• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Unitymedia Neue Provisionierung führt Portfilter ein

Diskutiere Neue Provisionierung führt Portfilter ein im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; In NRW wird derzeit scheinbar eine neue Provisionierungsmethode ausgerollt. Mein Config-File hieß bisher...

chris_86

Beiträge
293
Punkte Reaktionen
36
In NRW wird derzeit scheinbar eine neue Provisionierungsmethode ausgerollt.
Mein Config-File hieß bisher generic_40000_5000_ds_som_wifi-on_2id-on.bin, seit dem 17.05. wurde jedoch ein Config-File mit dem kryptischen Namen 546751b07712_....cm eingespielt.
Haben das noch andere beobachtet?

Problem daran:
Das neue Config-File scheint einen ausgehenden Portfilter zu haben, der ausgehenden Datenverkehr auf Port 445 blockiert. Das war mit dem vorherigen Config-File nicht der Fall.

Könntet ihr bitte mal testen, ob diese Portsperre bei euch nun auch aktiv ist?
Das geht z.B. mit der folgenden Webseite: https://my.hidrive.com/#diag
oder auf der Windows-Eingabeaufforderung mittels:
Code:
telnet my.hidrive.com 445
(Wenn der Port offen ist, erscheint ein leerer Eingabe-Prompt, wenn der Port gesperrt ist, dauert der Verbindungsaufbau ewig, dann erscheint "Verbindungsfehler".)

Die ist auf Einstellungen im Config-File wie folgende zurückzuführen:
Code:
SnmpMibObject docsDevFilterIpDestPortLow.4 Integer 445 ;
SnmpMibObject docsDevFilterIpDestPortHigh.4 Integer 445 ;

Wie mache ich das der Vodafone West verständlich, dass es sich um ein generelles Problem handelt?
Und dass sie ihre Provisionierungs-Files überprüfen sollten?


Der Kundenservice versucht ständig, "meine Leitung zu messen", und meinen Router auszutauschen.
- Was natürlich überhaupt nichts bringt. 🤦‍♂️

(Und wie schaffe ich es, den vom Kundenservice verursachten Router-Tausch noch abzuwenden? Ich möchte keine Vodafone Station aufgrund des irrsinig hohen Stromverbrauchs und der Probleme mit dem Bridge Modus, und ich habe zudem Sorgen, dass beim Routertausch wieder mein DualStack flöten geht...)
 
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Kann ich bestätigen (Hardware siehe Signatur):

C:\>telnet my.hidrive.com 445
Verbindungsaufbau zu my.hidrive.com...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 445: Verbindungsfehler

C:\>ping my.hidrive.com

Ping wird ausgeführt für my.hidrive.com [85.214.3.87] mit 32 Bytes Daten:
Antwort von 85.214.3.87: Bytes=32 Zeit=35ms TTL=247
Antwort von 85.214.3.87: Bytes=32 Zeit=32ms TTL=247
...

Zum Stromverbrauch der Vodafone Station: Diese gibt es in mindestens vier Varianten mit/ohne Wifi6 Hersteller Arris/Technicolor

Soweit ich weiß, sind nicht alle Varianten betroffen ...
Was ist denn Deine aktuelle Hardware?

Nachtrag: unverschlüsseltes SMB über Port 445 ist vielleicht eh keine gute Idee außerhalb des Heimnetzes. Wäre nicht Ausweichen auf WebDAV o. Ä. eine Alternative...
 
Zuletzt bearbeitet:

chris_86

Beiträge
293
Punkte Reaktionen
36
Danke dir!
Ich habe das neue Verhalten sowohl auf einer ConnectBox CH7465 mit DualStack, als auch auf einer Vodafone Station CGA6444 mit DS-Lite verifiziert.

Der Portfilter ist übrigens nur auf IPv4 aktiv. Per IPv6 wäre eine Verbindung möglich - sofern die Gegenstelle IPv6 unterstützen würde,
Somit haben wir hier eine kaputte Netzwerk-Konfiguration, die nicht einmal einen Sicherheitsgewinn bringt - aber auch nicht abgeschaltet werden kann.

