Unitymedia Provisionierungsprozess und Config-File

[zion150]

Hallo Community.

Zunächst mal mein „erlesener“ Wissenstand:
Provisioning ist die Aktivierung des Internetzugangs mittels vollautomatischer Konfiguration des Routers über die Leitung. Dazu werden in einem Config-File u.a. Zugangsdaten, Werte bzgl. des Netzes (und Anpassungen der Firmware) übertragen.
Provisionierte Endgeräte lassen sich dann von einem Ort aus per Fernzugriff verwalten, ohne die geräteeigene Online-Konfigurationsoberfläche einzeln aufrufen zu müssen. Regelmäßige Wartungsarbeiten und Änderungen von Einstelllungen werden somit bedeutend vereinfacht.

1. Ist das Config-File etwas anderes wie das exportierte Konfigurationsfile der Fritzbox? In meinem Konfigurationsfile stehen ja z.B. auch meine angelegten VPN User.
   Da wäre es ja möglich einen weiteren einzupflegen und Unitymedia(UM) wäre dann ein Zugriff bis in mein LAN möglich.
2. Und wenn nicht direkt per config-file dann halt nachträglich per Fernzugriff über die Weboberfläche?
3. Wie kommt UM mit der MAC-Adresse eigentlich an die IP des Router/Modems?
4. Erfolgt „nur“ eine Customization der Firmware oder wird diese komplett ausgetauscht?
   Der DVB-C Server soll ja deaktiviert sein?!
5. Oder noch besser, hat jemand eine Quelle wie der ganze Provisionierungsprozess eigentlich abläuft?
   Meine vorhandenen Netzwerk-Bücher sind zum Thema sehr „übersichtlich“ (3-4 Sätze)
   Gefunden habe ich das Kapitel 7.4 in Breitbandkabel und Zugangsnetze: Technische Grundlagen und Standards von Andres Keller Da könnte passendes drinstehen, ist mir allerdings zu happig.

MfG zion150

 

[Gizeh775]

Ist das Config-File etwas anderes wie das exportierte Konfigurationsfile der Fritzbox? In meinem Konfigurationsfile stehen ja z.B. auch meine angelegten VPN User.
Da wäre es ja möglich einen weiteren einzupflegen und Unitymedia(UM) wäre dann ein Zugriff bis in mein LAN möglich.

Ja das ist komplett unabhängig davon.

Und wenn nicht direkt per config-file dann halt nachträglich per Fernzugriff über die Weboberfläche?

Ich bin mir nicht sicher ob UM Zugriff aufs FritzBox Webinterface hat, aber ein "vorsichtiges" Nein dazu.

Wie kommt UM mit der MAC-Adresse eigentlich an die IP des Router/Modems?

Während der Anmeldung am CMTS sendet dein Router die MAC-Adresse an das CMTS, welches dann in der Liste schaut was du für ein Setup bekommst und wer du bist.
Dann bekommst dein Configfile.

Erfolgt „nur“ eine Customization der Firmware oder wird diese komplett ausgetauscht?
Der DVB-C Server soll ja deaktiviert sein?!

Sie ist angepasst und ja der DVB Stream ist deaktivert.

Oder noch besser, hat jemand eine Quelle wie der ganze Provisionierungsprozess eigentlich abläuft?
Meine vorhandenen Netzwerk-Bücher sind zum Thema sehr „übersichtlich“ (3-4 Sätze)
Gefunden habe ich das Kapitel 7.4 in Breitbandkabel und Zugangsnetze: Technische Grundlagen und Standards von Andres Keller Da könnte passendes drinstehen, ist mir allerdings zu happig.

MfG zion150

http://www.scte.org/documents/pdf/standards/SCTE 135-2 2013.pdf
Punkt 5.2.5 CM and CPE Provisioning and Management

 

[addicted]

Provisioning ist die Aktivierung des Internetzugangs mittels vollautomatischer Konfiguration des Routers über die Leitung. Dazu werden in einem Config-File u.a. Zugangsdaten, Werte bzgl. des Netzes (und Anpassungen der Firmware) übertragen.
Provisionierte Endgeräte lassen sich dann von einem Ort aus per Fernzugriff verwalten, ohne die geräteeigene Online-Konfigurationsoberfläche einzeln aufrufen zu müssen. Regelmäßige Wartungsarbeiten und Änderungen von Einstelllungen werden somit bedeutend vereinfacht.

Ganz so aus Sicht einer DSL-Welt darfst Du Dir das nicht vorstellen.

