expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Helmut Hullen (17.10.2014, 07:13)
Hallo alle miteinander,

seit einigen Tagen habe ich ein Problem ...

Provider Kabeldeutschland, bisher per Kabelmodem angeschlossen, seit
einigen Tagen per Hitron-Kabelrouter (CVE-30360) angeschlossen.

Von bisher Kabelmodem und jetzt Kabelrouter geht es weiter zu einem
Linux-Server, der (wie es sich gehört) die meisten Ports blockiert, aber
einige (insbesondere 22, 80 und 443) akzeptiert.

Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter (inzwischen
auf IPv4 umgestellt) benimmt sich seltsam.

nmap bs.hullen.de

behauptet, dass alle 1000 gescannten Ports gefiltert seien,



behauptet, das (infolge der "Forwarding"-Einstellungen des Routers) die
oben genannten 3 Ports "open" seien. Und die Versuche von Skript-
Kiddies, per SSH auf das System zu kommen, laufen wieder (und werden vom
Linux-Server brav abgeblockt.

ssh bs.hullen.de

gibt nach langer Zeit (2 Minuten) auf,

lynx bs.hullen.de

oder ein entsprechender Versuch per "firefox" wird ebenfalls nach langer
Zeit wegen Zeitüberschreitung abgebrochen.

Wo steckt das Problem? Lügt "ping.eu/port-chk"?

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Ralph Aichinger (17.10.2014, 07:33)
Helmut Hullen <Helmut> wrote:
> Wo steckt das Problem? Lügt "ping.eu/port-chk"?


Vielleicht hab ich noch zu wenig Kaffee, aber:

Mir ist nicht klar (jenseits deiner Ist-Zustand-Beschreibung),
was du überhaupt haben willst. Also:

Was passiert derzeit (hast du weitgehend beschrieben)?
Was soll passieren (das weniger)?
Inwiefern ist da für dich ein Problem gegeben, was funktioniert
nicht das du erwartest?

/ralph -- portscans "sehen" auch nicht immer alles
Juergen Ilse (17.10.2014, 08:05)
Hallo,

Helmut Hullen <Helmut> wrote:
> seit einigen Tagen habe ich ein Problem ...
> Provider Kabeldeutschland, bisher per Kabelmodem angeschlossen, seit
> einigen Tagen per Hitron-Kabelrouter (CVE-30360) angeschlossen.
> Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter (inzwischen
> auf IPv4 umgestellt) benimmt sich seltsam.


Was heisst "auf IPv4 umgestellt"? Kabel Deutschland bietet AFAIK bei
Dualstack-Anschluessen nur "DS-Lite", sprich volle IPv6-Anbindung mit
"Carrier Grade NAT" bei IPv4.

[..]
> oder ein entsprechender Versuch per "firefox" wird ebenfalls nach langer
> Zeit wegen Zeitüberschreitung abgebrochen.
> Wo steckt das Problem? Lügt "ping.eu/port-chk"?


Du duerftest schlicht und ergreifend einen Anschluss mit CGN haben,
und da ist der Zugriff "von aussen" per IPv4 eben nicht moeglich,
auch nicht durch Anpassung der Konfiguration deines Routers. Wenn
das so ist, kommst du an deinen Router oder die Maschinen dahinter
nicht per IPv4 sondern nur per IPv6 heran.

Tschuess,
Juergen Ilse (juergen)
Juergen P. Meier (17.10.2014, 08:30)
Helmut Hullen <Helmut>:
> seit einigen Tagen habe ich ein Problem ...
> Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter (inzwischen
> auf IPv4 umgestellt) benimmt sich seltsam.


War der auf DS-Lite mit CGN gestellt? Wie konntest du KDG davon
ueberzeugen, dir wieder NAtiv IPV4 zu geben?

> nmap bs.hullen.de
> behauptet, dass alle 1000 gescannten Ports gefiltert seien,


Von Wo aus?

>
> behauptet, das (infolge der "Forwarding"-Einstellungen des Routers) die
> oben genannten 3 Ports "open" seien. Und die Versuche von Skript-
> Kiddies, per SSH auf das System zu kommen, laufen wieder (und werden vom
> Linux-Server brav abgeblockt.


TCP-Traceroute von Hetzner aus:
....
12 83-169-175-65-isp.superkabel.de (83.169.175.65) 19.875 ms 19.874 ms 19.861 ms
13 ip4d15d72f.dynamic.kabel-deutschland.de (77.21.215.47) 29.765 ms 28.607 ms 29.752 ms
14 ip4d15d72f.dynamic.kabel-deutschland.de (77.21.215.47) [open] 31.835 ms 33.537 ms 30.112 ms

-> Dein komischer Kabelrouter macht auch NAT. Und ist nicht besonders
schnell. Ich meine 2-4ms ist echt langsam. Deine Kabelverbindung ist
mit ca 10ms recht ordentlich.

