Unitymedia Neue Provisionierung führt Portfilter ein

[chris_86]

Ich nutze aber auch nur ein Modem, von daher wären Portfilter seitens des Configfiles eh nicht möglich.

Leider doch. Wenn die Ports per Config File gesperrt sind, betrifft das auch reine Modems!
(Ob das auch bei kundeneigenen Geräten gemacht wird/wurde, ist bisher jedoch unklar.)

Von da her ist dann doch gar nicht klar, ob in den neuen Configfiles keine Portsperren gesetzt sind. Gibt es jemanden mit Router (eigener, provider), der neu provisioniert wurde, und KEINE Portsperren hat?

Ja, ich. Wir haben das an drei verschiedenen Anschlüssen getestet.
Leider hat die Hotline keine verlässliche Möglichkeit, ein neues Config-File zu generieren.
Sie machen daher das einzige, was sie können: Routertausch! - Erreichen so eine neue Provisionierung, und sehen: "Ah, hat geklappt. Na dann war der alte Router eben kaputt"
Ein Trick, um dennoch eine neue Provisionierung zu erreichen, ist, die Hotline dazu zu überreden, einen testweise von DS auf IPv4-only oder vice-versa umzustellen. Damit ändert sich die Vertragslaufzeit nicht.

Theoretisch könnte bei DSLite auch am AFTR Schindluder getrieben werden.

Gut möglich! Laut meinem Kontakt bei VFW sollen in DSLite Config-Files keine Portsperren enthalten sein.
Nach meiner Beobachtung existier(t)en sie aber trotzdem auch bei DSLite. Und werden dort vermutlich im AFTR umgesetzt.

Nein, habe ich nicht. Wie auch? habe nur ein Gerät.

Das ist aber ein wichtiger Test!
Du stellst in der FritzBox den LAN-Port 4 auf Bridge, und schließt einen Laptop direkt an diesen LAN-Anschluss an.
Dann sollte der eine öffentliche IPv4 bekommen. Und damit versuchst du die Portquiz-Seite.

 

[chris_86]

Ich habe das Gefühl, ich mache hier schon den Support für Vodafone, den die nicht hinkriegen.
Aber gut, ich habe den Thread gestartet, damit muss ich jetzt klarkommen!

Also, wenn ein Berliner Hardwarehersteller meint, in seinen Geräten irgendwelche restriktiven Firewall-Settings (nicht-abschaltbarer "Netbios-Filter") konfigurieren zu müssen, dann ist das per se erstmal kein Problem mit Vodafone.
Beschwerden diesbezüglich sind daher ausschließlich an AVM zu richten.

Nur wenn die Portsperren auch an reinen Modems, oder den vom Provider gestellten Leihgeräten im Bridge-Modus auftreten, sind sie "netzseitig" (bzw. tatsächlich im CPE mittels Config-File realisiert).
Und genau dann ist es ein (berechtigter) Fall für eine Beschwerde bei der Bundesnetzagentur.

 

[tq1199]

Also, wenn ein Berliner Hardwarehersteller meint, in seinen Geräten irgendwelche restriktiven Firewall-Settings (nicht-abschaltbarer "Netbios-Filter") konfigurieren zu müssen, dann ist das per se erstmal kein Problem mit Vodafone.

Vodafone kann aber dafür sorgen, dass der nicht-abschaltbare NetBios-Filter der FBn-cable, unwirksam ist. Wie z. B. in der providereigenen FB6591-cable die ich benutze:

:~$ nc -zv -w 3 portquiz.net 445
Connection to portquiz.net 445 port [tcp/microsoft-ds] succeeded!

 

[chris_86]

@tq1199 Ich bezweifle das. Ich denke, das ist bei dir eher ein Firmware-"Bug" seitens AVM (vermutlich im Zusammenhang mit dem RIP)
- ein gefährlicher übrigens! Wer weiß, vielleicht greifen bei dir alle Firewall-Funktionen nicht? Und du verlässt dich darauf?

Abgesehen davon ist es nicht die Aufgabe von Vodafone, in Geräte von AVM einzugreifen.

