2610086

Typische Probleme mit Portfreigaben lösen

21.09.2021 | 08:30 Uhr |

Manchmal zicken Portfreigaben – auch wenn alle Einstellungen scheinbar korrekt sind. Diese Tipps helfen.

Problem: Sie haben in der Fritzbox mehrere Freigaben eingerichtet. Beide verweisen auf die Weboberfläche von Heimnetzgeräten, zum Beispiel ein NAS und eine IP-Kamera. Bei einem Gerät klappt der Zugriff von außen, beim anderen aber nicht.

Lösung: Prüfen Sie im Fritzbox-Menü die Angaben im Menü „Internet –› Freigaben –› Portfreigaben“. Bei den Einträgen für die extern vergebenen Ports taucht einmal ein Warnsignal in Form eines Ausrufezeichens auf. Die Fritzbox signalisiert damit, dass sie einen anderen Port zugewiesen hat als den, den Sie beim Einrichten angegeben haben. Das kommt vor, wenn dieser Port schon für ein anderes Gerät oder die Fritzbox selbst weitergeleitet wurde. Häufig ist das der Fall für die Ports 80 und 443.

Sie haben nun zwei Möglichkeiten: Zum einen können Sie den externen Port, den die Fritzbox automatisch vergeben hat, für den Zugriff nutzen, indem Sie ihn hinter dem Doppelpunkt in der Zugriffsadresse eintragen. Dazu müssen Sie aber auch auf dem Heimnetzgerät beziehungsweise der Anwendung, die Sie per Internet erreichen wollen, diesen Port eintragen.

Oder Sie bearbeiten in der Fritzbox die Portfreigabe: Bei „Port an Gerät“ bleibt die ursprüngliche Portnummer stehen, bei „Port extern gewünscht“ tragen Sie eine beliebige, nicht anderweitig genutzte Portnummer ein. Wenn Sie die Änderungen speichern, können Sie mit dieser Portnummer in der Webadresse auf den Heimnetz-Dienst zugreifen.

Browser schlägt bei Zugriff Alarm

Der Browser warnt zum Beispiel beim Zugriff auf die Weboberfläche des Heim-NAS vor einer unsicheren Verbindung. Nutzen Sie ein Zertifikat, bleibt diese Meldung aus.
Vergrößern Der Browser warnt zum Beispiel beim Zugriff auf die Weboberfläche des Heim-NAS vor einer unsicheren Verbindung. Nutzen Sie ein Zertifikat, bleibt diese Meldung aus.

Problem: Sie haben eine Portweiterleitung auf das Browsermenü Ihres NAS-Systems eingerichtet. Sie funktioniert grundsätzlich, doch immer, wenn Sie die Webadresse eingeben, meldet sich der Browser mit einer Sicherheitswarnung: Die Verbindung sei nicht sicher. Über eine Option wie „Erweitert“ kommen Sie meist trotzdem zum NAS. Doch die ständige Warnung nervt.

Lösung: Verbindet sich der Browser über das sichere HTTPS-Protokoll mit einem Webserver, weist sich dieser mit einem SSL-Zertifikat als vertrauenswürdig aus. Die meisten Webseiten kaufen diese bei Zertifikatsanbietern. Machen Sie Ihr NAS-System aus dem Internet zugänglich, bietet es ebenfalls Server-Dienste an und benötigt ein Zertifikat: Auf vielen NAS-Systemen können Sie dafür ein kostenloses Zertifikat der freien Zertifizierungsstelle Let’s Encrypt anfordern.

Bei einem Synology-NAS zum Beispiel geht das im Menü „Systemsteuerung –› Sicherheit –› Zertifikat“. Verknüpfen Sie das Zertifikat mit der DynDNS-Adresse des NAS-Systems, bleibt die Fehlermeldung beim Zugriff per Browser künftig aus.

Fehlermeldung DNS-Rebind-Schutz

Diese Fehlermeldung erscheint, wenn die Fritzbox die Webadresse nicht kennt, mit deren Hilfe Sie ein Heimnetzgerät erreichen wollen. Hinterlegen Sie sie deshalb im Routermenü.
Vergrößern Diese Fehlermeldung erscheint, wenn die Fritzbox die Webadresse nicht kennt, mit deren Hilfe Sie ein Heimnetzgerät erreichen wollen. Hinterlegen Sie sie deshalb im Routermenü.

