- Anzeige -

Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
16
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
19%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
9
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
39
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
4%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt : 85

Re: Portsperren bei UM

Beitragvon Andreas1969 » 30.08.2016, 18:53

Komisch finde ich allerdings, dass ich mit einem Smartphone von der 6360 ausgehend eine VPN Verbindung zur 6490 aufbauen kann und die läuft auch über Stunden stabil.
Aber das ist ja dann auch eine Client - Server Verbindung.
Und wenn ich 2 Boxen per VPN verbinde ist das im Prinzip ja eine Server - Server Verbindung, oder nicht?
Wie kann es sein, daß die eine Variante läuft und die Andere nicht?

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1829
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon SpaceRat » 30.08.2016, 18:54

Andreas1969 hat geschrieben:ich habe Deinen Vorschlag mal probiert, leider ohne Erfolg.

Schade.

Andreas1969 hat geschrieben:Ich weiß jetzt nicht mehr weiter.

Wie gesagt, mir ist noch nie ein AVM-VPN zwischen zwei Boxen gelungen von denen eine DS-lite hat, aber mit den Infos aus dem ip-phone-forum war's einen Versuch wert.
Mir fällt auch nur noch ein, daß Du evtl. Port-Weiterleitungen für einen der beteiligten Ports (500 und 4500, jeweils UDP) in einer/beiden Fritz!Boxen eingerichtet haben könntest, die verhindern, daß die Fritz!Box bzw. ihr VPN den Traffic überhaupt empfängt. Halte ich jetzt aber für wenig wahrscheinlich ...

Das ändert aber nichts daran, daß es zwischen Deinem IPv4-Anschluß und dem Telekom-Anschluß tun muß.


Andreas1969 hat geschrieben:Ich bin mittlerweile auch überzeugt, daß Unitymedia hier in meinem Anschlussbereich den Aufbau eines VPN Tunnels unterbindet, da die Anschlussdichte hier extrem hoch ist und die Angst haben, dass deren Netz zusammenbricht, wenn das mehrere User machen.

Kann ich mir nicht vorstellen, daß wäre schon ein erheblicher Eingriff.


Andreas1969 hat geschrieben:Wie kann man das eventuell testen, ob das vom Gateway Unitymediaseitig irgendwie geblockt wird?

Man kann bei den Kabel-Fritten nicht wirklich viel machen, selbst wenn man sie für teuer Geld selbst gekauft hätte und es somit keine UM-Leihgeräte wären.

Deshalb rate ich ja auch so vehement vom Kauf einer 6490 ab: Wenn eigene Fritz!Box, dann ein 3xxx/5xxx/7xxx-Modell hinter einem reinen Kabel-Modem!
Solange man nicht per telnet/ssh auf seinen eigenen Router kommt (Z.B. zum Auslesen von /var/tmp/ike.log), ist das Ding kein Router sondern ein teures Spielzeug.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon SpaceRat » 30.08.2016, 19:02

Hast Du auf einer der Boxen irgendwelche statischen Routen (Heimnetz -> Netzwerkeinstellungen -> [IPv4-Routen]) eingetragen?

Ich hatte auch gerade den Fall, daß die eine Fritz!Box keinerlei Anstalten gemacht hat, eine Verbindung aufzubauen oder zuzulassen...

In meinem Fall fehlte nur die keepalive_ip und wenn dann auch sonst kein Traffic ins andere Netz geroutet werden soll, bleibt das VPN halt unten.
Wenn nun aber - aus was auch immer für Gründen - bei Dir statische Routen ausgerechnet für die keepalive_ip bzw. ein sie umfassendes Subnetz eingetragen wären, dann würde das erklären, wieso der Ping auf die keepalive_ip keinen VPN-Aufbau auslöst.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 30.08.2016, 19:15

Statische Routen habe ich überhaupt nicht eingetragen.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1829
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon SpaceRat » 30.08.2016, 19:18

Dann empfehle ich Dir einfach mal den Kauf von zwei Raspberry Pi's.
Da dann auf beide OpenVPN drauf und fertig ist der Lack.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 30.08.2016, 19:31

Werde ich wahrscheinlich auch machen.
An der 6490 habe ich eh schon einen am Laufen, als Kick Starter, um Erweiterungen auf einem Sat - Receiver zu starten. Müsste mir dann noch einen 2ten für die 6360 besorgen.
Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1829
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon SpaceRat » 30.08.2016, 19:34

Andreas1969 hat geschrieben:Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.

Du meinst freetzen ...

Ja, das geht in der Tat nicht.
Übrigens nicht nur bei den Leihgeräten, sondern auch bei den gekauften.
Daher halte ich vom Kauf einer 6xxx vor allem eines: Abstand.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 30.08.2016, 21:46

Noch eine Frage:

Können die Fritten eigentlich ipsec over TCP (Port 10000)?
Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.
Oder können das nur die Cisco Router?