Irgendeine Idee, was ich tun könnte, um wieder einen unbeschränkten Internetzugang zu bekommen?

(Zum Nachtrag; Es wird verschlüsseltes SMB3 genutzt! Und ob das eine gute Idee ist oder nicht, sollte ich selbst entscheiden dürfen und nicht Vodafone mir verbieten, oder? WebDAV ist leider keine Alternative, da bestimmte Software auf SMB angewiesen ist)
 
Zuletzt bearbeitet:

chris_86

Beiträge
293
Punkte Reaktionen
36
Und bevor jemand sagt, das sei nur ein Problem von Strato - es tritt bei allen anderen Anbietern genauso auf:

Code:
> ping u279067.your-storagebox.de
Ping wird ausgeführt für u279067.your-storagebox.de [2a01:4f8:b10:7000::54] mit 32 Bytes Daten:
Antwort von 2a01:4f8:b10:7000::54: Zeit=30ms
Antwort von 2a01:4f8:b10:7000::54: Zeit=25ms
...
>ping -4 u279067.your-storagebox.de
Ping wird ausgeführt für u279067.your-storagebox.de [78.47.149.55] mit 32 Bytes Daten:
Antwort von 78.47.149.55: Bytes=32 Zeit=23ms TTL=57
Antwort von 78.47.149.55: Bytes=32 Zeit=26ms TTL=57
...
> telnet 78.47.149.55 445
Verbindungsaufbau zu 78.47.149.55... Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 445: Verbindungsfehler
> telnet 2a01:4f8:b10:7000::54 445
-> funktioniert (per IPv6)
 
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Nachtrag zuerst - Damit das nicht untergeht: Hast Du herausgefunden, ob auf Deiner Box weitere Ports per Config-File gesperrt wurden?

Die Fritzbox hat ja in ihrer Oberfläche auch die Möglichkeit, einen Paketfilter zu konfigurieren - da ist der Port445 als "offen" zu sehen (genauer 444...464 sind offen)

1652960154900.png

Folglich höchstwahrscheinlich auch da keine Möglichkeit, die Einstellungen den Config-Files zu überschreiben ...>
SNMP unterstützt die Fritzbox nicht, und ob man anderweitig in die Tiefen der Settings des Config-Files schauen kann weiß ich nicht.
 
Zuletzt bearbeitet:
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Habe mir inzwischen einige Fritzbox-Diagnose Dateien angeschaut, und nichts in der Richtung des Config-Files gefunden - die einzige Beziehung zu Port 4 besteht in einigen EInträgen der Form...


Ingress Properties
==================
vpid_handle = 44 [ETH]
PID = 4 [PP_SGMII1_RX_PID_NUM]
L2_type = 1 [ETH]
L3_type = 1 [IPv4]
L4_Protocol = 2 [TCP]
...
L4_SRC_PORT = 0x01BD [445]
L4_DST_PORT = 0xCA7B [51835]


Egress Properties
=================
vpid_handle = 47 [ETH]
enable = 0x82001 [VLAN]
PID = 4 [PP_SGMII1_RX_PID_NUM]
L2_type = 1 [ETH]
L3_type = 1 [IPv4]
L4_Protocol = 2 [TCP]
....
L4_SRC_PORT = 0x01BD [445]
L4_DST_PORT = 0xCA7B [51835]
 

chris_86

Beiträge
293
Punkte Reaktionen
36
Hast Du herausgefunden, ob auf Deiner Box weitere Ports per Config-File gesperrt wurden?

Es gibt eine wunderbare Webseite, mit der man so etwas testen kann:
http://portquiz.net:444 -> funktioniert
http://portquiz.net:445 -> funktioniert nicht

Außer dem Port 445 scheinen ferner die Ports 135-139 gesperrt zu sein. Ports 444 und 446 sind durchgängig.