Problem: Sie wollen ein Heimnetzgerät per Portweiterleitung erreichen. Dafür haben Sie sich bei einem DynDNS-Dienst eine feste Webadresse geholt. Doch wenn Sie diese im Browser eingeben, erhalten Sie eine Fehlermeldung: „Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.“

Lösung: Der Router sperrt den Zugriff auf die ihm unbekannte Webadresse. Denn dahinter könnte eine DNS-Rebind-Attacke stecken, bei der ein Angreifer Anfragen auf eine manipulierte Webseite umleitet, um darüber Malware zu verteilen. Da Sie aber wissen, dass diese Webadresse ungefährlich ist, können Sie sie in der Fritzbox als vertrauenswürdig hinterlegen. Das passiert im Routermenü unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“. Klicken Sie auf den blauen Link „weitere Einstellungen“. Im Kasten unter „DNS-Rebind- Schutz“ tragen Sie die Webadressen ein, für die Ausnahme gelten sollen. Trennen Sie die einzelnen Adressen per Zeilenumbruch.

Portkontrolle: So checken Sie Ihre Freigaben

Mit einem regelmäßigen Check behalten Sie den Überblick über geöffnete Ports auf dem Router. Freigaben, die Sie nicht mehr benöti- gen, sollten Sie unbedingt deaktivieren.
Vergrößern Mit einem regelmäßigen Check behalten Sie den Überblick über geöffnete Ports auf dem Router. Freigaben, die Sie nicht mehr benöti- gen, sollten Sie unbedingt deaktivieren.

Mit einer Portfreigabe schwächen Sie die Schutzfunktion Ihres Routers. Zwar besteht wenig Risiko, wenn Sie nur Ports freigeben, die Sie benötigen und das Vorgehen wie beschrieben absichern. Trotzdem sollten Sie regelmäßig prüfen, welche Ports offen sind, und gegebenenfalls Freigaben beenden, die Sie nicht mehr oder nur selten nutzen.

Die erste Anlaufstelle dafür ist das Routermenü: Dort sollten Sie eine Liste mit den eingerichteten Portfreigaben finden. In der Fritzbox zum Beispiel gehen Sie dazu ins Menü „Diagnose –› Sicherheit“. Hier stehen unter „1. Verbindung, Internet“ die Ports, die für den Zugriff von außen auf Routerdienste wie Benutzeroberfläche, VPN oder Telefonie geöffnet sind. Außerdem zeigt die Fritzbox die Portfreigaben auf Heimnetzgeräte. Mit einem Klick auf „Bearbeiten“ nehmen Sie Änderungen vor. Wenn Sie den Pushdienst in der Fritzbox einschalten („System –› Push Service“), informiert Sie der Router über Einstellungsänderungen im Menü, zu denen auch eine Portfreigabe zählt. Markieren Sie hierzu den Eintrag „Änderungsnotiz“.

Außerdem lassen sich offene Ports über kostenlose Portscanner wie Nmap  oder Onlinedienste wie www.dnstools.ch/port-scanner.html finden. Das Gerät, das den Scan ausführt, muss sich außerhalb des eigenen Netzwerkes befinden. Wichtig: Sie dürfen aus dem Internet nur die öffentliche IP-Adresse Ihres eigenen Routers prüfen. Bei vielen Onlinediensten müssen Sie vor dem Scan bestätigen, dass die ermittelte öffentliche IP-Adresse Ihnen zugeteilt ist. Mit dem Scan einer fremden IP-Adresse machen Sie sich eventuell strafbar.

Über einen Online-Dienst wie dnstools.ch prüfen Sie von außen, welche Ports auf Ihrem Router geöffnet sind und können diese bei Bedarf im Router-Menü schließen.
Vergrößern Über einen Online-Dienst wie dnstools.ch prüfen Sie von außen, welche Ports auf Ihrem Router geöffnet sind und können diese bei Bedarf im Router-Menü schließen.

Mehr zum Thema:

Portfreigaben: So klappt der Zugriff auf Router & Heimnetz

Portfreigaben einrichten bei Fritzbox & Speedport & Co.

PC-WELT Marktplatz

2610086