WLAN Kabelmodem Hitron CVE 30360

[MirGro]

Hm, Danke für's zusammenführen.
Habe mich mal etwas eingelesen und einige Dinge geprüft und getestet.

Ich gehe mal davon aus, dass das Forwarding tatsächlich ausgeblendet wird, wenn die Homebox eine IPv6 Adresse erkennt. Irgendwo am Anfang sagte jemand das er mit Hitron telefonierte und es damit zusammenhängt.
Also ich bekomme tatsächlich auch eine IPv6 Adresse von Kabel-Deutschland.

[ externes Bild ]

Unter Firewall gibt es den Tab nicht, aber er ist vorhanden, "nur" ausgeblendet.

[ externes Bild ]

Den kann man auch einblenden wenn man den Quelltext manipuliert.

[ externes Bild ]

Benutzen geht dann auch, aber die Einstellungen bleiben wirkungslos.

Unter "Host Ports" kann man nur IPv6 Adressen eintragen, das sieht dann in etwa so aus. Bleibt aber auch wirkungslos.

[ externes Bild ]

Die Adressen holt man sich über den Punkt "Connected ..."

[Winchester]

Scheint so das du einen IPv6 Anschluss bekommen hast mit DS-Lite. Bekommt den dein PC auch ne IPv6 Adresse zugewiesen? Setzt voraus das bei dir IPv6 am PC installiert und aktiviert ist.

Kannst du bitte mal ein Tracert machen und hier einstellen.

tracert -6 www.heise.de
tracert -4 www.heise.de

Bitte mal auf http://test-ipv6.com gehen und das Ergebnis posten.

Solltest du wirklich DS-Lite haben dann wirst du keine Möglichkeit haben IPv4 Portforwardings einzurichten, weil du hinter einem Carrier Grade NAT sitzt.

Ich kann dein Modem übrigens via IPv6 erreichen:

C:\Windows\System32>tracert 2a02:8108:8000:7:d52e:699e:2643:b23d

Routenverfolgung zu 2a02:8108:8000:7:d52e:699e:2643:b23d über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 2001:470::xxxx
2 18 ms 25 ms 19 ms xxxxxxxx-1.tunnel.tserv26.ber1.ipv6.he.net [2001:470::xxx1]
3 20 ms 28 ms 18 ms gige-g2-20.core1.ber1.he.net [2001:470:0:220::1]
4 22 ms 21 ms 18 ms 2001:7f8:8:5:0:7a66:0:2
5 29 ms 23 ms 22 ms 2a02:8100:4:2::69
6 25 ms 24 ms 24 ms 2a02:8100:4:2::a02
7 26 ms 24 ms 26 ms 2a02:8100:6:2::101:10f
8 33 ms 34 ms 43 ms 2a02:8108:8000:7:d52e:699e:2643:b23d

Ablaufverfolgung beendet.

[MirGro]

Guten Morgen.

Ja natürlich bekommt mein Rechner auch IPv6 Adresse(n).
Das stört mich ja auch nicht. Öffentliche IPv6, interne IPv6, interne IPv6 unter Hostports eingetragen, aber funktioniert ebend nicht.

Aktuell habe ich bei meinem WLAN Adapter am PC unter Eigenschaften das IPv6 Protokoll dekativiert. Nun hat mein PC keine IPv6 Adresse mehr und auch keine Möglichkeit dies zu nutzen.
Trotzdem bleibt der Punkt "Forwarding" versteckt. Das Hitron "erkennt" also nicht, dass der angeschlossene Rechner das Protokoll gar nicht nutzen kann. AUch bekomme ich weiterhin eine Ipv6 Adresse vom Provider.

Ich weiß auch,dass ich am Dienstag / Mittwoch noch keine IPv6 Adresse von Kabeldeutschland bekommen habe und DS-Lite mit großer Wahrscheinlichkeit deaktiviert war, denn da hatte ich den Punkt "Forwarding" noch.

Nun habe ich beim Kundenservice angerufen und nach 3 Versuchen einen fähigen Mitarbeiter an der Leitung der das Problem verstanden hat.
Dieser sagte mir, dass man bei der alten Fritzbox noch einstellen und entscheiden konnte ob man IPv6 oder v4 verwenden möchte und auch dementsprechend eine IP zugewiesen bekommen hat.
Aktuell ist das wohl nicht mehr möglich. Er konnte auch von seinem Platz erkennen, dass DS-Lite aktiviert ist, aber nicht umstellen.