Was du schreibst, ist äußerst interessant!
Die FritzBox hat scheinbar eine eigene Firewall - aber die ist wohl nur "on-top", also kann weitere Einschränkungen vornehmen, anstatt durch das Config-File bestehende Einschränkungen aufzuheben. Kann das sein?

Wichtig! Wenn du eine FritzBox nutzt, dann musst du hier den "NetBios-Filter" abschalten (unter Internet -> Filter -> Listen). Der sperrt nämlich auch den Port 445. Hast du das getan?

Mit den alten Cisco-Modems konnte man sich den Inhalt des Config-Files anzeigen lassen. Heute geht das leider nicht mehr. Womöglich gibt es eine Möglichkeit, sich das Config-File irgendwie selbst runterzuladen?
 
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Auch bei mir hat sich die Config-Datei irgendwann zwischen Ende März und Anfang April geändert
Alt vom 4.3.22

-rw-r--r-- 1 root root 5516 Mar 4 14:17 generic_1000000_50000_ds_sip_wifi-on.bin

neu vom 15.4.22 (ein wenig drin herumge -"x" t...)

-rw-r--r-- 1 root root 4496 Apr 6 16:30 3cxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.cm

Nach ".cm" (mit Punkt!) suchen...
 
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
dann musst du hier den "NetBios-Filter" abschalten

Das geht bei meiner Fritzbox nicht.

Der zu setzende Haken sollte laut entsprechender Screenshots im Internet zwischen "E-Mail-Filter...." und "Teredo..." sein....

1652962841614.png
 

floh667

Beiträge
1.438
Punkte Reaktionen
296
Wahrscheins meint Vodafone den Port schließen zu müssen, da darüber oftmals ransom wäre auf Geräte geschmuggelt wurde usw.

Port 135 bis 139 sind schon länger bei Vodafone gesperrt. Da findet man Einträge im vf Forum von 2012.
Die Portsperre auf 445 existiert dort auch schon viele Monate. Und jetzt wo Vodafone mehr und mehr alte Unitymedia Konfigurationen ersetzt und das Netz mehr und mehr homogenisiert, verschwindet das alles langsam.
Unser Modem läuft noch mit Unitymedia Provision, fragt sich nur für wie lange noch.
 

chris_86

Beiträge
293
Punkte Reaktionen
36
Es gibt ein uraltes Unitymedia-Statement von 2011:

Aus Sicherheitsgründen sind die folgenden Ports gesperrt:

135, 137, 139, 445, 3127, 9898, 4444

Bitte haben Sie Verständnis, dass wir diese Sperrungen auch in Einzelfällen nicht deaktivieren können.

Bei weiteren Fragen oder Anregungen stehen wir Ihnen in Zukunft gerne wieder zur Verfügung.

Herzliche Grüße
Ihr Unitymedia Team

Vodafone hat mir jedoch schriftlich versichert, dass es in ihrem Netz keine netzseitigen Portsperren (mehr) gibt!

Und bis zur Änderung der Provisionierung am 17.05. waren die genannten Ports offen und der Zugriff möglich,

Wenn die jetzt sagen würden "Tut uns Leid, wir haben aus Sicherheitsgründen entschieden, Ihnen die folgenden Ports ab sofort zu sperren", dann könnte man damit etwas anfangen. Dann könnte man auf ein Sonderkündigungsrecht pochen und/oder die freie Nutzung einklagen.

Aber scheinbar ist das eher "aus Versehen" passiert. Niemand bei Vodafone scheint davon zu wissen. Und sie haben es nur via IPv4 gesperrt - was gar keinen Sinn ergibt, da die (wie auch immer geartete) "Bedrohung" über IPv6 immernoch möglich ist.


Wahrscheins meint Vodafone den Port schließen zu müssen, da darüber oftmals ransom wäre auf Geräte geschmuggelt wurde usw.

