• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Neue Provisionierung führt Portfilter ein

Diskutiere Neue Provisionierung führt Portfilter ein im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Du willst etwas von der Hotline, was nicht im Prozess von Vodafone vorgesehen ist. Dein Problem existiert aus der Sicht von Vodafone nicht als...
boba

boba

Beiträge
1.688
Punkte Reaktionen
570
Ort
Unitymedia Hessen
Was meinst du mit "überfordern"? Dass ich jetzt seit über einem Monat auf eine Lösung dieses Problems warte?
Dass ich langsam etwas ungehalten werde? (Obwohl ich am Telefon immer freundlich bleibe!)
Die Tatsache, dass sie ständig meinen Router tauschen wollen, obwohl ich ihnen jedesmal sage, dass das nichts bringt, ist doch nicht mein Verschulden!?
Du willst etwas von der Hotline, was nicht im Prozess von Vodafone vorgesehen ist. Dein Problem existiert aus der Sicht von Vodafone nicht als Problem, das bearbeitet und gelöst werden kann.
Der Router und der Anschluss verhält sich entsprechend der von Vodafone gegebenen Spezifikation, und damit existiert kein Problem. Du bist mit der Spezifikation nicht einverstanden, das ist das Problem für dich. Aber ein technisches Problem mit deinem Anschluss existiert aus Business-Sicht nicht. Aus Hilflosigkeit wird dir von der Hotline als last resort ein neuer Router zugeschickt - das ist dem Bemühen der Hotline geschuldet, dass sie dir helfen will (schließlich meldest du aus deiner Sicht ein Problem), aber sie nicht weiß, wie dieses Problem zu lösen ist, weil es nicht in ihrer Wissensdatenbank enthalten ist.

An der Hotline wirst du deshalb auf Granit beißen und zu keiner Lösung kommen. Du brauchst nicht auf eine Lösung zu warten - es wird nicht daran gearbeitet, weil es aus Sicht von Vodafone wie gesagt kein Problem gibt.

Deine Energie wäre besser darauf verwendet, einen Workaround zu finden (z.B. Verbindung über VPN) oder einen Internetprovider zu finden, dessen Anschluss- bzw. Routerspezifikation deinen Wünschen besser entspricht.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
@boba Der erste Teil ist schön zusammengefasst.

Deine Schlussfolgerung teile ich jedoch nicht.
Ich bin derzeit in meinem Vertrag gebunden und kann diesen bis 2024 nicht einfach wechseln.
Vodafone hat - während der Vertragslaufzeit - unter Verstoß gegen die EU-Transparenz-Richtlinie - eine Beschränkung eingeführt, die gegen die EU-Verordnung zur Netzneutralität verstößt.
Selbstverständlich kann und muss ich mich dagegen wehren!

Oder was würdest DU sagen, wenn man an deinem Anschluss plötzlich "aus Sicherheitsgründen" nur noch http(s) über Port 80/443 zulassen und alles andere sperren würde?
 
boba

boba

Beiträge
1.688
Punkte Reaktionen
570
Ort
Unitymedia Hessen
Nur noch 80/443 ist nicht vergleichbar. Es gibt pro und contra Argumente gegen eine smb Portsperrung, und es ist auch nicht klar an welcher Stelle die Sperrungen durchgeführt werden (ob providerseitig in deren Netz oder in den Firewalls der Kundenrouter) und damit inwieweit man sich mit eigenem Gerät davon befreien kann.

Wenn ich das Problempotential von smb 1.0 sehe (damit hat sich z.B. noch 2017 die Ransomware WannaCry verbreitet), dazu das Problembewusstsein und überhaupt das Wissen darüber bei dem gewöhnlichen Kunden (nämlich fast null Wissen und Problembewusstsein), und wenn ich dann das daraus hervorgehende Risiko mit dem Anspruch auf einen neutralen Internetzugangs abwäge, dann sehe ich eine Portsperre nicht ungerechtfertigt. Das hat eine nicht von der Hand zu weisende Berechtigung zur Gefahrenabwehr.

Die Power-User, die wissen was sie tun, müssen meiner Ansicht nach hier zurückstecken gegenüber der großen Masse der unwissenden User, die verwundbar wären ohne Sperre. Das Protokoll ist auch nicht für feindliche Umgebungen wie das Internet designed worden, es ist für Intranetverbindungen in wenigstens halbwegs zu kontrollierenden Intranets gedacht.