> ssh bs.hullen.de
> gibt nach langer Zeit (2 Minuten) auf,


Von wo aus?

> lynx bs.hullen.de


$ telnet bs.hullen.de 80
Trying 77.21.215.47...
Connected to bs.hullen.de.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Fri, 17 Oct 2014 06:38:56 GMT
Server: Apache/2.4.9 (Unix) OpenSSL/1.0.1i PHP/5.4.30 SVN/1.7.10
Connection: close
Content-Type: text/html; charset=iso-8859-1

Connection closed by foreign host.

> oder ein entsprechender Versuch per "firefox" wird ebenfalls nach langer
> Zeit wegen Zeitüberschreitung abgebrochen.


Von wo aus?

> Wo steckt das Problem? Lügt "ping.eu/port-chk"?


Eventuell bei der Quelle und nciht beim Ziel.

Juergen
Helmut Hullen (17.10.2014, 11:16)
Hallo, Juergen,

Du meintest am 17.10.14:

>> seit einigen Tagen habe ich ein Problem ...
>> Provider Kabeldeutschland, bisher per Kabelmodem angeschlossen, seit
>> einigen Tagen per Hitron-Kabelrouter (CVE-30360) angeschlossen.
>> Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter
>> (inzwischen auf IPv4 umgestellt) benimmt sich seltsam.


> Was heisst "auf IPv4 umgestellt"? Kabel Deutschland bietet AFAIK bei
> Dualstack-Anschluessen nur "DS-Lite", sprich volle IPv6-Anbindung mit
> "Carrier Grade NAT" bei IPv4.


In einem der Kabeldeutschland-Foren wurde mehrfach erwähnt, dass
Forwarding nur dann funktioniere, wenn "irgendetwas" auf IPv4
zurückgesetzt sei. Damit konnte der Kundenservice von KD etwas anfangen,
auch die Hotline von Hitron murmelte mehrfach etwas von IPv4. Das
Zurücksetzen hat nichts geändert.

> Du duerftest schlicht und ergreifend einen Anschluss mit CGN haben,
> und da ist der Zugriff "von aussen" per IPv4 eben nicht moeglich,
> auch nicht durch Anpassung der Konfiguration deines Routers. Wenn
> das so ist, kommst du an deinen Router oder die Maschinen dahinter
> nicht per IPv4 sondern nur per IPv6 heran.


Die "Status"-Seite des Modems sagt "IPv4", einige andere Tests sagen das
auch.

Es bleibt rätselhaft ...

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Helmut Hullen (17.10.2014, 12:16)
Hallo, Ralph,

Du meintest am 17.10.14:

>> Wo steckt das Problem? Lügt "ping.eu/port-chk"?


> Vielleicht hab ich noch zu wenig Kaffee, aber:


> Mir ist nicht klar (jenseits deiner Ist-Zustand-Beschreibung),
> was du überhaupt haben willst. Also:


> Was passiert derzeit (hast du weitgehend beschrieben)?
> Was soll passieren (das weniger)?


Ich will von draussen per SSH auf mein System zugreifen können, meine
Verwandschaft will von draussen per HTTP und HTTPS auf die
Familienbilder zugreifen können, viele Leute wollen von draussen per FTP
auf einige Dateien zugreifen können (u.a. *.zip-Pakete von etwa 800
MByte).

Hat mit dem Kabelmodem alles brav funktioniert.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Helmut Hullen (17.10.2014, 12:24)
Hallo, Juergen,

Du meintest am 17.10.14:

>> Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter
>> (inzwischen auf IPv4 umgestellt) benimmt sich seltsam.


> War der auf DS-Lite mit CGN gestellt? Wie konntest du KDG davon
> ueberzeugen, dir wieder NAtiv IPV4 zu geben?


Überzeugen: einer der vielen Anrufe beim Kundenservice.

>> nmap bs.hullen.de
>> behauptet, dass alle 1000 gescannten Ports gefiltert seien,


> Von Wo aus?


Sowohl von drinnen aus als auch (per Fernwartung) von einem anderen
Rechner aus, der in einer anderen Stadt steht.

Sagt "nmap" bei Dir etwas anderes?

>>
>> behauptet, das (infolge der "Forwarding"-Einstellungen des Routers)
>> die oben genannten 3 Ports "open" seien. Und die Versuche von
>> Skript- Kiddies, per SSH auf das System zu kommen, laufen wieder
>> (und werden vom Linux-Server brav abgeblockt.


