- Anzeige -

6360 als Modem, sendet uPnP Anfragen an meine Firew

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon grobekelle » 08.01.2016, 11:01

Guten Tag zusammen,

vor zwei Tagen habe ich unserem Business Anschluss eine statische IP zuweisen lassen,
als Router / Firewall agiert eine Dell SonicWALL, alles funktioniert bestens, doch eine Kleinigkeit stört mich.

In den Logs der Firewall entnehme ich uPnP Anfragen von der FRITZ!Box die an den WAN Port meiner Firewall gesendet und von den Policies entsprechend abgelehnt werden.

01/08/2016 09:51:48.256 Notice Network Access UDP packet dropped 46.252.133.123, 46806, X1 239.255.255.250, 1900 UDP Port: 1900

Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?
Ich würde gerne den uPnP Dienst deaktivieren.

Liebe Grüße

Patrick
grobekelle
Kabelneuling
 
Beiträge: 7
Registriert: 13.01.2015, 20:46

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon tq1199 » 08.01.2016, 11:10

grobekelle hat geschrieben:Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?


In welchem Bundesland hast Du deinen UM-Anschluss? Wie hast Du deine FritzBox als "Modem" konfiguriert?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon grobekelle » 08.01.2016, 11:13

tq1199 hat geschrieben:
grobekelle hat geschrieben:Ist es nun tatsächlich so, das ich nach dem die FRITZ!Box als "Modem" konfiguriert wurde, nicht mehr auf das Interface der FRITZ!Box komme?


In welchem Bundesland hast Du deinen UM-Anschluss? Wie hast Du deine FritzBox als "Modem" konfiguriert?


In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.
grobekelle
Kabelneuling
 
Beiträge: 7
Registriert: 13.01.2015, 20:46

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon tq1199 » 08.01.2016, 11:24

grobekelle hat geschrieben:In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.


Den uPnP Dienst der FritzBox kann man nicht zu 100% deaktivieren. Ich bekomme mit deaktiviertem uPnP in der FB6360, weiterhin Anfragen von der FritzBox, allerdings nur an den Geräten im (W)LAN der FB6360:
Code: Alles auswählen
10:10:26.812453   M ##:##:##:##:##:## ethertype IPv4 (0x0800), length 167: (tos 0x0, ttl 4, id 20215, offset 0, flags [none], proto UDP (17), length 151)
    192.168.178.1.46720 > 239.255.255.250.1900: [udp sum ok] UDP, length 123

10:10:26.814583   M ##:##:##:##:##:## ethertype IPv6 (0x86dd), length 181: (hlim 254, next-header UDP (17) payload length: 125) fe80::c225:6ff:fe2b:52de.44056 > ff02::c.1900: [udp sum ok] UDP, length 117

Das Gerät am Bridge-Anschluss der FB6360 (mit der statischen externen IPv4-Adresse; in BaWü) bekommt an der WAN-Schnittstelle, keine uPnP Anfragen von der FB6360 (lediglich intensive arp-requests für fremde IPv4-Adressen und broadcast traffic, aber nicht von der FB6360 sondern über das gateway von UM = CMTS).

Lt. der Ausgabe deiner Firewall, stammen die uPnP Anfragen auch nicht von deiner FB (46.252.133.123, 46806), wenn ich das richtig verstehe.

EDIT:

Siehe z. B. auch die IPv4-Adresse (und die MAC-Adresse) des gateways, deiner festen IPv4-Adresse (Firewall):
Code: Alles auswählen
ip n s

oder
Code: Alles auswählen
arp -av

oder gleichwertig.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon grobekelle » 08.01.2016, 12:11

tq1199 hat geschrieben:
grobekelle hat geschrieben:In NRW, das Modem (FRITZ!Box) wurde nach der Umstellung von dynamisch auf statisch von Unitymedia konfiguriert.


Den uPnP Dienst der FritzBox kann man nicht zu 100% deaktivieren. Ich bekomme mit deaktiviertem uPnP in der FB6360, weiterhin Anfragen von der FritzBox, allerdings nur an den Geräten im (W)LAN der FB6360:
Code: Alles auswählen
10:10:26.812453   M ##:##:##:##:##:## ethertype IPv4 (0x0800), length 167: (tos 0x0, ttl 4, id 20215, offset 0, flags [none], proto UDP (17), length 151)
    192.168.178.1.46720 > 239.255.255.250.1900: [udp sum ok] UDP, length 123

10:10:26.814583   M ##:##:##:##:##:## ethertype IPv6 (0x86dd), length 181: (hlim 254, next-header UDP (17) payload length: 125) fe80::c225:6ff:fe2b:52de.44056 > ff02::c.1900: [udp sum ok] UDP, length 117

Das Gerät am Bridge-Anschluss der FB6360 (mit der statischen externen IPv4-Adresse; in BaWü) bekommt an der WAN-Schnittstelle, keine uPnP Anfragen von der FB6360 (lediglich intensive arp-requests für fremde IPv4-Adressen und broadcast traffic, aber nicht von der FB6360 sondern über das gateway von UM = CMTS).

