Netneutraliteit en Experiabox .. Een grote flop ?

  • 19 juni 2014
  • 17 reacties
  • 1954 keer bekeken

Beste KPN,

Ik heb onlangs zowel een Experiabox V8 als een Experiabox V9 ontvangen, nu biedt de v9 wel meer functionaliteiten, echter word deze in de firmware door u afgeschermd.

Graag wilde ik ICMP blokade en de security settings ZELF bepalen, iets wat ook mogelijk zou moeten zijn volgens uw eigen website omtrend netneutraliteit

"Sinds 1 januari 2013 is in de Telecommunicatiewet het onderwerp Netneutraliteit opgenomen. Dit betekent o.a. dat er binnen de internettoegangsdienst niets geblokkeerd mag worden en dat verschillende verkeersstromen gelijk behandeld moeten worden. Hierop zijn tevens vier uitzonderingen benoemd. Zo mag er bij netwerkcongestie de snelheid worden beperkt, mits daarbij gelijke soorten verkeer gelijk worden behandeld. Ook mag een internet aanbieder onder voorwaarden ongevraagde communicatie en ander kwaadaardig internetverkeer blokkeren. Tenslotte mag ten uitvoering van een wettelijk voorschrift of rechterlijk bevel de toegang worden belemmerd."

Mijn inziens neem ik een dienst af, namelijk ongelimiteerd (qua mogelijkheden) internet via een glasvezel voor mijn thuisnetwerk.

Op dit moment is naar mijn inziens de dienst behoorlijk gelimiteerd, daar ik geen fatsoenlijke VPN of IPv6 tunnels kan opzetten door de ICMP blokade, tevens wens ik zelf de keuze vrijheid te hebben wat er wel of niet afgeschermd word op mijn persoonlijke netwerk.

Met vriendelijke groet,

Ronny


17 reacties

Reputatie 7
Hoi rroethof, welkom op het forum.

Het is correct dat je alleen regels kunt opzetten voor het forwarden van UDP en TCP protocollen en dit niet kunt doen op basis van IP.

Helaas zie je deze mogelijkheid alleen bij dure professionele routers voor de zakelijke markt.

Het fenomeen waar jij hier tegenaan loopt heeft waarschijnlijk echter niets te maken met het blokkeren van ICMP.

Het ICMP protocol wordt netjes geforward naar de DMZ Host die op jouw Experia Box ingesteld is.

Als jij jouw VPN Server (tweede router?) zo configureert als aangegeven in Gebruik een eigen router achter de Experia Box dan komt ook ICMP daar keurig op aan.

Dan nog zul je echter problemen ervaren met het opzetten van IPSec tunnels aangezien hier het fenomeen "double natting" dan roet in het eten gooit.

Door de juiste VPN Cliënt software te kiezen is dit echter weer te omzeilen.

Ook ik heb naar alle tevredenheid een Cisco VPN server (router) achter mijn V9 staan waarmee ik meerdere host-to-host en host-to-client VPN's heb openstaan.

Hoi wjb,

Het fenomeen waar ik tegenaanloop heeft alles te maken met ICMP, daar b.v. sixxs.net of he.net of welke willekeurige IPv6 tunnelboer ICMP verreist voor een tunnel, daarnaast heb ik iig met de Experiabox V8 grote problemen als ik DMZ aanzet en daarnaast simpele poorten naar PC 2 wil forwarden, dan happert deze bij het leven en is het zelfs merkbaar op mijn deskop (PC 6)

Tevens zoals jij al vernoemde zit je in de situatie die jij schetst met dubble nat, dus een onwerkbare situatie.

Op dit moment ben ik dan ook aan het kijken bij mijn werkgever om een Juniper SRX 240/260 om deze als persoonlijke router in te zetten, daar de 'afgesloten' bagger van KPN niet werkbaar is.

Reputatie 6
Badge +9
Verwacht met een derden modem of router geen ondersteuning vanuit KPN als je in de **bleep** zit.

Over dichttimmeren, dat mag kpn gewoon volgens deze regel uit jou tekst:

Ook mag een internet aanbieder onder voorwaarden ongevraagde communicatie en ander kwaadaardig internetverkeer blokkeren.

Dat dichttimmeren gebeurd dus van KPN uit om de veiligheid te garanderen, dus voldoen ze gewoon aan die voorwaarden, of zien wij dat verkeerd?

Hoi sveld84,

Wie zegt dat ICMP kwaadaardig internet verkeer is ?

Op mijn internetverbinding heb ik nog altijd te bepalen wat ik zelf als kwaadaardig beschouw, en ja ICMP zou ik wel blokeren, echter zou ik wel een whitelist willen toevoegen dan.

Ronny

Reputatie 6
Badge +9
Nee, jij hebt niets te bepalen, om het maar zo te zeggen.

Het is namelijk zo dat KPN ook de PLICHT heeft andere gebruikers te beschermen. Als er doordat dergelijke functies openstaan dingen bij jou mis gaan er andere gebruikers van KPN gevaar lopen dan is dat zeker niet aan jou om te bepalen wat kwaadaardig is en wat niet.

Het is natuurlijk niet gezegd dat alles kwaardaardig is, maar er zitten kansen in dat het eventueel kwaadaardig kan zijn. KPN doet dit alles puur uit veiligheidsoverwegingen, voor de gemiddelde gebruiker geen probleem, alleen voor mensen als bijvoorbeeld jij, wjb en ik zou dat lastiger kunnen zijn ja dat klopt.

Reputatie 7
Off-topic:
@sveld84,

Dat jij vindt dat KPN "onder voorwaarden" de router zomaar mag dichttimmeren is mijns inziens iets te kort door de bocht.

Deze "voorwaarden" zijn namelijk nogal strikt:

- Aantoonbaar misbruik van het netwerk van KPN

- Gebruiker is op de hoogte gesteld en in de gelegenheid gesteld het misbruik te beëindigen

of

- Stabiliteit/veiligheid van het KPN netwerk is in het geding

- Gebruiker is op de hoogte gesteld en na het wegnemen van de dreiging door de gebruiker wordt de blokkade opgeheven. (Denk hierbij aan het in quarantaine stellen van een gebruiker.)

of

- Gerechtelijk bevel

 

Zo is ook het blokkeren van TCP poort 25 (SMTP) tegen de regels en zou KPN dit niet mogen.

Helaas is onze overheid niet "bereid" om dit ook te handhaven en hebben bijna alle ISP's TCP poort 25 geblokkeerd. Het mag echter niet, het wordt blijkbaar gedoogd.

Overigens is de gebruiker ook niet gek en gebruikt gewoon een ander poortnummer zoals 587 om deze op het LAN te forwarden op poort 25 waardoor het alsnog mogelijk is een eigen mailserver te hebben.

 

On-topic:

 

Blijkbaar wil TS gebruik maken van zogenaamde ICMP tunnels (ICMPTX zie Wikipedia ICMP Tunnel).

Hierbij wordt gebruik gemaakt van Echo request en Echo response berichten (ping) waarbij de daadwerkelijke communicatie pakketjes "geïnjecteerd" worden in het Echo bericht om zodoende door firewalls heen te kunnen communiceren.

 

Ik heb geen ervaring met dergelijk ICMP tunnels, wel is het zo dat hierbij "misbruik" gemaakt wordt van de Echo berichten (ICMP) en dat je mijns inziens niet van een ISP kan eisen dit te ondersteunen.

 

Zolang deze communicatie maar op het LAN (achter de Experia Box) geïniteerd worden zou dit eigenlijk gewoon moeten werken, immers een gewone ping (ICMP) werkt ook.

 

De tweede alinea in de "Technical details" van het door mij aangehaalde artikel geeft de onbetrouwbaarheid dergelijke implementaties aan die door TS ervaren worden.

Reputatie 1
Badge
Het ICMP protocol is nooit bedoeld voor dergelijke toepassingen, het is dus oneigenlijk gebruik van een protocol en dat wordt vaak geblokkeerd door providers, ook bijv. Wake-On-Lan pakketten worden door praktisch alle providers geblokkeerd (tenzij via een VPN).

Dit blokkeren gebeeurt echter meestal niet in de klant router maar in het achterliggende netwerk van de provider (de grote routers zeg maar).

Netneutraliteit wil dus niet zeggen dat je maar alles mag doen en laten op een netwerk, het houd gewoon in dat bijv Youtube niet geknepen wordt en uitzending gemist wel.

Het ICMP protocol word hier ook niet gebruikt zoals men blijkbaar denkt.

Het ICMP protocol word hier gebruikt ter controle van een werkende tunnel end point, de daadwerkelijke tunnel zelf werkt via protocol 41

" *Two important notes: 

  1. Your IPv4 endpoint address must be reachable via ICMP (Internet Control Message Protocol).
  2. If you are using a NAT (Network Address Translation) appliance, please make sure it allows and forwards protocol 41.
What is Protocol 41? Protocol 41 is one of the Internet Protocol numbers. Within the IPv4 header, the IPv4 Protocol field is set to 41 to indicate an encapsulated IPv6 packet."

Dus de situatie die RonaldMeesters omschrijft gaat in deze niet op, het gaat hier puur om een ICMP type 8 en type 11.. welke onschuldig zijn en dus mijn inziens gewoon open gezet moet kunnen worden.

Mijn inziens kan dit best dichtgezet worden by default, maar laat voor de meer ervaren klanten aub de optie wel open om dit open te zetten.

Reputatie 1
Badge
Ah nu snap ik wat je bedoeld.

Tja, de meeste routers van providers blokkeren dergelijk verkeer omdat dergelijk verkeer vaak voor DDOS aanvallen wordt gebruikt om netwerk apparatuur op de knieen te dwingen, vergeet niet die rouers zijn bedoeld voor de gemiddelde gebruiker, en die maken geen gebruik van dergelijke dingen.

Maar in principe zou een goed ingestelde DMZ host dergelijk verkeer gewoon moeten ontvangen.

In principe wel, echter als ik dan naast de DMZ b.v. poort 1111 (ik noem maar iets) forward naar een 2e adres, dan krijg ik allerlei netwerk hickups, o.a. slechte dns lookups.