- Konfiguriert wird ansich nicht der Router, sondern das Kabelmodem. Über die Jahre haben sich da einige Optionen etabliert, die dabei unterstützt werden, aber prinzipiell ist das recht rudimentär - dem Modem wird gesagt, wie das Kabelnetz aussieht und was für Eigenschaften der "Service" hat, der dem Modem gewährt wird.
Auch eine Fritzbox enthält so ein Kabelmodem.
- Verwalten lassen sich nur Eigenschaften, die im Docsis Standard festgeschrieben sind (und die das Gerät unterstützt). Beipielsweise kannst Du dem Gerät Bandbreite mitteilen, aber nicht, ob es im LAN DHCP macht und in welchem Netzbereich.
- Es gibt keine Zugangsdaten.
- Das Auslesen (und ggf. Übertragen) von Informationen nach erfolgter Provisionierung erfolgt mittels SNMP. Darüber können z.B. die Signalwerte ausgelesen werden. Natürlich kann das Endgerät weitere Protokolle unterstützen, wie z.B. TR69, aber das hat dann nicht mehr mit der Provisionierung zu tun.

 

[hajodele]

- Konfiguriert wird ansich nicht der Router, sondern das Kabelmodem. Über die Jahre haben sich da einige Optionen etabliert, die dabei unterstützt werden, aber prinzipiell ist das recht rudimentär - dem Modem wird gesagt, wie das Kabelnetz aussieht und was für Eigenschaften der "Service" hat, der dem Modem gewährt wird.
Auch eine Fritzbox enthält so ein Kabelmodem.
- Verwalten lassen sich nur Eigenschaften, die im Docsis Standard festgeschrieben sind (und die das Gerät unterstützt). Beipielsweise kannst Du dem Gerät Bandbreite mitteilen, aber nicht, ob es im LAN DHCP macht und in welchem Netzbereich.

Aha
Und die Telefonie sowie die Konfigurationseinschränkungen aller Gateways kommen durch Zauberrei :glück:
Es ist schon interessant, ein nichtprovisioniertes Gateway mit dem gleichen im provisionierten Zustand zu vergleichen.
Insbesondere bei der Fritzbox bin ich davon überzeugt, dass sie so gut wie alles fixieren könnten.
Und wie soll Wifispot auf das Gateway kommen?

 

[Andreas1969]

Insbesondere bei der Fritzbox bin ich davon überzeugt, dass sie so gut wie alles fixieren könnten.

Ja, können sie per TR-069 :winken:
Da kann UM so ziemlich alles an der Box manipulieren, sogar durch die Firewall hindurch bis auf die Endgeräte hinter der Fritzbox, wenn sie es wollten. :streber:

 

[hajodele]

Ja, können sie per TR-069 :winken:
Da kann UM so ziemlich alles an der Box manipulieren, sogar durch die Firewall hindurch bis auf die Endgeräte hinter der Fritzbox, wenn sie es wollten. :streber:

Wie kommt das Konfig-File auf das Modem/Gateway?

 

[Andreas1969]

Wie kommt das Konfig-File auf das Modem/Gateway?

Bei der Anmeldung am CMTS bekommt das Modem sein Config File zugeteilt, bzw. lädt es vom UM-Server herunter. :winken:

 

[Hemapri]

Provisioning ist die Aktivierung des Internetzugangs mittels vollautomatischer Konfiguration des Routers über die Leitung. Dazu werden in einem Config-File u.a. Zugangsdaten, Werte bzgl. des Netzes (und Anpassungen der Firmware) übertragen.

Nicht ganz. Mit der Provisionierung wird das Kabelmodem dem Kundenvertrag zugeordnet. Zugangsdaten gibt es keine. Keine Ahnung, was du mit Werte des Netzes meinst. In der Konfigurationsdatei wirde die die maximale Übertragungsrate im DS/US festgelegt, die Vergabe der IP aus dem öffentlichen Netz geregelt, ebenso die Telefoniedaten und diverse Geräteeinstellungen, wie z.B. WLAN.

Provisionierte Endgeräte lassen sich dann von einem Ort aus per Fernzugriff verwalten, ohne die geräteeigene Online-Konfigurationsoberfläche einzeln aufrufen zu müssen. Regelmäßige Wartungsarbeiten und Änderungen von Einstelllungen werden somit bedeutend vereinfacht.

Nein! Das hat mit einer Provisionierung überhaupt nichts zu tun. Das lässt sich auch alles mit unprovisionierten MTA machen. Und was heißt von einem Ort? Der Zugang zu den Geräten ist berechtigten Personen von jedem PC, der über einen Internetzugang verfügt, möglich.

