Beantwoord

NAT port forwarding probleem Experiabox v10A, regels overschreven door bug

  • 20 August 2019
  • 18 reacties
  • 570 keer bekeken

Ik zet er gewoon nog maar eentje bij. Er staan meerdere vergelijkbare issues op het forum, maar de oplossingen bij geen enkele van deze lost mijn probleem langer dan een dag op. Ook hoop ik door het nogmaals aan te kaarten dat dit probleem mogelijk wordt opgepikt door KPN zelf.

Er zit een bug in de Experiabox v10A waardoor voor ingestelde port forwarding regels op een willekeurig moment het IP adres vervangen wordt voor het IP adres van mijn tv box. Na lang zoeken heb ik een tijdje terug een item gevonden op dit forum dat stelde dat dit inderdaad gebeurde, maar voor magische redenen gebeurde dit alleen voor de eerste 4 port forwarding regels. Oplossing: maak vier dummy regels aan (mijn tv-box heeft nu vier open porten vanaf buiten, niet wenselijk), en maak een vijfde aan met de daadwerkelijke ports die je wilt forwarden. Dit werkte tot voor kort prima, echter is laatst ook deze vijfde regel overschreven. Alle ingevoerde IP adressen worden veranderd naar het IP adres van mijn tv-box. Op tweakers heb ik een bericht gevonden van iemand die bekend is met het probleem en bij hem heeft vastgesteld dat inderdaad regels 1 t/m 4 worden overschreven, maar ook vanaf regel 10 en daarboven. https://gathering.tweakers.net/forum/list_message/57943142#57943142

Vergelijkbaar probleem:
https://forum.kpn.com/thuisnetwerk-72/port-mappings-experiabox-v10a-verdwijnen-470210
Maar factory resets werken dus niet lang voor mij.

Ik zit dus met mijn handen in het haar. Voor mijn werk heb ik een nas thuis staan en ik moet een port open hebben om daar mee te kunnen communiceren (rsync).
De klantenservice heeft mij bijna letterlijk te verstaan gegeven dat de experiabox niet wordt ondersteund (?) en dat ze niet mijn technisch probleem zouden doorspelen naar de relevante afdeling. Want... ze ondersteunen geen andere apparaten of de instellingen die daar voor nodig zijn. (???) Zelden boos geworden op een persoon van een klanten service, deze persoon kreeg me bijna nuclear door onkunde.

Hard resets van de box geeft me een dag soelaas, dus de oplossing die het vaakst 'succesvol' wordt aangedragen bij vergelijkbare topics werkt niet voor mij.

Dus mijn vragen:
1) Weet iemand of er een update van de firmware komt waarbij dit probleem wordt aangepakt.
2) Waar ik deze bug eventueel kan indienen anders dan KPN klantenservice.
3) Weet iemand toevallig een hack om nat port forwarding blijvend werkend te krijgen op de experiabox v10a?
4) Om welke andere modem kan ik het beste vragen bij klanten service?

Waarbij ik graag een antwoord op vraag 3 en 4 zoek.

Ik heb een synology nas waar ik een statisch IP adres aan toewijs in de DHCP instellingen. In de NAT port forwarding instellingen gebruik ik dit IP adres.

Mijn bericht leest mogelijk gefrustreerd, mijn excuses hiervoor. Ik ben nog niet helemaal bekomen van mijn klantenservice ervaring...

Ik hoop dat iemand een oplossing of tenminste een lelijke workaround heeft voor dit probleem.
Alvast bedankt!

John
icon

Beste antwoord door Erwin van KPN 22 August 2019, 12:18

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

18 reacties

Hoi @John van Dam . Welkom op het forum.
Heel fijn dat je al uitgebreid op onderzoek bent geweest. Wel weer erg spijtig dat het niet wil lukken. Als ik het andere topic lees, is er bij de meeste van die gebruikers uiteindelijk een oplossing gevonden - meestal door trial en error - dat moet ik er wel bij zeggen. Ik snap dan ook niet waarom bij jou die portforwardings niet bewaard blijven.Ik ga er van uit dat je alle variaties die daar benoemd worden geprobeerd hebt?
Je stelt een aantal vragen die ik in dezelfde volgorde ga proberen te beantwoorden:

1) Weet iemand of er een update van de firmware komt waarbij dit probleem wordt aangepakt.
Er komt een nieuw firmware. Of deze bug gerepareerd wordt, kan ik niet zeggen. Hoe wrang het ook mag klinken, het aantal meldingen over deze bug is niet hoog. Het ontwikkelteam handelt bugs af op volgorde van impact (hoeveel mensen hebben er last van)en hoe makkelijk is iets te implementeren is. Eerlijk gezegd verwacht ik wel dat er een fix in zit, maar dat is nog nergens bevestigd.

2) Waar ik deze bug eventueel kan indienen anders dan KPN klantenservice.
Bij mij! Jouw feedback stuur ik regelrecht door naar het ontwikkelteam. Met name omdat bij jou de workaround blijkbaar niet werkt.

