- Anzeige -

Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
16
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
19%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
9
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
39
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
4%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt : 85

Re: Portsperren bei UM

Beitragvon ecosys » 27.02.2009, 01:49

Moses hat geschrieben:Vernünftige VPN Verbindungen lassen sich übrigens ohne weiteres mit dem UM Anschluss aufbauen und darauf sind dann auch die Ports natürlich wieder zu nutzen, womit dann ein Office-Backup oder die Verbindung zum Exchange Server möglich ist. Klar, geht der MS eingebaute VPN Tunnel auch nicht... aber das ist auch gut, denn der ist ja absolut nicht vernünftig gesichert. ;)


Hallo

Ich will mich mal als Leichenschänder betätigen :zwinker:

Was sind vernünftige VPN Verbindungen?
Ich versuche schon seit drei Wochen eine VPN Verbindung von meinem Anschluß zur Firma herzustellen.
Das klappt leider nur bedingt. Der Tunnel selbst ist OK nur geht kein Ping darüber oder irgendwelche anderen Sachen.
Das der Tunnel funktioniert bedeutet ja schon einmal, daß Port 500 von UM nicht gesperrt wird.
Wie siehts mit Port 50(UDP) aus? Der ist nach Aussage von Netgear und TheGreenBow nötig um nach erfolgreichem Tunnel auch etwas machen zu können.

Und NEIN, es liegt nicht an einer Firewall oder ähnlichem.
Gehe ich zu Nachbarn und probiere es aus (1&1 / Telekom) dann funktioniert alles so wie es soll.

Ich habe auch bei UM angerufen um Probleme mit Double-NAT auszuschließen. Aber da hies es, dass das Modem "Bridged" ist und auch keine Ports gesperrt sind. Jetzt finde ich den Thread hier und frage mich mal: Wer oder was sitzt da in der Hotline?

Wie geht also eine "vernünftige" VPN Verbindung über Unitymedia?

Gruß
Frank
ecosys
Kabelneuling
 
Beiträge: 3
Registriert: 27.02.2009, 01:31

Re: Portsperren bei UM

Beitragvon piotr » 27.02.2009, 19:55

Lies bitte Deine VPN-Infos nochmal.;)

Gemeint ist nicht der UDP-Port 50, sondern das IP-Protokoll Nr. 50 (ESP - Encapsulated Security Payload) - ein Teil vom IPsec.

Dann suche mal in Deinem VPN die Einstellung NAT-Traversal (NAT-T) und aktiviere diese sowohl auf Server- als auch auf Clientseite. NAT-T wurde von den IPsec-Entwicklern nachtraeglich "eingebaut", um die Probleme mit ESP zu verringern.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitragvon FieserKiller » 27.02.2009, 21:31

Also hier klappt OpenVPN (@ecosys: das ist ein vernünftiges VPN) zuverlässig und der komische cisco vpn auch..
Benutzeravatar
FieserKiller
erfahrener Kabelkunde
 
Beiträge: 76
Registriert: 26.02.2009, 22:26
Wohnort: Duisburg

Re: Portsperren bei UM

Beitragvon ecosys » 28.02.2009, 01:33

Hi

Ok, ich muss mich noch etwas verbessern.
VPN im "Agressive Mode" funktioniert bei mir am UM Anschluß nicht. Bei Telekom oder 1&1 kein Problem.

Kontrollieren brauche ich eigentlich nicht mehr, denke ich.
Der Support von Netgear sowie TheGreenBow sind seit ca. 3 Wochen dran zu verstehen wo das Problem liegt.
Und nicht nur nach dem Schema "Du Kunde mach mal und gib bescheid", nein, die waren selbst Remote auf dem VPN Router und meinem Rechner.

Da, wie bereits geschrieben, der Tunnel bei Telekom sowie 1&1 funktioniert bleibt halt nur der Schluß übrig, dass irgendetwas am Anschluß seitens UM nicht korrekt läuft.

Gruß
ecosys
Kabelneuling
 
Beiträge: 3
Registriert: 27.02.2009, 01:31

Re: Portsperren bei UM

Beitragvon maikel_night » 02.03.2009, 13:17

herrsimon hat geschrieben:Ich halte diese Praxis für sehr fragwürdig, ein ISP sollte sich eigentlich nicht darum scheren, was auf den Rechnern der Kunden vorgeht. Allerdings ergibt sich seitens Unitymedia natürlich auch das Problem des durch die Würmer etc. verursachten Traffics, der je nach Wurm teilweise mit erheblichen Überlastungen (und damit Beeinträchtigungen aller Nutzer) einhergeht. Bei uns im Netzwerk werden verseuchte Rechner ohne Vorwarnung gesperrt und erst nach Beseitigung des entsprechenden Schadprogramms wieder entsperrt, so eine Praxis wäre natürlich für Unitymedia undenkbar. Alternativ könnte man auch durch Einsatz entsprechender (teurer) Gateways den Traffic auf Applikationsebene filtern, was sich aber meines Wissens kein ISP leisten kann. Unitymedia greift deshalb zur Holzhammer-Methode: Bestimmte Ports werden erst gar nicht geöffnet, also können sich dort auch keine Würmer verbreiten. Falls sich mein Verdacht mit dem internen Routing bewahrheiten sollte geht Unitymedia sogar noch einen Schritt weiter und spielt (Unitymedia-Netz interne) Firewall für den Kunden.
Die meisten gängigen Viren- und Trojanerprobleme des Durchschnittsusers lassen sich damit beheben, der verstümmelte Anschluß kann aber leider nicht mehr für Nicht-Standard-Dinge (Offsite-Backups, VPN etc.) benutzt werden.
Alles in allem finde ich dieses Verhalten nicht in Ordnung.