Lt. der Ausgabe deiner Firewall, stammen die uPnP Anfragen auch nicht von deiner FB (46.252.133.123, 46806), wenn ich das richtig verstehe.

EDIT:

Siehe z. B. auch die IPv4-Adresse (und die MAC-Adresse) des gateways, deiner festen IPv4-Adresse (Firewall):
Code: Alles auswählen
ip n s

oder
Code: Alles auswählen
arp -av

oder gleichwertig.


Das WLAN der FRITZ!Box ist nach der Umstellung von dynamisch auf statisch nicht mehr verfügbar, da diese nur noch als Modem agiert.
Ich hatte die IP abgeändert, vielleicht daher die Verwirrung.

So sieht das Log auf der SonicWALL aus.

01/08/2016 10:54:08.240 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
8 01/08/2016 10:52:08.064 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
9 01/08/2016 10:50:07.064 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900
10 01/08/2016 10:48:06.048 Notice Network Access UDP packet dropped 46.252.136.133, 46806, X1 239.255.255.250, 1900 UDP Port: 1900

Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.
grobekelle
Kabelneuling
 
Beiträge: 7
Registriert: 13.01.2015, 20:46

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon tq1199 » 08.01.2016, 12:20

grobekelle hat geschrieben:Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.


Hm, ... d. h. deine FritzBox hat keine dynamische externe/öffentliche IPv4-Adresse mehr, sondern auch (bzw. zusätzlich) eine feste IPv4-Adresse aus dem gleichen Subnetz wie die feste IPv4-Adresse, die deine Firewall (WAN-IP) am Bridge-Anschluss (... Modem der FritzBox) bekommt. Das sind dann m. E. multicast Pakete innerhalb des Subnetzes und da wird man evtl. nichts (in der FritzBox) deaktivieren können.

Versuch mal mit einer zurückweisenden Route in deiner Firewall:
Code: Alles auswählen
sudo route add -net 239.0.0.0 netmask 255.0.0.0 reject

oder gleichwertig.

EDIT:

Teste mal ob an der WAN-IP der Firewall, auch arp- bzw. broadcast-Traffic ankommt und von wo dieser stammt.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon grobekelle » 08.01.2016, 12:49

tq1199 hat geschrieben:
grobekelle hat geschrieben:Wobei die 64.252.136.133 die Fritzbox ist und X1 das WAN Interface der Firewall mit der 64.252.136.134.

Also es werden definitiv, ausgehend von der Fritzbox MultiCasts (239.255.255.250) gesendet.


Hm, ... d. h. deine FritzBox hat keine dynamische externe/öffentliche IPv4-Adresse mehr, sondern auch (bzw. zusätzlich) eine feste IPv4-Adresse aus dem gleichen Subnetz wie die feste IPv4-Adresse, die deine Firewall (WAN-IP) am Bridge-Anschluss (... Modem der FritzBox) bekommt. Das sind dann m. E. multicast Pakete innerhalb des Subnetzes und da wird man evtl. nichts (in der FritzBox) deaktivieren können.

Versuch mal mit einer zurückweisenden Route in deiner Firewall:
Code: Alles auswählen
sudo route add -net 239.0.0.0 netmask 255.0.0.0 reject

oder gleichwertig.

Mein Firewall dropped die Packete ja schon.

EDIT:

Teste mal ob an der WAN-IP der Firewall, auch arp- bzw. broadcast-Traffic ankommt und von wo dieser stammt.


ARP requests / Broadcast kommen nicht an, lediglich MultiCast und die ganz sicher von der FritzBox in einem Intervall von 2 Minuten.
grobekelle
Kabelneuling
 
Beiträge: 7
Registriert: 13.01.2015, 20:46

Re: 6360 als Modem, sendet uPnP Anfragen an meine Firew

Beitragvon tq1199 » 08.01.2016, 15:11

grobekelle hat geschrieben:..., lediglich MultiCast und die ganz sicher von der FritzBox in einem Intervall von 2 Minuten.


OK, dann ist das so mit einer festen IPv4-Adresse in NRW (und Hessen), dass innerhalb des Subnetzes, von der FritzBox (... die hier als gateway fungiert; siehe auf der Firewall die Ausgabe von "route -n") multicast Pakete an die WAN-IP gesendet werden.
M. E. immer noch besser, als die intensiven arp-requests und broadcasts über die CMTS (als gateway) an die WAN-IP, in BaWü.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05


Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 18 Gäste