Unitymedia Portsperren bei UM

[tq1199]

Unitymedia filtert doch garkeine Ports Netzwerk-seitig.

Doch, UM macht das. Ohne FB (d. h. mit einem Kabelmodem und IPv4) kann man das testen. Z. B. aus dem Telekom-Netz (vom border device) ins UM-Netz:

<i>
</i># nmap -e dsl -PN -sU 46.###.###.## -p134,135
Starting Nmap 4.68 ( http://nmap.org ) at 2016-08-17 09:38 CEST
Interesting ports on HSI-KBW-46-###-###-##.hsi.kabel-badenwuerttemberg.de (46.###.###.##):
PORT STATE SERVICE
134/udp open|filtered ingres-net
135/udp filtered msrpc
Nmap done: 1 IP address (1 host up) scanned in 3.963 seconds

im UM-Netz (auf dem border device):

<i>
</i>:~ $ sudo tcpdump -vvveni eth0 udp portrange 134-135
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:38:02.794141 00:01:##:##:##:## > ##:##:##:##:3c:ae, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 45, id 20089, offset 0, flags [none], proto UDP (17), length 28) 91.##.###.###.49715 > 46.###.###.##.134: [udp sum ok] UDP, length 0

 

[Andreas1969]

Ist das jetzt der Grund, warum sich die beiden Boxen bei mir nicht per VPN koppeln lassen?

Komischerweise laufen bei mir folgende 2 VPN Verbindungen stabil :

1. Als Client vom Smartphone auf die 6490
2. Als Client vom Rechner auf die 6490

Nur die 2 Boxen selber lassen sich nicht koppeln.
Es kommt kein Datenfluss zustande.
Der Tunnel wird zwar aufgebaut, aber es geht kein Ping oder irgendetwas anderes.

Gruß Andreas

 

[Andreas1969]

Jetzt habe ich auch mal probiert, die 7490 (Telekom IPV4)
mit der 6490 (Unitymedia IPV4) per VPN zu koppeln.
Selbiges Fehlerbild, Tunnel wird aufgebaut, aber kein Datenfluss.
Unitymedia scheint da irgendwas zu sperren bzw. zu filtern.
Was ist das denn für ein Sch... ?
Löst denn die Deaktivierung des NETBIOS Filters denn
jetzt überhaupt mein Problem?
Das habe ich nämlich noch nicht probiert.

Gruß Andreas

 

[hajodele]

Das hilft eher nicht.
Aus welchem Bundesland kommst du eigentlch? Leider ist es so, dass es keine einheitlichen Konfigurationen gibt. Bei mir in BaWü läuft alles.
Ich komme via VPN auf die Geräte meiner Mutter und meines Schwagers.
Von meiner Mutter und meinem Schwager kann man auf einen Raspberry Pi zugreifen, der als interner Webserver konfiguriert ist.
Von Drittnetzen komme ich mit meinem Tablet auf meinen Pi und meine 7390, wenn ich VPN aktiviert habe.
Mehr benötige ich nicht.

 

[Andreas1969]

Beide Anschlüsse laufen in NRW.
Ich habe auch schon die Vermutung, daß das daran liegt, dass die Anschlüsse in NRW laufen.
Habe jetzt mal die beiden Fehleranalyse Dateien der
beiden Boxen an den AVM Support geschickt.
Sollen die sich erstmal damit rumärgern und mir
eine funktionierende Lösung anbieten.

Gruß Andreas

 

[SpaceRat]

Danke für die Info.
Werde dann mal bei beiden Boxen den Netbios Filter mit dem FB EDITOR negieren. Warum bekommt man da eigentlich keine Info vom AVM Support oder vom Unitymedia Kundenservice, die lassen einen im Regen stehen. Immer die Aussage: Muss funktionieren, die FB zurücksetzen, die VPN Verbindung nochmals neu einrichten usw.

Weil der NetBIOS-Filter mit dem VPN nichts zu tun hat ...

NetBIOS ist ein antiquierter Bestandteil von Windows/Samba aus den Zeiten von CIFS, also OS/2, WinDOS for Workgroups und WinDOS 9x/ME.
Im Internet haben diese Ports auch nichts verloren.

