Unitymedia Neue Provisionierung führt Portfilter ein

[chris_86]

Wie gesagt, jeder einzelne Satz, der da steht, ist gelogen.
Aber was tut man da?
Die BNetzA ist offenbar seit über einem Jahr informiert, und lässt sich mit diesem Geschwafel abspeisen.

 

[chris_86]

@tq1199 Vielen Dank für das Feedback!
Glaube mir, ich habe das in den Telefonaten genau erklärt.
Aber denkst du, die First-Level-Typen würden diesen Unterschied in der Formulierung verstehen?

Schriftlich habe ich es wie folgt kommuniziert:

Seitdem kann ich nicht mehr auf meinen Online-Speicher HiDrive der Firma Strato zugreifen, da meine ConnectBox nun ausgehende Verbindungen über Port 445 blockiert.

Dies kann leicht getestet werden mit folgender Webseite, welche seit heute Morgen nicht mehr zu erreichen ist: https://my.hidrive.com/#diag

Und folgende Antwort erhalten [sic]

Die Port Thematik die Sie ansprechen bezüglich Strato musste ich feststellen das dies ein Thema bei Strato ist, der sogenannte Link den Sie mitteilten wurde von einer Business Leitung getestet der alle sämtliche Ports frei zur verfügung hat und lt. Angabe von Strato sei hier was gesperrt ergo hat Strato selbst etwas falsches umgesetzt was den Zugriff von Vodafone aus erschwert

Auf Deutsch: "Ja, wir können das Problem hier auch reproduzieren. Dann ist ja alles in Ordnung."

Was könnte ich besser machen?

 

[tq1199]

Glaube mir, ich habe das in den Telefonaten genau erklärt.
Aber denkst du, die First-Level-Typen würden diesen Unterschied in der Formulierung verstehen?

Telefonieren bringt nichts, es zählt nur das Schriftliche.

Aber wenn man sich anschaut was von der BNetzA dazu kommt, könnte man meinen, dass die es auch nicht verstanden haben ... oder nicht verstellen wollen?

 

[chris_86]

Schriftlich sind mehrere Beschwerden von mir raus.
Die erste wurde mit obigem Unsinn beantwortet, die anderen kommentarlos geschlossen.

Telefonisch konnte ich sie immerhin (nach mehr als 20 Telefonaten) davon überzeugen, das "per E-Mail an die IT weiterzugeben". An diesem Ticket wird wenigstens "gearbeitet".
Aber ich fürchte, es wird wieder auf einen Routertausch hinauslaufen.

Was also empfiehlst du?

PS: Die Antwort der BNetzA bezieht sich nicht auf meinen, sondern einen ähnlichen Fall. Was dort genau reklamiert wurde, weiß ich nicht.

 

[chris_86]

Vielleicht können ja auch alle Betroffenen hier eine Mail an [email protected] schreiben?
Vielleicht findet wer von euch eine bessere Formulierung? Oder einen kompetenteren Leser?

 

[tq1199]

Was also empfiehlst du?

Das was ich w. o. bereits geschrieben habe: Schriftlich reklamieren, dass Du seit ?? Tagen, von deinem Internetanschluss die TCP-Ziel- Ports 135 bis 139 und 445 im Internet nicht erreichen kannst, ... mit der Aufforderung den Fehler bis zum <Datum> zu beheben.

 

[chris_86]

Genau das habe ich doch gemacht!!
Mehrfach! Siehe oben.
Die erste Mail wurde nach laaaanger Zeit mit Blödsinn beantwortet, der Rest kommentarlos ignoriert (weil "haben wir doch schon beantwortet")

Da kommt nur irgendwann die Zufriedenheitsbefragung, die einem mitteilt, dass die Bearbeitung abgeschlossen wurde, und wie man diese fand.

 

[chris_86]

Der o.g. Beschwerdeweg führt leider immer wieder auf die Maßnahme "Routertausch" hinaus.
Und da ich diesen immer zu vermeiden versucht habe, muss ich mir vorwerfen lassen, dass ich ja nicht an der Lösung des Problems interessiert sei, und man sonst nichts für mich tun könnte.

Also habe ich die neue VF Station 6 (Arris) jetzt angeschlossen.

Neuigkeiten aus dem Kuriositäten-Kabinett: Scheinbar erhält das unprovisionierte(!) Modem einfach eine öffentliche IPv4 zugewiesen!?
Oder wie würdet ihr das interpretieren?

 

[Tom_123]

Hi,

im VF West Gebiet bekommt ein nicht provisioniertes Gerät immer eine öffentliche IP-Adresse, da dort auch im unprovisionierten Zustand generell ein - auch wen sehr langsamger - Internetzugang möglich ist.

Wäre mal interessant, was der Provider bei einem Abmahnfall im Rahmen einer Urheberrechtsverletzung macht

 

[chris_86]

Nein. Das ist (bzw. war) nur bei KabelBW der Fall.

Ich wohne aber in NRW.
Das unprovisionierte Modem hat hier keinen Internetzugang.

 

[chris_86]

Hat eigentlich jemand einen Mobilfunkanschluss von Vodafone?

Laut der Transparenz-Webseite soll hier ja (nur) der Port 445 gesperrt sein.
Bei einem Vodafone Mobilfunkanschluss (allerdings über Reseller 1&1) ist Port 445 ausgehend nutzbar, also http://portquiz.net:445 erreichbar.

 

[rv112]

Bei mir geht er auch, Vodafone direkt.

 

[chris_86]

Also zumindest im Mobilfunknetz können sie zwischen ein- und ausgehendem Datenverkehr unterscheiden?

 

[rv112]

So scheint es zu sein.

 

[Snipy]

@Snipy Der Upload ist ja immernoch höher provisioniert als vertraglich zugesichert. Aber dafür mach am besten einen eigenen Thread auf.

Also ich erreiche, nach der Reduktion von 54,8 Mbit auf 52,5 Mbit die 50 Mbit nicht mehr. Es mag 5% überprovisioniert sein aber den Verlust, der immer da ist, macht somit die maximale Bandbreite von 50 Mbit, bei mir, unerreichbar. Zuvor, siehe Signatur, war ich drüber.

 

[MartinP_Do]

Bei mir begann der Bandbreitenschwund im Upload mit dem Aufschalten des Ofdma. Da hatte ich noch das alte File mit dem sprechenden Namen.

 

[Snipy]

Ich habe, wie gesagt, bei mir noch kein OFDMA. Habe noch 5 D3.0 64 QAM Kanäle und Anfang des Monats als nachts auf einmal meine 6660 nur noch rot geleuchtet hat wurde nach einem manuellen Stromreset das neue, reduzierte, configfile aufgespielt.

Seitdem zu guten Zeiten 46-48 und ansonsten um die 25 Mbit rum. Das hatte ich vorher nicht, Da war ich immer über 50 siehe Signatur.

Vor einer Woche war ein Techniker hier im Haus, weil ein Nachbar beim renovieren sein Kabel beschädigt hat, und ich habe ihn mal gefragt wie hier die Auslastung bei uns so ist und er meinte das höchste was er sehen kann auf der c-linie waren 28% und als ich ihn nach dem OFDMA fragte meinte er das ich froh sein soll das er hier noch nicht geschalten ist und er sieht dafür, bei uns, auch kein bedarf für.

Ka was hier schon wieder los ist. Mein Internet lief nun ein 3/4 Jahre ohne größere Probleme. Speedtest war fast immer wie in der Sig...

 

[Axe]

Mein TC4400 (70.12.44-200921) ging heute Nacht komischer offline und kam von selbst nicht mehr online. Selbst das Webinterface konnte ich heute Morgen nicht mehr öffnen. Ich habe die Box dann händisch für ca. 10 Minuten vom Strom genommen und prompt die d4xxxxxxxx14_1fa5xxxxxxxxxxxxxxxxxxxxxxxx0caa.cm als Configuration File erhalten. Der Aufbau scheint <MODEM_CM_MAC>_<CONFIG_HASH_ODER_SO>.cm zu sein. Ich habe vorher immer die cust-own_100000_10000_ds_sip_wifi-on.bin bekommen. Ist vielleicht ein dummer Zufall, aber ich hatte vor ca. einer Woche telefonisch neue SIP-Daten beantragt. Ich habe jetzt ehrlich gesagt nicht alle Ports durchgetestet, Dinge wie telnet my.hidrive.com 445 und hxxp://portquiz.net:445/ funktionieren einwandfrei bei mir. Bis jetzt konnte ich keine Einschränkungen feststellen. Ich betreibe das Modem hinter einer pfSense Firewall (Dual Stack) in Hessen auf einem PC Engines ALIX System Board. Für den 14.06.2022 sind hier auch Wartungsarbeiten zwischen 01:00 und 06:00 Uhr angekündigt. Vielleicht hilft es ja dem einen oder anderen. Schönes Week!

Kurzer Nachtrag: Mit der neuen o. g. Config funktioniert bei mir Port 7547 (TR-069) nicht mehr. Ich könnte heulen.
Getestet via portquiz.net:7547 und einem GenieACS Server. Über mein Handy (Hotspot Telekom) klappt es einwandfrei.

 

[MartinP_Do]

Na, wenn es beim TC4400 auch solche Sperren gibt, wird es wohl keine Möglichkeiten geben, diese Portsperre ohne VPN-Tunnel zu umgehen...

 

[tq1199]

Getestet via portquiz.net:7547 und einem GenieACS Server.

Nur der zuständige ACS-Server ist auf Port 7547, von meinem Anschluss erreichbar:

:~$ nc -zv -w 2 portquiz.net 7546 7547 7548
Connection to portquiz.net 7546 port [tcp/*] succeeded!
nc: connect to portquiz.net port 7547 (tcp) timed out: Operation now in progress
Connection to portquiz.net 7548 port [tcp/*] succeeded!

:~$ nc -zv 46.###.###.### 7547
Connection to 46.###.###.### 7547 port [tcp/*] succeeded!

Eingehend ist der TCP-Port 7547 auch blockiert (d. h. ich kann keinen Dienst/Server auf dem TCP-Port 7547 lauschen lassen, weil er aus dem Internet nicht erreicht werden kann).
Aus dem VF-Forum (von 2016):

Der TR-069 Port ist über eine sogenannte Access Control List gegen unberechtigte Zugriffe gesichert. Deshalb werden nur Verbindungen interner Server zugelassen und unzulässige Datenpakete direkt verworfen.

Quelle: https://forum.vodafone.de/t5/Archiv...s-erwartet-uns-bei-Vodafone/m-p/1358235#M5676

 

[chris_86]

@Axe Du hast also mit einem eigenen, reinen Kabelmodem ebenfalls eine Sperre hinterlegt.
Die SMB-Portsperren (135-139, 445) hast du aber nicht. - Richtig?

Die Frage ist, ob diese Sperren technisch auf unterschiedliche Weise realisiert werden?
Bei den SMB-Sperren gehe ich von einer Sperre per Config-File im Kabelrouter aus. Bei der TR069 Sperre könnte diese Access-Liste entweder im Config-File oder auch netzseitig hinterlegt sein.

Das wäre insofern interessant, als dass immernoch die Frage offen ist, ob eigene MODEMs auch Speren per Config-File umsetzen (können)?

Wir wissen hierzu:
- Die VF Leihrouter (ConnectBox, VF Station 6 CommScope/Arris, VF Station 6 TC, FritzBox) setzen die Portsperren um
- Die AVM FritzBox setzt die Portsperre über ihren Netbios-Filter um. Die Option zur Deaktivierung wird gemäß VF Config-File aus dem Webinterface rausgepatcht. Es existiert aber mindestens ein Beispiel mit (a) altem Config-File und (b) selbstgekaufter FB mit Laborfirmware, bei dem sich die Portsperre erfolgreich abschalten lässt (evtl. auch durch einen "Fehler" bzw. fehlende VF-Anpassung in der Laborfirmware)
- Mindestens ein eigenes TC4400 (bei Axe) setzt die SMB-Sperre nicht um
- Dasselbe TC4400 setzt allerdings eine TR069 Sperre um

 

[tq1199]

- Die AVM FritzBox setzt die Portsperre über ihren Netbios-Filter um. Die Option zur Deaktivierung wird gemäß VF Config-File aus dem Webinterface rausgepatcht.

Es gibt m. E. keine Portssperre bei der FB-cable.
Ich denke man sollte unterscheiden zwischen Netbios-Filter der FritzBox-cable und der (möglichen) Portssperre mit dem VF-Config-File.
Der Netbios-Filter kommt von AVM:

NetBIOS-Filter
In Ihrer FRITZ!Box Cable ist der NetBIOS-Filter aktiviert. Dies bewirkt, dass der Paketfilter der FRITZ!Box NetBIOS-Pakete blockiert. In der FRITZ!Box Cable kann der NetBIOS-Filter nicht deaktiviert werden.
NetBIOS-Pakete werden normalerweise nicht für die Kommunikation im Internet benötigt.