Mit Verlaub, das ist Blödsinn! Kein marktüblicher Router hat diese Ports (standardmäßig) EINGEHEND offen.
Und Windows-Freigaben werden auch nicht ins öffentliche Netz geroutet.
Es wäre auch vollkommen okay, wenn es (wie bei der FritzBox) einen Haken für den NetBios-Filter gäbe. Der gerne standardmäßig aktiviert ist.
Eine netzseitige, ungefragte Portsperre, noch dazu AUSGEHEND, ist jedoch NICHT okay,


Das geht bei meiner Fritzbox nicht.
Der zu setzende Haken sollte laut entsprechender Screenshots im Internet zwischen "E-Mail-Filter...." und "Teredo..." sein....

Sehr merkwürdig. Vielleicht hat VF das auch per Config deaktiviert?
Sind bei dir denn noch weitere Ports gesperrt? Oder nur der 445?

Hast du noch einen Tipp, wie man diese Message an irgendjemanden bei Vodafone herantragen kann, der überhaupt versteht, was ein DOCSIS Config-File ist, und dort gegebenenfalls auch reinschauen könnte?

Und wie schaffe ich es, den Router-Tausch abzubrechen!?
 
Zuletzt bearbeitet:
boba

boba

Beiträge
1.715
Punkte Reaktionen
581
Ort
Unitymedia Hessen
Bei Fritzboxen ist smb/Samba Zugriff aufs/ins Internet schon länger deaktiviert:
https://avm.de/service/wissensdaten...ters-sind-uber-das-Internet-nicht-erreichbar/
Dass das jetzt erst bei eigenen Providerboxen entsprechend auch so eingerichtet wird, ist meiner Ansicht nach aus Sicherheits-Gesichtpunkten überfällig. Ich würde nicht händeringend nach einem Router suchen, der das zulässt, sondern vielmehr schauen, wie der Zugriff auf einer sichere Art und Weise geschehen kann, beispielsweise über ein vpn. Man stellt keine smb Freigaben im Internet zur Verfügung, und man greift nicht direkt auf smb Freigaben im Internet zu. Das tut man einfach nicht. Fir diese feindliche Umgebung ist das smb Protokoll nicht gemacht, und dabei geht es nicht (nur) um die Verschlüsselung der Daten, sondern (vor allem) um Authentifizierung und Zugriffskontrolle. Die sind leicht gehackt. Gefährdet ist dabei auch nicht der Client, sondern der jeweilige Server im Internet.
 

chris_86

Beiträge
293
Punkte Reaktionen
36
@boba: Der Artikel gilt NUR für Cable-FritzBoxen, und zwar laut Auskunft von AVM nur deswegen, weil "Vodafone die Ports 135-139 netzseitig sperrt". (Was Vodafone mir gegenüber bestreitet).

Deine Vorbehalte gegenüber SMB/CIFS sind teilweise gerechtfertigt, für SMB3 gelten diese jedoch NICHT!

Die (ach-so-gefährdeten) Server, auf die ich zugreife, werden von dem renommierten Anbietern Strato und Hetzner so angeboten, ich gehe davon aus, dass diese wissen, was sie tun.

Außerdem möchte ich keine Diskussionen darüber führen, ob SMB3 nun ein sicheres Protokoll ist oder nicht.

Es geht ausschließlich darum, dass Vodafone WÄHREND des laufenden Vertrags plötzlich netzseitig Funktionen sperrt, welche ich (und viele andere) bisher genutzt habe, und mich damit bevormundet. Wenn sie das tun, dann sollen sie es wenigstens zugeben, dann kann man rechtlich prüfen lassen, ob das standhält oder nicht.

Aber stattdessen "messen" sie meine Leitung und tauschen den Router aus :mad:
 
Zuletzt bearbeitet:

chris_86

Beiträge
293
Punkte Reaktionen
36
Zuletzt bearbeitet:

chris_86

Beiträge
293
Punkte Reaktionen
36
@boba Auch wenn du es nicht glauben magst, SMB3 ist (anders als SMB) genau dafür gedacht!!
Und ja, die Anbieter gibt es, ich zahle dafür, und ich möchte es weiterhin nutzen können.