Er findet das auch "merkwürdig" denn irgend jemand muss das ja umgestellt haben, die Frage bleibt halt wo.
Das Problem ist zur Zeit in der Bearbeitung und ich soll innerhalb von 24 h einen Rückruf bekommen.

[Winchester]

Ja natürlich bekommt mein Rechner auch IPv6 Adresse(n).
Das stört mich ja auch nicht. Öffentliche IPv6, interne IPv6, interne IPv6 unter Hostports eingetragen, aber funktioniert ebend nicht.

Ich habe jetzt immer noch nicht ganz verstanden was du überhaupt vor hast. Im Grunde willst du ein Portforwarding einrichten. Aber für welchen Dienst?

Aktuell habe ich bei meinem WLAN Adapter am PC unter Eigenschaften das IPv6 Protokoll dekativiert. Nun hat mein PC keine IPv6 Adresse mehr und auch keine Möglichkeit dies zu nutzen.
Trotzdem bleibt der Punkt "Forwarding" versteckt. Das Hitron "erkennt" also nicht, dass der angeschlossene Rechner das Protokoll gar nicht nutzen kann. AUch bekomme ich weiterhin eine Ipv6 Adresse vom Provider.

Das Hitron wird in dem Modus wie es jetzt ist, vermutlich nie wieder für IPv4 ein Portforwarding anbieten. Weil es ja via IPv4 von Außen auch gar nicht mehr erreichbar ist. Was sollte es denn dann auch forwarden? Wenn du für IPv6 die Firewall des Hitron durchlässig machen möchtest, so ist es sinnvoller nicht die IP der Privacy Extension in die Firewall einzutragen, denn die ändert sich ja früher oder später, sondern die feste IP des Rechners. Oder man gibt dem Rechner eine selbst ausgedachte feste IP Adresse in den Netzwerk Einstellungen.

Ich weiß auch,dass ich am Dienstag / Mittwoch noch keine IPv6 Adresse von Kabeldeutschland bekommen habe und DS-Lite mit großer Wahrscheinlichkeit deaktiviert war, denn da hatte ich den Punkt "Forwarding" noch.

KD strukturiert aber sein Netz um und früher oder später wird es jeden Kunden treffen. Vielleicht haben dann nur noch Business Kunden die Möglichkeit echten DualStack zu bekommen. Wissen tut das aber keiner hier zur Zeit.

Nun habe ich beim Kundenservice angerufen und nach 3 Versuchen einen fähigen Mitarbeiter an der Leitung der das Problem verstanden hat.
Dieser sagte mir, dass man bei der alten Fritzbox noch einstellen und entscheiden konnte ob man IPv6 oder v4 verwenden möchte und auch dementsprechend eine IP zugewiesen bekommen hat.
Aktuell ist das wohl nicht mehr möglich. Er konnte auch von seinem Platz erkennen, dass DS-Lite aktiviert ist, aber nicht umstellen.

Er findet das auch "merkwürdig" denn irgend jemand muss das ja umgestellt haben, die Frage bleibt halt wo.
Das Problem ist zur Zeit in der Bearbeitung und ich soll innerhalb von 24 h einen Rückruf bekommen.

Da noch nicht bekannt ist wo das DS-Light zur Zeit eingeführt wird, wäre es interessant in welchen Bereich du Wohnst. Aber ich denke in den Bereichen wo DS-Light getestet und eingeführt wird, wird der (neu) Kunde keine Möglichkeit haben daran was zu ändern, wenn er das Hitron bekommt.

[MirGro]

Ich habe jetzt immer noch nicht ganz verstanden was du überhaupt vor hast. Im Grunde willst du ein Portforwarding einrichten. Aber für welchen Dienst?

Das ist doch egal. Portforwarding ist ja keine Zauberei, sondern etwas vollkommen normales.
z.B. einen Proxyserver, SSH-Deamon, FTP-Server, ...

Das Hitron wird in dem Modus wie es jetzt ist, vermutlich nie wieder für IPv4 ein Portforwarding anbieten. Weil es ja via IPv4 von Außen auch gar nicht mehr erreichbar ist. Was sollte es denn dann auch forwarden? Wenn du für IPv6 die Firewall des Hitron durchlässig machen möchtest, so ist es sinnvoller nicht die IP der Privacy Extension in die Firewall einzutragen, denn die ändert sich ja früher oder später, sondern die feste IP des Rechners. Oder man gibt dem Rechner eine selbst ausgedachte feste IP Adresse in den Netzwerk Einstellungen.

