Der Fernzugriff zur Weboberfläche des Teltonika Routers sollte speziell bei einer public.IP nur aktiviert sein, wenn sich der Router an einem externen Standort ohne direkte Zugriffsmöglichkeit befindet. Wenn sich der Router aber an einem lokalen Standort mit direkter Zugriffsmöglichkeit befindet, sollte der Fernzugriff aus Sicherheitsgründen besser deaktiviert werden. Beachten Sie dazu bitte auch die FAQ Sicherheitshinweise bei Verwendung einer public.IP.

1. Fernzugriff aktivieren

WebUI
Enable remote HTTP access	Der HTTP-Fernzugriff zum Router ist aktiviert.
Enable remote HTTPS access	Der HTTP-Fernzugriff zum Router ist aktiviert

2. Richtige Source zone einstellen

Traffic Rule	Source zone
Enable_HTTP_WAN	From any host in wan	HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports.
	From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx)	HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN.
Enable_HTTPS_WAN	From any host in wan	HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports.
	From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx)	HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN möglich.

3. Hinweise bei Verwendung von DMZ Configuration (Weiterleitung aller Ports & Protokolle)

Ab Firmware R_00.07.14.2 (& R_00.07.06.5)

Die Forwarding-Regeln werden seit Version 7.06.5 automatisch mit der erforderlichen source zone hinzugefügt, die bereits in der Regel dmz_fw eingestellt ist. So kann es auch bei einer mdex fixed.IP+/public via OpenVPN nicht mehr passieren, durch nachträgliches Aktivieren von DMZ den Fernzugriff zum Router zu verlieren. Zusätzliche "Workaround"-Scripte sind seit Version 7.06.5 nicht mehr erforderlich.

Firmware R_00.07.11 bis R_00.07.14.1

Es wurde festgestellt, dass der Fernzugriff auf den Router ab Firmware R_00.07.11 bis R_00.07.14.1nicht mehr möglich ist, sobald der Button 'Save & Apply' unter System -> Administration -> Access Control betätigt wird. Dies stellt einen Softwarefehler ab Firmware Version dar, der ab Version R_00.07.14.2 behoben wurde. Bei betroffenen Routern wird ein Firmware-Update auf die aktuelle Version empfohlen. Ohne Firnmware-Update stehen Ihnen folgende Abhilfemaßnahmen zur Verfügung:

• Deaktivieren Sie die DMZ und verwenden Sie stattdessen ein individuelles Port Forwarding.
• Fügen Sie eine zusätzliche Port Forwarding Regel für den Fernzugriff des gewünschten HTTPS Ports zur Router LAN IP-Adresse hinzu. Auf diese Weise kann die DMZ parallel genutzt werden.

Ab Firmware R_00.07.06.5

Die Forwarding-Regeln werden seit Version 7.06.5 automatisch mit der erforderlichen source zone hinzugefügt, die bereits in der Regel dmz_fw eingestellt ist. So kann es auch bei einer mdex fixed.IP+/public via OpenVPN nicht mehr passieren, durch nachträgliches Aktivieren von DMZ den Fernzugriff zum Router zu verlieren. Zusätzliche "Workaround"-Scripte sind seit Version 7.06.5 nicht mehr erforderlich.

Ab Firmware R_00.07.05

Bei Verwendung einer mdex fixed.IP+/public via OpenVPN mit aktiven DMZ sind einige Dinge zu beachten:

• Bei von mdex vorkonfigurierten Routern für eine mdex fixed.IP+/public via OpenVPN ist die richtige Source Zone "openvpn" bereits bei allen relevanten Regeln eingestellt.
• Sollte "DMZ" aber nachträglich deaktiviert werden, werden alle o.g. Port Forwarding Regeln automatisch gelöscht, weil diese nicht mehr erforderlich sind.
• Wenn "DMZ" nun wieder aktiviert wird, werden die o.G. Regeln automatisch neu angelegt, jedoch alle mit der "falschen" source zone wan!
• Damit der Zugriff über eine mdex fixed.IP/public.IP via OpenVPN wieder funktioniert, müssen die source zones dieser Regeln manuell von wan openvpn umgestellt werden. Hierbei ist richtige Reihenfolge zu beachten, damit der Fernzugriff zum Router nicht verloren wird:
  
  1. Zunächst die source zone der Port Forwarding Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp auf von wan openvpn umstellen.
  2. Anschließend kann die source zone der letzen Regel dmz_fw von wan openvpn umgestellt werden, ohne dass der Fernzugriff verlorengeht. ¹

¹ Unter System -> Maintenance -> Custom Scripts ist zur Absicherung ein Script implementiert, welches die "source zone" der Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp automatisch beim Reboot des Routers von wan openvpn anpasst, sollte nur die source zone der Regel dmz_fw auf "openvpn" geändert worden sein. Somit ist der Fernzugriff zum Router spätestens nach dem nächsten Router-Reboot wieder möglich, wenn versehentlich zuerst die Regel dmz_fw auf "openvpn" geändert wurde. Dieses Script ist bei allen Routern ab Firmware 7.05 enthalten, die als mdex fixed.IP+ / public.IP via OpenVPN vorkonfiguriert wurden.

System -> Maintenance -> Custom ScriptsSystem -> Maintenance -> Custom Scripts

System ->#!/bin/sh
# mdex workaround: If the rule "dmz_fwd" is enabled and set to openvpn, the other fw rules "dmz_http", "dmz_https", "dmz_ssh" and "dmz_snmp" are also set to openvpn after the next router reboot. 

. /lib/functions.sh
dmz_src=""
src_updated=0
find_dmz_src() {
   local section="$1"
   local name="$(uci_get firewall "$section" "name")"
   if [ "$name" = "dmz_fw" ]; then
      dmz_src="$(uci_get firewall "$section" "src")"
   fi
}

update_dmz_fwds() {
   local section="$1"
   local name="$(uci_get firewall "$section" "name")"
   if [ "$name" = "dmz_http" ] || [ "$name" = "dmz_https" ] || [ "$name" = "dmz_snmp" ] || [ "$name" = "dmz_ssh" ]; then
      local src="$(uci_get firewall "$section" "src")"
      if [ "$src" != "$dmz_src" ]; then
         uci_set "firewall" "$section" "src" "$dmz_src"
         src_updated=1
      fi
   fi
}
config_load "firewall"
config_foreach find_dmz_src "redirect"
[ -z "$dmz_src" ] && exit 0
config_foreach update_dmz_fwds "redirect"
[ "$src_updated" -eq 0 ] && exit 0
uci_commit "firewall"
/etc/init.d/firewall reload

exit 0

Ab Firmware R_00.07.03

Network -> Firewall -> Custom RulesNetwork -> Firewall -> Custom Rules

#!/bin/ash
###################################################################################################
# mdex workaround for router remote access, if dmz_fw is enabled:

## Check HTTP remote acccess:
HTTP_PORT="$(/sbin/uci get uhttpd.main.listen_http)"
HTTP_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpWanAccess)"
if [ "${HTTP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTP_PORT} -j REDIRECT --to-port ${HTTP_PORT}
fi

## Check HTTPS remote acccess:
HTTPS_PORT="$(/sbin/uci get uhttpd.main.listen_https)"
HTTPS_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpsWanAccess)"
if [ "${HTTPS_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTPS_PORT} -j REDIRECT --to-port ${HTTPS_PORT}
fi

## Check SSH remote access
SSH_PORT="$(/sbin/uci get dropbear.@dropbear[0].Port)"
SSH_REMOTE_STATUS="$(/sbin/uci get dropbear.@dropbear[0]._sshWanAccess)"
if [ "${SSH_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${SSH_PORT} -j REDIRECT --to-port ${SSH_PORT}
fi
 
## Check SNMP remote access:
SNMP_PORT="$(/sbin/uci get snmpd.general.port)"
SNMP_REMOTE_STATUS="$(/sbin/uci get snmpd.general.remoteAccess)"
SNMP_PROTOCOL="$(/sbin/uci get snmpd.general.proto)"
if [ "${SNMP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p ${SNMP_PROTOCOL} --dport ${SNMP_PORT} -j REDIRECT --to-port ${SNMP_PORT}
fi
###################################################################################################

Beachten Sie hierzu folgende Hinweise:

• Bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN muss unter Network -> Firewall -> Traffic Rules die die Source Zone der Rule Enable_HTTPS_WAN, bzw. Enable_HTTP_WAN auf openvpn eingestellt sein!
• Nachträgliche Änderungen am Router-Fernzugriff, z.B. Portänderungen, werden erst nach dem nächsten Router-Neustart wirksam. Werden nachträgliche Änderungen per Fernzugriff vorgenommen, besteht die Gefahr, dass der Fernzugriff zum Router bis zum nächsten Router-Neustart verloren geht!
• Bei einem Firmware-Update von einer "Legacy FW" auf die aktuelle "Factory FW" (R_00.07.xx) wird das o.g. Script nicht automatisch ergänzt. Es werden bei Aktivierung der Option "Keep all settings" nur die aktuellen Konfigurationseinstellungen und vorhandene Regeln laut Fernzugriff zur Router Weboberfläche (Legacy Firmware) übernommen.

Legacy Firmware (bis Version R_00.06.xx)

Port Forwarding Rule	Source zone
tlt_allow_remote_http_through_DMZ	From any host in wan	HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports
	From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx)	HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN.
tlt_allow_remote_https_through_DMZ	From any host in wan	HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports
	From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx)	HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN.

Bei Verwendung einer mdex fixed.IP+ via OpenVPN oder mdex public.IP via OpenVPN beachten Sie bitte die Hinweise in der FAQ Wichtige Hinweise bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN.

Problem mit Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5

Aufgrund eines Softwarebugs in der Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5 wurde die automatische Regel tlt_allow_remote_http(s)_through_DMZ fälschlicherweise gelöscht, sobald man auf Network -> Firewall den Tab General Settings aufgerufen und wieder verlassen hat. Nun war kein Fernzugriff mehr zum Router möglich.

• Als Abhilfemaßnahme wurden sämtliche von mdex vorkonfigurierte Router in dieser Konstellation mit einer zusätzlichen Port-Forwarding-Regel Router Remote-Access für den Fernzugriff ausgeliefert.
• Bei nachträglichen Änderungen der Router LAN-IP-Adresse oder des Router HTTP(S)-Port muss diese zusätzliche Regel Router Remote-Access unter Network -> Firewall im Tab Port Forwarding ebenfalls manuell angepasst werden. Wenn kein Fernzugriff mehr gewünscht ist, muss auch diese Regel Router Remote-Access deaktiviert oder gelöscht werden.

Dieses Problem wurde mit Firmware RUT2XX_R_00.01.14.5 und RUT9XX_R_00.06.08.6 behoben, so dass die Router seitdem in dieser Konstellation ohne zusätzliche Regel Router Remote Access ausgeliefert werden. Router mit älteren Firmwareständen sollten aktualisiert werden.