(HiDrive gibt es übrigens schon seit 12 Jahren, ist TÜV-geprüft, ISO 27001 zertifiziert, hat 3.8 Mio User und 41 PB an Daten. Sooo unsicher kann das gar nicht sein. Wird so oder ähnlich auch von IONOS, 1blu, Hetzner und der Deutschen Telekom angeboten)

Daher bitte keine weitere Off-Topic-Diskussion. In diesem Thread geht es um (neue) Portsperren im ehemaligen Unitymedia-Netz.
Und darum, wie ich den - bereits eingeleiteten aber sinnlosen - Routertausch abbrechen kann?
 
Zuletzt bearbeitet:
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Ich kann den NetBios Filter nicht deaktiveren! - der entsprechende "Check" - Haken nebst Beschreibung ist wegkonfiguriert ... die curl-Aufrufe müssen abgebrochen werden, da sie nicht von selber mit Timeout zurückkommen....
Hier noch mal der Screenshot aus dem Post von 14:24



[email protected]:~$ curl http://portquiz.net:135
^C
[email protected]:~$ curl http://portquiz.net:136
Port test successful!
Your IP: xxxxxxxxxxxxxxxxxxxx
[email protected]:~$ curl http://portquiz.net:137
^C
[email protected]:~$ curl http://portquiz.net:138
^C
[email protected]:~$ curl http://portquiz.net:139
^C

Nachtrag: habe mir Deinen Link angeschaut

https://www.digital-eliteboard.com/threads/netbios-filter-auf-6591-cable-deaktivieren.509570/

Das Node.JS Paket habe ich zwar noch installiert, aber nach der API-Dokumentation gibt es KEINE Funktion, die es erlaubt, die Fritzbox-Config Dateien auszulesen:
https://fritzbox.js.org/api/
 
Zuletzt bearbeitet:

why_

Beiträge
1.415
Punkte Reaktionen
346
Anbieter
Unitymedia
Aus Sicherheitsgründen sind die folgenden Ports gesperrt:

135, 137, 139, 445, 3127, 9898, 4444

Bitte haben Sie Verständnis, dass wir diese Sperrungen auch in Einzelfällen nicht deaktivieren können.

Bei weiteren Fragen oder Anregungen stehen wir Ihnen in Zukunft gerne wieder zur Verfügung.

Herzliche Grüße
Ihr Unitymedia Team

Also ich kann auf alle da gelisteten Ports zugreifen mit meinem TC4400 und altem config file.
 

chris_86

Beiträge
293
Punkte Reaktionen
36
@why_ Vielen Dank für die Bestätigung! Mit der ConnectBox und dem ALTEN Config-File konnte ich ebenfalls auf all diese Ports zugreifen. Das Problem besteht erst seit der Änderung vom 17.05. (seitdem das Config-File einen "komischen" Namen hat)

@Martin: Vielen Dank dir ebenfalls für den Test, und die Bestätigung, dass es bei dir ebenfalls mit dem NEUEN Config-File nicht mehr geht!

Hast du mal den FBEditor (https://github.com/mypikachu/FBEditor/releases) ausprobiert? Oder geht der bei Kabel-Boxen auch nicht?
 
Zuletzt bearbeitet:
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Habe es mit dem FB Export Editor Tool versucht ... Im Gegensatz zum Herunterladen geht das Zurückspielen der geänderten Datei nicht...
https://github.com/mypikachu/FBEditor/releases/tag/v0.6.9.7


Werde den Versuch jetzt abbrechen

Wenn die Box dabei gebrickt wird, wird das ein anstrengender Homeoffice Arbeitstag ...