Zu WinDOS-9x-Zeiten war der blöde Default, NetBIOS über TCP/IP auch an WAN-Schnittstellen zu binden, der Grund dafür, daß es immer schön neuen Homemade Pr0n im Netz gab, weil so quasi jedermann aus dem Internet auf den so konfigurierten Rechnern auf alle WinDOS-Freigaben zugreifen konnte.
Zu dieser Zeit hing ja der Hauptrechner des Hauses fast immer direkt an Modem oder ISDN-Karte und baute über SLIP/PPP(oE) eine direkte Verbindung ins Internet auf ...

Dieser Spuk endete, als Router für jedermann in Mode kamen, ich meine aber auch, daß Microsoft irgendwann die standardmäßige Bindung von NetBIOS über TCP/IP an WAN-Schnittstellen unterlassen hat.

Egal ob nun ein Rechner mit offenem oder geschlossenem NetBIOS über TCP/IP im LAN hing, spätestens ab dem Router war nun Feierabend, es sei denn, man ist so blöd und konfiguriert noch extra eine Freigabe ...
... damit auch das nicht möglich ist (z.B. durch einen Wurm mittels UPnP), enthält die Fritz!Box einen NetBIOS-Filter, wobei hier "NetBIOS" nicht ganz stimmt, es wird nicht nur NetBIOS sondern auch CIFS und SMB gefiltert. NetBIOS an sich wird ja nur für die Namensauflösung in Windows-Netzwerken benutzt, für den eigentlichen Austausch mit dem Dateiserver wird dann CIFS (Port 139) oder SMB (Port 445) benutzt.
Eventuell filtert die Fritz!Box dabei den NetBIOS/CIFS/SMB-Verkehr auch nicht nur nach den Ports, sondern auch nach Inhalt, weiß ich jetzt nicht.

Die Ports die Unitymedia hier ausfiltert werden also nur für die Datei- und Druckerfreigaben im Windows/Samba-Netzwerk gebraucht und diese waren von der Sicherheit her nie auf öffentliche Netze ausgelegt. Sie kommen also im Internet sowieso nur vor, wenn im Netz des Kunden absolute Blödheit am Werk war.

Ich finde netzseitige Portsperren zwar sch..., weil sich genau solche Ports perfekt für das Verbiegen von Portfreigaben eignen (Da man sie ja definitiv nie für den Dienst brauchen wird, der eigentlich auf diesem Port lauscht) und ich finde, daß Unitymedia nicht durch Sperren von Port 445 den Betrieb eines https-Servers auf diesem Port unmöglich zu machen hat.
Aber wenn man hier so mitliest, dann kriegt man schon Verständnis für die Maßnahme ...

Ich habe zwei Fritz-VPNs dauerhaft aufgebaut und das sogar durch dreifaches NAT.

Bzgl. der VPNs ist jedenfalls die Antwort vom Support absolut korrekt:
Einfach richtig konfigurieren, denn kaum macht man es richtig klappt es auch.
Die Portfilter haben damit jedenfalls rein gar nix zu tun.


Ach ja:
Innerhalb eines VPNs zwischen zwei Fritz!Boxen gibt es ebenfalls einen NetBIOS-Filters, dort ist er aber standardmäßig aus, da ja ein VPN normal eher wie ein standortübergreifendes LAN genutzt wird, also beidseitig vertrauenswürdige Rechner und Nutzer zu finden sind.
Man kann ihn aber auch einschalten, z.B. wenn man mit irgendwelcher Verwandtschaft gemeinsam FTP-/Web-Server o.ä. nutzen will ohne die für jedermann ins Internet öffnen zu müssen, gleichzeitig aber nicht will, daß die anfangen auf dem Drucker der Gegenseite zu drucken oder auf ganze Festplatten zuzugreifen.

 

[Andreas1969]

Hier die Antwort von AVM:
damit hatte ich schon gerechnet.
Die VPN Verbindung hatte ich korrekt eingerichtet.
Und jetzt?
Kann ja dann nur noch an Unitymedia liege.
Der Unitymedia Kundenservice was natürlich wie immer von nichts.
Hat noch jemand einen Tip?


