NAT/Port Forwarding funktioniert nicht (spezial)

[Ebbi]

Moin,

ich habe ein Problem mit NAT bzw. Port Forwarding, nämlich dass es nicht funktioniert und ich nicht weiß warum.

Es soll der Webserver einer Appliance von außen sichtbar sein.
Die Appliance hat die IP-Adresse 169.254.29.28 (Zeroconf, nicht änderbar).
Der Router ist ein Draytek Vigor 2910VGi mit 169.254.29.1, daran ist ein Notebook über DHCP angeschlossen, an dem man prima Internet surfen kann.

Nun habe ich im Router NAT so eingestellt, dass der Port 8028 auf die Adresse der Appliance mit Port weitergeleitet wird. (siehe Anhang)

Nun versuche ich von außen über http://<IP-des-Routers>:8028 die Appliance zu erreichen.

Nur dummerweise funktioniert das nicht, ich bekomme immer einen Timeout - aber warum?

Da der Webserver ein Java-Applet nutzt, war meine erste Idee, dass das Applet irgendwas direkt von der Appliance nachzuladen versucht, was über Indernetz aber nicht geht. Aber auch wenn man versucht bewusst einen Fehler zu produzieren, z.B. mit http://<IP-des-Routers>:8028/xyz, bekomme ich keinen 404, sondern einen Timeout.
Auch das Applet (http://<IP-des-Routers>:8028/applet.jar) lässt sich nicht laden, wieder Timeout.

Hat jemand eine Idee?

[marmorkuchen]

Hallo,

meinst Du mit IP-des-Routers die interne oder die externe IP, möglicherweise wird der Port 8028 nur an die WAN-IP gebunden.
Hast Du schon mal mit nmap geschaut ob der Port auch wirklich offen ist?

Gruß aus Berlin
Sven

[Ebbi]

meinst Du mit IP-des-Routers die interne oder die externe IP, möglicherweise wird der Port 8028 nur an die WAN-IP gebunden.

Damit meine ich natürlich die externe WAN-IP, die auch über einen DynDNS-Dienst erreichbar ist.

Hast Du schon mal mit nmap geschaut ob der Port auch wirklich offen ist?

Gerade eben, aber der wird nicht als offen angegeben.
Ich vermute das Gerät ist aus, denn es ist nicht pingbar.
Ein anderes Gerät habe ich jetzt hinbekommen.

[marmorkuchen]

Ich vermute das Gerät ist aus, denn es ist nicht pingbar.

Hallo,

das muss nichts heissen, mein Router ist auch nicht anpingbar, läuft aber einwandfrei.
Standardmässig sind bei mir ein Ping-Antworten nach Aussen deaktiviert.

Gruß
Sven

p.s. ich habe es bei ähnlichen Aktionen fertig gebracht die interne Routeradresse zu prüfen; hat schon ein wenig gedauert bis mir das aufgefallen ist

[broecker]

Es gibt Router, bei denen man neben NAT auch noch (sozusagen ein zweites Mal) den Firewall-Regelschatz anpassen muß, dort also nochmals den Port für Transport nach innen freigibt, prüfe auch, für welche Protokolle dort Zugang gestattet ist (UDP und/oder TCP), Ping ist ja ICMP und wird oft gesondert abgewickelt.

[Ebbi]

Ich vermute das Gerät ist aus, denn es ist nicht pingbar.

das muss nichts heissen, mein Router ist auch nicht anpingbar, läuft aber einwandfrei.
Standardmässig sind bei mir ein Ping-Antworten nach Aussen deaktiviert.

Mit "Gerät" meinte ich nicht den Router, sondern die Appliance dahinter.
Der Router ist pingbar, das habe ich aktiviert.

[Tschokko]

Es gibt Router, bei denen man neben NAT auch noch (sozusagen ein zweites Mal) den Firewall-Regelschatz anpassen muß, dort also nochmals den Port für Transport nach innen freigibt, prüfe auch, für welche Protokolle dort Zugang gestattet ist (UDP und/oder TCP), Ping ist ja ICMP und wird oft gesondert abgewickelt.

Stimmt, dem kann ich nur zustimmen. Auf etwas anspruchsvolleren Geräten muss neben der NAT Regel auch eine Firewall Regel eingerichtet werden. Diese lautet meist: Any zu öffentlicher Router IP und Port 8028 (TCP). Das liegt daran, das die meisten Firewalls eingehenden Verkehr - also auch Verkehr der direkt an die Firewall gerichtet ist - komplett blockieren. Was auch die Timeout erklären würde... weil die Packete vermutlich per "DROP" ins Jenseits befördert werden.

Gruß
Tschokko

[Ebbi]

Den Firewall-Regelsatz des Routers hatte ich in weiser Voraussicht bereits deaktiviert.

Alles falsch, es funktioniert jetzt.
Die Prinzen haben mir die falsche IP-Adresse genannt.
Das ist das Risiko, wenn man etwas remote macht.