Unitymedia Neue Provisionierung führt Portfilter ein

[Zagg92]

@chris_86 Ich zahle für meinen Azure Storage nichts...Bin Microsoft Trainer für Azure und bekomm das so. 1TB ~55€ / 200GB ~11€ dafür ist der aber sicher...SLA auf Datenerhalt: 99.99999999999 (11x9). Das gute ist. Du bezahlst nur das was du dort auch ablegst.. Alles andere gerne via PM

 

[tq1199]

... gebeten, nochmal den Bridge Modus auszuprobieren.
Nur wenn die Filter netzseitig bestehen (bzw. mit dem VF Leihgerät im Bridge Modus auftreten), ...

Naja, Du hast ja auch vorgeschlagen, dass er den NetBios-Filter der FB deaktiviert.
Der Bridge-Modus und das deaktivieren des NetBios-Filters, gibt es für Vodafone und für AVM gar nicht. M. E. wirst Du so, bei VF nichts erreichen.

 

[Maurice]

Hier mein aktueller Test:

# curl portquiz.net:445
Port test successful!
Your IP: 91.89.███.███
# nslookup 91.89.███.███
Name: ip-091-089-███-███.um28.pools.vodafone-ip.de

Über Vodafone Hotspot / Homespot funktioniert es auch:

# curl portquiz.net:445
Port test successful!
Your IP: 178.24.253.70
# nslookup 178.24.253.70
Name: ipb218fd46.dynamic.kabel-deutschland.de

Setup siehe Signatur. Vodafone Station wurde wie gesagt diese Woche neu provisioniert.
Ist vielleicht ein regionales Problem (NRW)?

 

[chris_86]

Ich benutze keine AVM Cable FritzBox.
Ich beschwere mich über netzseitige, ausgehende PORTsperren seitens Vodafone, die gegen die EU-Verordnung zur Netzneutralität verstoßen.
Und, wie du sehen kannst, HABE ich bereits etwas erreicht, indem eben jene Portsperren seit ca. 10.06. bei Vodafone West ausgesetzt wurden.

 

[MartinP_Do]

Naja, Du hast ja auch vorgeschlagen, dass er den NetBios-Filter der FB deaktiviert.
Der Bridge-Modus und das deaktivieren des NetBios-Filters, gibt es für Vodafone und für AVM gar nicht. M. E. wirst Du so, bei VF nichts erreichen.

Was den Bridge Modus angeht stimmt das nur für Kunden, die nur DSLite haben. Bei Anschlüssen mit Dual Stack und IPv4 only lässt sich (nur auf der Provider-Box) der Bridge Mode aktiveren.

 

[Zagg92]

Antwort AVM

[…]
vielen Dank für Ihre Nachricht, welche zur weiteren Klärung an mich weitergeleitet wurde. Wie Ihnen ja bekannt ist, verhindert aktuell der NetBIOS-Filter der FRITZ!Box 6660 externe Zugriffe über die TCP- und UDP-Ports 139 und 445. Hierauf lässt sich auch kein Einfluss nehmen. In den kommenden Versionen der Firmware wird sich der NetBIOS-Filter aber über die Benutzeroberfläche der FRITZ!Box 6660 Cable konfigurieren lassen. Wenn Sie vorab von dieser Änderung profitieren möchten, können Sie gern auf die aktuelle Labor-Firmware für Ihre FRITZ!Box 6660 wechseln, welche die entsprechenden Änderungen bereits enthält. Um die aktuelle Labor-Version zu installieren gehen Sie einfach wie folgt vor:

1. Laden Sie die Labor-Version für Ihr FRITZ!Box-Modell auf den Computer herunter.
2. Entpacken Sie die ZIP-Datei auf Ihrem Computer (z.B. auf dem Desktop).
3. Installieren Sie die Labor-Version (Image-Datei) für Ihre FRITZ!Box wie in der infolab.txt beschrieben.

