Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
17
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
18%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
10
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
41
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
3%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt: 89

ecosys
Kabelneuling
Beiträge: 3
Registriert: 27.02.2009, 00:31

Re: Portsperren bei UM

Beitrag von ecosys » 27.02.2009, 00:49

Moses hat geschrieben: Vernünftige VPN Verbindungen lassen sich übrigens ohne weiteres mit dem UM Anschluss aufbauen und darauf sind dann auch die Ports natürlich wieder zu nutzen, womit dann ein Office-Backup oder die Verbindung zum Exchange Server möglich ist. Klar, geht der MS eingebaute VPN Tunnel auch nicht... aber das ist auch gut, denn der ist ja absolut nicht vernünftig gesichert. ;)
Hallo

Ich will mich mal als Leichenschänder betätigen :zwinker:

Was sind vernünftige VPN Verbindungen?
Ich versuche schon seit drei Wochen eine VPN Verbindung von meinem Anschluß zur Firma herzustellen.
Das klappt leider nur bedingt. Der Tunnel selbst ist OK nur geht kein Ping darüber oder irgendwelche anderen Sachen.
Das der Tunnel funktioniert bedeutet ja schon einmal, daß Port 500 von UM nicht gesperrt wird.
Wie siehts mit Port 50(UDP) aus? Der ist nach Aussage von Netgear und TheGreenBow nötig um nach erfolgreichem Tunnel auch etwas machen zu können.

Und NEIN, es liegt nicht an einer Firewall oder ähnlichem.
Gehe ich zu Nachbarn und probiere es aus (1&1 / Telekom) dann funktioniert alles so wie es soll.

Ich habe auch bei UM angerufen um Probleme mit Double-NAT auszuschließen. Aber da hies es, dass das Modem "Bridged" ist und auch keine Ports gesperrt sind. Jetzt finde ich den Thread hier und frage mich mal: Wer oder was sitzt da in der Hotline?

Wie geht also eine "vernünftige" VPN Verbindung über Unitymedia?

Gruß
Frank

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitrag von piotr » 27.02.2009, 18:55

Lies bitte Deine VPN-Infos nochmal.;)

Gemeint ist nicht der UDP-Port 50, sondern das IP-Protokoll Nr. 50 (ESP - Encapsulated Security Payload) - ein Teil vom IPsec.

Dann suche mal in Deinem VPN die Einstellung NAT-Traversal (NAT-T) und aktiviere diese sowohl auf Server- als auch auf Clientseite. NAT-T wurde von den IPsec-Entwicklern nachtraeglich "eingebaut", um die Probleme mit ESP zu verringern.

Benutzeravatar
FieserKiller
erfahrener Kabelkunde
Beiträge: 76
Registriert: 26.02.2009, 21:26
Wohnort: Duisburg
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von FieserKiller » 27.02.2009, 20:31

Also hier klappt OpenVPN (@ecosys: das ist ein vernünftiges VPN) zuverlässig und der komische cisco vpn auch..

ecosys
Kabelneuling
Beiträge: 3
Registriert: 27.02.2009, 00:31

Re: Portsperren bei UM

Beitrag von ecosys » 28.02.2009, 00:33

Hi

Ok, ich muss mich noch etwas verbessern.
VPN im "Agressive Mode" funktioniert bei mir am UM Anschluß nicht. Bei Telekom oder 1&1 kein Problem.

Kontrollieren brauche ich eigentlich nicht mehr, denke ich.
Der Support von Netgear sowie TheGreenBow sind seit ca. 3 Wochen dran zu verstehen wo das Problem liegt.
Und nicht nur nach dem Schema "Du Kunde mach mal und gib bescheid", nein, die waren selbst Remote auf dem VPN Router und meinem Rechner.

Da, wie bereits geschrieben, der Tunnel bei Telekom sowie 1&1 funktioniert bleibt halt nur der Schluß übrig, dass irgendetwas am Anschluß seitens UM nicht korrekt läuft.

