- Anzeige -

Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
16
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
19%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
9
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
39
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
4%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt : 85

Re: Portsperren bei UM

Beitragvon Andreas1969 » 03.09.2016, 00:00

Ich versuche das Ganze jetzt einmal so zu erklären, daß es auch jeder versteht und um auch ein bisschen Licht ins Dunkle zu bringen.

Ich wollte mich nicht einfach damit zufriedengeben, daß die VPN-Verbindung nicht möglich ist, da ich ja mit meinem Notebook und mit einem Smartphone von der DSLITE Box aus den VPN Tunnel zur IPV4 Box aufbauen kann. Und da wird auch kein anderes Protokoll genommen.
Auf dem Notebook läuft der Fritz Fernzugang mit der erzeugten config Datei aus der Fritz! Fernzugangssoftware, womit auch die configs für die Boxen erzeugt werden und auf dem Smartphone habe ich den NCP VPN Client installiert. Beide Tunnel laufen tadellos.

Dann die berechtigte Frage:
Warum geht es da, und zwischen den beiden Boxen nicht ???

Um das Ganze zu analysieren musste ich mich auch erst einmal in die ganze Materie etwas einlesen.
Bei beiden Boxen wird das MSS Clamping-Verfahren (Maximum Segment Size) eingesetzt.
Dadurch wird der maximal mögliche MTU Wert automatisch ermittelt.
Dieser ist bei beiden Boxen 1500, IPV4 sowie DSLITE.

Jetzt kommt das wichtige:
Bei der IPV4 Box steht der MTU Wert 1500 komplett für IPV4 zur Verfügung, da ja IPV4 nicht getunnelt wird.
Bei der DSLite Box sieht es nun folgendermaßen aus:
IPv6: mtu 1500
IPv4: ds-lite only 2a02:908::b:4001 (de-pad09a-cr01.aftr.umkbw.net)
IPv4: ip 192.0.0.2 mask 0.0.0.0 gw 192.0.0.1 dhcp mtu 1460
Wie man hier sehen kann, ermittelt die Box die max. MTU von 1500, welche aber für IPV6 gilt.
Allerdings steht für IPV4 nur eine maximale MTU von 1460 zur Verfügung, das bekommt die Box
auch vom AFTR mitgeteilt, wie man in folgendem Log sehen kann:

21.08.16 16:26:46 Internetverbindung wurde erfolgreich hergestellt.
IPv4 wird über DS-Lite genutzt.
AFTR-Gateway: (de-pad09a-cr01.aftr.umkbw.net), IPv4-MTU: (1460)

Also weiß die DSLite Box, das für eine IPV4 Verbindung eine maximale MTU von 1460 möglich ist,
da sie ja auch für die lokalen IPV4 Clients eine MTU von 1460 zur Verfügung stellt.

Nun passiert beim Tunnelaufbau der beiden Boxen folgendes:
Beim aushandeln der maximal möglichen MTU meldet die IPV4 Box 1500, was ja auch richtig ist.
Allerdings greift die DSLite Box bei der übermittlung der max. möglichen MTU auf die per MSS Clamping-Verfahren ermittelten MTU zurück (1500 für IPV6) und nicht auf die vom AFTR-Gateway gemeldete MTU von 1460, welche auch für das lokale IPV4 Netz der DSLite Box gilt.
Genau das ist der Bug !!!

Die beiden Boxen einigen sich also beim Aufbau des Tunnels auf eine MTU von 1500.
Das kann man hier schön sehen:
XXXXXXXXXXXX.myfritz.net: pmtu 0 mtu 1500 dpd_supported dont_filter_netbios remote_nat

Richtig wäre aber eine MTU von 1460, da ja per IPV4 auf der DSLite Seite nicht mehr zur Verfügung steht.
Zur Erinnerung: IPV6 Protokoll = 40 Byte 1500-40=1460 Byte.

Durch diesen Umstand kommt es jetzt natürlich zur Fragmentierung der Pakete, welches eigentlich jeden Tunnel zerschießt.
Das kann man in folgendem Log sehr schön sehen:
2016-08-24 15:30:48 avmike:XXXXXXXXXXXX.myfritz.net
fehlerhafte Paketlaenge: Hdr-length > read-Data

Jetzt wird eigentlich auch der Rest logisch:

Vom Notebook und Smartphone klappt der Tunnel, da die Netzwerkadapter der Geräte von der DSLIte
Box für das lokale IPV4 Netz eine max. MTU von 1460 mitgeteilt bekommen.
Somit wird beim Tunnelaufbau eine max. MTU von 1460 ausgehandelt und die Paketdaten werden nicht mehr fragmentiert. Der Tunnel läuft sauber.

Wenn man nat_t deaktiviert, wird der Tunnel zwar aufgebaut, aber es fließen keine Daten.
Das ist auch logisch, da hier ESP als Protokoll portlos läuft und nicht in UDP gekapselt ist.
Dert Tunnel wird zwar aufgebaut, da beim Aushandeln der Verbindung keine großen Datenmengen fließen, aber die Nutzdaten werden verworfen, da sie fragmentiert sind.

Wenn nat_t aktiviert ist, bricht der Tunnel sofort wieder zusammen.
Das ist auch logisch, da hier ESP in UDT gekapselt ist und die Nutzdaten in den Tunnelaufbau mit reinfliessen.

Es gibt ja auch diverse Meldungen im Netz, daß der Tunnel zwar aufgebaut wird, aber keine Daten fließen.
Das ist genau der Fall, wenn auf mind. Einer Seite nat_t deaktiviert ist.

Dann gibt es Meldungen von Usern, die mit DSLite garkeine Probleme haben.
Das ist genau so richtig, die haben nämlich auf der IPV4 Seite, das scheint wohl Anbieterabhängig zu sein,
eine max. MTU, die kleiner ist, als die max. MTU, welche vom AFTR gemeldet wird. In diesem Fall also 1460 oder kleiner. Da läuft der Tunnel dann.

Was mich jetzt wirklich an dieser Geschichte wundert, ist, daß bisher niemand so richtig das VPN Problem mit DSLite Angegangen ist, da es ja schon länger besteht.
Alle Berichte hierzu, die man findet, enden irgendwann und es gibt keine Statusmeldung, ob das Problem gelöst wurde.
Alle diese Nutzer müssen wohl irgendwann resigniert haben.

Ich hoffe auch, daß das jetzt einigermaßen verständlich war.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1797
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon F-orced-customer » 03.09.2016, 00:17

IPSEC ist einfach Schrott, hochkompliziert und fehleranfällig. Es gibt besseres VPN.
F-orced-customer
Übergeordneter Verstärkerpunkt
 
Beiträge: 531
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitragvon Andreas1969 » 03.09.2016, 01:24

Das es kompliziert ist, will ich wohl nicht abstreiten.
Sicher ist es jedenfalls (extrem sicher).
In diesem Fall handelt es sich ja lediglich um ein Defizit auf der Box, sonst würde das ja einwandfrei laufen.

Also abwarten, die Mail an AVM ist raus.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1797
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon SpaceRat » 03.09.2016, 12:10

Dann sollte ein Raspberry Pi o.ä. hinter der DS-lite-Box aber wohl mit strongSWAN eine Verbindung hinkriegen ...

... ich sag ja immer wieder, gerade bei DS-lite ist die 6490 suboptimal, da sie nicht gefreetzt werden kann. Ansonsten bräuchte man nämlich nicht einmal den Pi ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 03.09.2016, 12:52

Mit einem Raspberry PI würde es definitiv gehen, da er in der Lage ist, die Fragmente zwischenzupuffern und wieder zusammenzusetzen.
Optimal ist das aber auch nicht, da da unnötig mehr Bandbreite verbraten wird.
Daher sollte man generell unfragmetiert arbeiten.
Leider beherrschen die Boxen das zwischenpuffern nicht.
Dafür würde auch der Prozessor und der Speicher unnötig belastet, bzw. wäre wahrscheinlich nicht ausreichend.

Wenn der Bug behoben ist und die Aushandlung des Tunnels läuft korrekt, ist doch alles OK und man benötigt keine zusätzliche Hardware.
Da möchte ich jetzt erst mal hin.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1797
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 03.09.2016, 13:05

Jetzt mal ne ganz blöde Frage:
Wir befinden uns ja jetzt in Zeiten der freien Routerwahl.
Wenn ich mir jetzt ein Kabel Modem und eine 7490 besorge, lässt sich dann weiterhin die Telefon Komfort Funktion nutzen, oder schalten die mir das dann nicht frei, da ich ja in deren Augen nur ein Modem habe.
Technisch wäre das ja kein Problem.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1797
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon CaptainPiccard » 03.09.2016, 14:46

Andreas1969 hat geschrieben:Wenn ich mir jetzt ein Kabel Modem ... besorge


Sofern es eins gibt. Schau' einmal hier viewtopic.php?f=53&t=33906 - da habe einige das Hitron aus den USA importiert. Mehr Auswahl gibt es im Moment wohl nicht.
Tarif: 2play 25
Gebiet: Metropolregion Rhein-Neckar (Baden-Württemberg)
Modem: ARRIS TM502B
Router: AVM FRITZ!Box 7490 WLAN AC
Fernseher: Samsung UE40D8090YSXZG
Receiver: XORO 8750 CI+ (zum Aufnehmen des "freien" Angebots)
CaptainPiccard
erfahrener Kabelkunde
 
Beiträge: 81
Registriert: 03.12.2014, 11:09
Wohnort: Weinheim (Bergstr.)

Re: Portsperren bei UM

Beitragvon Andreas1969 » 03.09.2016, 15:28

Das bringt mich auf eine noch ganz andere Idee:
Wenn ich jetzt ein Kabel Modem finden würde, welches
kein IPV6 unterstützt, müsste Unitymedia mir dann
nicht zwangsläufig eine IPV4 verpassen? ??
Wir befinden uns nämlich im Zeitalter der Routerfreiheit!!!

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1797
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon CaptainPiccard » 03.09.2016, 15:51

Andreas1969 hat geschrieben:Wenn ich jetzt ein Kabel Modem finden würde, welches
kein IPV6 unterstützt, müsste Unitymedia mir dann
nicht zwangsläufig eine IPV4 verpassen? ??


So ein Gerät erfüllt nicht die Voraussetzungen: https://www.unitymedia.de/privatkunden/ ... rfreiheit/
Tarif: 2play 25
Gebiet: Metropolregion Rhein-Neckar (Baden-Württemberg)
Modem: ARRIS TM502B
Router: AVM FRITZ!Box 7490 WLAN AC
Fernseher: Samsung UE40D8090YSXZG
Receiver: XORO 8750 CI+ (zum Aufnehmen des "freien" Angebots)
CaptainPiccard
erfahrener Kabelkunde
 
Beiträge: 81
Registriert: 03.12.2014, 11:09
Wohnort: Weinheim (Bergstr.)

Re: Portsperren bei UM

Beitragvon Leseratte10 » 03.09.2016, 16:05

Diese Begründung "dann müsste UM mir IPv4 verpassen wegen der Routerfreiheit" wäre genau so sinnfrei wie wenn du ein DSL-Modem besorgen würdest und vom UM verlangst, jetzt gefälligst DSL über deinen Kabel-Anschluss zu übertragen weils ja Routerfreiheit gibt.

Routerfreiheit bedeutet, der Anbieter schreibt dir nicht ein spezielles Modell vor. Trotzdem darf er beliebige Vorraussetzungen geben (bei UM ist eine davon "DS-Lite"), die jedes Gerät unterstützen muss, was angeschlossen wird.
Außerdem ist es einem Modem ganz egal, ob da IPv4, IPv6, oder IPv20 drüber läuft.
Leseratte10
Glasfaserstrecke
 
Beiträge: 1274
Registriert: 07.03.2013, 16:56

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Baidu [Spider] und 29 Gäste