- Anzeige -

Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
16
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
19%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
9
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
39
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
4%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt : 85

Re: Portsperren bei UM

Beitragvon tq1199 » 28.08.2016, 22:28

F-orced-customer hat geschrieben:... openvpn im UM Netz?


Ja, OpenVPN geht im UM-Netz.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Portsperren bei UM

Beitragvon SpaceRat » 28.08.2016, 22:40

F-orced-customer hat geschrieben:AVM verletzt RFCs mit ihrem proprietären VPN- Protokoll und/oder UM versaut die Pakete im Transport.

Weder noch.

Es ist IPSec mit IKEv1, was AVM da nutzt.

Mit der folgenden /etc/ipsec.conf ist ein Aufbau zu einem unmodifizierten AVM-VPN möglich:
Code: Alles auswählen
config setup

conn %default
        left=left-DynDNS
        leftsubnet=192.168.75.0/24
        authby=secret
        aggressive=yes
        leftfirewall=yes
        dpddelay=15
        dpdtimeout=60
        dpdaction=restart

conn Cologne
        type=tunnel
        keyexchange=ikev1
        ike=aes256-sha-modp1024
        esp=aes256-sha1-modp1024
        right=right.myfritz.net
        rightid=@right.myfritz.net
        rightsubnet=192.168.3.0/24
        ikelifetime=3600s
        keylife=3600s
        auto=start
        closeaction=restart


F-orced-customer hat geschrieben:Geht IPSEC und openvpn im UM Netz?

Natürlich.

Code: Alles auswählen
root@OpenWrt:~# ipsec status Cologne
no files found matching '/etc/strongswan.d/*.conf'
Security Associations (2 up, 0 connecting):
     Cologne[1]: ESTABLISHED 15 seconds ago, 37.24.123.45[left.dyn.dns]...109.91.23.45[right.myfritz.net]
     Cologne{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: b80e7b79_i fe261db9_o
     Cologne{1}:   192.168.75.0/24 === 192.168.3.0/24


Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon F-orced-customer » 28.08.2016, 23:25

SpaceRat hat geschrieben:Es ist IPSec mit IKEv1, was AVM da nutzt.


Ich erinnere mich da an 2 Initverfahren, die FB7240 hat nur das primitivere unterstützt, Aggressive Mode Handshake.

Andreas, versuch mal ike-scan -v -s 0 --aggressive --id=xxxxxxxxxxxxx fritz.box
F-orced-customer
Übergeordneter Verstärkerpunkt
 
Beiträge: 531
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitragvon SpaceRat » 29.08.2016, 05:04

F-orced-customer hat geschrieben:Ich erinnere mich da an 2 Initverfahren, die FB7240 hat nur das primitivere unterstützt, Aggressive Mode Handshake.

Das ist korrekt und gilt für alle AVM VPNs.
Man muß strongSWAN etwas triezen, damit es das mitmacht, weshalb auch die meisten Anleitungen stattdessen die Anpassung im AVM-VPN beschreiben.

Ich habe meine VPNs jetzt auch von aggressive mode auf main mode umgestellt, aber zuerst einmal wollte ich es unmodifiziert ans Laufen kriegen.

Somit entfällt bei mir der fiese Hack mit dem dritten Router, der nur dazu da war, der Fritz!Box (im Router-Modus) eine WAN-Verbindung vorzugaukeln, obwohl sie eigentlich nur als IP-Client zu laufen braucht (Nur daß im Client-Modus das AVM-VPN nicht geht...).
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Portsperren bei UM

Beitragvon Andreas1969 » 29.08.2016, 07:14

Kann es eventuell an den unterschiedlichen FW Ständen der Boxen liegen?
Die beiden Boxen im Telekom Netz hatten beide den FW Stand 6.60
Die 6490 im Unitymedia Netz FW 6.50
Die 6360 im Unitymedia Netz FW 6.33

Die FW Stände der Unitymedia Boxen kann ich ja nicht beeinflussen, da es sich um Mietgeräte handelt.
Da bin ich auf das Wohlwollen von Unitymedia angewiesen und die sind ja bekanntlich äußerst unflexibel.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1718
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 29.08.2016, 09:54

Was ich auch komisch finde:

Auf der 6490 wird unter Adresse im Internet die IP4 Adresse des Unitymedia AFTR'S angezeigt, über welches die 6360 mit der IPV4 Welt kommuniziert.