XXX (AVM Support)

17. Aug., 13:52 CEST

Guten Tag - Herr XXX,

vielen Dank für Ihre Geduld.


Aus den Daten der beiden Cable Boxen ist leider nichts auffälliges zu erkennen.
Die Konfiguration beider Boxen ist auch richtig eingestellt.


Freundliche Grüße aus Berlin
XXX (AVM Support)

 

[SpaceRat]

Da gibt's zig mögliche Ursachen ...

1. verwendeter DynDNS wird nicht aktualisiert
2. Du hast doch kein IPv4
3. Auf einer der beiden Boxen wird einer der für das VPN benötigten Ports anderweitig verbraten
4. ...
5. ..
6. ..

Mach doch für Dein Problem am besten einen eigenen Thread auf, hier paßt es ja nicht wirklich.

 

[Andreas1969]

Ich gebe jetzt an dieser Stelle auf.

1. DynDNS wird auf beiden Boxen aktualisiert
2. Die 6490 hat IPV4
3. Es wird kein Port anderweitig verbraten

Ich werde mich damit abfinden müssen, dass es im
Unitymedia Netz in NRW nicht funktioniert.
Wenn ich das wieder nutzen möchte, muss ich wohl
zum Schnecken DSL der Telekom zurückkehren.

Das hatte ich ja vorher, ein Anschluss hatte DSL 1000 und der Andere DSL 2000, aber es funktionierte wenigstens.
Nur war der Zugriff über die VPN Verbindung auf den jeweils anderen Anschluss quälend langsam.
Das möchte ich eigentlich nicht mehr haben, da das Internet auf beiden Anschlüssen auch nicht der Hit war.

Gruß aus

 

[SpaceRat]

Ich werde mich damit abfinden müssen, dass es im
Unitymedia Netz in NRW nicht funktioniert.

Was willst Du wirklich?
Trollen?
Rumheulen und ein Taschentuch gereicht bekommen?

Hilfe scheint es jedenfalls nicht zu sein ...

Meines Wissens liegen nämlich der Rhein-Sieg-Kreis, die Euregio Aachen und Köln alle immer noch in NRW, wenn wir nicht durch Plattentektonik inzwischen in ein anderes (Bundes-)Land abgedriftet sein sollten ...

Köln (Fritz!Box 6360 am Unitymedia-Kabelanschluß):

Rhein-Sieg-Kreis (Fritz!Box 7270v2 am Telekom-DSL-Anschluß):

Aachen (Fritz!Box 7390 am Unitymedia-Kabel-Anschluß mit Vodafone-DSL-Anschluß als Fallback):

 

[Andreas1969]

Das sieht bei mir im Prinzip genau so aus.
VPN Verbindungen vom Smartphone usw. laufen
bei mir auch alle.
Nur die Verbindung zwischen den Boxen klappt nicht.
In der 6490 ist der grüne Punkt für die VPN Verbindung zur 6360 an (Verbindung hergestellt)
In der 6360 ist der grüne Punkt für die VPN Verbindung zur 6490 aus (Verbindung wird hergestellt) und der bleibt auch grau. Es fließen einfach keine Daten.
Liegt es vielleicht doch daran, daß die 6360 nur DSLIGHT hat?
AVM sagt, das ist egal, es muss nur eine der beiden Boxen über IPV4 angebunden sein.

 

[SpaceRat]

Da kommen wir der Sache doch schon näher ... mir ist noch nie eine AVM-VPN-Verbindung über DS-Lite gelungen. .. daher ja auch der Verweis auf IPv4 auf beiden Seiten.

 

[Andreas1969]

Das ist jetzt aber mal ganz übel.
AVM behauptet nämlich, daß das geht, wenn eine Box IPV4 hat und die andere DSLIGHT! !!
Die haben ja auch meine Konfiguration geprüft und keinen Fehler festgestellt.
Wissen die denn selber nicht, was mit den Boxen möglich ist, bzw. nicht?
Das ist ja dann mal wieder ne Lachnummer vom AVM Service.