Gruß

maikel_night
Kabelneuling
Beiträge: 8
Registriert: 26.02.2009, 22:16

Re: Portsperren bei UM

Beitrag von maikel_night » 02.03.2009, 12:17

herrsimon hat geschrieben: Ich halte diese Praxis für sehr fragwürdig, ein ISP sollte sich eigentlich nicht darum scheren, was auf den Rechnern der Kunden vorgeht. Allerdings ergibt sich seitens Unitymedia natürlich auch das Problem des durch die Würmer etc. verursachten Traffics, der je nach Wurm teilweise mit erheblichen Überlastungen (und damit Beeinträchtigungen aller Nutzer) einhergeht. Bei uns im Netzwerk werden verseuchte Rechner ohne Vorwarnung gesperrt und erst nach Beseitigung des entsprechenden Schadprogramms wieder entsperrt, so eine Praxis wäre natürlich für Unitymedia undenkbar. Alternativ könnte man auch durch Einsatz entsprechender (teurer) Gateways den Traffic auf Applikationsebene filtern, was sich aber meines Wissens kein ISP leisten kann. Unitymedia greift deshalb zur Holzhammer-Methode: Bestimmte Ports werden erst gar nicht geöffnet, also können sich dort auch keine Würmer verbreiten. Falls sich mein Verdacht mit dem internen Routing bewahrheiten sollte geht Unitymedia sogar noch einen Schritt weiter und spielt (Unitymedia-Netz interne) Firewall für den Kunden.
Die meisten gängigen Viren- und Trojanerprobleme des Durchschnittsusers lassen sich damit beheben, der verstümmelte Anschluß kann aber leider nicht mehr für Nicht-Standard-Dinge (Offsite-Backups, VPN etc.) benutzt werden.
Alles in allem finde ich dieses Verhalten nicht in Ordnung.

Simon
Ich schliesse mich dem an....Nebenbei, es gibt Provider die Filterungen, bzw. malicious Traffic analysieren, siehe: http://www.modelco.de/mblog/?p=28 und 1 $ 1 stand vor einigen Tagen ganz groß in der Presse mit seinen neuen Methoden gegen Botnetze vorzugehen, siehe: http://www.heise.de/security/1-1-will-g ... ung/132261
Hier ist mal wieder die Frage nach der Herrschaft und dem Zwang durch einen Provider offensichtlich und vor allem die Macht die ein solcher hat, damit winkt nämlich auch mal wieder die Zensurkeule....prinzipiell ist der Ansatz ja ganz nett, aber die Umsetzung schlecht, denn man nimmt dem User die Eigenverantwortung..Und traffic??? Naja, solange Terrabytes am Tag durch die Leitungen gehen via Perr to Peer sollte das wohl nicht so das Problem sein..!? Ich fühle mich bei Portsperren und Provider Firewalls sowie Content der für mich gefiltert wird in meiner Freiheit auf selbstbestimmung beschnitten und das suckt gewaltig!

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitrag von piotr » 02.03.2009, 18:15

ecosys hat geschrieben: Der Support von Netgear sowie TheGreenBow sind seit ca. 3 Wochen dran zu verstehen wo das Problem liegt.
Gib Deinem "Support" mal das Stichwort NAT-Traversal, dass bereits oefter gefallen ist.

NAT-T sollte mittlerweile von allen gaengigen auf IPsec basierenden VPN-Loesungen beherrscht werden.

Denn Dein Problem ist das bei VPN ueber IPsec benoetigte ESP-Protokoll, dass gerne komplett unveraenderte IP-Header haben moechte.
Nur macht das UM vermutlich wegen den Sprachpaketen auf derselben Leitung nicht und schiebt die Datenpakete mit anderen DSCP-Werten (ehem. "TOS"-Feld im IP-Header) durchs Netz.
Bei Telekom wird zum groessten Teil jeweils ein separates Netz fuer Sprache und DSL genutzt und damit funktioniert es dann dort.
Genauso koennte die Erweiterung ECN (Explizit congestion notification - Ueberlastbenachrichtigung von Routern) schuld sein, die auch IP-Header aendern kann (wieder das ehem. TOS-Feld).

Mit NAT-Traversal wird das eigenstaendige ESP-Protokoll in ein UDP-Paket eingepackt und dann ueber Port 4500 versendet, damit ist das dann egal ob der IP-Header geaendert wird oder nicht.