[…]

 

[chris_86]

Das sind doch erfreuliche Neuigkeiten!
Kannst du dazu eventuell noch Rückfragen stellen?
- Wird diese Einstellung sich dann auch bei gemieteten Leihgeräten mit spezieller Vodafone-Konfiguration konfigurieren lassen?
- Wie kriegt man eine Labor-Firmware auf eine von Vodafone gemietete FritzBox Cable?
- Ist bekannt, warum AVM diese Einstellung nun konfigurierbar macht? Weil Vodafone West (oder sogar auch VFKD) jetzt (dauerhaft?) auf die netzseitigen Portsperren verzichtet?

 

[Zagg92]

- Ich hab nen Link bekommen wie man es installiert. Kann den aber nicht teilen :/ weil zu neu im Forum.
- Das sind von AVM vorgeschlagene Schritte für meine von VF gemietete FB6660
- der Grund ist mir persönlich egal Hauptsache kommt

 

[chris_86]

Sehr schön!
Du kannst den Link ja evtl, verstümmeln? Also den Teil mit "https://www.avm.de/" abschneiden?
Berichte uns doch dann bitte mal, ob das mit der Labor-Firmware geklappt hat, der Netbios-Filter dann abschaltbar ist, und du dann wirklich Zugriff auf die SMB-Ports erhältst?

(Der Grund ist nicht wirklich "egal", denn nach meinem Kenntnisstand wird das Thema Portsperren 139/445 bei VFW intern derzeit diskutiert - und eine Wiedereinführung der netzseitigen Sperren ist zu befürchten. In diesem Fall bringt es dir dann nämlich nix, wenn die FritzBox nicht filtert.)

 

[tq1199]

..., verhindert aktuell der NetBIOS-Filter der FRITZ!Box 6660 externe Zugriffe über die TCP- und UDP-Ports 139 und 445. ...

Was ist ein "externer Zugriff über den TCP-Port 445"?
Ein Zugriff aus dem Subnetz der FB6660 auf den TCP-Port 445 im Internet oder ein Zugriff aus dem Internet auf den TCP-Port 445 der FB6660 (als border device)?
Denn lt: https://en.avm.de/service/knowledge...computer-are-not-available-over-the-internet/

SMB/CIFS protocol is blocked for security reasons

To guarantee the security of the computers in the home network, the FRITZ!Box and some internet service providers (for example in the cable and mobile networks) block access from the internet to TCP and UDP ports 139 and 445 that are used for file and printer sharing ("NetBIOS Filter"). Applications exchange data with the internet via the SMB or CIFS protocol can therefore not be used in the home network.

 

[MartinP_Do]

Wie der Netbios Filter der Fritzbox sich in der Praxis auswirkt kann ja jemand mit Zugriff auf eine DSL-Fritzbox evaluieren.
Da sollte der Haken des Netbios-Filters ja setzbar / löschbar sein ...

 

[tq1199]

Wie gesagt BridgeMode geht. Ohne nicht. Also muss es ja was in der 6660 sein

Es könnte auch auf dem gateway geblockt werden.
Welches gateway (für die default route) hat ohne den BridgeMode, deine FB6660 (als border device) und welches gateway (für die default route) hat im BridgeMode dein Gerät/PC (als border device), wenn es die bzw. eine externe/öffentliche IPv4-Adresse hat?
Bei einem traceroute ins Internet, bei welchem hop wird in beiden Fällen, die IPv4-Adresse des gateway gezeigt/gesehen?

 

[chris_86]

Es wird in der Box geblockt, definitiv.
Auf den CMTS findet kein Port-Filtering statt (Aussage direkt von Vodafone IP-Core), das passiert(e) immer im CPE. Die entsprechenden Zeilen im Config-File sind nachgewiesen. Also bitte hier keine weiteren Nebelkerzen.
Die Portsperren sind für gegenwärtig neu provisionierte Geräte NICHT mehr aktiv!
Wir haben es in diesem Thread mit verschiedensten Geräten verifiziert.

Und (zumindest) bei den DSL-Fritzboxen ist "Netbios-Filter" = Portfilter 135,139,445 in beide Richtungen.
@tq1199 sollte sich einfach damit abfinden, dass die Dokumentation von AVM hier nicht 100% akkurat ist, und/oder die Filter bei einer Cable-FB im RIM Modus anders (oder nicht?) funktionieren.