Mehr kann ich dazu dann nicht sagen. Wenn du damit partout nicht einverstanden bist, dann wird dir wohl nur der Klageweg bleiben oder zumindest ein steiniger Weg über Verbraucherzentralen, wobei ich bei beiden Wegen eher wenig Aussicht auf Erfolg sehen würde. Aber ich bin da in diesen rechtlichen Dingen nur Laie und kann nicht einschätzen, ob ein Gericht oder ein Schlichter die Risikobewertung anders sieht als ich. Vielleicht hilft auch einfach ein selbstgekaufter Router im Rahmen der Routerfreiheit.

Wenn man nach vodafone und smb Portblockaden sucht, findet man erste Berichte schon von 2011. Da das sich seither nie geändert hat, wird sich das die nächsten 11 Jahre höchstwahrscheinlich auch nicht ändern. Verwende deine Energie lieber auf einen vpn Workaround oder ein alternatives Protokoll wie webdav. Das senkt den Adrenalinspiegel, du hast ein Problem dauerhaft beseitigt, du lernst etwas dabei, es erhöht deine Sicherheit, und es funktioniert auch alles wieder, ist also rundweg positiv zu sehen.

Im übrigen, was meine eigenen Tests angeht, gibts die Sperre ausschließlich auf ipv4. Wenn du ipv6 Verbindungen benutzt, gibts keine Sperre, weder von der Provider-Fritzbox her noch netzseitig.
 
Zuletzt bearbeitet:

chris_86

Beiträge
240
Punkte Reaktionen
35
Sorry @boba, aber die Netzneutralität, die du hier so schön verniedlichst, ist ein wirklich hohes Gut! Das ist vergleichbar mit der Pressefreiheit. Es darf eben nicht sein, dass ein Unternehmen nach eigenem Gutdünken unter Verweis auf nicht näher bezeichnete "Sicherheitsgründe" Einschränkungen oder Priorisierungen bestimmter Dienste vornimmt.

Das ist in der EU Telecom Single Market (TSM) Verordnung 2015/2120 auch klar geregelt:
Verkehrs-Management-Maßnahmen nur bei Gefährung des Netzes (nicht eines einzelnen Nutzers) und nur genau so lange, wie zur Abwehr einer konkreten Bedrohung notwendig.

Portsperren für EINGEHENDEN Verkehr auf den SMB-Ports mögen sich mit WannaCry rechtfertigen lassen. Darüber kann man in der Tat diskutieren (auch wenn diese Bedrohung 2017 war und heute in der Form nicht mehr gegenen ist). Portsperren für AUSGEHENDEN Datenverkehr jedoch haben KEINE sicherheitsrelevante Begründung.

Desweiteren verpflichtet die Verordnung den Anbieter dazu, Verkehrs-Management-Maßnahmen wie Portsperren im Vertrag zu dokumentieren. Eine Dokumentation besteht nur für Business-Verträge, nur für die Ports 135-139 EINGEHEND. Nicht für AUSGEHENDEN Datenverkehr, und für Port 445 überhaupt nicht.

Außerdem darf VF seine Router gerne so ausliefern, dass sie in der Standard-Firewall-Einstellung diese Ports blockieren. Bei deaktivierter Firewall / im Bridge-Modus / mit eigenem Modem darf das jedoch nicht passieren - das verstößt gegen die Netzneutralität.

Dass die Maßnahmen nicht "notwendig" und sogar grob unsinnig sind, sieht man daran, dass
- kein anderer Provider in Deutschland die SMB-Ports sperrt
- auch bei Vodafone West / Unitymedia bis Anfang Mai die SMB Ports AUSGEHEND frei waren
- Vodafone selbst die Sperren im DSL- und Mobilfunknetz nicht für nötig hält
- Vodafone die Portsperren nur auf IPv4 umsetzt - somit wird keine Schadsoftware wirksam aufgehalten

Ich würde mir für den Klageweg gute Chancen ausrechnen. Warte aber erst einmal die Bearbeitung des Falls durch die Bundesnetzagentur als zuständige Aufsichtsbehörde ab.

(Bzw. ich hoffe darauf, das bald endlich mein Austausch-Router eintrifft, so dass ich das Verhalten mit diesem testen kann, und bei der Erstellung des nächsten Tickets dann darauf verweisen kann, dass es wirklich wirklich nicht an der "total veralteten" ConnectBox liegt, die "sowas ja nicht kann, weil sie nur dieses 3.0 beherrscht aber nicht dieses 3.1" [sic], oder an der neuen Firmware für die ConnectBox, die "bei vielen Kunden Probleme mit Ports bereitet"...)
 