Gruß Andreas

 

[SpaceRat]

Das ist jetzt aber mal ganz übel.
AVM behauptet nämlich, daß das geht, wenn eine Box IPV4 hat und die andere DSLIGHT! !!

Mal so, mal so ...
Sie behaupten auf zwei Tutorial-Seiten einmal, daß es geht und einmal, daß es nicht geht.

Die haben ja auch meine Konfiguration geprüft und keinen Fehler festgestellt.
Wissen die denn selber nicht, was mit den Boxen möglich ist, bzw. nicht?
Das ist ja dann mal wieder ne Lachnummer vom AVM Service.

Ich habe zufällig vor ein paar Tagen noch im ip-phone-forum zu diesem Thema gelesen.

Dort zirkulieren Anleitungen, wie es gehen soll:
Die Fritz!Box mit öffentlicher IPv4 kann nicht nur ihrerseits keine Verbindung zu der Box ohne öffentliche IPv4 aufbauen, sie darf es auch nicht versuchen, sonst bricht das umgekehrt aufgebaute VPN wieder zusammen.
Außerdem muß/sollte man regelmäßig von der DS-lite-Box aus einen Ping durch das VPN senden, damit es nicht abgebaut wird. Sonst will man evtl. von der IPv4-Box aus was über das VPN ziehen, kann dann die Verbindung aber nicht herstellen (Da der Aufbau ja von der DS-lite-Box aus erfolgen müßte).

Um das zu gewährleisten muß man die Configs etwas von Hand anpassen, da weder die Fritz!Box-Oberfläche noch das "AVM Fernzugang"-Tool diese Optionen richtig setzen können.

"gehen soll", weil die Threads jeweils ohne Erfolgsmeldung enden. Das muß aber nix heißen, ist ja oft so, daß sich die Leute nicht mehr zurückmelden, wenn's klappt.

 

[Andreas1969]

Danke für den Hinweis,
das hört sich logisch an.
Day spiegelt auch den VPN Status der beiden Boxen wieder.
Einmal grün und die andere Box grau.

Werde jetzt mal bei AVM anfragen, wie ich diese manuellen Anpassungen bewerkstelligen kann.

Ich werde berichten, wenn ich eine Antwort bekommen habe.

Gruß Andreas

 

[SpaceRat]

Das hier sollte klappen:
VPN zwischen zwei Fritz!Boxen - eine mit DS-Lite

 

[Andreas1969]

Übrigens, der Grund meines Ansinnens ist folgender:

Ich möchte mehrere Geräte, die an der 6360 (DSLight) hängen über den Tunnel mit einer öffentlichen IPV4 ausstatten, damit ich wieder darauf zugreifen kann.

Dafür muss der Tunnel aber erst einmal laufen.
Ich habe auch keine Lust auf einen teureren Business Anschluss umzusteigen. Der Tunnel wäre von der Geschwindigkeit (10 Mbit durch den Upload beschränkt)
schnell genug für meine Bedürfnisse.

Gruß Andreas

 

[Andreas1969]

Der letzte Link von SpaceRat sieht vielversprechend aus.
Werde das am WE mal testen.
Parallel warte ich mal die Antwort von AVM ab.
Die müssten mir ja dann eine ähnliche Lösung anbieten.

Danke erstmal für die vielen Hinweise, besonders an SpaceRat
Gruß Andreas

 

[SpaceRat]

Ich möchte mehrere Geräte, die an der 6360 (DSLight) hängen über den Tunnel mit einer öffentlichen IPV4 ausstatten, damit ich wieder darauf zugreifen kann.

Das wird aber noch ein schönes Stück Arbeit ...

Die Geräte an der 6360 kriegen dadurch ja keine öffentliche IPv4, genauso wie auch die an Deiner 7490 keine haben.
Sie haben alle nur private IPv4-Adressen und werden erst durch Port-Weiterleitungen/NAT erreichbar.

Und da wird's haarig:
Man kann ohne Tricks keine Port-Freigaben erstellen, die außerhalb des LAN liegen, also auch nicht für irgendwelche Geräte im entfernten Teil des VPN.