Aggressive oder Main Mode hat auf das ESP-Problem keine Auswirkung, nur auf den Anschluss selbst. Bei Main Mode brauchst Du zwingend eine statische IP, bei Aggressive Mode kann auch ein Dyn.DNS-Name genutzt werden.;)

ecosys
Kabelneuling
Beiträge: 3
Registriert: 27.02.2009, 00:31

Re: Portsperren bei UM

Beitrag von ecosys » 02.03.2009, 21:24

piotr hat geschrieben: Gib Deinem "Support" mal das Stichwort NAT-Traversal, dass bereits oefter gefallen ist.
Mit NAT-Traversal wird das eigenstaendige ESP-Protokoll in ein UDP-Paket eingepackt und dann ueber Port 4500 versendet, damit ist das dann egal ob der IP-Header geaendert wird oder nicht.
Das brauche ich wohl nicht, da hier die erste Vermutung des Supports lag.
2009-03-02 : INFO: For 62.143.XXX.XXX[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2009-03-02 : INFO: Floating ports for NAT-T with peer 62.143.XXX.XXX[4500]
2009-03-02 : INFO: NAT-D payload does not match for 87.XXX.XXX.XXX[4500]
2009-03-02 : INFO: NAT-D payload does not match for 62.143.XXX.XXX[4500]
2009-03-02 : INFO: NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device
NAT-T Erkennung und Ausführung funktioniert wunderbar.
piotr hat geschrieben: Genauso koennte die Erweiterung ECN (Explizit congestion notification - Ueberlastbenachrichtigung von Routern) schuld sein, die auch IP-Header aendern kann (wieder das ehem. TOS-Feld).
Zumindest macht das kein Router im Heim- bzw. Firmennetz.
piotr hat geschrieben: Aggressive oder Main Mode hat auf das ESP-Problem keine Auswirkung, nur auf den Anschluss selbst. Bei Main Mode brauchst Du zwingend eine statische IP, bei Aggressive Mode kann auch ein Dyn.DNS-Name genutzt werden.;)
Ich kam nur darauf, da die Testverbindug von TheGreenBow nicht auf Aggressive gestellt ist und die Verbindung per dyndns funktioniert.
Mit eingestelltem Aggressive Mode funktioniert halt nur der Tunnel und dann ist Sense.

Ich kann mir echt nichts anderes mehr vorstellen als ein Problem aufgrund des UM Anschlusses.
Es ist doch wirklich seltsam, dass es hier nicht funktioniert aber wenn ich mit meinem Lappi zum Nachbarn renne der nunmal 1&1 hat, funktioniert es mit der exakt gleichen Config...

Gruß

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Portsperren bei UM

Beitrag von piotr » 02.03.2009, 23:07

Die Logs koennten darauf hindeuten: nat-d payload does not match...
Neben ESP koennte zusaetzlich AH an sein. AH (Authentication Header) besteht aber wie ESP auf unveraenderte IP-Packete, kann aber im Gegensatz zu ESP nicht per NAT-T in ein UDP-Packet eingepackt werden.
Das Aktivieren von AH siehst Du oft nur, wenn Du Deinen Traffic z.B. bei Windows mit Wireshark (auf anderen Betriebssystemen: snoop/tcpdump) mitschneidest.

Eine andere Ursache koennte eine unterschiedliche IKE-Version sein, denn in IKEv1 war bei der ESP nur die DES-Verschluesselung erlaubt (56bit). In IKEv2 ist es bei der ESP 3DES (168bit) oder optional AES (128-256bit).

Die Meldung: NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device.
sagt, dass Dein VPN auf beiden Seiten jeweils hinter einem NAT-Router ist.
Wenn die Moeglichkeit besteht vielleicht mal den VPN-Client direkt am Modem bzw. den VPN-Server direkt an dessen Internetzugang testen, um NAT-Probleme auszuschliessen.

Die Meldung: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
sagt, dass Du eine Entwurfsversion vom IKEv2 verwendest.
Vielleicht mal nach einem Update der VPN-Software/-Firmware schauen, denn IKEv2 ist seit Dez 2005 offiziell standardisiert (RFC4305). Im IKEv2 gibt es keinen Main und Aggressive Mode mehr, vielleicht ist die GUI wegen der Draft noch nicht aktualisiert worden.
Vielleicht wird das draft IKEv2 automatisch aktiviert, wenn Du die NAT-T Option einschaltest.;)

Wenn Dein Laptop Windows XP hat, dann schau auch mal in der MS KB nach:
http://support.microsoft.com/?scid=kb%3 ... 3&x=15&y=4
http://support.microsoft.com/?scid=kb%3 ... 7&x=13&y=9



Eine Alternative zu Deinem auf IPsec basierendem VPN waere das bereits erwaehnte OpenVPN, denn das laeuft wirklich ueberall. Weil es nicht das IPsec mit all seinen Stolperfallen enthaelt.

Benutzeravatar
Frostfall
erfahrener Kabelkunde
Beiträge: 61
Registriert: 11.02.2009, 13:11

Re: Portsperren bei UM

Beitrag von Frostfall » 03.03.2009, 14:50

:kafffee: Ich habe mir alles durchgelesen...... worum geht es? :kafffee: Ach vergesst es ich :mussweg: aus den Beitrag
Bild

addicted
Kabelkopfstation
Beiträge: 3829
Registriert: 15.03.2010, 02:35

Re: Portsperren bei UM

Beitrag von addicted » 25.03.2010, 23:47

Jolander hat geschrieben:Es ist wohl so, dass UM einige Ports aus Sicherheitsgründen gesperrt hat. Über diese Ports verbreiten sich z.B. Würmer und mit diesen Sperren können fremde User auch nicht mehr auf (irrtümlich) freigegebene Ordner zugreifen.

Es handelt sich um die Ports:
135, 137, 139, 445, 3127, 9898, 4444
Test gerade eben: Port 4444 ist in allen Kombinationen offen, UM IP in 109.90.0.0/15 (lokales Subnetz ist 109.91.24.0/22).
Die anderen Ports sind aber dicht.


Nebenbei: Meine Meinung ist, dass auf Netzebene nicht gefiltert werden sollte. Da man dem Kunden aber Hardware liefert, kann man diese so einstellen, dass sie die Netzwerkfreigabe mit den Urlaubsfotos des Kunden nicht ins WAN exportiert.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 16.08.2016, 13:09

Gibt es eigentlich mittlerweile eine Lösung?
Ich bekomme es einfach nicht hin, 2 Fritz Boxen per VPN im Unitymedia Netz zu koppeln.
Es ist alles korrekt konfiguriert, da selbige Konfiguration
mit 2 Fritz Boxen im Telekom Netz funktioniert.
Der Tunnel wird zwar aufgebaut, es fließen aber
keine Daten, weder Ping noch irgendetwas anderes.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

GoaSkin
Glasfaserstrecke
Beiträge: 1200
Registriert: 12.12.2009, 16:25

Re: Portsperren bei UM

Beitrag von GoaSkin » 16.08.2016, 17:06

Unitymedia filtert doch garkeine Ports Netzwerk-seitig. Die Fritzboxen sind so vorkonfiguriert, dass sie Ports 135-139, etc.pp. filtern, weil AVM meint, das so machen zu müssen. Leider ist es sehr trickreich, diesen Filter inder Fritzbox zu deaktivieren.
Gibt nur zwei Möglichkeiten:

1.) Mit dem Browser die Firewall-Config-Seite der Fritzbox aufrufen und mit den Web-Debug-Funktionen des Browsers die rausgefilterte Checkbox für den Netbios-Filter wieder einbauen - vorausgesetzt, man kennt die HTML-Tags ganz genau, die hier früher mal drin waren.