Und drittens: Man sagt, dass Vodafone ja genau diese Portsperren haben WILL, und das bei AVM selbst so bestellt hat!

 

[Snipy]

Das ist aber ein wichtiger Test!
Du stellst in der FritzBox den LAN-Port 4 auf Bridge, und schließt einen Laptop direkt an diesen LAN-Anschluss an.
Dann sollte der eine öffentliche IPv4 bekommen. Und damit versuchst du die Portquiz-Seite.

Die 6660 hat 5 Ports, spielt das eine Rolle?

 

[chris_86]

Du kannst dir den LAN-Port frei aussuchen
Manchmal kann man es nur für Port 4 einstellen. Manchmal kann man es wählen.

 

[tq1199]

..., vielleicht greifen bei dir alle Firewall-Funktionen nicht? Und du verlässt dich darauf?

Also NAT funktioniert und die v4-Firewall für die (zusätzliche) statische IPv4-Adresse im zusätzlichen öffentlichen Subnetz, funktioniert auch.
Stealth-Mode funktioniert auch und smtp-, NetBios-, wpad- und Teredo-Filter interessieren mich nicht bzw. sie interessieren mich nur im Rahmen von Tests (wie hier in diesem Thread). D. h. ich war und bin mit der FB6591 und mit dem Tarif bei VF, bis jetzt zufrieden.

Und drittens: Man sagt, dass Vodafone ja genau diese Portsperren haben WILL, und das bei AVM selbst so bestellt hat!

Ja, kann schon sein. Aber warum funktioniert die Portsperre (TCP-Port 445) bei der providereigenen FB6591 die ich habe, nicht? Liegt es evtl. am Business-Tarif?
BTW: Man könnte es ja feststellen, wenn Privat-Kunden von VF-West, mit providereigener FB6591 und nur nativem IPv4-only bzw. Business-Kunden von VF-West mit providereigenen FB6501, nur nativem IPv4-only und _ohne_ zusätzliche statische externe/öffentliche IPv4-Adresse (d. h. _kein_ RIP-Modus), mal nachschauen (in ihrer FB6591 mit der aktuellen FW 7.29) würden.

 

[Zagg92]

Sorry für die Wortwahl aber schei* auf Vodafone und AVM. Habe soeben bei meiner Vodafone FritzBox 6660 den NetBios Filter ausgeschaltet. Mein 445 ist wieder Frei.

 

[chris_86]

Darf ich fragen, wie du das genau geschafft hast?
Konntest du die Labor-FW auf das Vodafone Leihgerät aufspielen?
Oder doch über Editieren der FB-Config?

 

[Snipy]

Bei mir gibt es diese Option leider nicht. Ergo liegts doch an einem von beiden. Da Vodafone die Firmware der Boxen beschneidet oder AVM in der 7.29 diese Option nicht anbietet.

 

[chris_86]

@Snipy Probiere doch bitte einmal die Sache mit dem Bridge Modus!
Das ist wirklich wichtig, um herausfinden, an welcher Stelle das Problem bei dir liegt!
Dann kann ich dir vermutlich bei der Lösung helfen.

 

[Snipy]

Ich habe kein Notebook womit ich das testen kann und wozu is das wichtig mit dem Bridgemode? Ich nutze diesen nicht. Es wird an diesem NetBiosFilter dingens liegen wie hier schon mehrfach reproduziert werden konnte.

 

[chris_86]

Du wirst ja wohl irgendeinen PC zu Hause haben, den du mal per LAN-Kabel mit der FritzBox verbinden kannst.
Nach meiner Theorie müsstest du noch die Sperre im Config File haben. Dann bringt dir halt das (sehr komplizierte) deaktivieren des Netbios-Filters nix.

 

[floh667]

Wir haben seit gestern die neue provisionierungsconfig


wir haben einen IPv4 Anschluss und http://portquiz.net:445/ ist erreichbar

 

[Snipy]

Du wirst ja wohl irgendeinen PC zu Hause haben, den du mal per LAN-Kabel mit der FritzBox verbinden kannst.
Nach meiner Theorie müsstest du noch die Sperre im Config File haben. Dann bringt dir halt das (sehr komplizierte) deaktivieren des Netbios-Filters nix.

