Ik kom op mijn V10 de onderstaande IPv4 port-forwarding tegen:
De port-forwarding wijst naar een KPN Wifi "versterker" op LAN IP adres 192.168.2.244..
Mijn vragen zijn:
Wie heeft deze port-forwarding vastgelegd?
Waarom heb ik als contractant hier geen toestemming voor hoeven geven?
Waar dient deze port-forwarding toe?
Kan KPN mij garanderen dat hier geen misbruik van gemaakt kan worden?
Wat als TCP poort 9000 voor een andere service gebruikt wordt of moet gaan worden?
Page 2 / 6
[...]
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Deze forwards hebben ook niet te maken met het op afstand resetten van de Experia Box, dat kunnen we inderdaad al. Zoals ik eerder aangaf kunnen we op deze manier onze apparaten die met de Experia Box verbonden zijn (deels) op afstand beheren. Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging.
De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.
Beste Erik, denk alsjeblieft even iets dieper door.
Stel mijn TV ontvanger heeft IP adres 192.168.2.24. Er wordt nu dus een port-forwarding gemaakt voor bijvoorbeeld TCP poort 9000 die verwijst naar IP adres 192.168.2.24. Nu zet ik mijn TV ontvanger uit. Dit betekent dat na het verlopen van de DHCP lease voor die TV ontvanger een ander apparaat IP adres 192.168.2.24 zou kunnen krijgen en vanaf dat moment staat die port-forwarding dus naar dat apparaat te wijzen. Dit is dus waarom ik mijn bezwaren heb t.a.v. deze functionaliteit. Ware het nu zo dat deze port-forwardings gemaakt zouden worden richting het MAC adres van het "KPN device" dan zou ik er nog mee kunnen leven. Ik snap dat dat (nog) niet gebeurt aangezien alleen op de V10 port-forwardings naar een MAC adres gedefinieerd kunnen worden, maar met port-forwardings richting een IP adres kunnen jullie dus absoluut niet garanderen dat daar geen misbruik van gemaakt kan worden, puur vanwege het feit dat jullie niet kunnen garanderen dat het apparaat, waar de port-forwarding naar verwijst, een "KPN device" is.
De app naam lijkt een gestructureerde opbouw te hebben.
Zo is de app naam voor de port-forwarding naar een KPN wifi "versterker" (HMD_CR_1883BF_J442076301) opgebouwd als: HMD_CR_eerste drie octets van MAC adres_serienummer
Op basis hiervan zou het mogelijk kunnen zijn functionaliteit te implementeren die zo'n port-forwarding automatisch laat mee verhuizen als het IP adres van zo'n "KPN device" wijzigt of automatisch verwijdert als er een apparaat van een andere leverancier (eerste drie octets MAC adres) op het IP adres gesignaleerd wordt.
Zo is de app naam voor de port-forwarding naar een KPN wifi "versterker" (HMD_CR_1883BF_J442076301) opgebouwd als: HMD_CR_eerste drie octets van MAC adres_serienummer
Op basis hiervan zou het mogelijk kunnen zijn functionaliteit te implementeren die zo'n port-forwarding automatisch laat mee verhuizen als het IP adres van zo'n "KPN device" wijzigt of automatisch verwijdert als er een apparaat van een andere leverancier (eerste drie octets MAC adres) op het IP adres gesignaleerd wordt.
Duidelijke en begrijpelijke uitleg, maar waarom dan 3 port forwards als er 2 STB's zijn aangesloten?
Verder geen DVS of (WiFi) versterkers aangesloten...!
Tevens wacht ik nog op een antwoord van de juridische afdeling!
Verder geen DVS of (WiFi) versterkers aangesloten...!
Tevens wacht ik nog op een antwoord van de juridische afdeling!
Kan jij hier eens het MAC gedeelte uit de naam van die drie port-forwards plaatsen?
Blijkbaar heb je toch een devolo setje (DVS) in jouw netwerk zitten immers de MAC adressen beginnend met 30-d3-2d en f4-06-8d zijn beide van devolo AG.
Wel vreemd dat twee van die port-forwardings dan naar het IP adres van Arcadyan HMB2260 TV ontvangers staan te wijzen. Zijn die toevallig HMB2260's met die devolo's op de Experia Box aangesloten?
Is die devolo set bij KPN gekocht of elders?