1. Ist das Config-File etwas anderes wie das exportierte Konfigurationsfile der Fritzbox? In meinem Konfigurationsfile stehen ja z.B. auch meine angelegten VPN User.

1. 
   
   Ja, das ist etwas vollkommen anderes.
   

   Da wäre es ja möglich einen weiteren einzupflegen und Unitymedia(UM) wäre dann ein Zugriff bis in mein LAN möglich.

   
   Nein, die kommen nur auf das integrierte MTA (Kabelmodem). Vom Roter können sie nur die IP und die MAC auslesen.
   

   [*] Und wenn nicht direkt per config-file dann halt nachträglich per Fernzugriff über die Weboberfläche?

   
   Das config.file hat mit dem Zugang rein gar nichts zu tun. Der Funktioniert über die CMAC.
   

   [*] Wie kommt UM mit der MAC-Adresse eigentlich an die IP des Router/Modems?

   
   Was meinst du hier konkret. Welche MAC-Adresse? Über die CMAC kann das MTA angesprochen werden. Das über ein MTA verbundene netzwerkfähige Gerät bekommt über das CMTS eine öffentliche IP zugewiesen.
   

   [*] Erfolgt „nur“ eine Customization der Firmware oder wird diese komplett ausgetauscht?

   
   Die Firmware stammt original von AVM. UM macht daran gar nichts. Bestimmte Einstellung können aber über Branding aktiviert oder deaktiviert werden.
   

   Der DVB-C Server soll ja deaktiviert sein?!

   
   Genau, das ist so ein Fall.
   

   [*] Oder noch besser, hat jemand eine Quelle wie der ganze Provisionierungsprozess eigentlich abläuft?

   
   Genaueres ist betriebsinterna und wird dir kaum überlassen werden.
   

   Meine vorhandenen Netzwerk-Bücher sind zum Thema sehr „übersichtlich“ (3-4 Sätze)
   Gefunden habe ich das Kapitel 7.4 in Breitbandkabel und Zugangsnetze: Technische Grundlagen und Standards von Andres Keller Da könnte passendes drinstehen, ist mir allerdings zu happig.[/list

   
   Da steht rein gar nichts darüber drin.
   
   MfG

 

[Hemapri]

Wie kommt das Konfig-File auf das Modem/Gateway?

Bei der Anmeldung am CMTS bekommt das Modem sein Config File zugeteilt, bzw. lädt es vom UM-Server herunter. :winken:

Es muss zuallererst mal ein priorisiertes config.file für die eine bestimmte CMAC zur Verfügung gestellt werden. Jedes MTA besitzt bereits ein config.file. Es braucht aber den Befehl, dieses auszutauschen und es benötigt die Angaben, was heruntergeladen und installiert werden soll. Neben dem config.file werden dann noch entsprechende Vertragsdaten geladen. Wird das nicht vorgegeben, kann sich das MTA am CMTS anmelden, so oft es will. Es würde nichts passieren. Es muss sich auch nicht erst am CMTS anmelden, sondern das kann es durchaus schon sonst wie lange sein. Sobald ein solcher Auftrag vorliegt, wird dieser an die entsprechende CMAC abgeschickt und das Kabelmodem führt den Vorgang dann wie angewiesen aus.

MfG

 

[addicted]

Das Modem meldet sich per DHCP und bekommt -neben einer RFC1918 IP Adresse- mitgeteilt, welches File es per TFTP laden soll.

Bis vor ner Weile konnte man beliebige Files herunterladen. Das war nicht so toll, weil man dann auch beliebige SIP Nummern anmelden konnte (die Zugangsdaten stehen da drin). Das wurde mWn gefixt, so dass man heutzutage nur seine eigene Config bekommt.

Der ganze Vorgang funktioniert nur deshalb so gut, weil das Kabelmodem normalerweise eine Blackbox ist, d.h. der Anwender kann nicht reingucken und vor allem nicht manipulieren.
Deswegen sind alle Kabelnetzbetreiber auch so hektisch, wenn es um abweichende Firmware auf den Geräten geht. Man stelle sich mal vor, die Kunden könnten zur Laufzeit Ihre Bandbreite verändern...

 

[zion150]

Vielen Dank für die rege Teilnahme :super:
Für die Literatur hatte ich leider noch keine Zeit und beziehe mich daher hauptsächlich auf die hier getätigten Aussagen ohne jede einzeln zu zitieren.