3) Weet iemand toevallig een hack om nat port forwarding blijvend werkend te krijgen op de experiabox v10a?
Los van wat er in het door jouzelf gelinkte topic beschreven en geprobeerd wordt, helaas niet.

4) Om welke andere modem kan ik het beste vragen bij klanten service?
Dat zal de klantenservice waarschijnlijk niet doen. Ik stuur je een privébericht.
Voor ik het vergeet. Kun je je profiel aanvullen en mij een seintje geven?
@Erwin_ heel erg bedankt voor het meedenken! Hopelijk wordt de bug inderdaad meegenomen in de eerstvolgende fix. Bedankt ook voor het doorzetten naar de ontwikkelaars!

Zojuist tegen hetzelfde issue aangelopen. Heb jij toevallig een eigen AP of een Virtuele machine in je netwerk draaien?

 

Zojuist was dit de oplossing namelijk voor mij:

 - Uitschakelen eigen AP
 - Uitschakelen VMware server
Hiermee staan alle Virtuele MAC adressen niet meer in het netwerk.

Hierna modem reset gegeven. Forwards ingesteld en deze blijven nu staan zoals ik ze hebben wil. Echter, wanneer ik mijn AP en mijn Virtuele server weer de lucht in breng: Zelfde probleem.

 

@Erwin_  Wellicht dat hier info in zit waar je iets mee kunt?

Dank voor de extra info, @Sebzero . Dit is zeker nuttig om mee te nemen. Ik ga het in ieder geval uitvragen als ik vergelijkbare issues tegen het lijf loop. Dank voor de info!

Hoi John,

Ik heb dus ook dit probleem, willekeurig worden er port forwarding rules verandert naar het ip address van de TV box. Wat het ook nog eens ernstig maakt dat de TV box nu volledig open staat op het internet, iedereen kan er gewoon bij niets aan filtering door KPN om het zorgen dat er alleen management servers van KPN bij kunnen. Tevens staan er porten in deze rules tussen van het “CPE WAN Management Protocol (CWMP)” waarvan bekend is dat het oa door botnets gebruikt wordt door de vulnerabilities in dit protocol.  Hoe insecure kun je het maken.  Bij mij zijn de eerste 7 port forwarding rules overschreven, maar dit wijzigt soms ook gewoon, gisteren kon ik rule 3 t/m 6 niet eens meer zien in de lijst met forwarding rules maar ze bleken nog wel de porten te claimen want een nieuwe rule kon ik niet aanmaken, dat gaf de melding dat de port al in gebruik is. Gisteren waren ook hogere rules, 16 t/m 19 overschreven en vandaag staan daar opeens weer mijn eigen rules in. Hoe onbetrouwbaar is deze Experia v10a box nu wel niet geworden. Ook de service desk gebeld en die zeiden dood leuk dat je dan maar een eigen router moest gaan aanschaffen of een abonnement op een technische ondersteuning service erbij moest nemen. KPN moet zich schamen om zulke onbetrouwbare routers te leveren die nog eens wijd open gezet worden voor atackers op het internet. Ik mag hopen dat ze hier wel prioriteit aan gaan geven om dit ernstige security probleem op te lossen.

Er zit echt een GIGANTISCH security issue in die Experiabox van jullie. Normaal zou dit alle alarmbellen moeten laten rinkelen. Maar ik lees nu al jaren berichten over de NAT problemen en er gebeurt gewoon kennelijk niks… Dit zou top prioriteit nummer 1 moeten zijn bij jullie, Gezien de hoeveelhoed van deze routers in Nederland. ACTIE !!!!!

 

Ik kom er dus net achter dat de NAT rules zich gewoon volledig random wijzigen (!!!!!)

Zo heb ik een website op een PC draaien op intern IP adres 192.168.1.5 ,  poort 80.

Wordt ik van de week door een klant gebeld dat deze mijn website bezoekt, maar op mijn beveiligingscamera in de woonkamer uitkomt (!!!)  IP 192.168.1.4

 

Kijk ik in de router, zijn gewoon alle NAT rules gewijzigd naar willekeurige IP adressen.

Alles goed gezet.

Dag erna bezoek ik mijn website, eindig ik gewoon in mijn alarmsysteem (!!!) IP 192.168.1.3

 

Onvoorstelbaar gewoon!!!

Ik heb de experiabox gelijk uitgeschakeld.

Deze gaat morgen retour. Stuur me maar wat fatsoenlijks.

 

Maar vroeg of laat gaat dit issue echt een gigantisch serieus probleem veroorzaken bij iemand.

Doe er iets aan !!!!!!! Niet lekker negeren. Dit zou echt absolute top prioriteit moeten hebben.

Dit topic is inmiddels al 2 (!) jaar oud.

Reputatie 7
Badge +10

Met dergelijke belangrijke services binnen je eigen netwerk, schaf beter een eigen modem/router aan.
Dan te vertrouwen op de “troep” die KPN levert.

Hoi @Joris7812 . Dat klinkt niet best. Welk type experiabox heb jij daar staan? Is dat een v10a?

welke firmware zit daar in? Kun je dat achterhalen? Onze routers zijn goed beveiligd en daarom ben ik benieuwd naar de omstandigheden en wat er nu precies is gebeurd. 

 

Reputatie 7

Hoi @Joris7812 . Dat klinkt niet best. Welk type experiabox heb jij daar staan? Is dat een v10a?

welke firmware zit daar in? Kun je dat achterhalen? Onze routers zijn goed beveiligd en daarom ben ik benieuwd naar de omstandigheden en wat er nu precies is gebeurd. 

Dit is iets wat al vele jaren speelt op de V10a.

Er is al eerder melding van gemaakt maar blijkbaar is het probleem nog altijd niet verholpen.

Hoi @Joris7812 . Dat klinkt niet best. Welk type experiabox heb jij daar staan? Is dat een v10a?

welke firmware zit daar in? Kun je dat achterhalen? Onze routers zijn goed beveiligd en daarom ben ik benieuwd naar de omstandigheden en wat er nu precies is gebeurd. 

 

 

( Even nieuw account moeten aanmaken, maar ik ben de OP van vorig bericht )

Het is een Experiabox v10A inderdaad.

Gegevens :

Model Name:    VRV9517
Firmware Version:    v5.00.53 build498-owl
Boot Code Version:    1.0.38-161.188
Hardware Version:    R01

 

Dit is een beveiligings issue van de hoogst mogelijke categorie.

Met name gezien het aantal van deze routers in omloop in Nederland.

Je hoeft maar een scan op KPN IP range te draaien om willekeurige apparaten bij mensen

te vinden. Die zich daar niet eens van bewust zijn.

 

Elke keer als ik inlog of reboot zijn alle NAT rules gewijzigd naar willekeurige

apparaten binnen mijn netwerk. Alles staat gewoon compleet open naar buiten toe (!)

 

Nat rules wijzigen of wissen werkt ook niet eens. Er wijzigt niks.

 

Ik zie nu steeds meer rare dingen trouwens.

Het netwerk is niet meer aan te passen. Alleen het laatste octet (192.168.2.xx).

Terwijl ik voorheen 192.168.1.1 had ? 

Wifi is niet uit te schakelen (Radio OFF).

Het zet zichzelf telkens weer aan, terwijl ik wifi expliciet uitgeschakeld moet hebben.

Reputatie 7
Badge +24

Je hoeft maar een scan op KPN IP range te draaien om willekeurige apparaten bij mensen

te vinden.

En wat ziet u dan als u zo'n scan draait?

Elke keer als ik inlog of reboot zijn alle NAT rules gewijzigd naar willekeurige

apparaten binnen mijn netwerk. Alles staat gewoon compleet open naar buiten toe (!)

Naar buiten toe alles open, dat is heel normaal.

Nat rules wijzigen of wissen werkt ook niet eens. Er wijzigt niks.

 

Ik zie nu steeds meer rare dingen trouwens.

Het netwerk is niet meer aan te passen. Alleen het laatste octet (192.168.2.xx).

Dat is voor zover ik weet altijd al zo geweest. Ook op de v9. En ook op de KPN Box 12.

Terwijl ik voorheen 192.168.1.1 had ? 

Dat is alleen mogelijk op de v10. Zonder a er achter dus.

Wifi is niet uit te schakelen (Radio OFF).

Het zet zichzelf telkens weer aan, terwijl ik wifi expliciet uitgeschakeld moet hebben.

Ik vermoed dat dit met mesh ondersteuning te maken heeft. Dat zal op de KPN Box ook wel komen.

Reputatie 7

Nat rules wijzigen of wissen werkt ook niet eens. Er wijzigt niks.

 

Ik zie nu steeds meer rare dingen trouwens.

Het netwerk is niet meer aan te passen. Alleen het laatste octet (192.168.2.xx).

Dat is voor zover ik weet altijd al zo geweest. Ook op de v9. En ook op de KPN Box 12.

Op de V10 (zonder A) was het subnet wel aan te passen.

Overigens hebben naar mijn weten de (klein) zakelijke Experia Boxen standaard het subnet 192.168.1.0/24 en Dxperia Boxen voor de consument 192.168.2.0/24.

Reputatie 5
Badge +5

Wat is het statement van KPN hierin?

Het is niet alleen een bug maar een groot security issue.

 

Het enige wat bij ons bekend is, is dat in het verleden portmappings van de v10a  niet goed onthouden werden. Daar zijn toen verschillende meldingen van binnen gekomen.

Vervolgens is dat probleem opgelost.

Wat hier bij jou aan de hand is weet ik niet maar dat gaan we voorleggen aan development. Ik houd jullie op de hoogte. 

@Joris7812B : Ik heb je losse topic verwijderd. We maken hier een centraal topic van.

Ik krijg de indruk dat je nu actief bent onder 3 gebruikersnamen. Mijn voorstel is om daar nu nog maar ééntje van te gebruiken. Anders wordt het voor mij en mijn collega's nogal chaotisch. :-)

Excuses. Deze gebruikersnaam is blijvend nu.