Bestaat die devolo set uit drie adapters?
Wel vreemd dat twee van die port-forwardings dan naar het IP adres van Arcadyan HMB2260 TV ontvangers staan te wijzen. Zijn die toevallig HMB2260's met die devolo's op de Experia Box aangesloten?
Is die devolo set bij KPN gekocht of elders?
Bestaat die devolo set uit drie adapters?
Zodra ik straks thuis ben ga ik kijken of zoonlief toevallig iets heeft aangesloten waarvan ik geen weet heb, bedankt voor de tip welke apparatuur aangesloten kan zijn.
Blijkt idd dat er een DVS aangesloten is, Devolo dLan 1200 Wifi Powerline.
Zoonlief heeft deze aangeschaft en aangesloten omdat ik in de EB=>Instellingen=>ECO de WiFi doordeweeks van 22:00 uur tot 06:00 uitgeschakeld heb, school gaat voor.
Meneer heeft dus deze DVS aangesloten en het WiFi netwerk dezelfde naam gegeven als wat er gebruikt wordt vanuit de EB. Zodoende had hij dus na de ECO modus ook nog WiFi, tot vandaag.
Probleem aangaande dit dus opgelost.
De volgende vraag:
De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.
Wanneer komt hier een antwoord op? Is inmiddels 3 dagen geleden...
Zoonlief heeft deze aangeschaft en aangesloten omdat ik in de EB=>Instellingen=>ECO de WiFi doordeweeks van 22:00 uur tot 06:00 uitgeschakeld heb, school gaat voor.
Meneer heeft dus deze DVS aangesloten en het WiFi netwerk dezelfde naam gegeven als wat er gebruikt wordt vanuit de EB. Zodoende had hij dus na de ECO modus ook nog WiFi, tot vandaag.
Probleem aangaande dit dus opgelost.
De volgende vraag:
De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.
Wanneer komt hier een antwoord op? Is inmiddels 3 dagen geleden...
Beste KPN,
Ik verzoek jullie vriendelijk doch dringend om op zeer korte termijn gehoor te geven aan de wettelijke verplichting om de specificaties te publiceren op basis waarvan de klant een router naar eigen keuze kan gebruiken om de diensten via de netwerkaansluiting van KPN af te nemen. (Internet, ITV en telefonie).
Het schieten van gaten in de firewall bij de ingang van het thuisnetwerk van de klant zonder daarover met de klant te communiceren en zonder goed na te denken over mogelijk misbruik van dergelijke port-forwardings is wat mij betreft onacceptabel. Ik wacht ook nog steeds (al bijna twee jaar) op een oplossing voor het beveiligingsgat beschreven in het dit topic, waarbij mij in een face-to-face gesprek op het hoofdkantoor in Den Haag is toegezegd dat in Q1 2017 de benodigde aanpassingen zullen worden geïmplementeerd.
Q1 2017... ...die duurt nog maar 1 maand.
Ik verzoek jullie vriendelijk doch dringend om op zeer korte termijn gehoor te geven aan de wettelijke verplichting om de specificaties te publiceren op basis waarvan de klant een router naar eigen keuze kan gebruiken om de diensten via de netwerkaansluiting van KPN af te nemen. (Internet, ITV en telefonie).
Het schieten van gaten in de firewall bij de ingang van het thuisnetwerk van de klant zonder daarover met de klant te communiceren en zonder goed na te denken over mogelijk misbruik van dergelijke port-forwardings is wat mij betreft onacceptabel. Ik wacht ook nog steeds (al bijna twee jaar) op een oplossing voor het beveiligingsgat beschreven in het dit topic, waarbij mij in een face-to-face gesprek op het hoofdkantoor in Den Haag is toegezegd dat in Q1 2017 de benodigde aanpassingen zullen worden geïmplementeerd.
Q1 2017... ...die duurt nog maar 1 maand.
Zijn jullie bij KPN gek geworden? Wij als klant mogen niets aanpassen in de experiaboxen. Maar wat doet kpn? Die knallen portforwarders erin. Klanten kunnen zelf echt wel iets resetten als de klantenservice het uitlegt. Eerst was ik nog blij dat wij geen Dovolo's van KPN hebben of een wifi versterker maar nu lees ik dat de TV kastjes ook een portforward krijgen.