Das Modem bekommt per DHCP eine RFC1918 IP Adresse zugeteilt. Wahrscheinlich für seine "normale" MAC?
Während der Anmeldung am CMTS sendet das Modem die CMAC-Adresse an das CMTS, wird dem Kundenvertrag zugeordnet und bekommt mittels des vom UM-Server heruntergeladenen Configfiles (TFTP) das entsprechende Setup verpasst.
In der Konfigurationsdatei wird die maximale Übertragungsrate im DS/US festgelegt, die Vergabe der IP aus dem öffentlichen Netz geregelt, ebenso die Telefoniedaten und diverse Geräteeinstellungen, wie z.B. WLAN.
Im Rahmen der Provisionierung werden eigentlich nur DOCSIS-Eigenschaften des Modems konfiguriert.
Trotzdem kann UM über TR-069 so ziemlich alles an der Box manipulieren, sogar durch die Firewall hindurch bis auf die Endgeräte hinter der Fritzbox, wenn sie es wollten.

Da ist es ja dann auch egal, dass das Config-File etwas komplett anderes wie das exportierte Konfigurationsfile der Fritzbox ist und meine Alarmglocken sind nicht umsonst angegangen.

Hier auch nochmal ein Auszug aus Wikipedia TR-069

Sicherheit
TR-069 beschneidet die Privatsphäre und den Datenschutz der Endanwender. Es erlaubt dem Provider, automatische Aktualisierungen unbemerkt und ohne Zustimmung des Benutzers in DSL-Router einzuspielen. Diese können sogar zielgerichtet für bestimmte Benutzer oder Benutzergruppen eingerichtet werden. Insbesondere vor dem Hintergrund der „Online-Durchsuchungen“, von Abhörbefugnissen[1] und ähnlichem kann das für den Benutzer gravierende Folgen haben.

Zudem ermöglicht es TR-069 auch andere Geräte zu konfigurieren, die sich im „sicheren Bereich“ hinter der Box oder dem Modem befinden, also hinter der Firewall.[2] Durch Fernzugriff könnten so auch Daten auf bestimmten Kundengeräten, auf die der Netzbetreiber Zugriff hat, geändert oder gelöscht werden. Durch sein Funktionsprinzip stellt TR-069 daher eine Backdoor dar, deren Existenz vielen Endkunden nicht bekannt ist und über deren Möglichkeiten sie sich nicht bewusst sind.

1) Sollte man daher hinter dem Modem (mittlerweile meist im Router integriert) nicht am besten noch einen eigenen Router installieren? Auch wenn das evtl. die Möglichkeiten einer FB aufgrund der fehlenden externen IP einschränkt.
Ein reines Modem wäre wohl immer noch die beste Lösung. Aber um das Netz der WifiSpots auszudehen wird es das wohl nicht mehr geben.

2) Über TR-069 wird dann wohl nicht nur das WLAN-Modul allgemein aktviert, sondern auch das Wlan mit der SSID "Unitymedia Wifispot" aktiviert? Zumindest beim TC7200, bei den anderen soll das ja noch nicht möglich sein.

MfG

 

[hajodele]

Ob und wenn ja, was über TR069 installiert wird, ist unklar.
Ich gehe davon aus, dass darüber NICHTS installiert wird.
In der Praxis wird TR069 verwendet, um die Modemdaten zu sehen.

Ich weiss leider nicht, ob man TR069 in der 6490 abschalten kann

 

[Andreas1969]

Ich weiss leider nicht, ob man TR069 in der 6490 abschalten kann

In der Providerbox: Nein :traurig:
In der freien Box: Ja

 

[Soldierofoc]

Kommr aber dann äußerst blöd, wenn man einen Tarifwechsel beauftragt hat und deswegen die Provisionierung auf einen Fehler läuft Bis ich da drauf gekommen bin bzw. dran gedacht habe diese Funktion deaktviert zu haben, hat es leider etwas gedauert.
Den mehrfachen Marathon durch die Hotline, bis mein Auftrag ncohmals beim Provisioning-Team gelandet ist, hätte ich mir gerne sparen können. :traurig:

 

[Andreas1969]

Kommr aber dann äußerst blöd, wenn man einen Tarifwechsel beauftragt hat und deswegen die Provisionierung auf einen Fehler läuft Bis ich da drauf gekommen bin bzw. dran gedacht habe diese Funktion deaktviert zu haben, hat es leider etwas gedauert.
Den mehrfachen Marathon durch die Hotline, bis mein Auftrag ncohmals beim Provisioning-Team gelandet ist, hätte ich mir gerne sparen können. :traurig:

Hätte jetzt nicht gedacht, dass man das für einen reinen Tarifwechsel temporär wieder freigegeben muss, aber gut zu wissen. :super: