Unitymedia Technicolor TC4400 Docsis 3.1 Modem Info Thread

[sparkie]

ich dachte den Cisco Bug hat Vodafone ausnahmsweise mal selbst gefixt: Beitrag

oder waren das Fake-News?

 

[sch4kal]

ICMP blocken ist ungefähr das Computer BILD-Niveau der Security Best Practises.

ICMPv4 Echo Requests oder generell alle ICMP Nachrichtentypen ?

ICMPv4 Echo Block Ist z.B. die Default-Firewall-Policy bei Fedora und RHEL/CentOS und auch in vielen Router-Distributionen (pfSense, OPNSense,...)

Was ist eigentlich aus dem für Juli von AVM angekündigten Fritz OS 7 geworden :kratz:

Schau mal auf den Kalender, wir haben noch 2 Wochen Juli. Und schau mal auf die AVM-Webseite, da findest Du den Release Candidate.

Nicht für die 6490/6590. Vielleicht bekommt die 6590 noch im Juli das Update auf 7, die 6490 bestimmt nicht.

Kommt da überhaupt noch was für das TC4400 oder ist das schon end-of-life?

Ziemlich sicher, es macht nämlich sonst keinen Sinn, den Punkt in den Release Notes zu erwähnen (mit Link zum Jira-Issuetracker!), wenn das Produkt in absehbarer Zeit in EoL geht.
Das Backlog ist auch für deren Management/Supervisor nachvollziehbar, kommt doof wenn da zig Punkte offen sind.

 

[robert_s]

ICMPv4 Echo Block Ist z.B. die Default-Firewall-Policy bei Fedora und RHEL/CentOS und auch in vielen Router-Distributionen (pfSense, OPNSense,...)

Was wenig hilfreich ist, wenn man z.B. den Thinkbroadband Broadband Quality Monitor benutzen möchte:

Once you have registered an IP address for monitoring, we will ping that IP address sending small ICMP echo requests.

ICMP Echo Requests aus Sicherheitsgründen zu blockieren ist der klassische "security by obscurity" Ansatz...

Nicht für die 6490/6590.

Du hast auf der Laborseite vergessen, nach unten zu scrollen:
https://avm.de/fritz-labor/fritz-labor-fuer-fritzbox-6590-cable/fritz-labor-fuer-fritzbox-6590-cable/

 

[rv112]

Für den Thinkbroadband reicht es deren IP zuzulassen. Ich habe ICMP auch geblockt.

 

[sch4kal]

Was wenig hilfreich ist, wenn man z.B. den Thinkbroadband Broadband Quality Monitor benutzen möchte:

Dann lässt man den eben für einen bestimmten v4-Block zu:

<i>
</i>iptables -A INPUT -i eth4 -s 80.249.99.0/24 -p icmp --icmp-type echo-request -j ACCEPT

ICMP Echo Requests aus Sicherheitsgründen zu blockieren ist der klassische "security by obscurity" Ansatz...

Dann machen es ziemlich viele Linux-Distributionen und Sicherheitssoftware-Produkte falsch, im Übrigen blockt das auch Qubes-OS per default.
Edward Snowden, Linus Torvalds, Dan J. Bernstein und Co. müssen sich sicher täuschen...
Frag doch mal auf der Security Mailing List :zwinker:

Du hast auf der Laborseite vergessen, nach unten zu scrollen:
https://avm.de/fritz-labor/fritz-labor-fuer-fritzbox-6590-cable/fritz-labor-fuer-fritzbox-6590-cable/

Kein FritzOS 7 ! http://download.avm.de/fritzbox/beta/frisch-aus-der-entwicklung/

 

[y0r]

http://shouldiblockicmp.com/
Früher war es bei KabelBW eher vernünftig, 445 etc. zu blocken. Auch DHCP Kram was nicht die KBW Server anging.
Aber ICMP? Als ob es mich juckt, wenn der Schinäs oder Russ mich anpingt.
Ich fahre äh surfe schon 30 Jahre unfallfrei.