Zuletzt bearbeitet:
boba

boba

Beiträge
1.688
Punkte Reaktionen
570
Ort
Unitymedia Hessen
Ja, kann sein, dass das gegen EU Richtlinien verstößt. Trivial ist das nicht, denn Vodafone dürfte eine umfangreiche Rechtsabteilung beschäftigen, die sich auch mit diesem Thema befasst haben dürfte. Ich mag darüber nicht weiter diskutieren, es ist Zeitverschwendung (nicht wegen dir, sondern allgemein diese Sache). Ich habe eine Meinung dazu, die nicht völlig von deiner abweicht, aber meine Meinung dazu hier in diesem Forum ist total irrelevant, in jeder Hinsicht. Wenn du deine Meinung durchsetzen willst, dann ist das Forum hier der falsche Ort. Wie gesagt: hier im Forum ist deine Energie in dieser Sache völlig verschwendet.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Ok, darauf können wir uns einigen. ;)
Aber keine Sorge: Ich erwarte auch keine "Lösung" hier vom Forum. Ich weiß, dass VF hier nicht mitliest (sollten sie vielleicht mal!)

Das Forum dient hier vielmehr zum Erfahrungsaustausch. Zur Ermittlung
(a) ob es nur an meinem Anschluss oder im gesamten Netz auftritt
(b) ob es vom Router-Modell, vom Vertrag, dem Config-File oder CMTS abhängt
(c) wie es sich mit reinen Modems / freien Geräten verhält

Durch den gegenseitigen Austausch haben wir schon vieles herausgefunden und die Ursache des Problems ziemlich gut eingegrenzt.
Und zudem berichte ich euch von den "Bemühungen" seitens VF, damit ihr Bescheid wisst, wie der aktuelle Stand ist.

Auch habe ich schon den ein oder anderen Tipp bekommen, wie man weiter vorgehen könnte, um VF zu einer Lösung des Problems zu bewegen (vielen Dank dafür!)
Genau für solchen Austausch ist so ein Forum doch da - oder etwa nicht?
 
Zuletzt bearbeitet:

sapere aude

Beiträge
107
Punkte Reaktionen
46
Alle Telko's, auch Vodafone lesen in Foren mit, ganz sicher sogar. Nur äußern werden sie sich in Foren sicherlich nicht... Es gab auch schon Löschanfragen an verscheidene Forenbetreiber, wenn es um firmeninterne Dinge ging.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Jetzt habe ich heute die zweite Vodafone Station bekommen, weil bei der ersten die Aktivierung in einen Fehler gelaufen ist.
Aber auch diese lässt sich nicht aktivieren!

Irgendwie scheint mit der Provisionierung gerade so einiges merkwürdig zu laufen...

Haltet euch fest:
Die neue Box lässt sich zwar nicht aktivieren - gibt mir aber in unprovisioniertem Zustand einen 1 MBit/s Internetzugang! In NRW!!!

Und jetzt kommt der Kracher:
In unprovisioniertem Zustand ist der Port 445 offen! :O
 

why_

Beiträge
1.335
Punkte Reaktionen
316
Das ist Interessant, danke für den Statusbericht. Ich hoffe das das dann bald bei dir läuft.
 
MrHonk

MrHonk

Beiträge
549
Punkte Reaktionen
214
gibt mir aber in unprovisioniertem Zustand einen 1 MBit/s Internetzugang! In NRW!!!
Das ist normal und ist lediglich der Datenkanal, über den der Receiver die Provisionierung erhält - im Netz surfen oder eMails schreiben/versenden ist darüber aber nicht möglich (die Erfahrung hab ich selber gemacht). Ich musste bisher auch immer bei Vodafone (und damals auch schon bei Unitymedia) anrufen, um einen neuen Receiver provisionieren zu lassen.

In unprovisioniertem Zustand ist der Port 445 offen! :O
Was bedeuten würde, dass der Port bereits im Router blockiert wird und nicht erst ein paar Stationen später.
 

maffle

Beiträge
607
Punkte Reaktionen
70
Bei mir war grad das Internet weg für 10 Minuten, Blick auf die VFS zeigt nun eine seltsame krytpische Firmware an mit "factory-nvram-generic-brcm93390smwvg2-20210908094036" und IPv4 / DS ist weg nur noch IPv6 :) In einer letzten Mail stand was von Wartungsarbeiten vom 20. bis 22.06.2022.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
@MrHonk
Naja, das erste Gerät konnte auch nach 10 Anrufen nicht aktiviert werden, so dass sie mir irgendwann ein neues schicken mussten. Das ist eher nicht normal.
Daher bin ich gespannt, ob es mit dem zweiten klappt.