Da kriegt man diese Fehlermeldung:
Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt.

Die fraglichen Port-Weiterleitungen wirst Du also alle per FB!Editor bzw. Anpassen einer Einstellungssicherung reinhacken müssen ...

Ich würde da ja eher IPv6-Freigaben erzeugen und die dann halt bei Bedarf über feste-ip.net von IPv4-Clients aus erreichbar machen.

 

[Andreas1969]

Da sehe ich momentan erst mal kein Problem.
Da ich die Variante Lan3 der 6360 mit dem Netzwerk der 6490 koppeln verwende. Dann hängen doch die an Lan3 angeschlossen Geräte direkt im Netzwerk der 6490 (IPV4) und die Portfreigaben lassen sich einrichten. Die Geräte an Lan3 bauen die Internetverbindung ja auch über die 6490 auf.

Gruß Andreas

 

[Andreas1969]

Habe jetzt alles probiert, alles ohne Erfolg.
AVM ist auch ratlos.
Die Hinweise aus dem Link habe ich ausprobiert,
die mit dem AVM Tool erzeugten config Dateien habe ich wie im Beispiel abgeändert usw.
Und noch diverse andere Einstellungen probiert.
Der Tunnel wird zwar teilweise aufgebaut, aber nur bei
einer Box. Bei der anderen bleibt der Status grundsätzlich grau.
Ich gebe jetzt an dieser Stelle auf.
Vermutlich liegt es daran, daß eine Box DS Lite hat und
das AFTR bei Unitymedia irgendetwas unterbindet bzw. in Bezug auf VPN nicht durchlässt bzw. sperrt.
Dann sollen die das doch zugeben und nicht einen auf blöd machen.

 

[Andreas1969]

Eins verstehe ich allerdings nicht.
Von einem PC hinter der 6360 (DSLIGHT) kann ich mit dem Fritz Fernzugang VPN Client eine VPN Verbindung zur 6490 (IPV4) aufbauen und auf das gesamte Netzwerk hinter der 6490 zugreifen. Dann sollte das doch mit 2 Boxen auch gehen, oder was ist da anders?

Gruß Andreas

 

[Andreas1969]

Jetzt habe ich auch Antwort von AVM bekommen :

XXX (AVM Support)

25. Aug., 17:37 CEST

Guten Tag - Herr XXX,

die Config sieht vollkommen i.O. aus, auf Seiten der FRITZ!Box gibt es nichts zu bemängeln.

Inwiefern das Anbieterrouting und deren Übertragung "in die Suppe spuckt" ist für uns anhand der Analysedaten nicht feststellbar, jedoch durch multiple NAT-Stellen in deren Struktur denkbar.

Daher können wir Ihnen hier, an dieser Stelle, leider nicht mehr weiterhelfen.

Ich hoffe, das Sie mit/durch unitymedia eine Lösung finden.

Freundliche Grüße aus Berlin
XXX (AVM Support)


Aus Schluss Ende das wars dann wohl.
Da sollte AVM doch mal die Dokumentation überarbeiten.
VPN zwischen 2 Fritz-Boxen geht ja wohl nur, wenn beide
Seiten über eine öffentliche IP verfügen.
Deren falsche Dokumentation führt den Endanwender ja nur in die Irre.
Anscheinend wussten Die ja selber nicht, dass es nicht geht, wenn eine der 2 Boxen über DSLITE verfügt.

Gruß Andreas

 

[Andreas1969]

Ich hoffe jetzt darauf, daß die Telekom hier irgendwann doch noch auf VDSL Vectoring Ausbaut und kündige dann den Misst bei Unitymedia, dann hat sich das Problem nämlich erledigt. Da weiß ich, dass es läuft.
Also sind die Anschlüsse bei Unitymedia doch kastriert.

Gruß Andreas

 

[hajodele]

Wenn AVM endlich IPv6-fähiges VPN bereitstellen würde, nicht.
Wenn du wirklich dringend VPN brauchst, richtest du dir Openvpn o.a. auf einem Raspberry Pi o.ä. ein.