Beantwoord

Kan poort 4500 niet gebruiken als forward

  • 8 februari 2017
  • 23 reacties
  • 463 keer bekeken

Ik heb sinds vandaag de nieuwe router van Telfort ontvangen en dit gaat via KPN.

Ik heb een IPSEC/IKE protocol draaien op mijn raspberry pi 2 alleen wanneer ik poort 4500 UDP probeer te forwarden krijg ik een melding dat het gereserveerd is op de modem.

Heeft iemand idee waarom ik dit bericht krijg en hoe de poort kan gebruiken.
icon

Beste antwoord door Joran 14 februari 2017, 11:57

Dat kon me niet worden verteld omdat dit afhankelijk is van de ontwikkel en testtijd. Verdere details heb ik niet gekregen. Het verschil in connectiemodel moet ik daarom schuldig blijven.

Ik sluit me voor nu aan bij de reactie van Jurgen. Telfortklanten zijn de dupe geworden van een implementatie van firmware die op KPN is gericht. De V8 is voor nu een goed alternatief tot de update er is. De druk die zij hebben gelegd bij het firmwarebeheer heeft geholpen om over te gaan tot actie. Ik ga ervan uit dat de update op korte termijn beschikbaar is voor alle gebruikers.
Bekijk origineel

23 reacties

Reputatie 7
Kan je hier eens een screenshot van die melding plaatsen?
Alstublieft
Reputatie 7
Laat KPN het niet in z'n hoofd halen iets soortgelijks te gaan doen, mijn klacht zal binnen 24 uur ingediend zijn.
Die melding krijg je bij een V10 voor KPN gelukkig ook niet.


Maak hiervan melding op het forum van Telfort. http://forum.telfort.nl
Dien een formele klacht in bij Telfort en wijs hen op de telecommunicatiewet waarin staat dat een provider geen diensten mag blokkeren. In dit geval wordt het je onmogelijk gemaakt om inkomende IPSec VPN tunnels op te kunnen zetten en dat is zeer kwalijk. Voor IPSec VPN tunnels is o.a. UDP poort 4500 benodigd en die wordt blijkbaar geblokkeerd op de V10 met "Telfort firmware"..

@KPN Webcare: Hebben jullie andere kanalen richting Telfort, want dit is echt heel kwalijk. Hier wordt de klant een mogelijkheid ontnomen om veilige verbindingen met zijn/haar thuisnetwerk op te zetten en dat mag je als provider natuurlijk nooit blokkeren.
Reputatie 7
Badge +30
Wesley, welke firmware draait er op jouw Experiabox?
Bij status ---> device information heb ik het volgende kunnen vinden:

Model H369A
Serial Number ZTEEG8GG9D01226
Hardware Version V1.00
Software Version V1.01.01T01.4v3
Boot Loader Version V1.0.00
xDSL PHY Version A2pvbH042p.d26j
MAC Address 70:2e:22:8a:8b:23

Ik zal ook een forum post aanmaken op Telfort
Ik heb even in de telecommunicatie wet gekeken. Dit vind ik in artikel 1.1: interconnectie: specifiek type toegang dat wordt gerealiseerd tussen exploitanten van openbare netwerken, inhoudende het fysiek en logisch verbinden van openbare communicatienetwerken die door dezelfde of een andere onderneming worden gebruikt om het de gebruikers van een onderneming mogelijk te maken te communiceren met die van dezelfde of van een andere onderneming of toegang te hebben tot diensten die door een andere onderneming worden aangeboden;

Artikel 5.12
1 Aanbieders van openbare elektronische communicatienetwerken zijn over en weer verplicht te voldoen aan redelijke verzoeken tot het medegebruik van de voorzieningen waarop de gedoogplicht van toepassing is. Hierbij worden in ieder geval de technische mogelijkheden in acht genomen.

Artikel 11.2a
1 Onverminderd het Wetboek van Strafrecht en het overigens bij of krachtens deze wet bepaalde, dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens via hun netwerken onderscheidenlijk hun diensten.
2 De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens tenzij en voor zover:
a. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
b. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
c. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
d. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.
3 Voorafgaand aan het verkrijgen van toestemming als bedoeld in het tweede lid, onderdeel a, verstrekt de aanbieder aan de abonnee de volgende informatie:
a. de soort gegevens die wordt afgetapt, afgeluisterd, onderschept of gecontroleerd;
b. de doeleinden waarvoor de gegevens worden afgetapt, afgeluisterd, onderschept of gecontroleerd, en
c. de duur van het aftappen, afluisteren, onderscheppen of controleren van de gegevens.
4 Een abonnee kan de verleende toestemming, bedoeld in het tweede lid, onderdeel a, op elk moment intrekken.

http://wetten.overheid.nl/BWBR0009950/2017-01-01.



Meer kan ik niet vinden in de wet. Misschien weet jij wel waar het staat Wjb.
Reputatie 7
Zo te zien zijn V1.01.01T firmwares die voor Telfort en V1.01.00T firmwares die voor KPN.

Nogmaals Telfort zal dit moeten corrigeren, dit is onacceptabel. (Telecommunicatiewet)
Reputatie 7
Badge +28
@KPN Webcare: Hebben jullie andere kanalen richting Telfort, want dit is echt heel kwalijk. Hier wordt de klant een mogelijkheid ontnomen om veilige verbindingen met zijn/haar thuisnetwerk op te zetten en dat mag je als provider natuurlijk nooit blokkeren.

De firmwaremakers werken zowel voor Telfort als KPN. Ik heb deze vraag bij hun neergelegd en laat weten wat er uit komt.
Dan houden we de post nog even open en wachten we netjes op antwoord van jouw Joran. Ik heb ook een topic geopend op Telfort forums alleen nog geen antwoord op gekregen.
Ik heb eindelijk reactie ontvangen en dit komt er uit.

Jurgen - Telfort

Community Manager
Reacties: 461

18 uur geleden Rapporteer5
Hi Wesley,

Het klopt dat poorten 4000 tot 5000 gereserveerd zijn in het Experia Box V10-modem. Het is bewust zo ingesteld door de leverancier voor moederbedrijf KPN, maar dat levert helaas problemen op - specifiek voor Telfort-klanten die de poorten willen gebruiken.

Omdat slechts 0,1% van onze klanten doen aan port fowarding en er maar een klein aantal van onze klanten de V10 gebruikt, zit er niet veel druk achter de wijzigingen die nodig zijn om de poorten open te stellen. Wel is er inmiddels actie gevraagd bij de leverancier.
Reageer Like 0


Verder:


Hi Wesley,

Ik begrijp je teleurstelling en irritatie, en daarom wil ik benadrukken: de blokkades van de Experia Box V10 zijn een tijdelijk probleem. Ook wil ik herhalen dat de poortreserveringen bewust zijn doorgevoerd door KPN voor alle KPN-merken die het modem inzetten en dat het alleen een nadelig effect heeft op Telfort, omdat we bij Telfort een ander connectiemodel gebruiken dan bij KPN.

Ik heb de urgentie voor een structurele oplossing voor de V10 nogmaals doorgegeven aan de collega's die hiervoor verantwoordelijk zijn. Dit hebben we de afgelopen maanden ook meerdere malen gedaan.

De enige vlotte oplossing die ik je kan aanbieden is een vervangende Experia Box V8 die ik je per post kan toesturen.


Kort samengevat legt deze meneer Jurgen van Telfort de schuld bij KPN en de leverancier af. Ik heb daaronder gevraagd waarom het voor Telfort niet mogelijk is om de firmware gelijk te maken met die van de KPN gebruikers aangezien het letterlijk één klein stukje lager is dan die van Telfort, Telfort beheert de routers en hebben hier ook toegang tot.

Verder lijkt mij een v8 router niet aangenaam. :?
Reputatie 7
Badge +30
Waarom zou dit te maken hebben met de "connectiemodel"? Ik zie op dit moment geen reden waarom daarom die poorten niet te gebruiken zijn.

Een V8 is qua WiFi een hele downgrade t.o.v. de V10.
Reputatie 7
Heb je "meneer Jurgen" al gewezen op de netneutraliteitsverordening (pdf) en, daarmee samenhangend, het feit dat het verboden is poorten te blokkeren.

Dit kan echt niet en ik ga er vanuit dat dit op hele korte termijn gecorrigeerd zal worden.
Ik en zo te zien ook 3 andere mensen hebben dat inderdaad neer gelegd en er is nog geen reactie geplaatst door telfort. De enige oplossing is een v8 kast opgestuurd krijgen. Ik vraag me alleen af waarom het niet gewoon mogelijk is om een nieuwe firmware op de huidige router te zetten. Telfort beheert de routers en kunnen daar ook bij neem ik aan.