 

[tq1199]

@tq1199 sollte sich einfach damit abfinden, dass die Dokumentation von AVM hier nicht 100% akkurat ist, und/oder die Filter bei einer Cable-FB im RIM Modus anders (oder nicht?) funktionieren.

Ich brauche mich damit nicht abzufinden, weil ich das schon immer wusste. Die Kommunikation mit AVM ist Zeitverschwendung. Evtl. weiß AVM selbst nicht, was wie in der FB, funktioniert.
Heute Abend habe ich Zugang zu einer FB7590 an einem DSL-Anschluss der Telekom und dann werde ich testen.

BTW: Es heißt RIP-Modus und nicht RIM-Modus. RIP steht für "Routing Information Protocol". RIP-Modus bei der FritzBox bedeutet nur, dass die FritzBox (mit ihrer eigenen externen IPv4-Adresse) zusätzlich als gateway (bzgl. default route) für ein anderes (mit der FB verbundenes) Gerät mit externer/öffentlicher IPv4-Adresse, konfiguriert wird bzw. als gateway für dieses Gerät fungiert. Das kann z. Zt. jede aktuelle FritzBox:

Öffentliches IPv4-Subnetz​

Wenn Ihr Internetanbieter Ihnen ein öffentliches IPv4-Subnetz zur Verfügung stellt, können Sie es hier eintragen.

Das ändert aber nichts für die FritzBox (als Modem/Router) und auch nichts für die Clients in ihrem (W)LAN/Subnetzen.

 

[Joerg123]

In Post 232 (Seite 10 hier im Thread) ist ja beschrieben, dass man auch simpel über einen Webbrowser den Porttest machen kann: Port 444 funzt dabei immer "You have reached this page on port 444 (from http host header)."
Port 445 klappt nur erfolgreich bei abgeschaltetem NetBIOS Filter (was beim de/aktivieren auch immer dazu führt, dass sich die Fritzbox neu verbindet, Kabel-Sync bleibt bestehen).
Port 139 lässt mich der FireFox-Browser schon nicht testen (This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection.)
Das ganze mit der 6690 + Labor-Version getestet

Offiziel gibt es keine Labor für die Leih-Fritzboxen und ich glaube da ändert auch der AVM-Support nichs dran, denn die Boxen gehören ja VF ! von daher gibt es bestimmt nicht mehr wie den Link zum Offiziellen Labor-Download, der bei Leih-Boxen mangels Option ein Image manuell einzuspielen nicht hilft.

 

[tq1199]

Wie der Netbios Filter der Fritzbox sich in der Praxis auswirkt kann ja jemand mit Zugriff auf eine DSL-Fritzbox evaluieren.

So eben getestet mit FB7590 am Telekom-Anschluss, mit _aktivem_ NetBios-Filter:

$ nc -zv -w 3 portquiz.net 445
nc: connect to portquiz.net port 445 (tcp) failed: Operation timed out

und mit _nicht aktivem_ NetBios-Filter in der FB7590:

$ nc -zv -w 3 portquiz.net 445
Connection to portquiz.net 445 port [tcp/microsoft-ds] succeeded!

 

[chris_86]

Nun, that's what I said...

Die Firewall-Settings von einzelnen Kabelroutern spielen für diesen Thread aber auch kaum eine Rolle.
Jedenfalls nur insoweit, dass wir für die Diagnose von "netzseitigen" Portsperren vom Endgerät (und dessen möglichen Eigenheiten) abstrahieren müssen.

Deshalb wurden die Tests hier meist mit direkt an einem Kabelrouter im Bridge-Modus angeschlossenen PCs durchgeführt.

 

[rv112]

Hier funktioniert im Übrigen auch mit neuem Configfile der Zugriff auf alle Ports.

 

[chris_86]

@rv112 Dann hast du das neue Config File erst nach dem 10.06. erhalten?

 

[Snipy]

Ich habe keine neue Fritzbox bekommen das wurde Intern storniert.

ComputerName : portquiz.net
RemoteAddress : 35.180.139.74
RemotePort : 445
NameResolutionResults : 35.180.139.74
MatchingIPsecRules :
NetworkIsolationContext : Internet
InterfaceAlias : FRITZ!Box 6660
SourceAddress : xxx.xxx.x.x
NetRoute (NextHop) : xxx.xxx.x.x
PingSucceeded : True
PingReplyDetails (RTT) : 25 ms
TcpTestSucceeded : False

Ein Werksreset habe ich schon durchgeführt... ohne Erfolg. Warum spielen die einfach nicht jedem Kunden das neue File auf?

