Kein Remote Zugriff auf xxx.homeserver.com via https

[rockwerk]

Hallo und ein gesundes Neues Jahr an alle hier im Forum,

ich habe Problem das mich allmählich zur verzweiflung treibt - Ich kann einfach keinen Remotezugriff über die xxx.homeserver.com domain herstellen.
ich habe mich die letzten 2 Tage schon fleißig durch das Forum gewühlt in der Hoffnung eine Lösung auf mein Problem zu finden.
Habe auch schon viel gefunden und ausprobiert allerdings bis dato ohne Erfolg. Ich hoffe also ihr könnt mir irgendwie weiterhelfen oder nen heißen tipp geben.

Problembeschreibung:
Ich komme immer nur via http://xxx.homeserver.com bis zur anmeldeseite danach heißt es "seite kann nicht angezeigt werden". unter https kommt die Meldung mit dem Zertifikatsfehler wenn ich trotzdem verbinden will kommt gleich danach "seite kann nicht angezeigt werden". Habe es von verschiedenen Rechnern, Browsern probiert - immer das gleiche. Übrigens auch wenn ich die aktuell zugewiesen dynamische ip des providers (t-online) eingebe ist es dasselbe.
Wenn ich den servernamen hier von meinem Client aus im Browser direkt aufrufe klappt der zugriff (http://servername) - hatte daher vermutet das mein router kein loopback beherscht, habe aber nun den zugriff von außen bei einem bekannten getestet, da stellt es sich genauso wie oben beschrieben dar. (http://xxx.homeserver.com --> "seite kann nicht angezeigt werden")

Der Server ist ein Acer h340 whs, alle updates wurden gefahren (Versionsinformationen unter Ressources: 6.0.2423.0) bis auf ie 8.
Routerkonfiguration sieht folgendermaßen aus.
Internet->Speedportw700v->WRT54G->WHS
Der Speedport stellt die Verbindung zum Internet her, der WRT ist an den speedport via Standardserver (DMZ) angeschlossen.
Die tcp Ports (443,4125,80) wurden von dem WRT54G auf den WHS weitergeleitet. Habe die Ports auch mal manuell an den client weitergeleitet und mit Portchecker getestet.
Die Ports werden definitiv durchgeschaltet. Habe alle varianten mit und ohne UPNP getestet.
Router habe ich mit DHCP und ohne getestet (beide) Der Server ist auf manuelle ip konfiguriert, und auch im router logischerweise festgenagelt.
Firewall im WHS ist aktiv, die ports dort sind aber ebenfalls durchgeschaltet. (Meine eigentlich das ich die firewall bei der installation abgewählt habe - habe aber zufällig die firewallkonfiguration unter systemsteuerung des whs angeklickt und da war sie eingeschaltet - die ports für https, ftp, rdp etc. sind aber offen bzw. häckchen gesetzt.)

Live id ist vorhanden, custom domain wurde registriert. In der Console unter RemoteZugriff heißt es zwar "verfügbar" auf dem Client ist das homeserversymbol in der taskleiste auch grün . Ein Test unter der Console ergibt aber immer nur 3 grüne häckchen, beim 4. kommt ein roter (es wird geprüft ob auf RAS vom Internet aus zugegriffen werden kann)
Die Problemlösung (hier im Forum gefunden) mit Reparatur bzw. Deaktivieren und neu konfigurieren hat leider auch keinen erfolg gebracht. Habe auch schon verschiedene MS Domains ausprobiert...

Weiß langsam echt nicht mehr weiter:(
Muss ich noch irgendeinen Dienst starten, oder irgendwelche windows komponenten installieren (zertifaket o.ä.?)

Provider ist die Telekom - sperrt die vielleicht den 443?

Vielen Dank schon mal in der Hoffnung auf nen Tipp...

