- Anzeige -

Der Netzwerk-Intensivtest

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Der Netzwerk-Intensivtest

Beitragvon addicted » 26.06.2011, 15:27

piotr hat geschrieben:Die Idee ist gut, die Umsetzung aber sehr schlecht.

Ich mag Java jetzt auch nicht besonders, aber viel mehr Möglichkeiten gibts auch nicht.
Was genau stört Dich sonst?


piotr hat geschrieben:Sicher kann UM auch DNSSEC.

Das würde ich nicht sagen - Blos weil ich zugehörige RRs ausliefere, verstehe ich nicht unbedingt den Inhalt:
Code: Alles auswählen
dig @80.69.100.206 www.dnssec-failed.org a

Dazu: http://www.dnssec-failed.org Zitat: "If your computer is using a DNS recursive resolver that has implemented DNSSEC validation, then you should NOT have arrived at this web page."
Aber das ist Dir ja auch bewusst, wir streiten also nur um die Formulierung "UM kann DNSSEC" :)

piotr hat geschrieben:Alles was DNSSEC aktiviert hat aber deren DNSSEC-Antworten ungültig sind wird mit "Nicht existent" (NXDOMAIN) zurueckgegeben.

SERVFAIL. Und wenn man +cd setzt, kriegt man die Antwort trotzdem.

piotr hat geschrieben:Das macht es hier Sinn wie UM erstmal vorsichtiger zu reagieren oder wuerdest Du gerne gar keine DNS-Aufloesung der betreffenden DNS-Eintraege haben nur weil der (nicht im UM Einfluss liegende) DNS-Admin der betreffenden Domain Fehler im DNSSEC eingebaut hat oder die notwendigen DNSSEC-Keys abgelaufen sind?

Da stimme ich Dir zu, als Provider wär ich auch vorsichtig. Sinnvoll wäre an der Stelle ein neuer Responsecode gewesen, der dem Benutzer dann mglw. Feedback anbietet.
Allerdings sind fehlerhafte DNS Configs schon vor DNSSEC weitaus geläufiger gewesen als man glaubt... wegen der Redundanz des Systems merken es viele Admins nicht. Ist mir selbst auch schon passiert.
addicted
Glasfaserstrecke
 
Beiträge: 2042
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: Der Netzwerk-Intensivtest

Beitragvon piotr » 26.06.2011, 16:30

addicted hat geschrieben:Das würde ich nicht sagen - Blos weil ich zugehörige RRs ausliefere, verstehe ich nicht unbedingt den Inhalt:
Code: Alles auswählen
dig @80.69.100.206 www.dnssec-failed.org a

Dazu: http://www.dnssec-failed.org Zitat: "If your computer is using a DNS recursive resolver that has implemented DNSSEC validation, then you should NOT have arrived at this web page."
Aber das ist Dir ja auch bewusst, wir streiten also nur um die Formulierung "UM kann DNSSEC" :)

Es steht auch in der Antwort auf Deiner DNSSEC-Abfrage drin.
Dort geht es um DNSSEC Validation.

DNSSEC und DNSSEC Validation sind technisch etwas anders.

DNSSEC liefert die DNS-Antwort und die fuer DNSSEC zusaetzlich genutzten RRs aus, ohne Validierung.
DNSSEC Validation prueft auch noch.

DNSSEC Validation habe ich oben mit auf Gültigkeit prüfend umschrieben.

piotr hat geschrieben:Alles was DNSSEC aktiviert hat aber deren DNSSEC-Antworten ungültig sind wird mit "Nicht existent" (NXDOMAIN) zurueckgegeben.

SERVFAIL. Und wenn man +cd setzt, kriegt man die Antwort trotzdem.

Das stimmt, es ist SERVFAIL. NXDOMAIN ist/war ein Bug in aelteren BIND-Versionen bei bestimmten DNSSEC Ressource Record-Typen.

+cd (Checking Disabled) ist genau das oben Beschriebene was UM derzeit macht: DNSSEC ohne Validierung.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Der Netzwerk-Intensivtest

Beitragvon DeaD_EyE » 26.06.2011, 16:59

piotr hat geschrieben:
Neukundenrabatt hat geschrieben:NetBIOS/SMB wird direkt in der FB 6360 gefiltert. Kann man mit dem FB Editor sehen und ggf. abschalten.


Das ist hier nicht AVM.

Die 6360 hat ein Kabelmodem und UM wird das wie bei den anderen Kabelmodems blocken.
D.h. im LAN gehen Freigaben, im WAN nicht.

NetBIOS wird wahrscheinlich geblockt. SMB nicht.
SourceServer.info -- deutscher Support für SourceServer
Benutzeravatar
DeaD_EyE
Kabelexperte
 
Beiträge: 126
Registriert: 07.06.2011, 19:26

Re: Der Netzwerk-Intensivtest

Beitragvon piotr » 27.06.2011, 00:21

DeaD_EyE hat geschrieben:NetBIOS wird wahrscheinlich geblockt. SMB nicht.

Such mal im Forum nach Portsperren.
UM blockt -auch wenn die Hotline es verneint und es erst immer nach schriftlicher Nachfrage doch eingeraeumt wird- ein paar Ports seit Jahren, u.a. RPC/DCOM (135), NetBIOS (137-139) und SMB (445).
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Der Netzwerk-Intensivtest

Beitragvon piotr » 27.06.2011, 18:13

addicted hat geschrieben:
piotr hat geschrieben:Die Idee ist gut, die Umsetzung aber sehr schlecht.

Ich mag Java jetzt auch nicht besonders, aber viel mehr Möglichkeiten gibts auch nicht.
Was genau stört Dich sonst?

Zum Einen Java.

