Der Fernzugriff zur Weboberfläche des Teltonika Routers sollte speziell bei einer public.IP nur aktiviert sein, wenn sich der Router an einem externen Standort ohne direkte Zugriffsmöglichkeit befindet. Wenn sich der Router aber an einem lokalen Standort mit direkter Zugriffsmöglichkeit befindet, sollte der Fernzugriff aus Sicherheitsgründen besser deaktiviert werden. Beachten Sie dazu bitte auch die FAQ Sicherheitshinweise bei Verwendung einer public.IP.
Damit der Fernzugriff zur Weboberfläche (WebUI) des Teltonika Routers speziell bei der Legacy Firmware funktioniert, sind einige Dinge zu beachten:
1. Fernzugriff aktivieren
Unter
System ->
Administration im Tab
Access Control muss der gewünschte HTTP bzw. HTTPS Fernzugriff aktiviert worden sein:
WebUI |
|
Enable remote HTTP access |
Der HTTP-Fernzugriff zum Router ist aktiviert. |
Enable remote HTTPS access |
Der HTTP-Fernzugriff zum Router ist aktiviert |
2. Richtige Source zone einstellen
Unter
Network ->
Firewall im Tab
Traffic Rules muss bei den Regeln
Enable_HTTP_WAN (HTTP-Fernzugriff) bzw.
Enable_HTTPS_WAN (HTTPS-Fernzugriff) die richtige Source zone eingestellt sein:
Traffic Rule |
Source zone |
|
Enable_HTTP_WAN |
From any host in wan |
HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports. |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
Enable_HTTPS_WAN |
From any host in wan |
HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports. |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN möglich. |
3. Hinweise bei Verwendung von DMZ Configuration (Weiterleitung aller Ports & Protokolle)
3.1 Legacy Firmware
Wenn unter
Network ->
Firewall im Tab
General Settings die Option
DMZ Configuration (Weiterleitung aller Ports & Protokolle zu einem Endgerät) verwendet wird, legt der Router automatisch unter
Network ->
Firewall im Tab
Port Forwarding die erforderliche Port Forwarding Regel
tlt_allow_remote_http(s)_through_DMZ an. Diese Regel ermöglicht in dieser Konstellation mit aktivierter "DMZ Configuration" weiterhin den Fernzugriff zum Router.
Port Forwarding Rule |
Source zone |
tlt_allow_remote_http_through_DMZ |
From any host in wan |
HTTP-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTP-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
tlt_allow_remote_https_through_DMZ |
From any host in wan |
HTTPS-Fernzugriff zum Router mit der IP-Adresse der SIM-Karte oder des WAN-Ports |
From any host in vpn (Legacy FW) / openvpn (ab R_00.07.xx) |
HTTPS-Fernzugriff zum Router mit der mdex fixed.IP+/public via OpenVPN. |
Bei nachträglicher Änderung der Router LAN-IP-Adresse oder des Router HTTP(S)-Ports wird diese Regel automatisch angepasst, so dass der Fernzugriff zum Router weiterhin möglich ist. Sollte "DMZ Configuration" deaktiviert werden, ist diese Regel
tlt_allow_remote_http(s)_through_DMZ nicht mehr erforderlich und wird automatisch gelöscht.
Bei Verwendung einer mdex fixed.IP+ via OpenVPN oder mdex public.IP via OpenVPN beachten Sie bitte die Hinweise in der FAQ Wichtige Hinweise bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN.
Problem mit Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5
Aufgrund eines Softwarebugs in der Firmware RUT2XX_R_00.01.14.3 und RUT9XX_R_00.06.08.5 wurde die automatische Regel tlt_allow_remote_http(s)_through_DMZ fälschlicherweise gelöscht, sobald man auf Network -> Firewall den Tab General Settings aufgerufen und wieder verlassen hat. Nun war kein Fernzugriff mehr zum Router möglich.