Simon


Ich schliesse mich dem an....Nebenbei, es gibt Provider die Filterungen, bzw. malicious Traffic analysieren, siehe: http://www.modelco.de/mblog/?p=28 und 1 $ 1 stand vor einigen Tagen ganz groß in der Presse mit seinen neuen Methoden gegen Botnetze vorzugehen, siehe: http://www.heise.de/security/1-1-will-gegen-Bot-Netze-vorgehen--/news/meldung/132261
Hier ist mal wieder die Frage nach der Herrschaft und dem Zwang durch einen Provider offensichtlich und vor allem die Macht die ein solcher hat, damit winkt nämlich auch mal wieder die Zensurkeule....prinzipiell ist der Ansatz ja ganz nett, aber die Umsetzung schlecht, denn man nimmt dem User die Eigenverantwortung..Und traffic??? Naja, solange Terrabytes am Tag durch die Leitungen gehen via Perr to Peer sollte das wohl nicht so das Problem sein..!? Ich fühle mich bei Portsperren und Provider Firewalls sowie Content der für mich gefiltert wird in meiner Freiheit auf selbstbestimmung beschnitten und das suckt gewaltig!
maikel_night
Kabelneuling
 
Beiträge: 8
Registriert: 26.02.2009, 23:16

Re: Portsperren bei UM

Beitragvon piotr » 02.03.2009, 19:15

ecosys hat geschrieben:Der Support von Netgear sowie TheGreenBow sind seit ca. 3 Wochen dran zu verstehen wo das Problem liegt.

Gib Deinem "Support" mal das Stichwort NAT-Traversal, dass bereits oefter gefallen ist.

NAT-T sollte mittlerweile von allen gaengigen auf IPsec basierenden VPN-Loesungen beherrscht werden.

Denn Dein Problem ist das bei VPN ueber IPsec benoetigte ESP-Protokoll, dass gerne komplett unveraenderte IP-Header haben moechte.
Nur macht das UM vermutlich wegen den Sprachpaketen auf derselben Leitung nicht und schiebt die Datenpakete mit anderen DSCP-Werten (ehem. "TOS"-Feld im IP-Header) durchs Netz.
Bei Telekom wird zum groessten Teil jeweils ein separates Netz fuer Sprache und DSL genutzt und damit funktioniert es dann dort.
Genauso koennte die Erweiterung ECN (Explizit congestion notification - Ueberlastbenachrichtigung von Routern) schuld sein, die auch IP-Header aendern kann (wieder das ehem. TOS-Feld).

Mit NAT-Traversal wird das eigenstaendige ESP-Protokoll in ein UDP-Paket eingepackt und dann ueber Port 4500 versendet, damit ist das dann egal ob der IP-Header geaendert wird oder nicht.

Aggressive oder Main Mode hat auf das ESP-Problem keine Auswirkung, nur auf den Anschluss selbst. Bei Main Mode brauchst Du zwingend eine statische IP, bei Aggressive Mode kann auch ein Dyn.DNS-Name genutzt werden.;)
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitragvon ecosys » 02.03.2009, 22:24

piotr hat geschrieben:Gib Deinem "Support" mal das Stichwort NAT-Traversal, dass bereits oefter gefallen ist.
Mit NAT-Traversal wird das eigenstaendige ESP-Protokoll in ein UDP-Paket eingepackt und dann ueber Port 4500 versendet, damit ist das dann egal ob der IP-Header geaendert wird oder nicht.

Das brauche ich wohl nicht, da hier die erste Vermutung des Supports lag.
2009-03-02 : INFO: For 62.143.XXX.XXX[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2009-03-02 : INFO: Floating ports for NAT-T with peer 62.143.XXX.XXX[4500]
2009-03-02 : INFO: NAT-D payload does not match for 87.XXX.XXX.XXX[4500]
2009-03-02 : INFO: NAT-D payload does not match for 62.143.XXX.XXX[4500]
2009-03-02 : INFO: NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device

NAT-T Erkennung und Ausführung funktioniert wunderbar.

piotr hat geschrieben:Genauso koennte die Erweiterung ECN (Explizit congestion notification - Ueberlastbenachrichtigung von Routern) schuld sein, die auch IP-Header aendern kann (wieder das ehem. TOS-Feld).