 

[sch4kal]

http://shouldiblockicmp.com/
Früher war es bei KabelBW eher vernünftig, 445 etc. zu blocken. Auch DHCP Kram was nicht die KBW Server anging.
Aber ICMP? Als ob es mich juckt, wenn der Schinäs oder Russ mich anpingt.
Ich fahre äh surfe schon 30 Jahre unfallfrei.

Wir beziehen uns nur auf ICMP Echo Requests/Responses, und da hilft es schon ungemein es nicht für alle aus dem Internet erreichbar zu machen, siehe Surricata Logs ein paar Seiten zuvor. Es gibt nun mal Scripts, die den Target-Host zuerst anpingen und bei einem Fehlschlag davon ausgehen, das an der Adresse nichts erreichbar ist. Klar gibt es da dann auch Scripts die tiefer scannen, jedoch minimiert man damit trotzdem seine Angriffsfläche.

 

[Wechseler]

ich dachte den Cisco Bug hat Vodafone ausnahmsweise mal selbst gefixt: Beitrag

Das ist ein Workaround. Den Bug selbst muß TC beheben.

 

[y0r]

Wir beziehen uns nur auf ICMP Echo Requests/Responses, und da hilft es schon ungemein es nicht für alle aus dem Internet erreichbar zu machen, siehe Surricata Logs ein paar Seiten zuvor. Es gibt nun mal Scripts, die den Target-Host zuerst anpingen und bei einem Fehlschlag davon ausgehen, das an der Adresse nichts erreichbar ist. Klar gibt es da dann auch Scripts die tiefer scannen, jedoch minimiert man damit trotzdem seine Angriffsfläche.

Und dann?
Ja, ich habe 443 für das SSLVPN offen. Und weiter? Sollte jemand eine DDOS Attacke fahren und die FW es nicht entsprechend unterbinden kann, bin ich sowieso im Sack.
Grundlos fährt aber niemand DDOS gegen eine einzelne IP, wenn der Angreifer davon nichts hat. Dich zu ärgern ist wohl kaum ein lohnendes Ziel.
SSH auf die Sonicwall ist nur vom root Server möglich. So what?
Da ists mir lieber die Kiste von überall anpingen zu können. Schon allein wegen der heimischen Obrigkeit "wäwä Internet geht nicht! Mach was!". Der Ping erzählt mir dann gleich ob die Kiste offline ist oder Paketverlust hat. Egal wo ich gerade bin.

 

[sparkie]

Das ist ein Workaround. Den Bug selbst muß TC beheben.

ok, sorry das stand ja sogar in den Releasenotes von TC.

Ist das eventuell ein zarter Hinweis darauf, dass Vodafone doch ein bisschen kooperiert?

Waere interessant ob das bei den Betroffenen zu einer Verbesserung gefuehrt hat. Rueckmeldungen gibt es aber keine bis jetzt.

 

[sch4kal]

Ist das eventuell ein zarter Hinweis darauf, dass Vodafone doch ein bisschen kooperiert?

Das scheint aber noch nicht bis in den 1st-Level durchgesickert zu sein.

Und dann?
Ja, ich habe 443 für das SSLVPN offen. Und weiter? Sollte jemand eine DDOS Attacke fahren und die FW es nicht entsprechend unterbinden kann, bin ich sowieso im Sack.
Grundlos fährt aber niemand DDOS gegen eine einzelne IP, wenn der Angreifer davon nichts hat. Dich zu ärgern ist wohl kaum ein lohnendes Ziel.
SSH auf die Sonicwall ist nur vom root Server möglich. So what?
Da ists mir lieber die Kiste von überall anpingen zu können. Schon allein wegen der heimischen Obrigkeit "wäwä Internet geht nicht! Mach was!". Der Ping erzählt mir dann gleich ob die Kiste offline ist oder Paketverlust hat. Egal wo ich gerade bin.

Hat mit DDOS nix zu tun, gegen diesen Angriffsvektor kannst du dich selbst nur schlecht schützen, außer du bist ein Tier1-Carrier und hast Zugriff auf BGP-Router und könntest eine Nullroute setzen oder du biegst dein DNS entsprechend auf Cloudflare etc. um und lässt die den Traffic schlucken. Geht mir eher um automatische Scripts die jede erdenkliche IP anpingen und bei Erfolg weiter die Standardports scannen, das geht bei mir eben nicht mehr.

 

[y0r]

Hat mit DDOS nix zu tun, gegen diesen Angriffsvektor kannst du dich selbst nur schlecht schützen, außer du bist ein Tier1-Carrier und hast Zugriff auf BGP-Router und könntest eine Nullroute setzen oder du biegst dein DNS entsprechend auf Cloudflare etc. um und lässt die den Traffic schlucken.

Deswegen sage ich es ja. Allerdings kannst dir auch als nicht ISP eine BigIP vor den Anschluss setzen.

Geht mir eher um automatische Scripts die jede erdenkliche IP anpingen und bei Erfolg weiter die Standardports scannen, das geht bei mir eben nicht mehr.

Ja, dann zieht der Scanner bei dir vielleicht weiter und bei mir findet er 443. Und dann? Da läuft ja kein IIS. :brüll:

 

[Menano]

Weiß jemand was diese Einträge im Event Log zu bedeuten haben? Dazu habe ich auch seit einigen Tagen deutlich mehr unkorrigierbare Fehler.

<i>
</i> 31 Sun Jul 18 15:01:53 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 30 Sun Jul 18 14:32:39 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 2; Chan ID: 27 29 ; DSID: N/A; MAC Addr: N/A; OFDM/OF... 29 Sun Jul 18 14:32:16 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 28 Sun Jul 18 13:30:13 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 2; Chan ID: 28 29 30 ; DSID: N/A; MAC Addr: N/A; OFDM... 27 Sun Jul 18 13:16:02 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 26 Sun Jul 18 13:16:00 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 2; Chan ID: 26 27 28 29 30 31 ; DSID: N/A; MAC Addr: ... 25 Sun Jul 18 04:15:11 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 24 Sun Jul 18 04:15:10 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 18 19 20 2... 23 Sun Jul 18 04:05:09 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 4; Chan ID: 16 17 18 21 22 23 24 25 26 27 29 30 31 ; ... 22 Sun Jul 18 04:05:09 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 21 Sun Jul 18 04:05:07 2018 Warning (5) "MDD message timeout;CM-MAC=XX:XX:XX:XX:XX:XX;CMTS-MAC=00:17:10:98:3d:8a;CM-QOS=1.1;CM-VER=3.1;" 20 Sun Jul 17 22:12:09 2018 Error (4) "DHCP RENEW WARNING - Field invalid in response v4 option;CM-MAC=10:62:d0:90:92:a1;CMTS-MAC=00:... 19 Sun Jul 16 14:22:36 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 18 Sun Jul 16 14:16:04 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 4; Chan ID: 16 17 18 21 22 23 24 25 26 27 29 30 31 ; ... 17 Sun Jul 16 14:16:04 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 2... 16 Sun Jul 16 14:16:00 2018 Warning (5) "MDD message timeout;CM-MAC=XX:XX:XX:XX:XX:XX;CMTS-MAC=00:17:10:98:3d:8a;CM-QOS=1.1;CM-VER=3.1;" 15 Sun Jul 16 13:59:43 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 7 10 18 19 20 21 22 23 24 25 26 27 28 29 ... 14 Sun Jul 16 13:56:49 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 7 10 31 ; DSID: N/A; MAC Addr: N/A; OFDM/... 13 Sun Jul 16 13:56:49 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 2; Chan ID: 10 ; DSID: N/A; MAC Addr: N/A; OFDM/OFDMA... 12 Sun Jul 16 10:12:09 2018 Error (4) "DHCP RENEW WARNING - Field invalid in response v4 option;CM-MAC=10:62:d0:90:92:a1;CMTS-MAC=00:... 11 Sun Jul 16 03:49:19 2018 Notice (6) "CM-STATUS message sent. Event Type Code: 5; Chan ID: 31 ; DSID: N/A; MAC Addr: N/A; OFDM/OFDMA...

 

[Lambert]

Nachdem ja nun anscheinend die DOCSIS-Files geändert wurden, würde ich vorschlagen das Lambert nochmal probiert sein Modem an den Start zu kriegen.
Dann sehen wir weiter... :kafffee:

Habe es gerade noch einmal probiert. Es hat sich, zumindest bei mir, nichts getan. Ich bekomme es immer noch nicht online. Modem resetet, Aktivierungprozess durchlaufen, aber nach wie vor das gleiche Problem.
Danke an robert_s und Michaelbre für den Hinweis per PN.

 

[kunde337]

Was ist eigentlich der Grund dafür, dass einige Provider es Modem-Nutzern so schwer machen? Man kann ja fast das Gefühl bekommen, dass für die Provider (die früher Qualitätsprodukte wie das Cisco selbst verteilten) billige und minderwertige Plastikboxen mittlerweile den Status einer Religion bekommen haben.

 

[rv112]

Weil man mit den Zwangsroutern volle Kontrolle über die Nutzer hat und sämtlichen Schindluder wie z.B. Wifispot schalten kann.

 

[boba]

Das sind Kosten. Je weniger verschiedene Gerätetypen beim Kunden in Gebrauch sind, desto weniger aufwendig ist der Support dafür. Mit Support ist nicht nur gemeint, dass der Kunde bei einem Problem irgendwo anruft, sondern auch schon vorher, bei der Bereitstellung. Jedes Gerät hat seine Eigenheiten, trotz technischer Standards, und je weniger gerätespezifischer Eigenheiten man in der Netzinfrastruktur berücksichtigen muss, desto kostengünstiger ist der Betrieb. Am kostengünstigsten ist dabei ein Gerät, das technisch alles in einer Box hat, also Modem, Router, Switch, Wlan, und der Kunde stellt das bei sich hin, stöpselt nur die Kabel ein, und dann gehts einfach ohne dass der Anwender dran rumbasteln oder rumkonfigurieren muss. Sowas ist die Connect-Box.

Und je simpler Geräte sind, desto weniger Supportkosten verursachen sie auch aus diesem Grund. Denn wenn ein Feature oder eine Konfigurationsmöglichkeit nicht existiert, dann kann ein Kunde auch kein Problem damit haben, somit auch keine Supportkosten verursachen. Wobei man auch hier das Pareto-Prinzip berücksichtigen muss: 80% aller Kunden, möglicherweise sogar mehr, benötigen überhaupt keine zusätzlichen Funktionen, die über die minimalen Funktionalitäten der kostengünstigsten Geräte hinausgehen. Nur eine Minderheit der Kunden würden erweiterte Funktionen überhaupt wahrnehmen bzw. bestimmungsgemäß verwenden. Diese Dinge in den Support aufzunehmen wäre also eine recht teure Investition bei gar nicht sichergestellter Reichweite.

 

[nts]

Das TC4400 ist doch eigentlich auch nur ein Providergerät. Würde UM uns die Router-Variante von dem Ding als Connectbox v2 hinstellen, würden hier sicherlich trotzdem Leute über die "billige und minderwertige Plastikbox" meckern :zunge:

 

[kunde337]

Das TC4400 ist doch eigentlich auch nur ein Providergerät.

Naja, eigentlich ist es simpler:

Warum deaktiviert UM den Bridge-Modus bzw. warum lässt sich das gerät nicht als reines Modem betreiben? Wenn das ginge, hätte ich mich (sofern die Verbindung stabil+schnell und kein Puma-Bug vorhanden wäre) auch für eine ConnectBox entschieden.

Würde UM uns die Router-Variante von dem Ding als Connectbox v2 hinstellen, würden hier sicherlich trotzdem Leute über die "billige und minderwertige Plastikbox" meckern :zunge:

Kommt drauf an! Wenn der integrierte Router die Qualität und die Möglichkeiten einer IPFire/pfsense-Lösung hätte - sicher nicht!

 

[kunde337]

Das TC4400 ist doch eigentlich auch nur ein Providergerät.

Naja, eigentlich ist es simpler:

Warum deaktiviert UM den Bridge-Modus bzw. warum lässt sich das Gerät nicht als reines Modem betreiben? Wenn das ginge, hätte ich mich (sofern die Verbindung stabil+schnell und kein Puma-Bug vorhanden wäre) auch für eine ConnectBox entschieden.

