Unitymedia Neue Provisionierung führt Portfilter ein

[chris_86]

Danke @Snipy!
Meine Fragen hatten sich eigentlich an @tq1199 gerichtet.

Bei den Kabel-FritzBoxen lässt sich der Netbios-Filter laut AVM (auf Wunsch von Vodafone) nicht über das Webinterface deaktivieren.

 

[chris_86]

Übrigens für alle, die DualStack oder DS-Lite haben:
Testet die genannten Ports doch einmal für IPv4 und IPv6 getrennt

 

[Snipy]

Ah okay, ja dann sorry ^^

Das mit den Ports ist mir im Grunde egal. Da ich die nicht nutze bzw. wüsste was ich damit machen soll, vll klärt mich mal einer auf warum das schlecht is? Das mit dem reduzierten Upload stört mich schon eher auch wenn es nur 2,x Mbit sind und dieser komische Name von der Config triggert meine Zwangsstörung Kappa

 

[tq1199]

@tq1199 Eine Test-Webseite ist .....
Für 137, 138 und 139 musst du unter Windows per curl testen, da hier das Windows-eigene Netbios läuft und der Web-Browser das blockiert.
Wenn du eine FritzBox hast, musst du für ein aussagekräftiges Ergebnis darauf achten, hier den Netbios-Filter auszuschalten.

Wo hast du denn die letzten 3 Ports her? Die waren hier bisher nie Thema. Und die gehen bei mir auch.

Und magst du uns verraten, welchen Kabelrouter du nutzt und welches Config-File aufgespielt ist? (Ich nehme an, es ist das alte. Damit gingen die Ports bei mir auch durch)

Ja, ich habe mit der IP von portquiz (siehe oben) getestet. Die anderen Ports habe ich von hier aus dem Thread.
Die config meiner FB6591 ist

-rw-r--r-- 1 root root 2292 Apr 1 04:23 IPMS000000#####ST1.bin

vom 01.04.2022.

Ich muss in der FB6591 nichts ändern. Getestet habe ich mit Linux, FreeBSD und OpenBSD und alles funktioniert. Die FB6591 ist im RIP-Modus und das Gerät mit dem OpenBSD ist direkt im Internet (border device mit statischer/externer IPv4-Adresse) via LAN-Port der FB6591:

:~ #nping -c 2 --tcp --flags syn -g 12345 -p 135 35.180.139.74
Starting Nping 0.7.80 ( .... ) at 2022-06-10 12:15 CEST
SENT (0.0367s) TCP 109.###.###.###:12345 > 35.180.139.74:135 S ttl=64 id=34076 iplen=40 seq=2983573650 win=1480
RCVD (0.0612s) TCP 35.180.139.74:135 > 109.###.###.###:12345 SA ttl=45 id=0 iplen=44 seq=873241216 win=62727 <mss 1460>
SENT (1.0421s) TCP 109.###.###.###:12345 > 35.180.139.74:135 S ttl=64 id=34076 iplen=40 seq=2983573650 win=1480
RCVD (1.0664s) TCP 35.180.139.74:135 > 109.###.###.###:12345 SA ttl=45 id=0 iplen=44 seq=888944363 win=62727 <mss 1460>
Max rtt: 23.943ms | Min rtt: 23.713ms | Avg rtt: 23.828ms
Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.07 seconds

 

[chris_86]

@Snipy Der Upload ist ja immernoch höher provisioniert als vertraglich zugesichert. Aber dafür mach am besten einen eigenen Thread auf.

Hier geht es um die Ports. Mich stört das, weil dadurch der Zugriff auf mein HiDrive beschränkt wird.
Außerdem geht es prinzipiell nicht, dass ein Internet-Provider plötzlich beschließt, für seine Kunden bestimmte Dienste nach Gutdünken einfach zu blockieren. Das verstößt klar gegen die EU-Verordnung zur Netzneutralität.

@tq1199 Äußerst interessant, vielen Dank!
Im RIP-Modus ist die Firewall der FritzBox vermutlich nicht aktiv.
Und das Config-File hat einen sehr interessanten Namen bei dir. So eins habe ich noch nie gesehen ;-)

 

[tq1199]

Im RIP-Modus ist die Firewall der FritzBox vermutlich nicht aktiv.

