Geen toegang tot fixed ip vanop LAN

JackMcMack · 28 okt 2020, 10:13

Ik heb een probleem met mijn fixed ip, ik vroeg me af of er nog mensen zijn met een VDSL Pro abonnement die hetzelfde voorhebben.

Ik heb voor een aantal dingen port forwarding ingesteld op de Fritzbox 6890. Als ik van buitenaf connecteer op mijn fixed ip werkt dit.
Als ik echter vanop de lan connecteer naar het publieke fixed ip van de fritzbox lukt dit niet. Ik krijg dan ICMP type 3 "destination unreachable", code 13 "communication administratively filtered" responses terug.

Dit is waarschijnlijk de firewall van de fritzbox die de verbinding blokkeert.
Er zijn echter geen filters actief, geen whitelist/blacklist, geen parental controls, ...

Ik heb de fritzbox manueel geupdate naar 7.21, dat heeft niet geholpen.

Als ik nu de 4G fallback verbinding uitschakel, dan werkt het wel! Mijn hypothese is dan dat de fritzbox dit ten onrechte probeert te routen langs de 4g interface (heeft immers hetzelfde ip adres als de dsl interface), maar dat dit wordt gedenied zolang de fallback niet overgeschakeld is.

Ik heb een ticketje gemaakt, o.a. gevraagd of er misschien iets binnenkomt via acs.edpnet.be dat dit zou kunnen veroorzaken, maar ik heb niet de indruk dat de (level 2) helpdesk mijn probleem begrijpt

.

Zijn er hier nog mensen met een VDSL Pro abonnement? (Fritzbox 6890 + fixed ip + 4g failover).
Als je geen port forwarding gebruikt kan je het ook testen door de fritzbox interface via internet aanzetten: Internet > Permit Access > FRITZ!Box Services > Internet access to the FRITZ!Box via HTTPS enabled

blaatpraat · 28 okt 2020, 11:24

Heb je ergens de optie NAT hairpinning/NAT loopback/NAT reflection?

Ik zie niet meteen in de datasheet dat de 6890 deze functionaliteit heeft.

Joachim · 28 okt 2020, 11:28

We zullen het nakijken, maar dit lijkt me niet op te lossen met de Fritzbox. Vaak is het wel op te lossen met intern DNS servers (desnoods hosts files) die intern naar het LAN IP resolven ipv naar het public IP. Misschien dat een upgrade naar de draytek router een oplossing is, maar ook dat zal getest moeten worden.

28 okt 2020, 13:23

Misschien helpt de instelling "DNS-Rebind-Beveiliging" ?

Ga naar Thuisnetwerk > Netwerk > Netwerkinstellingen >
Klap eventueel het venster open bij "Meer instellingen".
Ga naar de sectie "DNS-Rebind-Beveiliging".
Geef hieronder de domeinnaam (namen) in waarvoor een uitzondering moet worden gemaakt.
Eén domein naam per regel.

De DNS-omzetting van domeinnamen die verwijzen naar private IP-adressen in het thuisnetwerk van de FRITZ!Box, is via de FRITZ!Box niet mogelijk. Daardoor is het niet mogelijk om via de domeinnaam toegang te krijgen tot serverdiensten in het thuisnetwerk van de FRITZ!Box.

Voorbeeld:
Een computer in het thuisnetwerk van de FRITZ!Box (192.168.178.29) kan een server in hetzelfde thuisnetwerk niet benaderen, omdat de DNS-aanvraag voor deze webserver (mijn-domein.nl) wordt beantwoord met een IP-adres van hetzelfde thuisnetwerk (192.168.178.20).
Oorzaak

Om veiligheidsredenen onderdrukt de FRITZ!Box DNS-antwoorden die verwijzen naar IP-adressen in het eigen thuisnetwerk. Dit is een beveiligingskenmerk van de FRITZ!Box ter bescherming tegen zogenaamde aanvallen via DNS-rebinding.

https://nl.avm.de/service/fritzbox/frit ... -mogelijk/

Of gaat dit over iets helemaal anders?

JackMcMack · 28 okt 2020, 13:41

Joachim, alvast bedankt voor uw antwoord.

Ik heb even getest zonder acs: ik heb de provider op "other" gezet, en manueel internet settings ingevuld (vlan 10, vpi 8, vci 35, ppoe). Het probleem blijft zich voordoen.

Het is me nog altijd niet duidelijk waarom dit niet lukt met de Fritzbox, omdat:

het wel lukt als ik lte uitschakel en enkel dsl gebruik
als ik dan lte fallback inschakel
- lukt het wel gedurende enkele minuten
- daarna lukt het niet meer

Vooral dat laatste vind ik vreemd, dat het eventjes wel en daarna niet meer lukt.

Misschien helpt de instelling "DNS-Rebind-Beveiliging" ?

Da's een beetje de omgekeerde richting denk ik, als een upstream dns een lan ip teruggeeft.
Het probleem doet zich ook voor als ik op IP verbind, dus dat is hier niet van toepassing.

Eigen DNS opzetten begin ik liever niet aan, en dat lost bovendien het probleem niet op als de port forwarding naar een andere poort gaat.

profke · 29 okt 2020, 07:03

ik zou het toch eens proberen..
't is toch ook even snel terug afgezet als dit het niet blijkt te zijn.

het geschetste probleem is in elk geval zoveel voorkomend dat router fabrikanten daar een optie voor inbouwen tegenwoordig,
en die "rebind" denk ik dat je echt wel nodig hebt.

JackMcMack · 29 okt 2020, 08:40

Het is een ip routing/firewall probleem. Ook als ik rechtstreeks op ip probeer te connecteren krijg ik "administratively filtered" packets.
Het is dus geen dns probleem, dns rebind is niet van toepassing.

Kiwivogel · 29 okt 2020, 09:14

Geen oplossing van het probleem, maar wellicht wel een oplossing is een statische route in de client te configureren?

JackMcMack · 29 okt 2020, 12:09

blaatpraat schreef:Heb je ergens de optie NAT hairpinning/NAT loopback/NAT reflection?
Ik zie niet meteen in de datasheet dat de 6890 deze functionaliteit heeft.

Bedankt voor de tip, ik wist niet dat dit een specifieke naam had. Op basis hiervan heb ik nog wat rondgezocht, maar ik vind niet direct iets officieel/recent hierover terug. Wel hier en daar een oudere melding dat het een probleem kan zijn bij Fritzbox.

Ik heb nog een test gedaan, deze keer met de sim van mijn gsm van een andere provider. Ik krijg dan een verschillend ip dan mijn dsl ip. Dan lukt wel, ik kan nog steeds vanop mijn lan aan mijn wan ip.

Daarna heb ik geprobeerd te connecteren op mijn mobile ip adres. Dan krijg ik terug "administratively filtered" packets.
Dus de fritzbox blokkeert actief de loopback op de mobile interface. Ik begrijp echt niet waarom. Fritzbox is toch Linux onderliggend, het zou toch gewoon moeten werken? En het werkt wel op de dsl interface.

En het is eigenlijk nog erger: de fritzbox blokkeert het ip adres van de lte interface. Omdat bij edpnet de 2 ips gelijk zijn wordt hierdoor ook de loopback op de dsl interface geblokkeerd. Dit verklaart ook waarom het even wel werkt en daarna niet meer: het duurt iets langer voordat de lte interface een ip krijgt toegewezen, pas als dat gebeurt is loopt het mis.