Zumindest macht das kein Router im Heim- bzw. Firmennetz.

piotr hat geschrieben:Aggressive oder Main Mode hat auf das ESP-Problem keine Auswirkung, nur auf den Anschluss selbst. Bei Main Mode brauchst Du zwingend eine statische IP, bei Aggressive Mode kann auch ein Dyn.DNS-Name genutzt werden.;)

Ich kam nur darauf, da die Testverbindug von TheGreenBow nicht auf Aggressive gestellt ist und die Verbindung per dyndns funktioniert.
Mit eingestelltem Aggressive Mode funktioniert halt nur der Tunnel und dann ist Sense.

Ich kann mir echt nichts anderes mehr vorstellen als ein Problem aufgrund des UM Anschlusses.
Es ist doch wirklich seltsam, dass es hier nicht funktioniert aber wenn ich mit meinem Lappi zum Nachbarn renne der nunmal 1&1 hat, funktioniert es mit der exakt gleichen Config...

Gruß
ecosys
Kabelneuling
 
Beiträge: 3
Registriert: 27.02.2009, 01:31

Re: Portsperren bei UM

Beitragvon piotr » 03.03.2009, 00:07

Die Logs koennten darauf hindeuten: nat-d payload does not match...
Neben ESP koennte zusaetzlich AH an sein. AH (Authentication Header) besteht aber wie ESP auf unveraenderte IP-Packete, kann aber im Gegensatz zu ESP nicht per NAT-T in ein UDP-Packet eingepackt werden.
Das Aktivieren von AH siehst Du oft nur, wenn Du Deinen Traffic z.B. bei Windows mit Wireshark (auf anderen Betriebssystemen: snoop/tcpdump) mitschneidest.

Eine andere Ursache koennte eine unterschiedliche IKE-Version sein, denn in IKEv1 war bei der ESP nur die DES-Verschluesselung erlaubt (56bit). In IKEv2 ist es bei der ESP 3DES (168bit) oder optional AES (128-256bit).

Die Meldung: NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device.
sagt, dass Dein VPN auf beiden Seiten jeweils hinter einem NAT-Router ist.
Wenn die Moeglichkeit besteht vielleicht mal den VPN-Client direkt am Modem bzw. den VPN-Server direkt an dessen Internetzugang testen, um NAT-Probleme auszuschliessen.

Die Meldung: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
sagt, dass Du eine Entwurfsversion vom IKEv2 verwendest.
Vielleicht mal nach einem Update der VPN-Software/-Firmware schauen, denn IKEv2 ist seit Dez 2005 offiziell standardisiert (RFC4305). Im IKEv2 gibt es keinen Main und Aggressive Mode mehr, vielleicht ist die GUI wegen der Draft noch nicht aktualisiert worden.
Vielleicht wird das draft IKEv2 automatisch aktiviert, wenn Du die NAT-T Option einschaltest.;)

Wenn Dein Laptop Windows XP hat, dann schau auch mal in der MS KB nach:
http://support.microsoft.com/?scid=kb%3 ... 3&x=15&y=4
http://support.microsoft.com/?scid=kb%3 ... 7&x=13&y=9



Eine Alternative zu Deinem auf IPsec basierendem VPN waere das bereits erwaehnte OpenVPN, denn das laeuft wirklich ueberall. Weil es nicht das IPsec mit all seinen Stolperfallen enthaelt.
piotr
Glasfaserstrecke
 
Beiträge: 2209
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitragvon Frostfall » 03.03.2009, 15:50

:kafffee: Ich habe mir alles durchgelesen...... worum geht es? :kafffee: Ach vergesst es ich :mussweg: aus den Beitrag
Bild
Benutzeravatar
Frostfall
erfahrener Kabelkunde
 
Beiträge: 61
Registriert: 11.02.2009, 14:11

Re: Portsperren bei UM

Beitragvon addicted » 26.03.2010, 00:47

Jolander hat geschrieben:Es ist wohl so, dass UM einige Ports aus Sicherheitsgründen gesperrt hat. Über diese Ports verbreiten sich z.B. Würmer und mit diesen Sperren können fremde User auch nicht mehr auf (irrtümlich) freigegebene Ordner zugreifen.

Es handelt sich um die Ports:
135, 137, 139, 445, 3127, 9898, 4444


Test gerade eben: Port 4444 ist in allen Kombinationen offen, UM IP in 109.90.0.0/15 (lokales Subnetz ist 109.91.24.0/22).
Die anderen Ports sind aber dicht.


Nebenbei: Meine Meinung ist, dass auf Netzebene nicht gefiltert werden sollte. Da man dem Kunden aber Hardware liefert, kann man diese so einstellen, dass sie die Netzwerkfreigabe mit den Urlaubsfotos des Kunden nicht ins WAN exportiert.
addicted
Glasfaserstrecke
 
Beiträge: 1984
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Yahoo [Bot] und 32 Gäste