Hoe zit het met je eigen Dovolo's? Gaat kpn daar ook forwarders voor aanmaken? Ik mag het toch niet hopen?
Hoe zit het met je eigen Dovolo's? Gaat kpn daar ook forwarders voor aanmaken? Ik mag het toch niet hopen?
De TV ontvangers van Ziggo worden gemanaged via een klein stukje bandbreedte op de kabel.
Ik denk dat het verstandig is om de TV ontvangers van KPN niet met die van Ziggo te vergelijken in dit opzicht.
Daarnaast hoeft de klantenservice mijn spullen helemaal niet te resetten, zij roepen altijd maar "resetten, resetten en resetten" maar meestal is dat helemaal niet de oplossing en dan ben ik wel mooi mijn instellingen kwijt.
Ik denk dat het verstandig is om de TV ontvangers van KPN niet met die van Ziggo te vergelijken in dit opzicht.
Daarnaast hoeft de klantenservice mijn spullen helemaal niet te resetten, zij roepen altijd maar "resetten, resetten en resetten" maar meestal is dat helemaal niet de oplossing en dan ben ik wel mooi mijn instellingen kwijt.
Laat onverlet dat ik het echt onacceptabel vind dat deze port-forwardings gemaakt worden. Echt, KPN heeft gewoon met haar tengels van de toegangspoort tot mijn thuisnetwerk af te blijven en om dat dan ook nog eens "stilletjes" te doen is al helemaal schandalig, communiceer dat dan in ieder geval nog. Nu weet ik dat het bij de meeste consumenten geen enkel probleem zal opleveren, maar "de consument" bestaat niet en bij mij moet je zoiets gewoon echt niet doen. De maat is wat dat betreft vol, zodra de specificaties voor de vrije router keuze gepubliceerd zijn vliegt de Experia Box er uit, het moet maar eens afgelopen zijn.
Ja je mag de DNS server en DHCP wijzigen in de V10 maar opties voor de firewall mag je niet wijzigen net als bridge mod.
Het is maar wat je verstaat onder de firewall.
Als het gaat om het toestaan van TCP/UDP verkeer, dan is het geen enkel probleem om dat in te stellen.
Dat je niet kunt instellen dat de Experia Box moet reageren op een ping verzoek, of dat er stateless i.p.v. statefull package inspection gedaan moet worden, klopt. De vraag is echter of dat interessant is, er is in ieder geval geen haar op mijn hoofd die aan denkt die instellingen te willen veranderen.
Dat de Experia Box geen bridge-mode toestaat is inherent aan het feit dat het remote management plaatsvindt op vlan 6, het vlan dat voor Internet gebridged moet worden. Daarmee kan de Experia Box zelf dan niet meer door KPN op afstand beheerd worden. Zo zijn een tijd terug klanten met een V8 in bridge-mode aangeschreven deze "hack" ongedaan te maken zodat KPN nieuwe firmware kon plaatsen die noodzakelijk was voor de introductie van routed-ITV.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Als het gaat om het toestaan van TCP/UDP verkeer, dan is het geen enkel probleem om dat in te stellen.
Dat je niet kunt instellen dat de Experia Box moet reageren op een ping verzoek, of dat er stateless i.p.v. statefull package inspection gedaan moet worden, klopt. De vraag is echter of dat interessant is, er is in ieder geval geen haar op mijn hoofd die aan denkt die instellingen te willen veranderen.
Dat de Experia Box geen bridge-mode toestaat is inherent aan het feit dat het remote management plaatsvindt op vlan 6, het vlan dat voor Internet gebridged moet worden. Daarmee kan de Experia Box zelf dan niet meer door KPN op afstand beheerd worden. Zo zijn een tijd terug klanten met een V8 in bridge-mode aangeschreven deze "hack" ongedaan te maken zodat KPN nieuwe firmware kon plaatsen die noodzakelijk was voor de introductie van routed-ITV.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
@Erik_ @kpnwebcare
Inmiddels 5 dagen verder en nog steeds geen reactie...
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?
Inmiddels 5 dagen verder en nog steeds geen reactie...
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?
Inmiddels 5 dagen verder en nog steeds geen reactie...
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?
Ik denk dat het niet meer gaat komen 😞 vooral niet nu KPN forwarders aan het instellen is.
Inmiddels 5 dagen verder en nog steeds geen reactie...
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248
Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?
Ik denk dat het niet meer gaat komen 😞 vooral niet nu KPN forwarders aan het instellen is.
Die forwardings hebben daar niet per se mee te maken
Klopt idd wat @RobinFlikkema aangeeft.
Port forwards is KPN al mee bezig, of dit legaal is valt nog te bezien, vandaar dat ik afwachtend ben op een antwoord van de juridische afdeling van KPN.
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Afgelopen zaterdag (25-02-2017) heb ik aangetekende brieven verstuurd naar de directie van KPN alsmede de juridische afdeling hiervover.
Valt me zwaar tegen dat het zo lang moet duren eer er een reactie danwel een bevredigend antwoord vanuit KPN komt.
Port forwards is KPN al mee bezig, of dit legaal is valt nog te bezien, vandaar dat ik afwachtend ben op een antwoord van de juridische afdeling van KPN.
Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.
Afgelopen zaterdag (25-02-2017) heb ik aangetekende brieven verstuurd naar de directie van KPN alsmede de juridische afdeling hiervover.
Valt me zwaar tegen dat het zo lang moet duren eer er een reactie danwel een bevredigend antwoord vanuit KPN komt.
[...]
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...
Deze forwards hebben ook niet te maken met het op afstand resetten van de Experia Box, dat kunnen we inderdaad al. Zoals ik eerder aangaf kunnen we op deze manier onze apparaten die met de Experia Box verbonden zijn (deels) op afstand beheren. Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging.
Dus als de door KPN "geclaimde" poorten bezet zijn kunnen ze (zonder medeweten van de klant) andere poorten open zetten?
Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update)
Konden ze ook al zonder de forwards! Overbodige en wettelijke niet toegestane aanpassing. Lees 8.1 van de eerder geposte voorwaarden.
Naast Devolo en Wifi Versterker komen er ook forwards voor de tv-ontvangers. Waarschijnlijk zie je die.
Hiermee geven jullie al aan dat er aanpassingen zijn gedaan in de ExperiaBox zonder medeweten van de klant en dan refererend naar jullie eigen voorwaarden. Nu nog wachten op de juridische uitkomst hiervan, ik ben benieuwd.
Wat het "ethical hackers" team ermee te maken heeft?
Leuk dat jullie daar wel iets bereikt hebben, mbt consumenten tevredenheid en communicatie halen jullie deze score niet
"Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging."
Nu ga ik me wel zorgen maken. KPN medewerkers (lees: studenten met een standaard afwerklijst aan de helpdesk) welke dus op afstand toegang tot de beveiliging van de EB hebben?
Al meer duidelijkheid inmiddels? Via post, e-mail, forum en telefoon nog niks gehoord.
Na +2 weken moet er toch wel informatie beschikbaar zijn welke jullie aan de klant kunnen mededelen hierover?
ps: 8 dagen geleden de IPv4 forwards verwijderd en zijn tot op heden nog niet terug gekomen!
Geachte heer, mevrouw van Alen,
Hartelijk dank voor uw bestelling. Wij zijn blij met uw keuze voor Ziggo. Uw bestelnummer is SHE*********..
Bye bye KPN, welkom Ziggo... Helemaal klaar met het gezeik en afwachtende zijn op antwoorden zodra je problemen hebt!!!
Uiteraard alle behulpzame forumleden uitgesloten!!!
Aansluiting (KPN) van mijn vriendin gaat er ook uit alsmede de aansluitingen (KPN) in de winkels.
Met een niet vriendelijke groet,
Timo
Hartelijk dank voor uw bestelling. Wij zijn blij met uw keuze voor Ziggo. Uw bestelnummer is SHE*********..
Bye bye KPN, welkom Ziggo... Helemaal klaar met het gezeik en afwachtende zijn op antwoorden zodra je problemen hebt!!!
Uiteraard alle behulpzame forumleden uitgesloten!!!
Aansluiting (KPN) van mijn vriendin gaat er ook uit alsmede de aansluitingen (KPN) in de winkels.
Met een niet vriendelijke groet,
Timo
Zo KPN, we zijn inmiddels 15 dagen verder. Waar blijven de antwoorden? of gaan we die nooit krijgen en gaan jullie vrolijk door met het onveilig maken van de netwerken van KPN abonnees.
Page 2 / 6
Reageer
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.