[JoachimL]

Hallo,
wenn ich das richtig sehe, dann verwendest Du zwei Router hintereinander. Hast Du bei beiden Portforwarding konfiguriert? Nach Deine Beschreibung hast Du das nur im WRT54G, nicht aber im Speedport gemacht...
Welche Netzwerknummern verwendest Du? Wo hängen denn Deine anderen Geräte? Alle hinter dem WRT54G oder teilweise auch direkt am Speedport? Wäre es evtl. einfacher, den WRT54G als Switch und nur den Speedport als Router zu konfigurieren?
Gruß Joachim

[Nobby1805]

Ich vermute dass du den WRT54G nur als Switch einsetzt ...

dann muss das Forwarding natürlich im speedport gemacht werden

[rockwerk]

Der Speedport stellt die verbindung zum inet her und steht beim nachbarn. Dieser hat das netz (192.168.2.1) Der WRT steht bei mir und hat die 192.168.1.1 . Der WRT steht auf static ip 192.168.2.99 mit der er fest am speedport der ohne dhcp läuft angemeldet ist. Alle PCs und auch der WHS sind beim WRT unter 192.168.1.11x angemeldet. Habe ja geschrieben das der speedport via dmz (heißt beim speedport standardserver) alle ports ungefiltert an den wrt54g weiterleitet. (Das habe ich auch mit portchecker verifizieren können (port auf client weitergeleitet, und dann gecheckt --> port is open.) Dennoch habe ich das mit den Ports auf dem speedport auch schon ohne dmz probiert (also dmz/standardserver deaktiviert und dann die ports 80,443,1425 manuell über die weiterleitung an den wrt54g geleitete die wiederum dieser an den whs forwarded.

[JoachimL]

Hallo,
d.h. der WRT läuft als Bridge und nicht als Router? Vermutlich werden dann auch alle Port-Forwarding-Einstellungen des WRT ignoriert und Du wirst schon im Speedport den WHS als Ziel eintragen müssen. Als Standardserver würde mir das nicht gefallen, trag besser 80 und 443 ein..
Gruß Joachim
P.S. Ich hoffe Du und Dein Nachbar seid verwandt oder bestens befreundet und es fließt für diesen Dienst kein Geld..

[rockwerk]

Nein. Der WRT arbeitet als Router. Es handelt sich um 2 verschiedene Netze. Ich kann im speedport ja nicht auf meinen whs forwarden da er in einem anderen netz ist. Mittels dem Programm Portchecker habe ich auch einzelne Ports über den WRT auf meinen client pc testweise geforwarded die dann auch offen waren, wenn ich sie aus der liste rausgenommen habe dann zeigte sie auch der portchecker als geschlossen - folglich arbeitet das portforwarding auf dem wrt54 einwandfrei. Wenn ich die Portweiterleitung zum WHS aus dem WRT rausnehme dann bekomme ich in der WHS konsole unter Remotezugriff nur noch rote häkchen. Habe übrigens auf einer xbox360 auch einige Ports im wrt weitergeleitet und das hat auch geklappt. Deswegen ja auch meine Verzweiflung - Die Geschichte mit den Ports habe ich in allen möglichen varianten, wie oben geschrieben, schon durchgespielt. Hier nochmal ein kleines Schema von der Routerconfig.

dynamic ip von isp --> speedport (192.168.2.1)
_____________________________192.168.2.2 ---> PC
_____________________________ . . . .
_____________________________. . . .
_____________________________192.168.2.99 (Standardserver/DMZ aktiv) ---> WRT54G (192.168.1.1)
______________________________________________________________________________ 192.168.1.100 ---> PC
______________________________________________________________________________ . . . .
______________________________________________________________________________ 192.168.1.105 (53,88,3074 forward) ----> Xbox
______________________________________________________________________________ . . . .
______________________________________________________________________________ 192.168.1.111 (443,80,4125 forward) ---> WHS

PS: Der Nachbar und ich wir sind verschwägert... geld fließt natürlich nicht in der hinsicht (das wäre ja auch noch schöner;))

[JoachimL]