2.) Man bedient sich an FBEdit und bearbeitet eine gesicherte Konfiguration. An drei Stellen gibt es eine Einstellung für "Netbios Filter", die man dort jeweils negieren muss.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 16.08.2016, 18:19

Danke für die Info.
Werde dann mal bei beiden Boxen den Netbios Filter mit dem FB EDITOR negieren. Warum bekommt man da eigentlich keine Info vom AVM Support oder vom Unitymedia Kundenservice, die lassen einen im Regen stehen. Immer die Aussage: Muss funktionieren, die FB zurücksetzen, die VPN Verbindung nochmals neu einrichten usw.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitrag von hajodele » 16.08.2016, 19:10

Bei mir funktioniert VPN in einer Umgebung
- 7390 (1und1 über Telekom DS) mit 6340 (UM BaWü DS)
und
- 7390 (1und1 über Telekom DS) mit 6360 (UM BaWü IPv4)

Sowie mehreren CLient-VPNs
seit Jahren ohne dass ich den Filter irgendwo entfernen musste.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 16.08.2016, 19:30

Mit 2 Boxen im Telekom Netz (7390 und 7490, beide IPV4 only) habe ich das ja auch hinbekommen, ohne den Filter zu deaktivieren.
Bloß mit den 2 Boxen (6360 DSLIGHT und 6490 IVP4 only)
im Unitymedia Netz bekomme ich keine VPN Verbindung zum laufen. Laut AVM Support soll das aber gehen, auch wenn nur eine der beiden Boxen echtes UPV 4 hat.
Hat vielleicht jemand diese Konstellation am Laufen?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Portsperren bei UM

Beitrag von tq1199 » 17.08.2016, 09:41

GoaSkin hat geschrieben:Unitymedia filtert doch garkeine Ports Netzwerk-seitig.
Doch, UM macht das. Ohne FB (d. h. mit einem Kabelmodem und IPv4) kann man das testen. Z. B. aus dem Telekom-Netz (vom border device) ins UM-Netz:

Code: Alles auswählen

# nmap -e dsl -PN -sU 46.###.###.## -p134,135

Starting Nmap 4.68 ( http://nmap.org ) at 2016-08-17 09:38 CEST
Interesting ports on HSI-KBW-46-###-###-##.hsi.kabel-badenwuerttemberg.de (46.###.###.##):
PORT    STATE         SERVICE
134/udp open|filtered ingres-net
135/udp filtered      msrpc

Nmap done: 1 IP address (1 host up) scanned in 3.963 seconds
im UM-Netz (auf dem border device):

Code: Alles auswählen

:~ $ sudo tcpdump -vvveni eth0 udp portrange 134-135 
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
09:38:02.794141 00:01:##:##:##:## > ##:##:##:##:3c:ae, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 45, id 20089, offset 0, flags [none], proto UDP (17), length 28)
    91.##.###.###.49715 > 46.###.###.##.134: [udp sum ok] UDP, length 0
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 17.08.2016, 10:34

Ist das jetzt der Grund, warum sich die beiden Boxen bei mir nicht per VPN koppeln lassen?

Komischerweise laufen bei mir folgende 2 VPN Verbindungen stabil :

1. Als Client vom Smartphone auf die 6490
2. Als Client vom Rechner auf die 6490

Nur die 2 Boxen selber lassen sich nicht koppeln.
Es kommt kein Datenfluss zustande.
Der Tunnel wird zwar aufgebaut, aber es geht kein Ping oder irgendetwas anderes.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 17.08.2016, 10:52

Jetzt habe ich auch mal probiert, die 7490 (Telekom IPV4)
mit der 6490 (Unitymedia IPV4) per VPN zu koppeln.
Selbiges Fehlerbild, Tunnel wird aufgebaut, aber kein Datenfluss.
Unitymedia scheint da irgendwas zu sperren bzw. zu filtern.
Was ist das denn für ein Sch... ?
Löst denn die Deaktivierung des NETBIOS Filters denn
jetzt überhaupt mein Problem?
Das habe ich nämlich noch nicht probiert.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitrag von hajodele » 17.08.2016, 11:08

Das hilft eher nicht.
Aus welchem Bundesland kommst du eigentlch? Leider ist es so, dass es keine einheitlichen Konfigurationen gibt. Bei mir in BaWü läuft alles.
Ich komme via VPN auf die Geräte meiner Mutter und meines Schwagers.
Von meiner Mutter und meinem Schwager kann man auf einen Raspberry Pi zugreifen, der als interner Webserver konfiguriert ist.
Von Drittnetzen komme ich mit meinem Tablet auf meinen Pi und meine 7390, wenn ich VPN aktiviert habe.
Mehr benötige ich nicht.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 17.08.2016, 11:38