Und "normal" ist (in NRW) bisher mW nicht, dass ich darüber vollen Internetzugriff habe! Und sogar auf meinen Online-Speicher (SMB) zugreifen kann...

Was bedeuten würde, dass der Port bereits im Router blockiert wird und nicht erst ein paar Stationen später.
Das ist es, was ich auch nachweisen wollte,
 
Zuletzt bearbeitet:

chris_86

Beiträge
240
Punkte Reaktionen
35
Okay, heute Morgen habe ich angerufen, damit die die neue VF Station aktiv schalten.
Nachdem alles soweit eingerichtet war, Internet und Telefon da, alle LEDs weiß, habe ich (wohl zu ungeduldig) direkt den Bridge-Modus aktiviert, damit ich wieder arbeiten kann.
Leider ist der Aktivierungsvorgang (dadurch?) wieder auf einen Fehler gelaufen, hängt jetzt fest, und blockiert mein Control-Center ("Wir bearbeiten Ihren Auftrag, In Kürze sehen Sie hier Ihre Produkte...")

ABER... Sie haben sich anscheinend doch dazu entschieden, die Config Files anzupassen!!!

Aktuell sind sowohl Port 445, als auch 135-139 ausgehend bei mir offen! 🥳

Code:
Outgoing port tester
This server listens on all TCP ports, allowing you to test any outbound TCP port.
You have reached this page on port 445 (from http host header).
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Können noch andere Leute hier bestätigen, dass die diskutierten Ports ausgehend bei euch ebenfalls wieder frei sind?

Ich habe übrigens noch ein wenig getestet bezüglich des "Unprovisioniertes Modem kriegt Internet" Phänomens:
- Meine "ausgemusterte" ConnectBox (die ich zurückschicken soll) kriegt zwar eine IP, aber keinen Internet-Zugriff.
- Mein ganz altes Technicolor TC7200 (das UM nie zurück haben wollte), kriegt ebenfalls kein Internet.

Ich frage mich, warum die (noch) unprovisionierte VF Station dies hatte.
Denkt ihr, ein unprovisioniertes Nicht-UM-Modem würde jetzt einen Internet-Zugang mit 1 MBit/s erhalten?
 

Joerg123

Beiträge
1.888
Punkte Reaktionen
178
Ort
NRW
nein, wüde ich nicht denken.
Ich bin erst Anfang Februar auf meine eigene Fritzbox gewechselt was nicht ganz störungsfrei lief, unter anderem musste ich den Wechsel erst über einen Link bestätigen, den es via Email gab. Zum Verhalten der Fritzbx bin ich mir schon noch sehr sicher: laut Status Internet verbunden mit eben 1MBit/s, aber kein Internet, keinerlei Datentraffic + ich musste einen mobilen Hotspot am Handy einrichten, um diese Email zu erhalten, über die 1MBit/s Verbindung der nicht provisionierten Fritzbox war das nicht möglich.
 

millen

Beiträge
594
Punkte Reaktionen
145
Bei mir siehts an meinem Anschluss und CrowdTest Anschluss folgendermaßen aus.

FritzBox 6660 (Eigene / DS):
-rw-r--r-- 1 root root 1036 May 17 20:53 cust-own_1000000_50000_ds_sip_wifi-on.bin
-rw-r--r-- 1 root root 1036 May 17 20:53 docsis_config.bin
135, 137, 138, 139, 445 = Nicht erreichbar
3127, 9898, 4444 = Erreichbar


CrowdTest VF Station WiFi 6 (DS-Lite):
135, 137, 138, 139, 445, 3127, 9898, 4444 = Erreichbar


EDIT:
Nach Deaktivierung des NetBIOS-Filters in meiner FritzBox 6660, funktionieren nun auch hier alle Ports.
Kurzes Update hierzu, seit heute Nacht bin ich auch im "Besitz" der neuen Config-File / Provisionierung.

Es sind weiterhin alle Ports erreichbar.
Demnach würd ich das pauschal nicht unbedingt auf das Config File schieben wollen, außer natürlich es hat sich nochmal was der Config-File geändert.