Versuch mal der Reihe nach
http(s)://192.168.1.111
http(s)://192.168.2.99
http(s)://<externe IP>
was davon tut? was wird jeweils angezeigt? Bei https Zertifikatsfehler natürlich ignorieren, Du wirst keines zur IP Adresse haben (wollen).
mach mal zusammen mit dem Schwager den Check auf http://www.heise.de/security/dienste/po ... ?scanart=3 und meld die Ergebnisse hier. Du kannst auch mal speziell alle weitergeleiteten Ports scannen lassen.
Ansonsten, was spricht dagegen, beim Speedport direkt die richtigen Endadressen einzutragen?
Gruß Joachim

[rockwerk]

http(s)://192.168.1.111 --> geht
http(s)://192.168.2.99 -->geht auch

http://<externe IP> -->geht
https://<externe IP> --->geht nicht

Der Heise Scan ergab folgendes:

Portscan für 80,443,4125:

Ihr System antwortet nicht auf ICMP-Pakete.

Port Name Status Erläuterung
80 offen Web-Server
443 gefiltert Web Server (HTTPS)
4125 geschlossen Kein Standard-Port.


Allgemeiner Scan Router:

Ihr System antwortet nicht auf ICMP-Pakete.

Port Name Status Erläuterung
21 gefiltert FTP-Server
22 gefiltert Secure Shell (SSH)
23 gefiltert Telnet-Server
53 gefiltert DNS
69 gefiltert Trivial FTP
80 offen Web-Server
113 gefiltert identd (Auth)
443 gefiltert Web Server (HTTPS)
515 gefiltert Druck-Server (LPD)
631 gefiltert Druck-Server (IPP/Cups)
1701 gefiltert VPN-Server (L2TP)
1723 gefiltert VPN-Server (PPTP)
1900 gefiltert Universal PnP
5000 gefiltert Universal PnP
8080 gefiltert HTTP Proxy

[JoachimL]

daraus würde ich schließen, dass die Konfiguration des Speedports den Port 443 nicht weiterleitet. Evtl. ist im Speedport eine lokale Funktion (Fernwartung) aktiv die selbst auf 443 hört?
Gruß Joachim

[rockwerk]

JUHUUUU!

@JoachimL

Tausend Dank an dich!
und vielen Dank für den Heise Link, das mit dem Portscan hat mir jetzt auch die gewissheit gegeben das die Ports eben doch nicht frei waren.
Habe also den Standardserver des speedport rausgeschmissen und nun doch noch mal manuell auf den wrt umgeleitet.
In der Routerkonfiguration des Speedports ist das aber sowas von unübersichtlich gemacht... Der Fehler lag glaub ich daran das ich die ips von meinem Schwager seinen Rechner nicht fest übernommen hatte. Da gibts in dem Speedport so ne komische übersicht unter nat/portkonfig, nennt sich pcliste für portregeln. Dort müssen anscheinend alle an den speedport angeschlossenen geräte als "übernommen" drinnen stehen und es darf keines als frei vermerkt sein - ansonsten funktioniert die portweiterleitung nicht! Hatte vorher im Speedport immer nur meinen WRT fest übernommen und dann die ports freigeschalten das war anscheinend zu wenig. Obwohl alle definierten Portregeln gepasst haben.

Habe jetzt in der console überall grüne häkchen und der zugriff über https funktioniert jetzt auch.

Ich muss dazu sagen das ich in Netzwerkdingen nicht so bewandert bin, habe mich erst in den letzten Tage exzessiv damit auseinandergesetzt...

Hier noch der Scan für die ports von heise wie er jetzt kam
Ihr System antwortet nicht auf ICMP-Pakete.

Port Name Status Erläuterung
80 offen Web-Server
443 offen Web Server (HTTPS)
4125 geschlossen Kein Standard-Port.


warum der 4125 immer noch geschlossen ist verstehe ich zwar nicht aber den braucht man ja auch nicht unbedingt oder?

Also vielen Dank nochmal - tolles forum!