Neue Provisionierung führt Portfilter ein

[chris_86]

Wie schaut es eigentlich im Bridge-Mode aus: Wird auch am Bridge Port des Routers gefiltert?

Wie gesagt: Meine ConnectBox befindet sich im Bridge-Mode und filtert leider,
(Im Router-Modus tut sie es auch)

Meine dahinter betriebene FritzBox filtert nicht, da NetBios-Filter hier deaktiviert.
(Ich habe aber natürlich auch versucht, den Laptop direkt an den Bridge-Port der ConnectBox anzuschließen, um einen Fehler in der FB auszuschließen)

Ich "traue" dem Tool auch nicht 100% beim Laden und Sichern. Ich benutze es nur als "Editor" für eine mit dem FB-Webinterface heruntergeladene Sicherungsdatei. Ich editiere sie, und spiele sie über das FB-Webinterface zurück. Das einzige, was das Tool dann machen muss, ist die Checksumme neu berechnen. Und dabei kann es nichts falsch machen ;-)

 

[chris_86]

Kurze Erfolgsmeldung:
Der nette Mitarbeiter von Vodafone hat es immerhin möglich gemacht, den (sinnlosen) Router-Tausch für mich zu stornieren!


(Allerdings ist der neue Router angeblich schon an den Versender übergeben worden. Ich bin gespannt, ob das noch aufgehalten werden kann...)

 

[MrHonk]

Einfach Annahme verweigern, dann geht der Router wieder zurück und gut ist ;-)

 

[chris_86]

Und wenns einfach vor die Tür gestellt oder bei einem der vielen Nachbarn abgegeben wird?
Ich kann doch jetzt nicht allen Nachbarn sagen, dass sie alle Pakete für mich verweigern sollen?
Kann ich den neuen Router dann einfach selbst zurücksenden?

Oder aktivieren die dann trotzdem den neuen Router, und ich habe gar kein Internet mehr?

 

[MrHonk]

Ich würde für so etwas an den Tagen um die Zustellung herum einfach eine Notiz neben die Klingel kleben, dass das Paket von Vodafone/Arvato nicht angenommen wird.

Der Zusteller muss dann schon von der ganz harten Sorte sein wenn er das Paket trotzdem "anderweitig" zustellt.

 

[chris_86]

Wie ist das eigentlich mit eigenem Modem?
Werden da wohl auch Ports gesperrt?
Und kann man das "einfach" testen, oder ist die ConnectBox danach weg?

 

[MartinP_Do]

Das Leihgerät muss immer noch nach Provisionierung des eigenen Gerätes im Gegensatz zur Handhabung im KabelDeutschland Gebiet zeitnah zurückgeschickt werden.
Die KD-Kunden sollen das Leihgerät bei einer von ihnen gemeldeten Störung auf Anforderung für Tests wieder anschließen, und sollen es nicht zurückschicken.

 

[Edding]

Also das diese Ports in Eingehender Richtung gesperrt sind ist schon sehr lange so und auch gut so, aber in ausgehender ist neu.

 

[chris_86]

@MartinP_Do Was genau heißt denn das?
Kann ich mein eigenes Modem (EPC3208) kurzzeitig aktivieren lassen, testen ob die Portsperren dort auch zuschlagen, und dann sagen "Ich will auf die ConnectBox zurück"?

 

[rv112]

Das EPC3208 wirst Du nicht mehr aktiviert bekommen, da es nur D3.0 kann.

 

[chris_86]

Und? Die ConnectBox (bzw. CH7465 Wireless Gateway, wie es jetzt heißt) kann auch nur DOCSIS 3.0.
Und die schicken sie mir sogar neu zu.