Ergänzung: Auch meine VodafoneStation aus dem OFT kann weiterhin alle Ports erreichen.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Ich warte noch auf die Bestätigung, aber nach meiner Erkenntnis (Beobachtung) hat VFW die Portsperren für alle ab jetzt neu provisionierten Geräte wieder entfernt.

Inzwischen habe ich wohl die Hotline-Hölle überwunden, und durfte mit einem äußerst kompetenten Projektleiter sprechen, der das Thema jetzt mit IP-Core und dem Provisionierungsmanagement bespricht.
 
Zuletzt bearbeitet:

lupus

Beiträge
621
Punkte Reaktionen
138
Bei mir bisher noch nicht entfernt, habe allerdings noch nicht neugestartet. Muss ich mal die Tage machen wenn ich Zeit finde.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Hatte heute einen sehr netten und konstruktiven Austausch mit einer höheren Ebene bei Vodafone West.
Der Mann hat mit dem Engineer aus dem Provisioning gesprochen, der die Config-Files baut - und mir bestätigt:
Keine Portsperren im CMTS. Die Ports 135-139, 445 und 1900 würden per Config-File in BEIDE Richtungen gesperrt.
Allerdings "nur per IPv4" (das wussten wir ja schon), und "nur bei Dual Stack und IPv4 Provisionierungen" (ich habe es zwar auch bei DSLite beobachtet - aber da könnte es auch im AFTR gefiltert worden sein).
Dies ist wohl seit der Umstellung des Provisioning-Systems so, und wurde wohl von Vodafone KDG so übernommen.

Dass es zwischenzeitlich (scheinbar) möglicherweise wieder geöffnet wurde, war entweder ein Fehler, oder ihm nicht bekannt.
Sie holen jetzt einen Security-Experten dazu, und überprüfen die Sinnhaftigkeit / Notwendigkeit dieser Maßnahmen.
 

why_

Beiträge
1.335
Punkte Reaktionen
316
Dass es zwischenzeitlich (scheinbar) möglicherweise wieder geöffnet wurde, war entweder ein Fehler, oder ihm nicht bekannt.
Sie holen jetzt einen Security-Experten dazu, und überprüfen die Sinnhaftigkeit / Notwendigkeit dieser Maßnahmen.
Das hört sich doch gut an. Hoffentlich versteht der auch was von seinem Handwerk, dann sollten die Sperren ja rausfliegen.
Wie lange hast du eigentlich gebraucht bis du mit dieser Stelle kommunizieren konntest?
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Das hört sich doch gut an. Hoffentlich versteht der auch was von seinem Handwerk, dann sollten die Sperren ja rausfliegen.
Ich bin zuversichtlich, dass das Thema nun die richtige Person erreicht hat.
Sie *könnten* die Sperren wohl rausnehmen (bzw. haben es schon getan). Allerdings ist dies vermutlich eine politische / rechtliche / unternehmerische Entscheidung. Die natürlich auch von der Einschätzung des Security-Experten, bzw. der Rechtsabteilung (meine Beschwerde bei der BNetzA wird ja noch bearbeitet), abhängt.
Womöglich bauen sie sie auch wieder rein!?

Wie lange hast du eigentlich gebraucht bis du mit dieser Stelle kommunizieren konntest?
1,5 Monate. 3 Routertausche, und viiieeel Glück...
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Das ist noch nicht vom Tisch!
Wie gesagt, kann sein, dass sie sich entscheiden, dass sie das aus "Sicherheitsgründen" einfach so haben wollen
 

Jung-Fernmelder

Beiträge
141
Punkte Reaktionen
24
Ort
Baden
Da stellt sich nur die Frage, inwieweit solche Filter die Sicherheit der Firma Vodafone verbessern würden, denn für die eigene Sicherheit ist jede Endkundin beziehungsweise jeder Endkunde selbst verantwortlich. Wer solche Filter als Bestandteil seines Sicherheitskonzeptes implementieren möchte, kann dies doch in seiner Firewall tun, ohne dass dazu der Internet Service Provider zu involvieren wäre.
 

chris_86

Beiträge
240
Punkte Reaktionen
35
Da bin ich bei dir.
Sowas muss in der Firewall des Endgerätes gemacht werden - und abschaltbar sein.
Gerne als Standardeinstellung für den DAU-Nutzer auch in der Firewall des vom Provider gestellten Routers. Aber eben abschaltbar.
 
Thema:

Neue Provisionierung führt Portfilter ein

Oben