Du meinst NAT? Ja für das Gerät mit der externen/statischen IPv4 an der FB6591 gibt es kein NAT, für die anderen Geräte schon. Was es im RIP-Modus gibt, ist eine Firewall für eingehende IPv4-Verbindungen für das Gerät mit der statischen IPv4-Adresse. Das ist so wie die v6-Firewall für eingehende IPv6-Verbindungen.
Aber für ausgehende IPv4-Verbindungen gibt es keine v4- und keine v6-Firewall an der FritzBox. Man kann den Zugang der Geräte (an der FritzBox) ins Internet, aber mit Hilfe von "profilen" regelen/steuern.

 

[millen]

Bei mir siehts an meinem Anschluss und CrowdTest Anschluss folgendermaßen aus.

FritzBox 6660 (Eigene / DS):
-rw-r--r-- 1 root root 1036 May 17 20:53 cust-own_1000000_50000_ds_sip_wifi-on.bin
-rw-r--r-- 1 root root 1036 May 17 20:53 docsis_config.bin
135, 137, 138, 139, 445 = Nicht erreichbar
3127, 9898, 4444 = Erreichbar

user@MBP ~ % curl portquiz.net:137
curl: (28) Failed to connect to portquiz.net port 137: Operation timed out

CrowdTest VF Station WiFi 6 (DS-Lite):
135, 137, 138, 139, 445, 3127, 9898, 4444 = Erreichbar

user@MBP ~ % curl portquiz.net:137
Port test successful!
Your IP: 95.2XX.XXX.XXX

EDIT:
Nach Deaktivierung des NetBIOS-Filters in meiner FritzBox 6660, funktionieren nun auch hier alle Ports.

user@MBP ~ % curl portquiz.net:137
Port test successful!
Your IP: 176.19X.XXX.XXX

user@MBP ~ % curl portquiz.net:445
Port test successful!
Your IP: 176.19X.XXX.XXX

 

[chris_86]

@millen
Danke für die Rückmeldung!
Soweit konsistent: Altes Config-File -> Ports sind durchgängig
Das war zuvor sowohl in meiner ConnectBox (DS) als auch in meiner Crow-Test VF Station (DS-Lite) genauso.
Jetzt in beiden kaputt.

Wie hast du den Netbios-Filter in der FritzBox deaktivieren können? Gab es die Option bei dir im Webinterface!?

 

[millen]

@millen
Danke für die Rückmeldung!
Soweit konsistent: Altes Config-File -> Ports sind durchgängig
Das war zuvor sowohl in meiner ConnectBox (DS) als auch in meiner Crow-Test VF Station (DS-Lite) genauso.
Jetzt in beiden kaputt.

Wie hast du den Netbios-Filter in der FritzBox deaktivieren können? Gab es die Option bei dir im Webinterface!?

Jap, ist sichtbar. -> Version: FRITZ!OS:07.39-96595 BETA

 

[Snipy]

Providerbox 6660 mit 7.29 - mit neuem configfile (falls das ne rolle spielt)

 

[why_]

Das zeigt einmal mehr, dass nicht nur der Name, sondern auch der Inhalt des Config-Files verändert wurde! (Was bei VF selbst im Second Level nicht bekannt ist)

Das ist aber seit Einführung schon bekannt siehe https://www.unitymediaforum.de/threads/40713/post-493818
Und das bei VF irgendwer was weiß wäre eher ungewöhnlich, um auf das selbe Wissen wie hier im Forum zu kommen müsstest du wohl schon im 3rd level landen und selbst die werden dann die Feinheiten im Ausführend Akt wie einige Techniker die das Täglich machen nicht so gut wissen.
Das Problem meiner Meinung nach ist auch eher weniger das Fehlende wissen über was bei Vodafone abgeht sondern mehr diese Sture Weigerung sich dem Kunden anzunehmen. Vodafone scheint den gut Informierten Kunden eher als Feind wahrzunehmen. Aber das haben leider alle Großunternehmen so an sich und man hat keine Chance durchzukommen solange man nicht irgendwen dort kennt oder man den Laden dann in der Presse oder auf dem Chaos Communication Congress vorführt.

 

[chris_86]

Da magst du recht haben. Aber im letzten Punkt muss ich widersprechen:
Bei Vodafone ist diese Haltung schon extrem ausgeprägt!
Ich betreue eine ganze Menge Internet-Anschlüsse in der Verwandtschaft, und sowohl bei der rosanen als auch bei der Einmaleims Firma trifft man auf wesentlich höhere Hilfsbereitschaft und wird dann eben auch weitergeleitet an Menschen, die das Problem lösen können.