Op de boven staande vraag heb ik nog geen antwoord gekregen
Reputatie 7
Badge +30
Tuurlijk kunnen ze wel een nieuwe firmware pushen, maar dan moeten ze eerst die beperking er uit halen en dat is, bij KPN/Telfort, heeeel veel werk.
Reputatie 7
Tuurlijk kunnen ze wel een nieuwe firmware pushen, maar dan moeten ze eerst die beperking er uit halen en dat is, bij KPN/Telfort, heeeel veel werk.Namelijk een meeting plannen met alle betrokkenen, drie uur vergaderen, vergaderverslag opstellen, rondsturen en accorderen, advies opstellen voor de beslissingsbevoegde manager, toelichten advies in management meeting, besluitvormingsproces afwachten, oplossingsvoorstel formuleren, oplossingvoorstel afstemmen met ontwikkelaar, aangepaste functionaliteit testen, regressietest overige functionaliteit, Go/NoGo beslissing voor uitrollen van de aanpassing en niet te vergeten, tussendoor af en toe ook nog een kopje koffie. Dan snap je waarschijnlijk dat 2018 moeilijk haalbaar zal zijn. 😞
Uhm goed idee. Ik ga er van uit dat Telfort dan allang is aangeklaagd. Het ging om een 0.1% van de gebruikers ging. Ik snap niet waarom het zo lang moet duren.
Ik heb op de Telfort forums geen antwoord gekregen waarom poorten zijn gereserveerd, Er is aangegeven dat hier bewust voor is gekozen en daar bleef het ook bij. De enige mogelijkheid dat ik heb ik een V8. Moet dan maar want de VPN tunnel heb ik wel nodig. Wat ik ook heel storend vind is dat zomaar een antwoord wordt gemarkeerd en daarom de topic gelijk is gesloten. Ik heb dit zelf niet gedaan. Volgens mij wilt Telfort dit probleem in een hoek douwen en niet meer naar om kijken want ik krijg 0 informatie vanuit Telfort en word keihard genegeerd. Gelukkig zijn er redelijke mensen die hebben gereageerd. Alleen niemand anders kon het forum vinden omdat het gelijk wel gesloten. Jammer.

Ik ga maar eens bellen voor een V8 routertje dan maar. Ik hoop dat hier wel informatie is binnengekomen over waarom Telfort dit doet en hiervoor heeft gekozen. Meneer Jurgen heeft de schuld in ieder geval bij KPN en jaar leverancier gelegd.
Reputatie 7
Laat ik je één ding zeggen, Telfort mag daar helemaal niet voor kiezen, dat is wettelijk niet toegestaan omdat zij jou hierbij weerhouden om alle via Internet aangeboden diensten te kunnen gebruiken.
Het is echt van de zotte dat ze met droge ogen beweren dat hier bewust voor gekozen is. Ze blokkeren hiermee de zowat meest secure methode voor het opzetten van VPN verbindingen en dat kan toch niet een "bewuste keuze" zijn. Nee, als ik klant bij Telfort zou zijn, dan had ik op de dag van constatering al een formele klacht ingediend, dit kan en mag echt niet!!!
Dat zal ik ook wel doen. Ik zelf kan er helaas niks aan doen en op de Telfort forums is niks te vinden of je wordt opzei geschoven. Ik heb geen idee wat KPN zelf er aan kan doen maar goed. 'S maandags even bellen voor een andere kastje en wat vragen stellen.
Reputatie 7
Badge +28
Ik heb eenzelfde reactie gekregen als Jurgen. Het connectiemodel zou anders zijn tussen KPN en Telfort, daardoor kunnen KPN klanten de poortrange wel blijven gebruiken. Wat er precies anders is in het connectiemodel en waarom er zoveel poorten worden gereserveerd is me nog niet duidelijk, daar heb ik achteraan gemaild. Dit is overigens hetzelfde in de V7 en V9. Het goede nieuws is dat dit in één van de eerstvolgende firmwareversies wordt verwijderd voor alle merken.

Uit de reactie van het firmwarebeheer bleek dat Telfort hier al vele malen navraag over heeft gedaan. Jurgen doet zijn uiterste best in ieder geval. Hopelijk ontvang ik nog wat meer tekst en uitleg.
Reputatie 7
Goed te horen dat de blokkade van die poorten verwijderd zal gaan worden.
Vraag blijft dan wel: Op welke termijn want je kunt je waarschijnlijk voorstellen dat TS niet blij is met deze beperking.
Reputatie 7
Badge +28
Dat kon me niet worden verteld omdat dit afhankelijk is van de ontwikkel en testtijd. Verdere details heb ik niet gekregen. Het verschil in connectiemodel moet ik daarom schuldig blijven.

Ik sluit me voor nu aan bij de reactie van Jurgen. Telfortklanten zijn de dupe geworden van een implementatie van firmware die op KPN is gericht. De V8 is voor nu een goed alternatief tot de update er is. De druk die zij hebben gelegd bij het firmwarebeheer heeft geholpen om over te gaan tot actie. Ik ga ervan uit dat de update op korte termijn beschikbaar is voor alle gebruikers.
Bedankt voor de informatie. Dan weet ik eindelijke hoe de vork in de steel zit. Ik krijg een V8 kast toegestuurd gekregen en die zou hoop ik voor vrijdag binnen moeten zijn. Kan ik eindelijk mijn VPN tunnel opzetten want nu kan ik mijn NAT-T niet opzetten.

Bedankt voor de hulp!

ps. Ben toch wel blij dat ik hier een topic eerst heb aangemaakt.

Reageer