Hm, mein Hitron zeigt mir zwar eine IPv6 Adresse an, nur kennt die doch keiner. Ich werde nach außen durch eine IPv4 Adresse "repräsentiert". Wenn ich einen einfachen Dienst nutze, z.B. dyndns.org wird dort eine IPv4 Adresse angezeigt, oder über die Internetseite wieistmeineip.de, usw.
Wenn das meine eigene individuelle IP ist, dann könnten sie mir die doch so zuweisen.
So wie ich das verstanden habe, "verstecken" sich hinter dieser IP-Adresse (IPv4) aber viele IPv6 Adressen, und nur die sind individuell. Wenn aber von außen nur die IPv4 IP angesprochen wird, über einen bestimmten Port, und dann der restlichen Verkehr dann auf meine individuelle IPv6 Adresse geroutet wird, dann kommen diese "Anfragen" vermutlich gar nicht erst bei mir an.

Da noch nicht bekannt ist wo das DS-Light zur Zeit eingeführt wird, wäre es interessant in welchen Bereich du Wohnst. Aber ich denke in den Bereichen wo DS-Light getestet und eingeführt wird, wird der (neu) Kunde keine Möglichkeit haben daran was zu ändern, wenn er das Hitron bekommt.

Ich wohne in Barsinghausen (bei Hannover).

[Winchester]

Hm, mein Hitron zeigt mir zwar eine IPv6 Adresse an, nur kennt die doch keiner. Ich werde nach außen durch eine IPv4 Adresse "repräsentiert". Wenn ich einen einfachen Dienst nutze, z.B. dyndns.org wird dort eine IPv4 Adresse angezeigt, oder über die Internetseite wieistmeineip.de, usw.
Wenn das meine eigene individuelle IP ist, dann könnten sie mir die doch so zuweisen.
So wie ich das verstanden habe, "verstecken" sich hinter dieser IP-Adresse (IPv4) aber viele IPv6 Adressen, und nur die sind individuell. Wenn aber von außen nur die IPv4 IP angesprochen wird, über einen bestimmten Port, und dann der restlichen Verkehr dann auf meine individuelle IPv6 Adresse geroutet wird, dann kommen diese "Anfragen" vermutlich gar nicht erst bei mir an.

Ich wohne in Barsinghausen (bei Hannover).

Die Adresse deines Modems ist auch im Grunde uninteressant, weil es jetzt IPv6 spricht. Dienste werden nicht mehr auf dem Modem/Router terminiert und dann per DNAT ins LAN geleitet, sondern deine LAN Hosts sind, wenn im Modem/Router die Firewall zu diesem Host offen ist, direkt aus dem Internet erreichbar.

Wie schon mal geschrieben. Du hast keine eigene IPv4 Adresse mehr. Du wirst vom Provider genatet und somit wirst du keine Chance haben einen IPv4 Dienst bei dir zu hause zu hosten. Du könntest höchstens Dienste hosten via IPv6. Aber das setzt voraus, das deine Gegenstelle auch IPv6 spricht. Ein IPv4 Host wird also niemals auf die Dienste zugreifen können die du via IPv6 anbietest.

[Mattkowski]

habe das gleiche Problem, dass ich keine Ports öffnen kann und bei KD wird man nur abgewimmelt: "wenn ihr Internet und Telefon funktioniert dann ist das ein PC Problem, windows neu installieren oder an einen Techniker wenden... "

ich würde gerne Ports freigeben damit ich u.a. Spiele Server starten kann, aber wie es scheint ist das mit KD nicht möglich.

[petertxt]

Wie schon mal geschrieben. Du hast keine eigene IPv4 Adresse mehr. Du wirst vom Provider genatet und somit wirst du keine Chance haben einen IPv4 Dienst bei dir zu hause zu hosten. Du könntest höchstens Dienste hosten via IPv6. Aber das setzt voraus, das deine Gegenstelle auch IPv6 spricht. Ein IPv4 Host wird also niemals auf die Dienste zugreifen können die du via IPv6 anbietest.

Bei DS-Lite gibt es auch PCP (Port Control Protocol), mit dem der Router beim KDG-Proxy die Portfreigaben usw. anfordern kann. Damit sollte man auch bei DS-Lite die IPV4 Dienste hosten können. Im folgenden AVM-Dokument ist das erwähnt (PCP):
http://www.avm.de/de/Extern/files/ipv6/ ... ote_de.pdf

Wie das funktionieren soll, wenn mehrere Benutzer, die sich dieselbe öffentliche IPV4 teilen, dieselben Ports anfordern, ist mir nicht bekannt.