 

[why_]

Da magst du recht haben. Aber im letzten Punkt muss ich widersprechen:
Bei Vodafone ist diese Haltung schon extrem ausgeprägt!
Ich betreue eine ganze Menge Internet-Anschlüsse in der Verwandtschaft, und sowohl bei der rosanen als auch bei der Einmaleims Firma trifft man auf wesentlich höhere Hilfsbereitschaft und wird dann eben auch weitergeleitet an Menschen, die das Problem lösen können.

Ich hab da von der Telekom bisher auch keine Gegenliebe Erfahren. An meinem DSL Anschluss hängt ein Draytek Vigor 165 und das Unverständnis dafür seitens der Telekom liegt auf gleichem Level wie von Vodafone für mein TC4400. Und bei der Telekom hat man dann halt zu dem Problem noch das Problem des Telekom Backbones. Der Vorteil ist das man die Telekom umschiffen kann bei DSL in dem man zu einem Reseller mit eigenem Backbone wechselt. Der Spaß kostet jetzt dann halt 55€ im Monat und hat kein Telefon mehr, dafür statische IPv4 und statisches IPv6 mit einem /48 und die Möglichkeit seinen RDNS selbst zu setzen. Der Support ist Top und die Knobeln dann mit der Telekom auf B2B mit enterprise SLAs ebene aus wie sie Probleme lösen. Hätte das Kartellamt bei der Fusion von Unitymedia und Kabeldeutschland nicht so geschlafen und die Zwangsöffnung fürs Kabelnetz ebenfalls umgesetzt hätte ich wohl meinen DOCSIS Anschluss auch bei denen.

 

[chris_86]

Hatte vorhin ein Gespräch mit einem sehr freundlichen Mitarbeiter von Strato.
Der sagte, er habe bei seinen Kollegen rumgefragt, und die könnten trotz Vodafone Anschluss auf den SMB zugreifen.
Dummerweise habe ich nicht nach der Region gefragt! Die haben wohl auch noch die alte Config...

 

[Axe]

Mein TC4400 (70.12.44-200921) ging heute Nacht komischer offline und kam von selbst nicht mehr online. Selbst das Webinterface konnte ich heute Morgen nicht mehr öffnen. Ich habe die Box dann händisch für ca. 10 Minuten vom Strom genommen und prompt die d4xxxxxxxx14_1fa5xxxxxxxxxxxxxxxxxxxxxxxx0caa.cm als Configuration File erhalten. Der Aufbau scheint <MODEM_CM_MAC>_<CONFIG_HASH_ODER_SO>.cm zu sein. Ich habe vorher immer die cust-own_100000_10000_ds_sip_wifi-on.bin bekommen. Ist vielleicht ein dummer Zufall, aber ich hatte vor ca. einer Woche telefonisch neue SIP-Daten beantragt. Ich habe jetzt ehrlich gesagt nicht alle Ports durchgetestet, Dinge wie telnet my.hidrive.com 445 und hxxp://portquiz.net:445/ funktionieren einwandfrei bei mir. Bis jetzt konnte ich keine Einschränkungen feststellen. Ich betreibe das Modem hinter einer pfSense Firewall (Dual Stack) in Hessen auf einem PC Engines ALIX System Board. Für den 14.06.2022 sind hier auch Wartungsarbeiten zwischen 01:00 und 06:00 Uhr angekündigt. Vielleicht hilft es ja dem einen oder anderen. Schönes Week!

 

[chris_86]

Interessant ist, dass es offenbar nicht an allen Anschlüssen gleich gehandhabt wird...

Auf meiner ConnectBox (DS) ist Port 138 ebenfalls gesperrt, auf meiner VF Station (DS Lite) ist Port 138 durchgängig, die anderen aber gesperrt.

 

[Gast40437]

So nun habe ich auch den neuen Config File und die gleiche angekündigte Wartung wie @Axe

Bei mir gehen weiterhin alle Ports. (Entweder Browser oder curl für die Netbios Ports).

 

[chris_86]

Das ist sehr interessant!
Ich habe es inzwischen so verstanden, dass für jeden User ein Config File erzeugt wird, das dann bis auf weiteres nicht mehr geändert wird.
So wäre es erklärbar, dass das Verhalten unterschiedlich ist.
Vielleicht ist es Zufall, was der MA bei der Erzeugung so anklickt?
Oder vielleicht haben sie das Problem wirklich (für jetzt neu erzeugte Config Files) behoben??
Wie könnte ich das wohl ausprobieren? Also ein neues Config File erzeugen lassen?
Router-Reset hat nichts gebracht.