 

[MartinP_Do]

In besseren Zeiten (vor Chipkrise und Ukraine-Krieg) hat eine Welle begonnen, dass Kunden zwangsweise auf die Vodafone Station umgestellt wurden, da waren sowohl Cisco-Modem Nutzer, als auch solche mit der Connect-Box betroffen .. .
https://www.unitymediaforum.de/threads/39843/

Nach ein paar Monaten begannen aber die Lieferschwierigkeiten, und man hat nur noch Leih-Endgeräte bei bestehenden Verträgen ausgetauscht, wenn sie defekt waren, und die recht geringe Menge an DOCSIS 3.1 - Neugeräten, die man bekommen konnte lieber für Neukunden (und Bestandskunden, die auf Gigabit upgraden wollten) genutzt ...
Teilweise hat man wohl die alten Cisco-Modems auch danach noch durch Connect-Boxen ersetzt ...
https://www.unitymediaforum.de/threads/40492/

Ob man ein altes Leih-Gerät, wenn erst einmal das eigene Gerät provisioniert wurde wieder einbuchen lassen kann, wenn man das Zurücksenden "vergessen" hat, weiß ich nicht.
Bei dem Laden könnte ich mir durchaus vorstellen, dass man unbedingt das Altgerät trotzdem eingeschickt haben will, und für das Zusenden des Neugerätes dann die üblichen knapp 10 € Versandpauschale berechnet werden ...

 

[chris_86]

Nach dem - inzwischen 12.ten erfolglosen Telefonat in der Sache - hat der MA mir bestätigt, dass die Service-Mitarbeiter hier keinerlei Möglichkeiten haben, außer individuellen Korrekturen wie Leitung messen oder Router tauschen. Sie haben keine Verbindung zum NOC und können das auch an niemanden weitergeben, der am Netz arbeitet.
Der MA hat mir geraten, mich diesbezüglich an die Bundesnetzagentur zu wenden, die Aufsichtsbehörde, die für Eingriffe in die Netzneutralität zuständig ist.
Dies habe ich nun getan. Ich bin gespannt, was die dazu sagen...

 

[rv112]

Der Support kann das eskalieren an den 2. Level Support und der kann im Zweifel bis ans NOC. So habe ich auch schon mal mit dem NOC telefoniert.

 

[chris_86]

Bitte sag mir, wie!?
Ich habe das bei jedem Gespräch gefragt. Entweder die wollen es nicht, oder sie können es nicht.
Das einzige was sie tun können, ist ein neues Ticket aufmachen. Dann wird wieder (zum x-ten mal) die "Leitung durchgemessen" und/oder ein Defekttausch des Routers angelegt.
Nen Techniker wollten sie mir auch schon schicken.

 

[chris_86]

Das Problem ist auch, dass die überhaupt nicht verstehen, was überhaupt gemeint ist.
"Ihre Leitung wurde jetzt mehrfach durchgemessen. Die Werte sind alle okay, das heißt wir müssen Ihnen einen neuen Router zusenden."

Wenn sie Provisionierung verstehen, dann denken sie, es liegt an der neuen Firmware für die ConnectBox ("Einige CB's haben das neue Update nicht vertragen. Die tauschen wir aus")

WENN einer überhaupt das Wort Ports versteht, dann denken die, es ginge um die Freigabe von eingehenden Ports in der Router-Firewall ("Ja, die ConnectBox ist zu alt für Portfreigaben, das kann nur die VF Station. Die schicken wir Ihnen zu")

Mehr als Routertausch können sie nicht (und dann habe ich den VF Station Mist an der Backe, der entweder 24 Watt verbrät (Arris) oder Paketverluste im BridgeMode hat (Technicolor) - und vermutlich ist dann auch noch mein DS weg - was ich seit Urzeiten habe, heute aber nur noch in bestimmten Tarifen geschaltet werden kann, die ich nicht habe)
Wenn ich aber sage, ich will keinen neuen Router dann schließen sie das Ticket und unternehmen einfach nichts.

Und mein schriftlicher Brief ans NOC, in dem ich auf die Möglichkeit zum Testen per Webseite hingewiesen habe, wurde vom Praktikanten sinngemäß beantwortet mit:
Ich: "In ihrem gesamten Netz gibt es eine Sperre auf Port 445"
UM: "Die 'sogenannte' Webseite, die Sie nennen funktioniert hier auch nicht, also ist mit Ihrem Anschluss alles in Ordnung, Strato hat die Webseite falsch konfiguriert, dass sie mit Vodafone nicht funktioniert"

 

[SCWfan06]

Hallo,
klinke mich hier mal ein.
Ich kann mit neuem Configfile auf den Port zugreifen.
Allerdings habe ich seitdem IPv4 only.