- Als Abhilfemaßnahme wurden sämtliche von mdex vorkonfigruierte Router in dieser Konstellation mit einer zusätzlichen Port-Forwarding-Regel Router Remote-Access für den Fernzugriff ausgeliefert.
- Bei nachträglichen Änderungen der Router LAN-IP-Adresse oder des Router HTTP(S)-Port muss diese zusätzliche Regel Router Remote-Access unter Network -> Firewall im Tab Port Forwarding ebenfalls manuell angepasst werden. Wenn kein Fernzugriff mehr gewünscht ist, muss auch diese Regel Router Remote-Access deaktiviert oder gelöscht werden.
Dieses Problem wurde mit Firmware RUT2XX_R_00.01.14.5 und RUT9XX_R_00.06.08.6 behoben, so dass die Router seitdem in dieser Konstellation ohne zusätzliche Regel Router Remote Access ausgeliefert werden. Router mit älteren Firmwareständen sollten aktualisiert werden.
3.2 Ab Firmware R_00.07.03
Damit der Fernzugriff auch bei Verwendung von „DMZ“ zuverlässig funktioniert, ist bei allen mdex vorkonfigurierten Routern ab Firmware Version R_00.07.03 unter "Network -> Firewall -> Custom Rules" ein spezielles Script implementiert:
#!/bin/ash
###################################################################################################
# mdex workaround for router remote access, if dmz_fw is enabled:
## Check HTTP remote acccess:
HTTP_PORT="$(/sbin/uci get uhttpd.main.listen_http)"
HTTP_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpWanAccess)"
if [ "${HTTP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTP_PORT} -j REDIRECT --to-port ${HTTP_PORT}
fi
## Check HTTPS remote acccess:
HTTPS_PORT="$(/sbin/uci get uhttpd.main.listen_https)"
HTTPS_REMOTE_STATUS="$(/sbin/uci get uhttpd.main._httpsWanAccess)"
if [ "${HTTPS_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${HTTPS_PORT} -j REDIRECT --to-port ${HTTPS_PORT}
fi
## Check SSH remote access
SSH_PORT="$(/sbin/uci get dropbear.@dropbear[0].Port)"
SSH_REMOTE_STATUS="$(/sbin/uci get dropbear.@dropbear[0]._sshWanAccess)"
if [ "${SSH_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p tcp --dport ${SSH_PORT} -j REDIRECT --to-port ${SSH_PORT}
fi
## Check SNMP remote access:
SNMP_PORT="$(/sbin/uci get snmpd.general.port)"
SNMP_REMOTE_STATUS="$(/sbin/uci get snmpd.general.remoteAccess)"
SNMP_PROTOCOL="$(/sbin/uci get snmpd.general.proto)"
if [ "${SNMP_REMOTE_STATUS}" == '1' ] ; then
iptables -t nat -A PREROUTING -i + -p ${SNMP_PROTOCOL} --dport ${SNMP_PORT} -j REDIRECT --to-port ${SNMP_PORT}
fi
###################################################################################################
Beachten Sie hierzu folgende Hinweise:
- Bei Verwendung einer mdex fixed.IP+ / public.IP via OpenVPN muss unter Network -> Firewall -> Traffic Rules die die Source Zone der Rule Enable_HTTPS_WAN, bzw. Enable_HTTP_WAN auf openvpn eingestellt sein!
- Nachträgliche Änderungen am Router-Fernzugriff, z.B. Portänderungen, werden erst nach dem nächsten Router-Neustart wirksam. Werden nachträgliche Änderungen per Fernzugriff vorgenommen, besteht die Gefahr, dass der Fernzugriff zum Router bis zum nächsten Router-Neustart verloren geht!
- Bei einem Firmware-Update von einer "Legacy FW" auf die aktuelle "Factory FW" (R_00.07.xx) wird das o.g. Script nicht automatisch ergänzt. Es werden bei Aktivierung der Option "Keep all settings" nur die aktuellen Konfigurationseinstellungen und vorhandene Regeln laut Fernzugriff zur Router Weboberfläche (Legacy Firmware) übernommen.