> TCP-Traceroute von Hetzner aus:
> ...
> 12 83-169-175-65-isp.superkabel.de (83.169.175.65) 19.875 ms
> 19.874 ms 19.861 ms
> 13 ip4d15d72f.dynamic.kabel-deutschland.de (77.21.215.47) 29.765 ms
> 28.607 ms 29.752 ms
> 14 ip4d15d72f.dynamic.kabel-deutschland.de (77.21.215.47) [open]
> 31.835 ms 33.537 ms 30.112 ms


Klar: "traceroute" funktioniert. Wobei "von drinnen über draussen wieder
zurück" nur vielmals "* * *" liefert, also das, was bei Dir nach "83-
169-175-73" kommt.

->> Dein komischer Kabelrouter macht auch NAT. Und ist nicht besonders
> schnell.


Er behauptet, NAT ("Forwarding") zu machen. Aber anscheinend tut er das
nicht. Egal was ich einstelle: "nmap" sagt, dass alles gefiltert sei.

> Ich meine 2-4ms ist echt langsam. Deine Kabelverbindung ist
> mit ca 10ms recht ordentlich.


>> ssh bs.hullen.de
>> gibt nach langer Zeit (2 Minuten) auf,


> Von wo aus?


Von drinnen aus und auch von einem anderen Rechner aus.

>> lynx bs.hullen.de


> $ telnet bs.hullen.de 80
> Trying 77.21.215.47...
> Connected to bs.hullen.de.
> Escape character is '^]'.
> HEAD / HTTP/1.0


> HTTP/1.1 403 Forbidden
> Date: Fri, 17 Oct 2014 06:38:56 GMT
> Server: Apache/2.4.9 (Unix) OpenSSL/1.0.1i PHP/5.4.30 SVN/1.7.10
> Connection: close
> Content-Type: text/html; charset=iso-8859-1


> Connection closed by foreign host.


Und was soll mir das sagen?
Auch Port 80 wird als "gesperrt" oder "closed" angezeigt, jedenfalls von
"nmap". Obwohl ich dafür "forwarding" eingestellt habe.
Allerdings behauptet "ping.eu/port-chk", dass Port 80 "open" sei.

Und Apaches "access_log" meldet zu der Zeit einen Anruf von
213.133.101.xyz, der mit "403" quittiert wurde - der kam also durch den
Router hindurch bis zu meinem Linux-Server.

>> Wo steckt das Problem? Lügt "ping.eu/port-chk"?


> Eventuell bei der Quelle und nciht beim Ziel.


Aber wo? Ich habe inzwischen um Rückbau gebeten ...

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Helmut Hullen (17.10.2014, 13:06)
Hallo,

ich meintest am 17.10.14:

> seit einigen Tagen habe ich ein Problem ...


> Provider Kabeldeutschland, bisher per Kabelmodem angeschlossen, seit
> einigen Tagen per Hitron-Kabelrouter (CVE-30360) angeschlossen.


> Von bisher Kabelmodem und jetzt Kabelrouter geht es weiter zu einem
> Linux-Server, der (wie es sich gehört) die meisten Ports blockiert,
> aber einige (insbesondere 22, 80 und 443) akzeptiert.


> Beim Kabelmodem (natürlich) kein Problem. Der Kabelrouter (inzwischen
> auf IPv4 umgestellt) benimmt sich seltsam.


> nmap bs.hullen.de


> behauptet, dass alle 1000 gescannten Ports gefiltert seien,


>


> behauptet, das (infolge der "Forwarding"-Einstellungen des Routers)
> die oben genannten 3 Ports "open" seien.


Nachtrag:

nmap bs.hullen.de

liefert von Braunschweig aus (eigener Rechner und 2 Nachbarschulen)
nichts (nach etwa 2 Minuten wird gekappt), von Bremen, Meppen und von
Berlin aus werden die per "Forwarding" freigegebenen Ports brav als
"open" angezeigt.

Ähnliches bis gleiches Ergebnis bei einigen per Browser erreichbaren
Online-Scannern.

Seltsam ...

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Ralph Aichinger (17.10.2014, 13:47)
Helmut Hullen <Helmut> wrote:
> nmap bs.hullen.de
> liefert von Braunschweig aus (eigener Rechner und 2 Nachbarschulen)
> nichts (nach etwa 2 Minuten wird gekappt), von Bremen, Meppen und von
> Berlin aus werden die per "Forwarding" freigegebenen Ports brav als
> "open" angezeigt.