Im Bridemode funktioniert es ohne nicht.

 

[Snipy]

Hat hier jmd. eine freie 6660 und kann mir sagen ob es dort die Option gibt diesen NetBIOS Filter zu deaktivieren? Laut AVM soll das an Vodafone liegen. Als Vergleichswert nehme ich die offizielle 7.29 Firmware, keine Labor.

 

[tq1199]

Laut AVM soll das an Vodafone liegen.

Hier steht aber nicht, dass es an Vodafone liegt.

 

[Snipy]

Hier aber schon. Daher die Frage ob jmd. eine freie 6660 mit 7.29 hat und ob dort die Option, NetBIOS deaktivieren, verfügbar ist.

 

[M.McLuhan]

Hier https://service.avm.de/help/de/FRITZ-Box-6660-Cable/019p2/hilfe_sicherheit_filter. steht bei mir

NetBIOS-Filter​

In Ihrer FRITZ!Box Cable ist der NetBIOS-Filter aktiviert. Dies bewirkt, dass der Paketfilter der FRITZ!Box NetBIOS-Pakete blockiert. In der FRITZ!Box Cable kann der NetBIOS-Filter nicht deaktiviert werden.

NetBIOS-Pakete werden normalerweise nicht für die Kommunikation im Internet benötigt.


In meiner "freien" 6660 kann ich das nicht deaktivieren weil nix zu deaktivieren da ist

P.S. Beim VPN einrichten kann ich das auswählen (NetBIOS über diese Verbindung zulassen (für Microsoft Windows Datei- und Druckerfreigaben))

 

[Snipy]

Ich konnte im Bridgemode diesen NetBIOS Filter umgehen und somit waren die Ports 445 und co. ohne Einschränkungen Nutzbar.

Ebenfalls konnte ich das einer 7590 mit DSL von der Telekom reproduzieren und dort war mit aktivem NetBIOS Filter der Port 445 nicht nutzbar, habe ich diesen aber deaktiviert war der Port 445 auch hier ohne Einschränkungen nutzbar.

Also gehe ich davon aus das Vodafone hier nicht aktiv Portsperren betreibt sondern diese lokal über die Einstellungsmöglichkeiten der Endgeräte realisiert. Diverse Anbieter nutzen, leider, diesen Port noch für aktive Systeme und daher ist das schon ein Kommunikationsproblem.

Danke @M.McLuhan für den Screen. So sieht es in meiner Providerbox ebenfalls aus.

 

[Snipy]

https://twitter.com/i/web/status/1548302807245025282

 

[noctarius]

Ich überlege, ob ich Vodafone vielleicht davon überzeugen kann, dass es ein netzweites Problem ist, indem ich ihnen mehrere betroffene Kunden nenne...

Ich würde mich daher freuen, wenn mir alle Kunden
- die das möchten
- die im Tarifgebiet Vodafone West (BaWü, Hessen, NRW) wohnen
- die einen von VF gestellten oder eigenen Router (ConnectBox, VF Station, TC4400 usw. aber NICHT FritzBox) betreiben
- die die Webseite http:// portquiz.net:445 nicht (mehr) aufrufen können

mal ihre Kundennummer, Bundesland, Routermodell und IP-Protokoll per PN schreiben könnten?

Späte Antwort (wegen Urlaub), aber TC4400+opnsense mit neuer Config in NRW (also ehemaliges UnityMedia). Seite geht aber auch noch per IPv4.

 

[pascalp]

Ebenfalls tc4400+opnsense in NRW, neue Konfigurationsdatei seit letzter Woche: portquiz.net:445 ist erreichbar.

 

[rv112]

Auch hier TC4400 und pfSense mit neuem Configfile, 445 erreichbar.

 

[Zagg92]

Wir haben seit gestern die neue provisionierungsconfig
Anhang anzeigen 9818

wir haben einen IPv4 Anschluss und http://portquiz.net:445/ ist erreichbar
Anhang anzeigen 9819

Komme ich irgendwie an die Config der VodafoneBox?