Ist das überhaupt richtig?

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1718
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon hajodele » 29.08.2016, 10:07

VPN ist ja keine neue Technologie.
Wenn es da irgendwann zu irgendwelchen Beeinträchtigungen gekommen wäre, hätte man das sicher mitbekommen.
Die einzige Beeinträchtigung, die mir einfällt, war vor 2 Jahren oder so. Mit der damaligen Firmware hat es Probleme mit der Telefonie gegeben, wenn gleichzeitig VPN aufgebaut war.
Ich benutze in BaWü seit 2010 VPN über 3 Standorte mit wechselnden Providern. Mindestens 1 war immer Kabel.

Die FW ist einerseits so aktuell andererseits so lange im Einsatz, dass sicher schon der Eine oder andere Gemeckert hätte.
Ein Problem könnte man höchstens ableiten, wenn VPN vorher lief und jetzt mit einer neuen FW nicht mehr tut.

Bei mir sind es aktuell
6340 (FW 6.04)
6360 (FW 6.50)
7390 (FW 6.51)
Die Konfiguration hat schon manchen Update klaglos überstanden.

Wegen AFTR: Bist du sicher, dass die 6490 IPv4 hat? Dass es bei 2 DS-Lite-Systemen passieren kann, ist möglich. Passiert das mit aktivem VPN oder auch, wenn VPN deaktiviert ist.
hajodele
Kabelkopfstation
 
Beiträge: 3952
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitragvon Andreas1969 » 29.08.2016, 10:16

Die 6490 hat schon IPV4.

Die Adresse des AFTR wird ja auch unter der VPN Verbindung der Partnerbox angezeigt.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1718
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 29.08.2016, 17:23

Hier mal die VPN Konfiguration der 6490 (IPV4 only):
die tatsächliche Dyn Adresse der 6360 habe ich hier sicherheitshalber mal in XXX geändert


vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "XXX.myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "SECRET";
}
remoteid {
fqdn = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.13.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.13.0 255.255.255.0";
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}





Und hier die VPN Konfiguration der 6360 (DSLite):
die tatsächliche Dyn Adresse der 6490 habe ich hier sicherheitshalber mal in YYY geändert


vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "YYY.myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "YYY.myfritz.net";
keepalive_ip = 192.168.2.1;
localid {
fqdn = "SECRET";
}
remoteid {
fqdn = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.13.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


würde da eventuell freundlicherweise mal jemand drüber schauen?
Vielleicht sehe ich ja den Wald vor lauter Bäumen nicht mehr.
Eigentlich ist alles korrekt, AVM konnte ja auch keinen Fehler feststellen.

Danke und Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1718
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 29.08.2016, 17:47

Hier mal der Status der 6360 (DSLite)
Bild


In diesem Bild der 6360 kann man sehen, daß die IPV4 der 6490 korrekt angezeigt wird.
Lokales und entferntes Netz werden nicht angezeigt und der VPN Status ist grau.
Bild


Hier mal der Status der 6490 (IPV4)
Bild


In diesem Bild der 6490 sieht man schön, daß die IPV4 des Unitymedia AFTR´s über welches die 6360 angebunden ist, angezeigt wird, darf das überhaupt so sein?
Lokales und entferntes Netz werden korrekt angezeigt und der VPN Status ist auch grün.
Bild


Wo ist denn jetzt in Gottesnamen der Fehler im System?
Das muss doch so laufen.
Vielleicht hat ja noch jemand eine Idee.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1718
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 52 Gäste