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1829
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon SpaceRat » 31.08.2016, 06:46

Andreas1969 hat geschrieben:Können die Fritten eigentlich ipsec over TCP (Port 10000)?

Das glaube ich eher nicht ...

Andreas1969 hat geschrieben:Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.

Prinzipiell muß es ja auch so funktionieren, nur eben mit der Einschränkung, daß die Box hinter DS-lite der Initiator und die Box mit IPv4 der Responder sein muß (Oder man verwendet einfach direkt IPv6, aber das hatten wir ja schon ...).
Leider kenne ich niemanden mit DS-lite und z.B. einem Raspberry Pi persönlich, sonst könnte ich mit dessen Zugang mal rumspielen.

Worauf ich Zugriff habe sind mehrere Glasfaser-Anschlüsse, die sind aber technisch ganz anders realisiert (CGN + 6rd).
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 31.08.2016, 10:19

Problem erkannt, aber noch nicht gebannt!!!

Ich habe mich ja darüber gewundert, daß mir auf der 6490 die IP Adresse des Unitymedia AFTR´s unter der VPN Verbindung angezeigt wurde.
Ich habe da heute Nacht noch mal drüber geschlafen und da ist es mir dann wie Schuppen von den Augen gefallen.

Eigentlich ist das ja auch logisch und muß auch so sein.
Ich hatte das Problem auch immer nur auf der 6360 (DSLite) gesucht, weil das VPN dort nicht grün wurde und hatte nicht erkannt,
daß das Problem eigentlich auf der 6490 (IPV4 only) entsteht, weil dort der VPN Status grün angezeigt wurde.

Ich versuche das jetzt mal relativ einfach zu erklären (ipsec ist ja sehr komplex):

Die 6360 initiiert den Tunnelaufbau zur 6490, dabei passiert dann folgendes:
Die 6360 haut die Anfrage per IPV4 getunnelt durch das IPV6 an das AFTR raus und öffnet die UDP Ports 500 und 4500. Das AFTR hat eine öffentliche IPV4 (irgendwas mit 37.xxx.yyy.zzz).
Die öffentliche IP des AFTR teilen sich aber viele Kunden.
Die beiden UDP Ports sind aber nicht für mich reserviert, sondern schon belegt (UDP 500 z.B durch Kunde X und UDP 4500 z.B durch Kunde Y).
Also biegt das AFTR die UDP Ports 500 und 4500 auf irgendwelche freien Ports um (z.B. 4711 und 4300) und öffnet diese.
Der Tunnel wird jetzt also nach außen hin über die 37.xxx.yyy.zzz mit den UDP Ports 4711 und 4300 zur 6490 initiiert, die 6490 erkennt die Anfrage von der 6360 und zeigt auch unter VPN die 37.xxx.yyy.zzz an.
Der VPN Status auf der 6490 wird dann grün.
Jetzt genau passiert der Fehler:
Die 6490 bestätigt den Tunnelaufbau an die 6360 über die 37.xxx.yyy.zzz mit den fix eingestellten UDP Ports 500 und 4500. Die laufen aber ins Leere, bzw. werden vom AFTR gedropped, da das AFTR
eine Antwort auf den geöffneten Ports 4711 und 4300 erwartet, um sie dann wider in Richtung 6360 auf die Ports 500 und 4500 zurückzubiegen, dann würde auch der VPN Status auf der 6360 grün und der Tunnel läuft.

Um das Problem zu lösen, müsste die 6490 jetzt flexibel reagieren.
Sie darf nicht starr den Tunnel auf den UDP Ports 500 und 4500 öffnen, sondern die beiden Ports verwenden, über die die Anfrage der 6360 reinkommt.

Jetzt meine 2 Fragen:
1. Erkennt die 6490 die beiden UDP Ports, über welche die Anfrage von der 6360 initiiert wird?
2. Wie muss ich die config auf der 6490 verändern, sodaß der Tunnel über die zuvor erkannten UDP Ports aufgebaut wird ?

Auf der 6360 braucht man definitiv nichts verändern, weil von dort ja die Kommunikation bis zum AFTR hin über die Standard Ports 500 und 4500 läuft.

Für Anregungen und Vorschläge wäre ich jetzt dankbar, also frisch ans Werk !!!
Es werden Euch sicherlich viele Leute dankbar sein, wenn es eine Lösung für dieses Problem gibt.

Ich bin auch enttäuscht von AVM, die hätten das doch wissen müssen.

Was läuft eigentlich bei einer VPN Verbindung vom Mobiltelefon (Client – Server) anders,
da wird der VPN Tunnel von der 6360 zur 6490 nämlich aufgebaut. Arbeitet diese Verbindung ohne UDP-Ports, oder wo ist da der Unterschied ?


Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1829
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: MSNbot Media und 64 Gäste