Ich habe kein Interesse mit der Hotline zu reden, weil die das Problem nicht verstehen. Ich warte ab was sich hier ergibt und wenn eine Lösung vorhanden ist die auch in der Praxis funktioniert, wie eine neue Provisionierung, werde ich ggf. das Gerät tauschen lassen oder den Tausch erzwingen.

Erst heute habe ich wieder kurz mit der Hotline geschnackt, weil nach den Wartungsarbeiten mein Internet Probleme macht und man wollte mir die basics erzählen wie Flaschenhals, Homeoffice Upload-Probleme... Das die maximale Bandbreite im Upload mit der Provisionierung reduziert wurde wollte man nicht glauben. Was soll ich mit solchen Menschen reden wenn die nicht einmal von internen Vorgängen wissen... das zieht mich und meine Laune nur runter. Wenn ich dann noch mit Portsperren und NetBiosfilter bzw. differenzierten Provisionierung's files kommt höre ich den Kopf am Telefon platzen...

Dafür ist mir meine Zeit einfach zu schade...

PS: Heute wurde bei einem Kumpel o2 Kabel 1Gbit geschalten und dort war auf den ersten Blick exakt die selbe Bandbreite provisioniert. Nachteil es gibt für Privatkunden bei O2Cable kein DualStack sondern nur DS-Lite. Ich hab da nur kurz drauf geschaut und konnte weder sehen ob das eine "beschnittene" Box war wie die von Vodafone oder nicht. Auch den Porttest konnte ich nicht machen.

Werde das die Tage mal genauer betrachten, wenn mich mein Kumpel via Teamviewer schauen lässt.

 

[chris_86]

@Snipy Klingt frustrierend. Aber danke für die Rückmeldung!
Nur damit wir ganz sicher sind: Bridge-Modus hast du probiert?

Die Hotline versteht das Problem nicht. Aber ich wüsste eventuell eine Lösung. Beantworte aber bitte erstmal die Frage nach dem Bridge Modus, bevor wir uns vergaloppieren.

 

[MartinP_Do]

Am Bridge Port funktioniert es bei mir, an den Router Ports nicht. Config File aus April 2022.

Wenn man ein neues Config File braucht, könnte man seinen Vertrag ändern. Bedingt durch eine geänderte Datenrate müsste das File aktualisiert werden ...

Mich behindern die gesperrten Ports nicht. Bin im Oktober aus der MVLZ Die danach monatliche Kündigungsfrist ist ein Vorteil, den ich nicht durch eine Vertragsänderung verlieren will ...

 

[rv112]

@rv112 Dann hast du das neue Config File erst nach dem 10.06. erhalten?

Ja, genauer gesagt am 06.07.22 Ich nutze aber auch nur ein Modem, von daher wären Portfilter seitens des Configfiles eh nicht möglich. Wenn müsste das dann im Netz von Vodafone geblockt werden.

 

[MartinP_Do]

Ja, genauer gesagt am 06.07.22 Ich nutze aber auch nur ein Modem, von daher wären Portfilter seitens des Configfiles eh nicht möglich. Wenn müsste das dann im Netz von Vodafone geblockt werden.

Von da her ist dann doch gar nicht klar, ob in den neuen Configfiles keine Portsperren gesetzt sind. Gibt es jemanden mit Router (eigener, provider), der neu provisioniert wurde, und KEINE Portsperren hat?

Theoretisch könnte bei DSLite auch am AFTR Schindluder getrieben werden.

 

[Snipy]

@Snipy Klingt frustrierend. Aber danke für die Rückmeldung!
Nur damit wir ganz sicher sind: Bridge-Modus hast du probiert?

Die Hotline versteht das Problem nicht. Aber ich wüsste eventuell eine Lösung. Beantworte aber bitte erstmal die Frage nach dem Bridge Modus, bevor wir uns vergaloppieren.

Nein, habe ich nicht. Wie auch? habe nur ein Gerät.