Weiss jemand, wie es rechtlich damit aussieht? Wenn jemand mit derselben IPV4, die mir zugeiteilt wird, was anrichtet und dann ermittelt wird, wer diese IP hatte? Die IP hatten sich ja mehrere Kunden geteilt. Oder jemand macht port scan und die IP kommt für einige Minuten auf die schwarze Liste. Dann kann ich als Benutzer derselben IP auch nichts mehr machen. Bei bestimmten Diensten (z.B. Asterisk VoIP) wird nach der Anmeldung der Zugriff von allen Ports dieser IP erlaubt. Das könnte jemand missbrauchen, um in meinem Namen auf solche Dienste zuzugreifen.

[Winchester]

Moin!

ich würde gerne Ports freigeben damit ich u.a. Spiele Server starten kann, aber wie es scheint ist das mit KD nicht möglich.

Also sollte sich das bei KD weiter durchsetzen, dann scheint KD wohl Vorreiter in Sachen IPv6 in Deutschland zu werden noch vor der Telekom, Respekt! Aber die Nachteile sind für einige Kunden gravierend, welche nicht mehr den vollen IPv4 Funktionsumfang benutzen können. Ob und wie man ein Anrecht hat ist die Frage. Da müsste man den Anwalt seines Vertrauens mal beauftragen und nen Musterprozess führen. Ansonsten werden das aber Ausnahmen sein, denn die Mehrheit der KD Kunden werden nicht so Technik Affin sein und mit normalem Surfen, Mailen, usw. auskommen und merken nicht mal das sie CGN benutzen. Ist doch wie bei den Smartphones. Da wird ja auch nur CGN benutzt und kaum einer beschwert sich. Twitter, Facebook und co. funktionieren damit auch.

Weiss jemand, wie es rechtlich damit aussieht? Wenn jemand mit derselben IPV4, die mir zugeiteilt wird, was anrichtet und dann ermittelt wird, wer diese IP hatte? Die IP hatten sich ja mehrere Kunden geteilt. Oder jemand macht port scan und die IP kommt für einige Minuten auf die schwarze Liste. Dann kann ich als Benutzer derselben IP auch nichts mehr machen. Bei bestimmten Diensten (z.B. Asterisk VoIP) wird nach der Anmeldung der Zugriff von allen Ports dieser IP erlaubt. Das könnte jemand missbrauchen, um in meinem Namen auf solche Dienste zuzugreifen.

Hinter einem CGN ist man wohl auch nicht gegen Strafverfolgung sicher. Ich kann mir vorstellen das da auch in irgendeiner Weise die Sessions vielleicht mit protokolliert werden und einem Kunden zugeordnet werden können. Wobei das wesentlich aufwendiger ist als nur die Zuordnung einer IP zu einem Kunden.

Ansonsten kann man nur hoffen das IPv6 dann auch im restlichen Internet langsam in Fahrt kommt, so das man dann die Nachteile im IPv4 Bereich nicht mehr so wahrnimmt. Spiele Hersteller sollten genauso IPv6 in ihre Produkte integrieren und Server auf diesem Protokoll anbieten. Denn die Zeit für frische IPv4 Adressen von den RIRs läuft bald ab und die ersten v6 only Hosts werden kommen. Jeder der jetzt IPv6 vom Provider bekommt, sollte bei der Auswahl z.B. seines VoIP Providers nach IPv6 fragen und Anbieter mit v4 Only links liegen lassen. Blöd wenn man Laufzeitverträge hat, aber wenn jetzt mehr Kunden IPv6 fähige Zugänge bekommen, steigt vielleicht auch der Druck bei anderen Dienste Anbietern endlich dieses Protokoll einzusetzen. Genau das ist ja das Problem bislang gewesen, die einen haben nichts gemacht weil die anderen nichts gemacht haben. Jetzt fangen die Provider an, dann sollte man auch als Kunde Druck bei seinem VoIP Hoster, Spiele Anbieter usw. machen.

IPv6 muss ein Must Have werden, bei jedem Anbieter von Internet Dienstleistungen, und für IPv4 sollten die Weichen Richtung Abstellgleis gestellt werden.

*EDIT* Mich würde mal bei denen die jetzt schon IPv6 haben interessieren was für ein Netz fürs LAN bereit gestellt wird. Gibts nur ein /64 oder ein /56 Subnet? Vielleicht kann man das irgendwo im Hitron sehen.

[koaschten]

Best Practice sollte /48 oder /56 sein, je nachdem wonach sich KDG richtet, /56 ist der ARIN Vorschlag für consumer subnets.