Würde UM uns die Router-Variante von dem Ding als Connectbox v2 hinstellen, würden hier sicherlich trotzdem Leute über die "billige und minderwertige Plastikbox" meckern :zunge:

Kommt drauf an! Wenn der integrierte Router die Qualität und die Möglichkeiten einer IPFire/pfsense-Lösung hätte - sicher nicht!

 

[robert_s]

Was ist eigentlich der Grund dafür, dass einige Provider es Modem-Nutzern so schwer machen? Man kann ja fast das Gefühl bekommen, dass für die Provider (die früher Qualitätsprodukte wie das Cisco selbst verteilten) billige und minderwertige Plastikboxen mittlerweile den Status einer Religion bekommen haben.

Es wird wohl so sein, dass weder Provider noch Hersteller noch einen großen Markt an "reinen" Modems sehen. Vollintegration ist ja auch von Herstellungs- wie Betriebskosten her vorteilhafter. Und so eine "minderwertige Plastikbox" stellt >>90% der Kunden zufrieden. Für die übrigen paar Prozent/mille lohnt es sich eben kaum, noch eigene Geräte zu fertigen geschweige denn zu entwickeln. Das ist bestenfalls ein Nischenmarkt, wo man den wenigen Abnehmern dann entsprechend höhere Preise abnehmen muss, damit sich das noch irgendwie rechnet.

 

[kunde337]

Was ist eigentlich der Grund dafür, dass einige Provider es Modem-Nutzern so schwer machen? Man kann ja fast das Gefühl bekommen, dass für die Provider (die früher Qualitätsprodukte wie das Cisco selbst verteilten) billige und minderwertige Plastikboxen mittlerweile den Status einer Religion bekommen haben.

Es wird wohl so sein, dass weder Provider noch Hersteller noch einen großen Markt an "reinen" Modems sehen. Vollintegration ist ja auch von Herstellungs- wie Betriebskosten her vorteilhafter. Und so eine "minderwertige Plastikbox" stellt >>90% der Kunden zufrieden. Für die übrigen paar Prozent/mille lohnt es sich eben kaum, noch eigene Geräte zu fertigen geschweige denn zu entwickeln. Das ist bestenfalls ein Nischenmarkt, wo man den wenigen Abnehmern dann entsprechend höhere Preise abnehmen muss, damit sich das noch irgendwie rechnet.

Ist das eine - aber man versucht ja schon die Kunden auch möglichst zu zwingen diese auch vollständig zu nutzen durch Deaktivierung des reinen Modem-Modus, den die Boxen ja durchaus beherrschen würden. Und da halte ich es schon für möglich wie jemand es oben andeutete - dass man das den Leuten dadurch dann leichter einen Wifi-Spot aufs Auge drücken kann etc

 

[robert_s]

Ist das eine - aber man versucht ja schon die Kunden auch möglichst zu zwingen diese auch vollständig zu nutzen durch Deaktivierung des reinen Modem-Modus, den die Boxen ja durchaus beherrschen würden.

Gibt's bei UM keinen Bridge-Modus mehr? VFKD hat ihn jedenfalls noch. Ansonsten dürfte hier aber das gleiche gelten: Support eingestellt aus Mangel an kundenseitigem Interesse. Die paar Leute, die das unbedingt haben wollen, kriegen das schon hin...

 

[Andreas1969]

Die paar Leute, die das unbedingt haben wollen, kriegen das schon hin...

Dann fang mal an und schlag vor, wie man das bei der ConnectBox hinbekommt, bzw. wie man die am Besten hacken kann :winken:

 

[Andreas1969]

Und da halte ich es schon für möglich wie jemand es oben andeutete - dass man das den Leuten dadurch dann leichter einen Wifi-Spot aufs Auge drücken kann etc

Mit einer entsprechend angepassten FW wäre es überhaupt kein Problem, die ConnectBox im Modem Modus laufen zu lassen und trotzdem den WifiSpot auf der Box parallel aufzuspannen :winken: