Der Fernzugriff zur Weboberfläche des Teltonika Routers sollte speziell bei einer public.IP nur aktiviert sein, wenn sich der Router an einem externen Standort ohne direkte Zugriffsmöglichkeit befindet. Wenn sich der Router aber an einem lokalen Standort mit direkter Zugriffsmöglichkeit befindet, sollte der Fernzugriff aus Sicherheitsgründen besser deaktiviert werden. Beachten Sie dazu bitte auch die FAQ Sicherheitshinweise bei Verwendung einer public.IP.
Damit der Fernzugriff zur Weboberfläche (WebUI) des Teltonika Routers speziell bei der Legacy Firmware funktioniert, sind einige Dinge zu beachten:
1. Fernzugriff aktivieren
Unter
System ->
Administration im Tab
Access Control muss der gewünschte HTTP bzw. HTTPS Fernzugriff aktiviert worden sein:
WebUI |
|
Enable remote HTTP access |
Der HTTP-Fernzugriff zum Router ist aktiviert. |
Enable remote HTTPS access |
Der HTTP-Fernzugriff zum Router ist aktiviert |
2. Richtige Source zone einstellen
Unter
Network ->
Firewall im Tab
Traffic Rules muss bei den Regeln
Enable_HTTP_WAN (HTTP-Fernzugriff) bzw.
Enable_HTTPS_WAN (HTTPS-Fernzugriff) die richtige Source zone eingestellt sein:
Traffic Rule |
Source zone |
|
Enable_HTTP_WAN |
From any host in wan |
HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports. |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
Enable_HTTPS_WAN |
From any host in wan |
HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports. |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN möglich. |
3. Hinweise bei Verwendung von DMZ Configuration (Weiterleitung aller Ports & Protokolle)
3.1 Ab Firmware R_00.07.05
Damit der Fernzugriff zum Router auch bei Aktivierung von
DMZ (Weiterleitung aller Ports & Protokolle zu einem Endgerät) funktioniert, werden unter
Network -> Firewall -> Port Forwarding automatisch folgende Forwarding-Regeln angelegt:
Port Forwarding Rule |
dmz_http: |
HTTP-Fernzugriff zum Router |
dmz_https: |
HTTPS-Fernzugriff zum Router |
dmz_ssh: |
SSH-Fernzugriff zum Router |
dmz_snmp: |
SNMP-Fernzugriff zum Router |
dmz_fw: |
Weiterleitung aller Ports und Protokolle (DMZ) zu dieser IP-Adesse (Endgerät) |
Bei Verwendung einer mdex fixed.IP+/public via OpenVPN mit aktiven DMZ sind einige Dinge zu beachten:
- Bei von mdex vorkonfigurierten Routern für eine mdex fixed.IP+/public via OpenVPN ist die richtige Source Zone "openvpn" bereits bei allen relevanten Regeln eingestellt.
- Sollte "DMZ" aber nachträglich deaktiviert werden, werden alle o.g. Port Forwarding Regeln automatisch gelöscht, weil diese nicht mehr erforderlich sind.
- Wenn "DMZ" nun wieder aktiviert wird, werden die o.G. Regeln automatisch neu angelegt, jedoch alle mit der "falschen" source zone wan!
- Damit der Zugriff über eine mdex fixed.IP/public.IP via OpenVPN wieder funktioniert, müssen die source zones dieser Regeln manuell von wan openvpn umgestellt werden. Hierbei ist richtige Reihenfolge zu beachten, damit der Fernzugriff zum Router nicht verloren wird:
- Zunächst die source zone der Port Forwarding Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp auf von wan openvpn umstellen.
- Anschließend kann die source zone der letzen Regel dmz_fw von wan openvpn umgestellt werden, ohne dass der Fernzugriff verlorengeht. 1
1 Unter System -> Maintenance -> Custom Scripts ist zur Absicherung ein Script implementiert, welches die "source zone" der Regeln dmz_http, dmz_https, dmz_ssh und dmz_snmp automatisch beim Reboot des Routers von wan openvpn anpasst, sollte nur die source zone der Regel dmz_fw auf "openvpn" geändert worden sein. Somit ist der Fernzugriff zum Router spätestens nach dem nächsten Router-Reboot wieder möglich, wenn versehentlich zuerst die Regel dmz_fw auf "openvpn" geändert wurde. Dieses Script ist bei allen Routern ab Firmware 7.05 enthalten, die als mdex fixed.IP+ / public.IP via OpenVPN vorkonfiguriert wurden.
System ->#!/bin/sh
# mdex workaround: If the rule "dmz_fwd" is enabled and set to openvpn, the other fw rules "dmz_http", "dmz_https", "dmz_ssh" and "dmz_snmp" are also set to openvpn after the next router reboot.
. /lib/functions.sh
dmz_src=""
src_updated=0
find_dmz_src() {
local section="$1"
local name="$(uci_get firewall "$section" "name")"
if [ "$name" = "dmz_fw" ]; then
dmz_src="$(uci_get firewall "$section" "src")"
fi
}
update_dmz_fwds() {
local section="$1"
local name="$(uci_get firewall "$section" "name")"
if [ "$name" = "dmz_http" ] || [ "$name" = "dmz_https" ] || [ "$name" = "dmz_snmp" ] || [ "$name" = "dmz_ssh" ]; then
local src="$(uci_get firewall "$section" "src")"
if [ "$src" != "$dmz_src" ]; then
uci_set "firewall" "$section" "src" "$dmz_src"
src_updated=1
fi
fi
}
config_load "firewall"
config_foreach find_dmz_src "redirect"
[ -z "$dmz_src" ] && exit 0
config_foreach update_dmz_fwds "redirect"
[ "$src_updated" -eq 0 ] && exit 0
uci_commit "firewall"
/etc/init.d/firewall reload
exit 0
3.2 Ab Firmware R_00.07.03
Damit der Fernzugriff auch bei Verwendung von „DMZ“ zuverlässig funktioniert, ist bei allen mdex vorkonfigurierten Routern ab Firmware Version R_00.07.03 unter "Network -> Firewall -> Custom Rules" ein spezielles Script implementiert.
#!/bin/ash
###################################################################################################
# mdex workaround for router remote access, if dmz_fw is enabled:
## Check HTTP remote acccess:
HTTP_PORT="$(/sbin/uci get uhttpd.main.listen_http)"
HTTP_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpWanAccess)"
if [ "${HTTP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTP_PORT} -j REDIRECT --to-port ${HTTP_PORT}
fi
## Check HTTPS remote acccess:
HTTPS_PORT="$(/sbin/uci get uhttpd.main.listen_https)"
HTTPS_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpsWanAccess)"
if [ "${HTTPS_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTPS_PORT} -j REDIRECT --to-port ${HTTPS_PORT}
fi
## Check SSH remote access
SSH_PORT="$(/sbin/uci get dropbear.@dropbear[0].Port)"
SSH_REMOTE_STATUS="$(/sbin/uci get dropbear.@dropbear[0]._sshWanAccess)"
if [ "${SSH_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${SSH_PORT} -j REDIRECT --to-port ${SSH_PORT}
fi
## Check SNMP remote access:
SNMP_PORT="$(/sbin/uci get snmpd.general.port)"
SNMP_REMOTE_STATUS="$(/sbin/uci get snmpd.general.remoteAccess)"
SNMP_PROTOCOL="$(/sbin/uci get snmpd.general.proto)"
if [ "${SNMP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p ${SNMP_PROTOCOL} --dport ${SNMP_PORT} -j REDIRECT --to-port ${SNMP_PORT}
fi
###################################################################################################
Beachten Sie hierzu folgende Hinweise:
- Bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN muss unter Network -> Firewall -> Traffic Rules die die Source Zone der Rule Enable_HTTPS_WAN, bzw. Enable_HTTP_WAN auf openvpn eingestellt sein!
- Nachträgliche Änderungen am Router-Fernzugriff, z.B. Portänderungen, werden erst nach dem nächsten Router-Neustart wirksam. Werden nachträgliche Änderungen per Fernzugriff vorgenommen, besteht die Gefahr, dass der Fernzugriff zum Router bis zum nächsten Router-Neustart verloren geht!
- Bei einem Firmware-Update von einer "Legacy FW" auf die aktuelle "Factory FW" (R_00.07.xx) wird das o.g. Script nicht automatisch ergänzt. Es werden bei Aktivierung der Option "Keep all settings" nur die aktuellen Konfigurationseinstellungen und vorhandene Regeln laut Fernzugriff zur Router Weboberfläche (Legacy Firmware) übernommen.
3.3 Legacy Firmware (bis Version R_00.06.xx)
Wenn unter
Network ->
Firewall im Tab
General Settings die Option
DMZ Configuration (Weiterleitung aller Ports & Protokolle zu einem Endgerät) verwendet wird, legt der Router automatisch unter
Network ->
Firewall im Tab
Port Forwarding die erforderliche Port Forwarding Regel
tlt_allow_remote_http(s)_through_DMZ an. Diese Regel ermöglicht in dieser Konstellation mit aktivierter "DMZ Configuration" weiterhin den Fernzugriff zum Router.
Port Forwarding Rule |
Source zone |
tlt_allow_remote_http_through_DMZ |
From any host in wan |
HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
tlt_allow_remote_https_through_DMZ |
From any host in wan |
HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
Bei nachträglicher Änderung der Router LAN-IP-Adresse oder des Router HTTP(S)-Ports wird diese Regel automatisch angepasst, so dass der Fernzugriff zum Router weiterhin möglich ist. Sollte "DMZ Configuration" deaktiviert werden, ist diese Regel
tlt_allow_remote_http(s)_through_DMZ nicht mehr erforderlich und wird automatisch gelöscht.
Bei Verwendung einer mdex fixed.IP+ via OpenVPN oder mdex public.IP via OpenVPN beachten Sie bitte die Hinweise in der FAQ Wichtige Hinweise bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN.
Problem mit Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5
Aufgrund eines Softwarebugs in der Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5 wurde die automatische Regel tlt_allow_remote_http(s)_through_DMZ fälschlicherweise gelöscht, sobald man auf Network -> Firewall den Tab General Settings aufgerufen und wieder verlassen hat. Nun war kein Fernzugriff mehr zum Router möglich.
- Als Abhilfemaßnahme wurden sämtliche von mdex vorkonfigruierte Router in dieser Konstellation mit einer zusätzlichen Port-Forwarding-Regel Router Remote-Access für den Fernzugriff ausgeliefert.
- Bei nachträglichen Änderungen der Router LAN-IP-Adresse oder des Router HTTP(S)-Port muss diese zusätzliche Regel Router Remote-Access unter Network -> Firewall im Tab Port Forwarding ebenfalls manuell angepasst werden. Wenn kein Fernzugriff mehr gewünscht ist, muss auch diese Regel Router Remote-Access deaktiviert oder gelöscht werden.
Dieses Problem wurde mit Firmware RUT2XX_R_00.01.14.5 und RUT9XX_R_00.06.08.6 behoben, so dass die Router seitdem in dieser Konstellation ohne zusätzliche Regel Router Remote Access ausgeliefert werden. Router mit älteren Firmwareständen sollten aktualisiert werden.