Oh, nicht aufgepasst:
@Gast40437 Hast du auch ein eigenes TC4400 am Anschluss? Oder ein Leihgerät?

 

[chris_86]

Es gibt Beispiel Config-Files im Netz, die klar die Portsperren für 135-139 und 445 enthalten.
https://docsis.org/continuing-problem-ip-filters

Vielleicht hat VF da auch einfach Copy & Paste gemacht, ohne groß drüber nachzudenken?

 

[chris_86]

Hier das Statement, das Vodafone wohl in einem ähnlichen Fall gegenüber der Bundesnetzagentur abgegeben hat:

29. Ein Endnutzer hatte sich beschwert, dass bei seinem Internetzugang bestimmte Ports gesperrt seien,
die er für bestimmte Dienste benötige. Dies sei ein Verstoß nach Art. 3. Die Anhörung des Internetzugangsanbieters durch die Bundesnetzagentur ergab, dass diese Ports nicht gesperrt seien. Sie seien vielmehr durch die Firewall im Router gefiltert, sodass der Verbraucher diese nur von „außen“ ansprechen könne, wenn zuvor die Verbindung aus dem Heimnetzwerk aufgebaut werde. Bestimmte andere Ports
seien hingegen aus Sicherheitsgründen gesperrt. Hierauf werde gemäß Art. 4 Abs. 1 a) auf den Inter￾netseiten des Anbieters hingewiesen. Darüber hinaus habe der Verbraucher die Möglichkeit, die Fire￾wall des Routers zu deaktivieren oder ein eigenes Modem oder einen alternativen Router einzusetzen.

Was sagt ihr dazu?

 

[why_]

Hierauf werde gemäß Art. 4 Abs. 1 a) auf den Inter￾netseiten des Anbieters hingewiesen

Wo ist denn der Hinweis dazu? Ich hab dazu nichts bei Vodafone gefunden. https://www.vodafone.de/privat/suche.html?searchCustomerContext=private|domain.support&q=portsperren
Also entweder gibt es keine Portsperren oder Vodafone erzählt da Blödsinn das sie auf ihren Internetseiten darauf hinweist.

 

[chris_86]

Es gibt den Hinweis, dass sie (EINGEHENDEN!) Verkehr auf Ports 135-139 im Kabelnetz sperren.

Auf einer super versteckten Seite, die man nur über Google finden kann:
https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html

unter "Was sind Portsperren?"

Von ausgehenden Sperren steht da nix. Und von 445 auch nicht.

Darüber hinaus ist jeder einzelne Satz des Statements Bullshit. Da ja auch das "Deaktivieren der Firewall" oder der Einsatz eines eigenen Routers (BridgeMode) nichts an den Portsperren ändert.
Und da das pauschale Argument "Sicherheitsgründe" nicht erläutert wird. Dann kann ich ja auch "aus Sicherheitsgründen" gleich alles außer 80/443 sperren.
Aber es genügt offenbar, um bei der BNetzA damit durchzukommen.

 

[addicted]

Sie seien vielmehr durch die Firewall im Router gefiltert, sodass der Verbraucher diese nur von „außen“ ansprechen könne, wenn zuvor die Verbindung aus dem Heimnetzwerk aufgebaut werde.

Das bezieht sich ja klar auf eingehende Sperren, die sind ja hier nicht gemeint.

 

[why_]

Auf einer super versteckten Seite, die man nur über Google finden kann:
https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html

Laut Vodafone seiten Routing bezieht sich das nur auf Geschäftskunden.

 

[tq1199]

Was sagt ihr dazu?

M. E. hast Du dein Problem von Anfang an, nicht richtig kommuniziert. Du schreibst von gesperrten Ports. Ich hätte an deiner Stelle, immer darauf hingewiesen bzw. reklamiert, dass ich von meinem Internetanschluss, bestimmte lauschende Ziel-Ports (z. B. 445, 135-139) im Internet (warum auch immer) _nicht_ erreichen kann und Vodafone dazu aufgefordert diesen Fehler zu beheben. Ich hätte nie behauptet, dass Vodafone Ports sperrt.