Reputatie 1
Badge
Ook dat zou gewoon moeten werken.

Reputatie 7
Het is niet zo dat de Experia Box deze IP protocollen blokkeert.

Ze kunnen alleen niet vanaf Internet geïnitieerd worden (wel vanaf een apparaat op het LAN) aangezien er op een Experia Box geen port forwarding gedefinieerd kan worden op basis van IP protocollen. Port forwarding is alleen maar mogelijk op basis van UDP en TCP poorten.

Het forwarden op basis van IP protocollen zien we bijna alleen op duurdere professionele routers.

Overigens is het zo dat alle inkomende berichten waarvoor geen port forwarding gedefinieerd is (en dus ook deze) geforward zal worden naar de DMZ Host achter de Experia Box.

Dit betekent dus ook dat een DMZ Host deze berichten wel zal ontvangen.

Je geeft aan dat je problemen krijgt zodra je een DMZ Host definieert en port forwardings naar een ander apparaat configureert.

Wat voor een apparaat heb je dan als DMZ Host gedefinieerd?

Wat is het LAN IP adres van dit apparaat en welk IP adres is er dan bij de DMZ Host ingesteld?

Reputatie 4
Badge +1
Details bij het toewijzen van DMZ.

- IP adres moet bekend zijn bij de ingebouwde DHCP server. Zelf toegewezen statics werken niet.

- Enkele KPN service poorten zijn uitgezonderd, iemand kan die vast wel toelichten.

 

Hoewel er sprake is van een dubbele nat, is dit niet hinderlijk met DMZ. Het kost je hoogstens een ms latency.

Reputatie 7
Alleen TCP poort 8085 is voor het beheer van de Experia Box gereserveerd.

Reputatie 7
@RonaldMeesters,

TS bedoelt ook eigenlijk niet de Netneutraliteit, maar de telecommunicatiewet en daarin is opgenomen dat een provider op geen enkele wijze toegang tot het publieke netwerk mag beperken anders dan onder de voorwaarden die ik in een voorgaand antwoord heb beschreven, ook niet voor "oneigenlijk" gebruik van protocollen.

Ik betwijfel dan ook ten zeerste dat "oneigenlijk" gebruik door de meeste providers geblokkeerd zal worden.

Overigens grappig dat je Wake-On-Lan hierbij betrekt en blij dat KPN niet behoort tot de providers die dit blokkeren.

Wel is het zo dat bij Wake-On-Lan een andere problematiek speelt en daar ben ik dit topic voor gestart.

Reputatie 1
Badge
wjb schreef:@RonaldMeesters,

TS bedoelt ook eigenlijk niet de Netneutraliteit, maar de telecommunicatiewet en daarin is opgenomen dat een provider op geen enkele wijze toegang tot het publieke netwerk mag beperken anders dan onder de voorwaarden die ik in een voorgaand antwoord heb beschreven, ook niet voor "oneigenlijk" gebruik van protocollen.

Het KPN netwerk != publieke netwerk, op het eigen gedeelte van KPN mag KPN weldegelijk bepaalde protocollen weigeren cq blokkeren, ze mogen alleen geen onderscheid maken tussen verschillende aanbieders, of alle aanbieders weigeren of geen enkele.

Meestal doen providers dat ook niet actief maar worden dergelijke dingen geblokkeerd door de core-routers van het netwerk en die wordemn vaak al door de fabrikant zo ingesteld om dergelijke dingen te weigeren.

Soms maak je mee dat een bepaald ding wel werkt tussen jou en buurman X (die ook KPN heeft) maar niet met buurman Y die toevallig Ziggo heeft.

Soms zal WOL wel werken maar zit je bijv in het buitenland dan komt dat zelfde WOL pakketje ineens niet meer aan (had een oud collega van mij, in Nederland wou het wel, vanuit het buitenland niet)

Reputatie 7
Beste RonaldMeesters,

Misschien is het goed dat jij de telecommunicatiewet nog eens goed doorleest.

Het is elke provider in Nederland verboden om ook maar enige beperking op te leggen in de communicatie tussen het apparaat van de eindgebruiker en het publieke netwerk en dus ook niet op het eigen gedeelte van dat netwerk.

In "juridische" termen wordt onder het publieke netwerk overigens verstaan: Alle infrastructuur tussen het randapparaat (router) van de eindgebruiker en Internet.

Het is dan ook (met alle respect) onzin om te stellen dat de core-routers dit al blokkeren en dat leveranciers van die routers dit zelf of in opdracht van de provider zo instellen.

Bij KPN wordt er overigens niets geblokkeerd met uitzondering van TCP poort 25 (SMTP).

Helaas wordt dit gedoogd door onze wetgever (onder het mom van iedere provider doet dat, dus zal er wel een valide reden zijn), maar de wetgeving hierin is glashelder, het mag niet.

Note: De eindgebruiker is in "juridische" termen weer de rechtspersoon t.b.v. wie contractueel het randapparaat geïnstalleerd is.

Dit kan dus ook een bedrijf zijn die vervolgens op het eigen lokale netwerk dan wel weer beperkingen mag opleggen.

Reageer