Hier noch die Vorkommnisse von "netbios" in der Datei

[email protected]:~/Fritzbox/FBedit/Original$ cat fritzbox.export |grep netbios
filter_netbios = yes;
allow_netbios = no;
filter_netbios = yes;
allow_netbios = no;
filter_netbios = yes;
ipnetbiosspoofing = no;
ipnetbiosspoofing = no;
dont_filter_netbios = yes;

Wie schaut es eigentlich aus, wenn man den Router im Bridge Mode betreibt?
 

chris_86

Beiträge
293
Punkte Reaktionen
36
Soeben hat mich ein netter Herr von der Vodafone Technik zurückgerufen, und mir gesagt, dass sie alles überprüft haben, und dass sie "definitiv keine Ports netzseitig sperren". Ganz sicher nicht. Haben sie extra nachgeprüft. Ich soll (nochmal) einen Werksreset der ConnectBox machen.

Ebenfalls soeben habe ich auf der Webseite - sehr versteckt natürlich - das hier gefunden:
Aktuell haben wir diese Ports mit Erlaubnis der Bundesnetzagentur dauerhaft gesperrt:

Mobilfunk
Port TCP/UDP 0
Port TCP 445

Kabel
TCP/UDP 135-139

DSL
keine dauerhaften Sperren eingerichtet

Wir sperren diese Ports zu Ihrer Sicherheit, damit sie aus dem Internet nicht zu erreichen sind. Das hat das normalerweise keine Auswirkungen auf Ihre Anwendungen und Dienste.
(https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html)

Das heißt: Die Bundesnetzangentur hat erlaubt, die obigen Ports eingehend zu sperren.
Von Port 445 im Kabel, noch dazu ausgehend, ist da aber keine Rede...
Zudem ist es erstaunlich, dass die Portsperre offenbar im Kabelnetz für notwendig erachtet wird (jedoch nur über IPv4, über IPv6 kann man zugreifen), im DSL-Netz jedoch nicht. 🤷‍♂️
 

chris_86

Beiträge
293
Punkte Reaktionen
36
Wie schaut es eigentlich aus, wenn man den Router im Bridge Mode betreibt?
Die ConnectBox IST im Bridge Modus. Im Router-Modus geht es jedoch auch nicht.

Habe es mit dem FB Export Editor Tool versucht ... Im Gegensatz zum Herunterladen geht das Zurückspielen der geänderten Datei nicht...
https://github.com/mypikachu/FBEditor/releases/tag/v0.6.9.7

Werde den Versuch jetzt abbrechen
Wenn die Box dabei gebrickt wird, wird das ein anstrengender Homeoffice Arbeitstag ...
Vielen Dank für deinen Versuch!
Ich speichere mir immer die Config aus dem FBEditor, und lade diese dann über das Webinterface der FritzBox ein. Die hat auch einen Sicherheitscheck, also wenn an der Config irgendwas nicht passt, dann spielt sie diese nicht ein.
Laut dem Forum muss filter_netbios=no gesetzt werden.
Aber ich verstehe gut, dass du deine Box nicht bricken willst ;-)
 
MartinP_Do

MartinP_Do

Beiträge
5.253
Punkte Reaktionen
456
Ort
Ruhrgebiet
Naja, zum Einen kommt "filter_netbios" ja mehrfach vor, daneben dann auch noch "allow_netbios" ein paar mal.
Ist ja schon ein wenig irritierend.
Ich habe inzwischen auch noch eine zweite Version des Tools heruntergeladen.
Die "....k" ist aber seit Juli 2020 im "Prerelease" Zustand und unterstützt Firmware 7.20 (während meine Box 7.29 hat) - das sind mir ein paar zu viele Unwägbarkeiten. Vorher hatte ich "h", die ist als "latest" getaggt...
Wie schaut es eigentlich im Bridge-Mode aus: Wird auch am Bridge Port des Routers gefiltert?
 
Thema:

Neue Provisionierung führt Portfilter ein

Oben