Quelle: https://service.avm.de/help/de/FRITZ-Box-6591/019p2/hilfe_sicherheit_filter
D. h., bei meiner FB6591-cable ist der Netbios-Filter aktiv, aber der Zugang zu den Ports im Internet ist möglich (keine Portssperre). Der Filter blockt nur Nebios-Pakete und sperrt für andere Datenpakete, den Zugang zu den dst-Ports, nicht.

Mit dem Port 25 ist es auch so. Den SMTP-Filter in meiner FB6591-cable habe ich aktiviert. D. h., ich habe Zugang zu dem lauschenden TCP-Port 25 im Internet, kann aber aus dem Subnetz meiner FB6591-cable, keine emails über den dst-Port 25 versenden, weil der Paketfilter der FB6591-cable die _SMTP-Pakete_ erkennt und blockt. Alle anderen Daten-Pakete zum dst-Port 25 werden nicht geblockt.

:~$ nc -zv mail.gmx.net 25
Connection to mail.gmx.net 25 port [tcp/smtp] succeeded!

 

[Snipy]

Es gibt m. E. keine Portssperre bei der FB-cable.
Ich denke man sollte unterscheiden zwischen Netbios-Filter der FritzBox-cable und der (möglichen) Portssperre mit dem VF-Config-File.
Der Netbios-Filter kommt von AVM:

Quelle: https://service.avm.de/help/de/FRITZ-Box-6591/019p2/hilfe_sicherheit_filter
D. h., bei meiner FB6591-cable ist der Netbios-Filter aktiv, aber der Zugang zu den Ports im Internet ist möglich (keine Portssperre). Der Filter blockt nur Nebios-Pakete und sperrt für andere Datenpakete, den Zugang zu den dst-Ports, nicht.

Mit dem Port 25 ist es auch so. Den SMTP-Filter in meiner FB6591-cable habe ich aktiviert. D. h., ich habe Zugang zu dem lauschenden TCP-Port 25 im Internet, kann aber aus dem Subnetz meiner FB6591-cable, keine emails über den dst-Port 25 versenden, weil der Paketfilter der FB6591-cable die _SMTP-Pakete_ erkennt und blockt. Alle anderen Daten-Pakete zum dst-Port 25 werden nicht geblockt.

Wenn du eine 6660 von Vodafone als Leihgerät hast kannst du den NetBios-Filter NICHT deaktivieren und das kommt von Vodafone. Bei einer freien Box ist das durchaus möglich. Da hast du hier zu schnell die Posts überflogen den das wurde mehrfach gesagt.

 

[chris_86]

D. h., bei meiner FB6591-cable ist der Netbios-Filter aktiv, aber der Zugang zu den Ports im Internet ist möglich (keine Portssperre). Der Filter blockt nur Nebios-Pakete und sperrt für andere Datenpakete, den Zugang zu den dst-Ports, nicht.

Ist das so?
Kannst du bei aktivem Netbios-Filter die Webseite http://portquiz.net:445 aufrufen?
(Das wären HTTP-Pakete, keine Netbios-Pakete. Sie werden aber nach den bisherigen Erkenntnissen trotzdem gefiltert, da der "Netbios-Filter" der FB m.E. ein reiner Port-Filter ist)
Sollte das bei dir anders sein, lasse ich mich aber gern eines Besseren belehren.

 

[tq1199]

Da hast du hier zu schnell die Post überflogen den das wurde mehrfach gesagt.

Du hast dann nicht gelesen was ich oben gepostet habe und das kommt von AVM und nicht von Vodafone. ... und es geht nicht darum, was man mit "Modifizierungen" an einer freien Box machen kann, denn diese Modifizierung ist evtl. nutzlos, wenn die Portssperre mit dem Config-File kommt. ... denn dann ist es (für die Portssperre) nicht relevant ob der Netbios-Filter aktiv oder inaktiv ist. Die Ports werden dann immer gesperrt.

NetBIOS-Filter
In Ihrer FRITZ!Box Cable ist der NetBIOS-Filter aktiviert. Dies bewirkt, dass der Paketfilter der FRITZ!Box NetBIOS-Pakete blockiert. In der FRITZ!Box Cable kann der NetBIOS-Filter nicht deaktiviert werden.
NetBIOS-Pakete werden normalerweise nicht für die Kommunikation im Internet benötigt.