Unitymedia 6360 als Modem, sendet uPnP Anfragen an meine Firew

[grobekelle]

Guten Tag zusammen,

vor zwei Tagen habe ich unserem Business Anschluss eine statische IP zuweisen lassen,
als Router / Firewall agiert eine Dell SonicWALL, alles funktioniert bestens, doch eine Kleinigkeit stört mich.

In den Logs der Firewall entnehme ich uPnP Anfragen von der FRITZ!Box die an den WAN Port meiner Firewall gesendet und von den Policies entsprechend abgelehnt werden.

01/08/2016 09:51:48.256 Notice Network Access UDP packet dropped 46.252.133.123, 46806, X1 239.255.255.250, 1900 UDP Port: 1900

Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?
Ich würde gerne den uPnP Dienst deaktivieren.

Liebe Grüße

Patrick

 

[tq1199]

Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?

In welchem Bundesland hast Du deinen UM-Anschluss? Wie hast Du deine FritzBox als "Modem" konfiguriert?

 

[grobekelle]

Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?

In welchem Bundesland hast Du deinen UM-Anschluss? Wie hast Du deine FritzBox als "Modem" konfiguriert?

In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.

 

[tq1199]

In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.

Den uPnP Dienst der FritzBox kann man nicht zu 100% deaktivieren. Ich bekomme mit deaktiviertem uPnP in der FB6360, weiterhin Anfragen von der FritzBox, allerdings nur an den Geräten im (W)LAN der FB6360:

<i>
</i>10:10:26.812453 M ##:##:##:##:##:## ethertype IPv4 (0x0800), length 167: (tos 0x0, ttl 4, id 20215, offset 0, flags [none], proto UDP (17), length 151) 192.168.178.1.46720 > 239.255.255.250.1900: [udp sum ok] UDP, length 123
10:10:26.814583 M ##:##:##:##:##:## ethertype IPv6 (0x86dd), length 181: (hlim 254, next-header UDP (17) payload length: 125) fe80::c225:6ff:fe2b:52de.44056 > ff02::c.1900: [udp sum ok] UDP, length 117

Das Gerät am Bridge-Anschluss der FB6360 (mit der statischen externen IPv4-Adresse; in BaWü) bekommt an der WAN-Schnittstelle, keine uPnP Anfragen von der FB6360 (lediglich intensive arp-requests für fremde IPv4-Adressen und broadcast traffic, aber nicht von der FB6360 sondern über das gateway von UM = CMTS).

Lt. der Ausgabe deiner Firewall, stammen die uPnP Anfragen auch nicht von deiner FB (46.252.133.123, 46806), wenn ich das richtig verstehe.

EDIT:

Siehe z. B. auch die IPv4-Adresse (und die MAC-Adresse) des gateways, deiner festen IPv4-Adresse (Firewall):

<i>
</i>ip n s

oder

<i>
</i>arp -av

oder gleichwertig.

 

[grobekelle]

In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.

Den uPnP Dienst der FritzBox kann man nicht zu 100% deaktivieren. Ich bekomme mit deaktiviertem uPnP in der FB6360, weiterhin Anfragen von der FritzBox, allerdings nur an den Geräten im (W)LAN der FB6360:

<i>
</i>10:10:26.812453 M ##:##:##:##:##:## ethertype IPv4 (0x0800), length 167: (tos 0x0, ttl 4, id 20215, offset 0, flags [none], proto UDP (17), length 151) 192.168.178.1.46720 > 239.255.255.250.1900: [udp sum ok] UDP, length 123
10:10:26.814583 M ##:##:##:##:##:## ethertype IPv6 (0x86dd), length 181: (hlim 254, next-header UDP (17) payload length: 125) fe80::c225:6ff:fe2b:52de.44056 > ff02::c.1900: [udp sum ok] UDP, length 117

Das Gerät am Bridge-Anschluss der FB6360 (mit der statischen externen IPv4-Adresse; in BaWü) bekommt an der WAN-Schnittstelle, keine uPnP Anfragen von der FB6360 (lediglich intensive arp-requests für fremde IPv4-Adressen und broadcast traffic, aber nicht von der FB6360 sondern über das gateway von UM = CMTS).

Lt. der Ausgabe deiner Firewall, stammen die uPnP Anfragen auch nicht von deiner FB (46.252.133.123, 46806), wenn ich das richtig verstehe.

EDIT:

Siehe z. B. auch die IPv4-Adresse (und die MAC-Adresse) des gateways, deiner festen IPv4-Adresse (Firewall):

<i>
</i>ip n s

oder

<i>
</i>arp -av

oder gleichwertig.

Das WLAN der FRITZ!Box ist nach der Umstellung von dynamisch auf statisch nicht mehr verfügbar, da diese nur noch als Modem agiert.
Ich hatte die IP abgeändert, vielleicht daher die Verwirrung.

So sieht das Log auf der SonicWALL aus.

01/08/2016 10:54:08.240 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
8 01/08/2016 10:52:08.064 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
9 01/08/2016 10:50:07.064 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
10 01/08/2016 10:48:06.048 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900

Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.

 

[tq1199]

Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.

Hm, ... d. h. deine FritzBox hat keine dynamische externe/öffentliche IPv4-Adresse mehr, sondern auch (bzw. zusätzlich) eine feste IPv4-Adresse aus dem gleichen Subnetz wie die feste IPv4-Adresse, die deine Firewall (WAN-IP) am Bridge-Anschluss (... Modem der FritzBox) bekommt. Das sind dann m. E. multicast Pakete innerhalb des Subnetzes und da wird man evtl. nichts (in der FritzBox) deaktivieren können.

Versuch mal mit einer zurückweisenden Route in deiner Firewall:

<i>
</i>sudo route add -net 239.0.0.0 netmask 255.0.0.0 reject

oder gleichwertig.

EDIT:

Teste mal ob an der WAN-IP der Firewall, auch arp- bzw. broadcast-Traffic ankommt und von wo dieser stammt.

 

[grobekelle]

Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.

Hm, ... d. h. deine FritzBox hat keine dynamische externe/öffentliche IPv4-Adresse mehr, sondern auch (bzw. zusätzlich) eine feste IPv4-Adresse aus dem gleichen Subnetz wie die feste IPv4-Adresse, die deine Firewall (WAN-IP) am Bridge-Anschluss (... Modem der FritzBox) bekommt. Das sind dann m. E. multicast Pakete innerhalb des Subnetzes und da wird man evtl. nichts (in der FritzBox) deaktivieren können.

Versuch mal mit einer zurückweisenden Route in deiner Firewall:

<i>
</i>sudo route add -net 239.0.0.0 netmask 255.0.0.0 reject

oder gleichwertig.

Mein Firewall dropped die Packete ja schon.

EDIT:

Teste mal ob an der WAN-IP der Firewall, auch arp- bzw. broadcast-Traffic ankommt und von wo dieser stammt.

ARP requests / Broadcast kommen nicht an, lediglich MultiCast und die ganz sicher von der FritzBox in einem Intervall von 2 Minuten.

 

[tq1199]

..., lediglich MultiCast und die ganz sicher von der FritzBox in einem Intervall von 2 Minuten.

OK, dann ist das so mit einer festen IPv4-Adresse in NRW (und Hessen), dass innerhalb des Subnetzes, von der FritzBox (... die hier als gateway fungiert; siehe auf der Firewall die Ausgabe von "route -n") multicast Pakete an die WAN-IP gesendet werden.
M. E. immer noch besser, als die intensiven arp-requests und broadcasts über die CMTS (als gateway) an die WAN-IP, in BaWü.