Beide Anschlüsse laufen in NRW.
Ich habe auch schon die Vermutung, daß das daran liegt, dass die Anschlüsse in NRW laufen.
Habe jetzt mal die beiden Fehleranalyse Dateien der
beiden Boxen an den AVM Support geschickt.
Sollen die sich erstmal damit rumärgern und mir
eine funktionierende Lösung anbieten.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 17.08.2016, 13:48

Andreas1969 hat geschrieben:Danke für die Info.
Werde dann mal bei beiden Boxen den Netbios Filter mit dem FB EDITOR negieren. Warum bekommt man da eigentlich keine Info vom AVM Support oder vom Unitymedia Kundenservice, die lassen einen im Regen stehen. Immer die Aussage: Muss funktionieren, die FB zurücksetzen, die VPN Verbindung nochmals neu einrichten usw.
Weil der NetBIOS-Filter mit dem VPN nichts zu tun hat ...

NetBIOS ist ein antiquierter Bestandteil von Windows/Samba aus den Zeiten von CIFS, also OS/2, WinDOS for Workgroups und WinDOS 9x/ME.
Im Internet haben diese Ports auch nichts verloren.

Zu WinDOS-9x-Zeiten war der blöde Default, NetBIOS über TCP/IP auch an WAN-Schnittstellen zu binden, der Grund dafür, daß es immer schön neuen Homemade Pr0n im Netz gab, weil so quasi jedermann aus dem Internet auf den so konfigurierten Rechnern auf alle WinDOS-Freigaben zugreifen konnte.
Zu dieser Zeit hing ja der Hauptrechner des Hauses fast immer direkt an Modem oder ISDN-Karte und baute über SLIP/PPP(oE) eine direkte Verbindung ins Internet auf ...

Dieser Spuk endete, als Router für jedermann in Mode kamen, ich meine aber auch, daß Microsoft irgendwann die standardmäßige Bindung von NetBIOS über TCP/IP an WAN-Schnittstellen unterlassen hat.

Egal ob nun ein Rechner mit offenem oder geschlossenem NetBIOS über TCP/IP im LAN hing, spätestens ab dem Router war nun Feierabend, es sei denn, man ist so blöd und konfiguriert noch extra eine Freigabe ...
... damit auch das nicht möglich ist (z.B. durch einen Wurm mittels UPnP), enthält die Fritz!Box einen NetBIOS-Filter, wobei hier "NetBIOS" nicht ganz stimmt, es wird nicht nur NetBIOS sondern auch CIFS und SMB gefiltert. NetBIOS an sich wird ja nur für die Namensauflösung in Windows-Netzwerken benutzt, für den eigentlichen Austausch mit dem Dateiserver wird dann CIFS (Port 139) oder SMB (Port 445) benutzt.
Eventuell filtert die Fritz!Box dabei den NetBIOS/CIFS/SMB-Verkehr auch nicht nur nach den Ports, sondern auch nach Inhalt, weiß ich jetzt nicht.

Die Ports die Unitymedia hier ausfiltert werden also nur für die Datei- und Druckerfreigaben im Windows/Samba-Netzwerk gebraucht und diese waren von der Sicherheit her nie auf öffentliche Netze ausgelegt. Sie kommen also im Internet sowieso nur vor, wenn im Netz des Kunden absolute Blödheit am Werk war.

Ich finde netzseitige Portsperren zwar sch..., weil sich genau solche Ports perfekt für das Verbiegen von Portfreigaben eignen (Da man sie ja definitiv nie für den Dienst brauchen wird, der eigentlich auf diesem Port lauscht) und ich finde, daß Unitymedia nicht durch Sperren von Port 445 den Betrieb eines https-Servers auf diesem Port unmöglich zu machen hat.
Aber wenn man hier so mitliest, dann kriegt man schon Verständnis für die Maßnahme ...

Ich habe zwei Fritz-VPNs dauerhaft aufgebaut und das sogar durch dreifaches NAT.