Was für eine IP-Adresse zeigt dir dieser Host "von innen" an?
Im DNS steht:

Non-authoritative answer:
Name: bs.hullen.de
Address: 77.21.215.47

Wenn du intern diese Adresse nicht hast, dann ist
irgendwo NAT involviert.

/ralph
Marc Haber (17.10.2014, 13:55)
Helmut (Helmut Hullen) wrote:
>Du meintest am 17.10.14:
>Ich will von draussen per SSH auf mein System zugreifen können, meine
>Verwandschaft will von draussen per HTTP und HTTPS auf die
>Familienbilder zugreifen können, viele Leute wollen von draussen per FTP
>auf einige Dateien zugreifen können (u.a. *.zip-Pakete von etwa 800
>MByte).


Mit CGN kannst Du das vergessen. Abhilfe:

(1) einen Anbieter wählen, der IPv4 ohne NAT anbietet oder
Portforwards in seinem Netz konfigurierbar macht

(2) IPv6 auch auf Clientseite verwenden

(3) einen Server mit echtem IPv4 im Internet buchen und eingehende
Verbindungen (mit einem von daheim aufgebauten Tunnel, sonst geht's
nicht!) nach Hause tunneln

Grüße
Marc
Sven Hartge (17.10.2014, 13:59)
Ralph Aichinger <ralph> wrote:

> Was für eine IP-Adresse zeigt dir dieser Host "von innen" an?
> Im DNS steht:


> Non-authoritative answer:
> Name: bs.hullen.de
> Address: 77.21.215.47


> Wenn du intern diese Adresse nicht hast, dann ist
> irgendwo NAT involviert.


Der CGN-NAT-Tester hier könnte auch
helfen, das Mysterium zu lösen.

Helmut Hullen (17.10.2014, 14:23)
Hallo, Ralph,

Du meintest am 17.10.14:

>> nmap bs.hullen.de
>> liefert von Braunschweig aus (eigener Rechner und 2 Nachbarschulen)
>> nichts (nach etwa 2 Minuten wird gekappt), von Bremen, Meppen und
>> von Berlin aus werden die per "Forwarding" freigegebenen Ports brav
>> als "open" angezeigt.


> Was für eine IP-Adresse zeigt dir dieser Host "von innen" an?
> Im DNS steht:


> Non-authoritative answer:
> Name: bs.hullen.de
> Address: 77.21.215.47


Und das wird auch von "nmap" erkannt.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Helmut Hullen (17.10.2014, 14:26)
Hallo, Marc,

Du meintest am 17.10.14:

[...]

>> Ich will von draussen per SSH auf mein System zugreifen können,
>> meine Verwandschaft will von draussen per HTTP und HTTPS auf die
>> Familienbilder zugreifen können, viele Leute wollen von draussen per
>> FTP auf einige Dateien zugreifen können (u.a. *.zip-Pakete von etwa
>> 800 MByte).


> Mit CGN kannst Du das vergessen. Abhilfe:


> (1) einen Anbieter wählen, der IPv4 ohne NAT anbietet oder
> Portforwards in seinem Netz konfigurierbar macht


[...]

Inzwischen habe ich ja feststellen dürfen, dass das vielleicht ein
regionales Problem ist (wie auch immer das zustande kommen mag). "nmap
bs.hullen.de" wird von (mindestens) 3 Rechnern hier in Braunschweig
nicht ausgeführt, obwohl der Zielrechner selbst erkannt wird. Von
etlichen anderen Städten aus liefert der Befehl brav die freigegebenen
Ports.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
Karl Davis (17.10.2014, 14:53)
Marc Haber <mh+usenetspam1118> wrote:
> (3) einen Server mit echtem IPv4 im Internet buchen und eingehende
> Verbindungen (mit einem von daheim aufgebauten Tunnel, sonst geht's
> nicht!) nach Hause tunneln


Gibt es dazu irgendwo ein HowTo?

Karl
Helmut Hullen (17.10.2014, 15:00)
Hallo, Sven,

Du meintest am 17.10.14:

>> Was für eine IP-Adresse zeigt dir dieser Host "von innen" an?
>> Im DNS steht:


>> Non-authoritative answer:
>> Name: bs.hullen.de
>> Address: 77.21.215.47


>> Wenn du intern diese Adresse nicht hast, dann ist
>> irgendwo NAT involviert.


> Der CGN-NAT-Tester hier könnte
> auch helfen, das Mysterium zu lösen.


Hier wird (u.a.) angezeigt:

IP-Adresse (von draussen gesehen), Info über den aufrufenden Rechner
(alles korrekt),

IPv4 hat einen Haken, IPv6: "not supported".
Danach: nichts Verwertbares.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

Ähnliche Themen