selbstsigniert oder öffentlich? Bei letzterem nichts, bei erstem kommt i.d.R. eine Aufforderung, dem Zertifikat zu vertrauen
3) nein

@john
Das sind viele andere Server auch. Gehen wir doch einfach davon aus, dass virk hintendran ein entsprechendes Firewall-/DMZ-Konstrukt hat, und alles ist gut
„Keep IT simple, keep IT safe.“
0
john
john30.04.2023:01
ja. natürlich sind sie das. anders würde es bei ipv4 ja auch nicht funktionieren. schon klar.
ich meinte eher direkt. und über ne plaste-fritte.
Gehen wir doch einfach davon aus, dass virk hintendran ein entsprechendes Firewall-/DMZ-Konstrukt hat, und alles ist gut
irgendwie habe ich da zweifel bei einem laptop mit einem outdated os als firmenserver.

aus dem letzten thread:
ein von außer erreichbarer "server" (1) in einem unternehmen (2) mit macos (3) 10.12 (4) (seit 2 jahren outdated, kann nichtmal tls1.1) auf einem 8 jahre alten (5) laptop (6) mit software, die unter php 5.6 (7) läuft....
https://www.mactechnews.de/forum/discussion/php-7-x-auf-10-1 2-6-server-installieren-340564.html

ich halte das langsam für ein bizarres kunstprojekt eines admins mit schrägem humor.
„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
+3
donw
donw30.04.2023:11
Im Prinzip sollen die Ports 44444 und 55555 uns wohl ablenken ?

Vermutlich willst Du einen CardDAV-Server betreiben?
Funktioniert es den intern?
Gib mal testweise den Port 443 auch auf den Kontakte-Server frei und teste dann mal.
Für das Zertifikat würde ich mal in die Schlüsselbundverwaltung schauen; falls es schon mal eines für die Domäne installiert war. Hattest Du da schon mal einen Kontakte-Server laufen?
Die FritzBoxen sind eigentlich recht zuverlässig. Ist halt ein Home-Firewall-Modem-Router.
0
donw
donw30.04.2023:13
Oder ging es um den LDAP-Server?

Eine Apple-Portübersicht gibt es hier: https://support.apple.com/de-de/HT202944
0
HumpelDumpel
HumpelDumpel30.04.2023:45
caMpi
Gehen wir doch einfach davon aus, dass virk hintendran ein entsprechendes Firewall-/DMZ-Konstrukt hat, und alles ist gut
Der war gut.
+2
virk
virk01.05.2008:09
@caMpi: Danke Dir! Das hat ja auch funktioniert, ich suche gerade den Fehler.
@donw: 1)Der Kontakte-Dienst von Sierra-server (CardDAV?) ist im Netz verfügbar. 2) Es hat sowohl intern als auch extern bis vor kurzem funktioniert.
3) Ja, der Kontakte-server läuft schon jahrelang.
Durch Deine Tipp mit dem port 443 wurde ich gerade stutzig; danke! Ich glaube jetzt, dass da der Hase im Pfeffer liegt: In meiner o.a. "Konfigurationszeile" b) habe ich die Portangabe 55555 erst kürzlich hinzugefügt; damit habe ich evtl. dem Kontaktedienst die Möglichkeit entzogen, über 443 zu kommunizieren (Vielleicht habe ich die Apple-port-Liste fehlinterpretiert). Gerade noch mal wieder nachgesehen; ich denke, da liegt der Fehler, dass eben port 443 jetzt nicht mehr für den Kontaktedienst verfügbar ist