Zum anderen werden die Messungen nur gegen Server der Berkeley University, USA durchgefuehrt.
D.h. die Buffer- und Uplink-Messungen sind hier eher fuer den Allerwertesten, weil sie nicht die fuer Europa sehr oft genutzten Verbindungen widerspiegeln.

Es sei denn jemand surft immer ausschliesslich auf Seiten, die in den USA gehostet werden. Dann kann man das Tool empfehlen.

Von Europa aus waeren fuer die meisten hier Messungen innerhalb Europas - z.B. gegen Server die am DECIX in Frankfurt, am AMSIX in Amsterdam oder am LINX in London angeschlossen sind - viel viel interessanter da an den 3 genannten Internet Exchanges die meisten der europaeischen Provider dranhaengen.

Aber so bekommt man Ergebnisse, deren Messung zwar durchaus richtig ist, aber viele der Gamer verzweifeln laesst ("mein ping ist zu hoch" etc pp.).
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Der Netzwerk-Intensivtest

Beitragvon DeaD_EyE » 27.06.2011, 19:07

Wieso komme ich dann auf meine Windows-Freigaben meines VServers?
Code: Alles auswählen
netstat -an
#####
TCP    192.168.0.194:56978    46.4.130.234:445       HERGESTELLT
######



Mein Server im LAN:
Code: Alles auswählen
root@kiste:~# nmap -p 135-445 46.4.130.234

Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-27 18:10 CEST
Interesting ports on static.234.130.4.46.clients.your-server.de (46.4.130.234):
Not shown: 309 closed ports
PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 3.47 seconds


Port 135 ist wegen Samba geblockt. Wird sicherlich irgendeine Einstellung sein, hat mich auch nicht sonderlich interessiert, da der Dienst normal nur über meinen Tunnel läuft.

UM filtert nichts, was über die drei Ports geht. Ich komme bei auf die Freigaben meines VServers drauf. Um nochmal sicher zu gehen, habe ich mal die Port 135,139 und 4445 auf meinen Server im LAN weitergeleitet.

Server im LAN:
Code: Alles auswählen
root@kiste:~# nc -lp 135


Server im Internet:
Code: Alles auswählen
echo "Port 135 ist offen" | nc 109.90.176.236 135


Meldung auf dem Server im LAN:
Code: Alles auswählen
Port 135 ist offen


Geht auch mit Port 139 und 445. Ausgehend geht es genau so.

Bevor ihr jetzt alle gleichzeitig versucht auf die Freigaben von meinem Server im LAN oder den VServer zu kommen, ich hab ihn wieder deaktiviert. Die Portfreigaben habe ich auch wieder entfernt.

Da man durch UM eine 24er Netzmaske zugewiesen bekommt, besteht die Gefahr das Windows-Freigaben anderer Teilnehmer aus dem gleichen Netz direkt in der Netzwerkumgebung vorzufinden sind. Broadcasts werden hoffentlich von UM auch gefiltert, was dann dieses Szenario verhindern sollte. Einen ähnlichen Fall gab es mal bei mehreren DSL-Anbietern.

Was passieren kann: http://www.golem.de/0707/53628.html
SourceServer.info -- deutscher Support für SourceServer
Benutzeravatar
DeaD_EyE
Kabelexperte
 
Beiträge: 126
Registriert: 07.06.2011, 19:26

Re: Der Netzwerk-Intensivtest

Beitragvon piotr » 27.06.2011, 19:51

Du redest vom ausgehendem Traffic in Richtung Deines VServers.
Ich rede von eingehendem Traffic zu Deinem UM Anschluss hin.

D.h. falls Du ein Windows 9x oder XP hast, werden vom am UM Anschluss ohne Router direkt am Modem angeschlossenen Windows-PC Deine Freigaben im Internet nicht sichtbar.
Denn diese aelteren Windows-Systeme hatten die Eigenart, Freigaben immer an alle Netzwerk-Adapter zu binden (bei Win9x auch an den DFUe-Adapter) und keine Unterscheidung zu machen was das vom Vertrauens- und damit vom Sicherheitslevel her fuer ein Netzwerk das ist. Letzteres wurde erst ab Vista und neuer realisiert wo man definieren kann was alles in diesem oder jenem Netzwerk moeglich ist.

Kann natuerlich sein, dass UM das mittlerweile nicht mehr macht.

Von UM bekommst Du nicht automatisch eine IP, die immer die Netzmaske /24 hat.
Es gab auch schon Faelle, die von /23 und /22 berichteten.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Der Netzwerk-Intensivtest

Beitragvon DeaD_EyE » 27.06.2011, 20:55

DeaD_EyE hat geschrieben:Geht auch mit Port 139 und 445. Ausgehend geht es genau so.


Ich zitiere mich selbst eigentlich nur ungern.

Vielleicht ist dir der Satz entgangen. Ich hatte den Test natürlich in beide Richtungen gemacht.

Letzteres wurde erst ab Vista und neuer realisiert wo man definieren kann was alles in diesem oder jenem Netzwerk moeglich ist.


Du meinst die Topologieerkennung.

Auf den Broadcast werde ich jetzt nicht mehr eingehen.
SourceServer.info -- deutscher Support für SourceServer
Benutzeravatar
DeaD_EyE
Kabelexperte
 
Beiträge: 126
Registriert: 07.06.2011, 19:26

Re: Der Netzwerk-Intensivtest

Beitragvon addicted » 28.06.2011, 14:22

Ich habe selbst auch gemerkt, dass in der Vergangenheit Portsperren wieder entfernt wurden. Ich begrüße das ausdrücklich. Man hat ja jetzt das Sicherheitspaket :)
addicted
Glasfaserstrecke
 
Beiträge: 2042
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Vorherige

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 60 Gäste