Bzgl. der VPNs ist jedenfalls die Antwort vom Support absolut korrekt:
Einfach richtig konfigurieren, denn kaum macht man es richtig klappt es auch.
Die Portfilter haben damit jedenfalls rein gar nix zu tun.


Ach ja:
Innerhalb eines VPNs zwischen zwei Fritz!Boxen gibt es ebenfalls einen NetBIOS-Filters, dort ist er aber standardmäßig aus, da ja ein VPN normal eher wie ein standortübergreifendes LAN genutzt wird, also beidseitig vertrauenswürdige Rechner und Nutzer zu finden sind.
Man kann ihn aber auch einschalten, z.B. wenn man mit irgendwelcher Verwandtschaft gemeinsam FTP-/Web-Server o.ä. nutzen will ohne die für jedermann ins Internet öffnen zu müssen, gleichzeitig aber nicht will, daß die anfangen auf dem Drucker der Gegenseite zu drucken oder auf ganze Festplatten zuzugreifen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 17.08.2016, 17:39

Hier die Antwort von AVM:
damit hatte ich schon gerechnet.
Die VPN Verbindung hatte ich korrekt eingerichtet.
Und jetzt?
Kann ja dann nur noch an Unitymedia liege.
Der Unitymedia Kundenservice was natürlich wie immer von nichts.
Hat noch jemand einen Tip?


XXX (AVM Support)

17. Aug., 13:52 CEST

Guten Tag - Herr XXX,

vielen Dank für Ihre Geduld.


Aus den Daten der beiden Cable Boxen ist leider nichts auffälliges zu erkennen.
Die Konfiguration beider Boxen ist auch richtig eingestellt.


Freundliche Grüße aus Berlin
XXX (AVM Support)
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 17.08.2016, 18:05

Da gibt's zig mögliche Ursachen ...

1. verwendeter DynDNS wird nicht aktualisiert
2. Du hast doch kein IPv4
3. Auf einer der beiden Boxen wird einer der für das VPN benötigten Ports anderweitig verbraten
4. ...
5. ..
6. ..

Mach doch für Dein Problem am besten einen eigenen Thread auf, hier paßt es ja nicht wirklich.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7974
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 17.08.2016, 18:33

Ich gebe jetzt an dieser Stelle auf.

1. DynDNS wird auf beiden Boxen aktualisiert
2. Die 6490 hat IPV4
3. Es wird kein Port anderweitig verbraten

Ich werde mich damit abfinden müssen, dass es im
Unitymedia Netz in NRW nicht funktioniert.
Wenn ich das wieder nutzen möchte, muss ich wohl
zum Schnecken DSL der Telekom zurückkehren.

Das hatte ich ja vorher, ein Anschluss hatte DSL 1000 und der Andere DSL 2000, aber es funktionierte wenigstens.
Nur war der Zugriff über die VPN Verbindung auf den jeweils anderen Anschluss quälend langsam.
Das möchte ich eigentlich nicht mehr haben, da das Internet auf beiden Anschlüssen auch nicht der Hit war.

Gruß aus
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 17.08.2016, 18:58

Andreas1969 hat geschrieben:Ich werde mich damit abfinden müssen, dass es im
Unitymedia Netz in NRW nicht funktioniert.
Was willst Du wirklich?
Trollen?
Rumheulen und ein Taschentuch gereicht bekommen?

Hilfe scheint es jedenfalls nicht zu sein ...

Meines Wissens liegen nämlich der Rhein-Sieg-Kreis, die Euregio Aachen und Köln alle immer noch in NRW, wenn wir nicht durch Plattentektonik inzwischen in ein anderes (Bundes-)Land abgedriftet sein sollten ...

Köln (Fritz!Box 6360 am Unitymedia-Kabelanschluß):
Bild

Rhein-Sieg-Kreis (Fritz!Box 7270v2 am Telekom-DSL-Anschluß):
Bild

Aachen (Fritz!Box 7390 am Unitymedia-Kabel-Anschluß mit Vodafone-DSL-Anschluß als Fallback):
Bild

Antworten

Wer ist online?

Mitglieder in diesem Forum: MichaelBre und 4 Gäste