Frage: Kann ich es einstellen, dass man nur über https://86.123.23.49:55555/wiki/index.php bspw. ein wiki erreicht, der port 443 für den Kontaktedienst aber dennoch freigegeben ist, wenn es denn nötig ist?
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
MikeMuc01.05.2008:24
virk
Du kannst ja einen beliebigen externen Port auf den internen 443 weiterleiten.
Aber das d deine IP hier jetzt auch noch auf dem Silbertabeltt präsentierst wo hie jedem klar ist, das dein Server veraltet ist, ist echt nicht in Worte zu fassen Dabei hat dich doch John oben schon drauf aufmerksam gemacht, wie das zu beurteilen ist da das nämlich geradezu eine Einladung ist, erst den Server zu hacken und dann das weitere Netzwerk zu verseuchen!
Ansonsten Sorg halt dafür das die Clients nicht über 443 sonder den selbstgewähltem Port auf den Server zugreifen
+3
virk
virk01.05.2008:28
@MikeMuc: Das ist nicht meine IP, das ist Deine IP
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
-3
caMpi
caMpi01.05.2009:50
virk
Frage: Kann ich es einstellen, dass man nur über https://86.123.23.49:55555/wiki/index.php bspw. ein wiki erreicht, der port 443 für den Kontaktedienst aber dennoch freigegeben ist, wenn es denn nötig ist?
Du meinst von extern? Wenn auf dem Server beide Dienste auf Port 443 laufen?
Ja, nennt sich Reverse Proxy, oder Webserver Application Firewall.
„Keep IT simple, keep IT safe.“
+1
virk
virk03.05.2010:30
@caMpi: Ich möchte, dass der webserver von aussen über https://blabla:55555 angesprochen wird, dennoch der Kontaktedienst weiterhin funktioniert. Wenn ich in der Fritzbox für 192.168.117.2 den port 443 freigebe mit externem port 55555 scheint mir, dass der Kontaktedienst nicht mehr funktioniert, weil (dünnes Eis bei mir ) neben dem freigegebenen port 8843 wohl auch der 443 für eben diesen Kontaktedienst notwendig ist. Danke für Deinen Hinweis!
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
beanchen03.05.2011:06
virk
Der Kontaktedienst funktioniert nicht mehr zuverlässig.
1) Kann jemand einen prinzipiellen Fehler in oben stehender Konfiguration erkennen?
Ja:
- MBP 10.12.6 server
Der Client stellt ohne erkennbaren Grund die Verbindung zum Server ein. Durch löschen aller damit in Verbindung stehenden Komponenten (Accounts, Passwörter, Zertifikate) kann man eventuell die Verbindung für eine Weile wieder herstellen.
„Unterwegs in Analogistan: https://www.zdf.de/comedy/heute-show/heute-show-spezial-vom-19-januar-2024-100.html“
0
virk
virk03.05.2011:57
@beanchen: Ich habe gerade meine Änderung in der portfreigabe rückgängig gemacht, sodass jetzt wieder port 443 weitergeleitet wird, ohne dass ich der Fritzbox den gewünschten externen port 55555 mitgeteilt habe. Die Folge war, dass der Kontaktedienst wieder aktualisierte.
Danach habe ich die portfreigabe wieder mit externem port 55555 versehen und die Kontaktesynchronisation funktioniert wieder nicht.
Den 10.12.6-server habe ich in der Zeit nicht neu gestartet; der hat gerade uptime seit Ende letztem Jahr. Wenn oben stehendes nicht funktioniert hätte, hätte ich den server als nächstes mal neugestartet; wenn es dann funktioniert hätte, ja, das wäre ja scheisse gewesen So sieht es so aus, als wenn der Fehler ausschließlich bei mir gelegen hat, was mir sehr lieb ist.
Soweit ich mich erinnere hatten wir bzgl. 10.12.6 ja schon desöfteren hier Kontakt (habe jetzt nicht nachgeguckt ). Aber hier läuft 10.12.6 ohne Mucken; (parallel halte ich einen weiteren Rechner mit 10.15.4 aktuell, um ggf. zügig umswitchen zu können. Dummerweise läuft auf diesem noch kein Kontaktedienst und baikal bekam ich letztendlich (noch) nicht ans Laufen.)
Nachtrag: Doch! Deine Mucken, die Du oben ansprichst kenne ich doch; ich habe bei mir in den Aufzeichnungen noch mal nachgesehen. Ich zitiere mal auszugsweise, falls von Interesse:
Kontakte-sync ging 07.10.2019 bei 10.14.6 nach IP-Änderung erst dann wieder, nachdem HV in den account-Einstellungen des Kontakteprogramms hinter der server-Adresse auch ":8843" angefügt hatte. Damit stand "8843" "doppelt" in den Einstellungen, nämlich auch noch mal beim port. Evtl. ist der workflow folgender:

Kontakte beenden
In Systemeinstellungen den account löschen.
In ~/Library
/Users/Heiner/Library/Application Support/AddressBook
/Users/Heiner/Library/Caches/com.apple.AddressBookSourceSync
/Users/Heiner/Library/Preferences/com.apple.AddressBook.plis t löschen
Rechner neustarten
Account im Adressbuch neu einrichten; dabei die "Erweitert"-Option wählen und so weit es geht ausfüllen.
Ein/Der Witz ist wohl der, dass man nicht einfach eine IP ändern darf, weil ansonsten der Scheiß mit dem Zertifikat nicht mehr stimmt. Wahrscheinlich war das das eigentliche Problem. Wenn es diesbezüglich ein Problem gibt, kann es sein, dass man bei Apple-1 links in der Kontakte-Programm bei einem Ausrufezeichen dem Zertifikat neu vertrauen kann.

Aber eigentlich, hoffe und glaube ich, lag der Fehler immer bei mir.
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
-2

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.