Problem
Der Fernzugriff zur WebUI eines Teltonika-Routers wurde eingerichtet, jedoch vom Router mit der Meldung "Forbidden Rejected request from RFC1918 IP to public server address" abgelehnt.
Ursache
Erhält die im Router verwendete SIM-Karte eine IP-Adresse aus dem Subnetz 100.x.x.x, wie beispielsweise bei
- Conexa SIM
- KPN SIM (SIMPro) → nach der Migration des KPN-Kernnetzes
- 'mdex EASY SIM' (mCOP) → nach der Migration des KPN-Kernnetzes
kategorisiert der RFC1918-Filter des Teltonika-Routers diese als öffentliche IP-Adresse und verweigert den Fernzugriff, sofern der Fernzugriff von einer privaten Absender-IP-Adresse initiiert wird.
Welche Fernzugriffe sind davon betroffen?
Sofern einer der nachstehend aufgeführten VPN-Tunnel verwendet wird, erfolgt der Fernzugriff mit einer privaten Absender-IP-Adresse, weshalb diese vom RFC1918-Filter des Routers abgelehnt wird:
- WL Connect-Tunnel/SSL-VPN
- WL OpenVPN
- WL IPsec VPN
- mdex Leitstellentunnel
Welche Fernzugriffe sind uneingeschränkt möglich?
Fernzugriffe über web.direct oder den DevicePro SIM-Tunnel sind uneingeschränkt möglich, da hierbei eine öffentliche IP-Adresse als Absender verwendet wird.
Sofern die SIM-Karte über eine öffentliche IP-Adresse (public IP) aus dem Internet erreichbar ist, erfolgt der Fernzugriff ebenfalls mit einer öffentlichen Absender-IP-Adresse und ist uneingeschränkt möglich.
Abhilfe
Bei von Wireless Logic mdex vorkonfigurierten Teltonika-Routern, die ab November 2023 ausgeliefert wurden, ist der RFC1918 Filter (Option 'Ignore private IPs on public interface') bereits deaktiviert, so dass der Fernzugriff über alle VPN-Tunnel uneingeschränkt möglich ist.
Sollte der Fernzugriff mit der oben genannten "Forbidden"-Meldung abgelehnt werden, muss der RFC1918-Filter im Teltonika-Router deaktiviert werden:
- Loggen Sie sich im Router ein, siehe auch Lokaler Zugriff zur Router-Weboberfläche (WebUI).
- Gehen Sie zu System -> Administration -> Access Control
- Deaktivieren Sie im Abschnitt WebUI die folgende Option, anhängig der eingesetzten Firmware-Version:
Ab RutOS7-Firmware R_00.07.10:
Beim gewünschten Service, z.B. HTTPS, auf 'Edit' klicken:
Zur Deaktivierung des RFC1918 Filters die Option 'Ignore private IPs on public interface' auf 'off' stellen:
Bis RutOS7-Firmware R_00.07.09:
Zur Deaktivierung des RFC1918 Filters die Option 'Ignore private IPs on public interface' auf 'off' stellen:
Legay Firmware:
Die Option 'RFC1918 Filter' deaktivieren:
- Scrollen Sie nach unten und klicken Sie auf 'Save & Apply'.
- Nun sollte der Fernzugriff zur WebUI des Routers möglich sein.