 

[chris_86]

Uff... Wieso denn IPv4 only? Statt vorher was?
Und mit eigenem oder Leihgerät? Bridge-Mode oder nicht?

 

[SCWfan06]

Uff... Wieso denn IPv4 only? Statt vorher was?
Und mit eigenem oder Leihgerät? Bridge-Mode oder nicht?

Siehe Signatur

 

[why_]

Die USG wird wohl das gleich Problem wie diverse andere distros mit Vodafones neuer config haben.
https://www.unitymediaforum.de/threads/40713/#post-494035
Wobei wenn ich mir https://www.reddit.com/r/fortinet/comments/tqx29q/_/i7ajaaz angucke scheint vodafone ja tatsächlich darauf reagiert zu haben, vielleicht nur noch nicht überall.

 

[chris_86]

@SCWfan06 Das würde für die Theorie sprechen, dass bei (eigenen) Kabel MODEMS (die FritzBox ist ja auch ein Router) eventuell nicht gefiltert wird.

 

[rv112]

Wie soll das auch gehen? Technisch nicht möglich.

 

[tq1199]

Könntet ihr bitte mal testen, ob diese Portsperre bei euch nun auch aktiv ist?
Das geht z.B. mit der folgenden Webseite: https://my.hidrive.com/#diag
oder auf der Windows-Eingabeaufforderung mittels:

telnet my.hidrive.com 445

(Wenn der Port offen ist, erscheint ein leerer Eingabe-Prompt, ...

Ein tcp-traceroute zum TCP-Port 445 von my.hidrive.com wäre evtl. nützlich, um zu sehen wo schon geblockt wird.
Z. B.:

Spoiler

:~ # tcptraceroute -p 58962 my.hidrive.com 445
Selected device ue0, address 192.168.178.40, port 58962 for outgoing packets
Tracing the path to my.hidrive.com (85.214.3.87) on TCP port 445 (microsoft-ds), 30 hops max
1 192.168.178.1 2.328 ms 1.723 ms 1.430 ms
2 * * *
3 ip-081-210-144-118.um21.pools.vodafone-ip.de (81.210.144.118) 10.868 ms 9.118 ms 10.272 ms
4 de-str01c-rc1-ae-43-0.aorta.net (84.116.190.181) 16.195 ms 29.016 ms 14.657 ms
5 de-fra01b-rc2-ae-4-0.aorta.net (84.116.140.201) 16.187 ms 14.907 ms 13.669 ms
6 de-bfe18a-rt01-lag-1.aorta.net (84.116.190.34) 15.672 ms 14.393 ms 12.290 ms
7 * * *
8 145.254.2.49 24.329 ms 22.274 ms 23.052 ms
9 strato.bcix.de (193.178.185.54) 36.688 ms 38.058 ms 36.028 ms
10 110.ae6.bb-rt1-2.h20.r22.rs.ber.de.as6724.net (85.214.0.68) 28.061 ms 29.219 ms 30.914 ms
11 110.po18.sw-stg-core-1.10.as6724.net (85.214.2.101) 29.551 ms 29.573 ms 30.158 ms
12 my.hidrive.com (85.214.3.87) [open] 31.057 ms 2997.503 ms *

 

[MartinP_Do]

Ab der Fritzbox sieht man nur Sterne ;-)

[email protected]:~$ sudo tcptraceroute my.hidrive.com -P 445
Selected device enp5s0, address 192.168.2.26, port 445 for outgoing packets
Tracing the path to my.hidrive.com (85.214.3.87) on TCP port 80 (http), 30 hops max
1 192.168.2.1 1.596 ms 0.975 ms 1.407 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

Lässt man tcptrace die Wahl des outgoing ports, klappt es:

[email protected]:~$ sudo tcptraceroute my.hidrive.com
Selected device enp5s0, address 192.168.2.26, port 34207 for outgoing packets
Tracing the path to my.hidrive.com (85.214.3.87) on TCP port 80 (http), 30 hops max
1 192.168.2.1 1.092 ms 1.424 ms 1.053 ms
2 ip-094-114-160-001.um31.pools.vodafone-ip.de (94.114.160.1) 12.361 ms 12.005 ms 15.080 ms
3 ip-094-114-160-001.um31.pools.vodafone-ip.de (94.114.160.1) 11.280 ms 15.877 ms 16.833 ms
4 de-dtm01a-rd01-ae10-2010.dtm.unity-media.net (81.210.147.104) 14.498 ms 20.667 ms 16.497 ms
5 de-fra01b-rc2-ae-44-0.aorta.net (84.116.196.58) 19.412 ms 23.194 ms 26.336 ms
6 de-bfe18a-rt01-lag-1.aorta.net (84.116.190.34) 22.427 ms 25.332 ms 24.358 ms
7 * * 145.254.2.51 30.087 ms
8 strato.bcix.de (193.178.185.54) 34.825 ms 52.024 ms 33.119 ms
9 110.ae5.bb-rt1-1.e18.r23.rs.ber.de.as6724.net (85.214.0.66) 52.426 ms 33.758 ms 34.897 ms
10 110.po17.sw-stg-core-1.10.as6724.net (85.214.2.97) 29.241 ms 27.344 ms 26.456 ms
11 my.hidrive.com (85.214.3.87) [open] 34.753 ms 33.316 ms 33.863 ms
m

 

[tq1199]

Ab der Fritzbox sieht man nur Sterne ;-)

[email protected]:~$ sudo tcptraceroute my.hidrive.com -P 445
Selected device enp5s0, address 192.168.2.26, port 445 for outgoing packets
Tracing the path to my.hidrive.com (85.214.3.87) on TCP port 80 (http), 30 hops max
1 192.168.2.1 1.596 ms 0.975 ms 1.407 ms
2 * * *

Es geht aber nicht um den source-Port 445 (für die outgoing packets). Es soll der lauschende TCP-Port 445 (als destination Port) irgendwo im Internet erreicht werden.
Wie ist bei dir die Ausgabe von:

sudo tcptraceroute -P 12345 my.hidrive.com 445

?
BTW: Bei meiner FB geht es auch mit source- und destination TCP-Port 445:

:~ # tcptraceroute -P 445 my.hidrive.com 445

Selected device ue0, address 192.168.178.40, port 445 for outgoing packets
Tracing the path to my.hidrive.com (85.214.3.87) on TCP port 445 (microsoft-ds), 30 hops max

1 192.168.178.1 1.865 ms 1.567 ms 0.793 ms
2 * * *
3 ip-081-210-144-118.um21.pools.vodafone-ip.de (81.210.144.118) 10.180 ms 11.810 ms 11.273 ms
4 de-str01c-rc1-ae-43-0.aorta.net (84.116.190.181) 13.947 ms 25.668 ms 17.283 ms
5 de-fra01b-rc2-ae-4-0.aorta.net (84.116.140.201) 15.691 ms 14.149 ms 18.036 ms
6 de-bfe18a-rt01-lag-1.aorta.net (84.116.190.34) 13.930 ms 14.403 ms 16.172 ms
7 * * *
8 145.254.2.51 32.567 ms 34.177 ms 57.403 ms
9 strato.bcix.de (193.178.185.54) 32.047 ms 31.345 ms 33.013 ms
10 110.ae6.bb-rt1-2.h20.r22.rs.ber.de.as6724.net (85.214.0.68) 41.295 ms 47.870 ms 30.790 ms
11 110.po18.sw-stg-core-1.10.as6724.net (85.214.2.101) 33.443 ms 32.936 ms 41.163 ms
12 my.hidrive.com (85.214.3.87) [open] 32.062 ms 2996.881 ms *

Ausgabe von tcpdump (... mit der syn+ack-Rückantwort):

19:55:23.564031 ##:##:##:d3:0a:d6 > ##:##:##:75:36:60, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 244, id 20588, offset 0, flags [DF], proto TCP (6), length 44)
85.214.3.87.445 > 192.168.178.40.445: Flags [S.], cksum 0x4e92 (correct), seq 2755032177, ack 1287052197, win 14600, options [mss 1460], length 0