Onbekende port-forwarding TCP poort 9000

Oeh, hier wordt het mooi. Wat nu als ik in mijn eigen netwerk op poort 9000 (of welke nu dan ook) allemaal belangrijke informatie op een website heb draaien? Wie heeft hier nu toegang tot?Nou, niemand dus. De forward pakt een vrije poort. Als jij poort 9000 in gebruik hebt ergens voor, zal het systeem deze niet gebruiken voor de forward. En zelfs als dit wel onverhoopt zou gebeuren heeft niemand daar toegang toe. De forward is volledig geautomatiseerd, en beperkt tot het managementsysteem. Niemand kan daar bij, ook medewerkers niet. Het enige wat medewerkers kunnen is het systeem opdracht geven om een van de vooraf vastgestelde acties uit te voeren (denk dan aan herstart, reset, update). En onze eigen ethical hackers (die in 2014 nog in de finale van het Cyberlympics hack WK stonden) controleren dit ook regelmatig.

Hier hetzelfde als TS, ik maak via de EB v10 geen gebruik van een DVS en/of een KPN WiFi "versterker" of wat voor soort andere signaal versterkers ook, toch geopende poorten.
[...]
Dat het te maken zou kunnen hebben met het op afstand resetten van een EB is een broodje aap verhaal, KPN medewerkers kunnen dat al jaren...Naast Devolo en Wifi Versterker komen er ook forwards voor de tv-ontvangers. Waarschijnlijk zie je die.

Deze forwards hebben ook niet te maken met het op afstand resetten van de Experia Box, dat kunnen we inderdaad al. Zoals ik eerder aangaf kunnen we op deze manier onze apparaten die met de Experia Box verbonden zijn (deels) op afstand beheren. Dit behelst dan niet alleen herstarten en resetten, maar ook updates en beveiliging.

De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.

De app naam lijkt een gestructureerde opbouw te hebben.
Zo is de app naam voor de port-forwarding naar een KPN wifi "versterker" (HMD_CR_1883BF_J442076301) opgebouwd als: HMD_CR_eerste drie octets van MAC adres_serienummer
Op basis hiervan zou het mogelijk kunnen zijn functionaliteit te implementeren die zo'n port-forwarding automatisch laat mee verhuizen als het IP adres van zo'n "KPN device" wijzigt of automatisch verwijdert als er een apparaat van een andere leverancier (eerste drie octets MAC adres) op het IP adres gesignaleerd wordt.

Duidelijke en begrijpelijke uitleg, maar waarom dan 3 port forwards als er 2 STB's zijn aangesloten?Ik heb nog geen enkele port-forward gezien naar één van onze STB's.
Kan jij hier eens het MAC gedeelte uit de naam van die drie port-forwards plaatsen?

Blijkbaar heb je toch een devolo setje (DVS) in jouw netwerk zitten immers de MAC adressen beginnend met 30-d3-2d en f4-06-8d zijn beide van devolo AG.
Wel vreemd dat twee van die port-forwardings dan naar het IP adres van Arcadyan HMB2260 TV ontvangers staan te wijzen. Zijn die toevallig HMB2260's met die devolo's op de Experia Box aangesloten?
Is die devolo set bij KPN gekocht of elders?
Bestaat die devolo set uit drie adapters?

Wat is dat apparaat op 192.168.2.2 dan?Een devolo adapter, wellicht één met ingebouwd wifi accesspoint.

Blijkt idd dat er een DVS aangesloten is, Devolo dLan 1200 Wifi Powerline.
Zoonlief heeft deze aangeschaft en aangesloten omdat ik in de EB=>Instellingen=>ECO de WiFi doordeweeks van 22:00 uur tot 06:00 uitgeschakeld heb, school gaat voor.
Meneer heeft dus deze DVS aangesloten en het WiFi netwerk dezelfde naam gegeven als wat er gebruikt wordt vanuit de EB. Zodoende had hij dus na de ECO modus ook nog WiFi, tot vandaag.

Probleem aangaande dit dus opgelost.

De volgende vraag:

De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.

Wanneer komt hier een antwoord op? Is inmiddels 3 dagen geleden...

Zijn jullie bij KPN gek geworden? Wij als klant mogen niets aanpassen in de experiaboxen. Maar wat doet kpn? Die knallen portforwarders erin. Klanten kunnen zelf echt wel iets resetten als de klantenservice het uitlegt. Eerst was ik nog blij dat wij geen Dovolo's van KPN hebben of een wifi versterker maar nu lees ik dat de TV kastjes ook een portforward krijgen.

Hoe zit het met je eigen Dovolo's? Gaat kpn daar ook forwarders voor aanmaken? Ik mag het toch niet hopen?

...Wij als klant mogen niets aanpassen in de experiaboxen....Hoezo, ik mag van alles aanpassen in mijn Experia Box.

Laat onverlet dat ik het echt onacceptabel vind dat deze port-forwardings gemaakt worden. Echt, KPN heeft gewoon met haar tengels van de toegangspoort tot mijn thuisnetwerk af te blijven en om dat dan ook nog eens "stilletjes" te doen is al helemaal schandalig, communiceer dat dan in ieder geval nog. Nu weet ik dat het bij de meeste consumenten geen enkel probleem zal opleveren, maar "de consument" bestaat niet en bij mij moet je zoiets gewoon echt niet doen. De maat is wat dat betreft vol, zodra de specificaties voor de vrije router keuze gepubliceerd zijn vliegt de Experia Box er uit, het moet maar eens afgelopen zijn.

...Daarnaast hoeft de klantenservice mijn spullen helemaal niet te resetten, zij roepen altijd maar "resetten, resetten en resetten" maar meestal is dat helemaal niet de oplossing en dan ben ik wel mooi mijn instellingen kwijt.Weet je dat ik in al die jaren dat ik klant ben bij KPN nog nooit een apparaat van KPN heb gereset om een storing te verhelpen. Het resetten zou het allerlaatste redmiddel moeten zijn en niet de standaard actie.

Het is maar wat je verstaat onder de firewall.
Als het gaat om het toestaan van TCP/UDP verkeer, dan is het geen enkel probleem om dat in te stellen.
Dat je niet kunt instellen dat de Experia Box moet reageren op een ping verzoek, of dat er stateless i.p.v. statefull package inspection gedaan moet worden, klopt. De vraag is echter of dat interessant is, er is in ieder geval geen haar op mijn hoofd die aan denkt die instellingen te willen veranderen.

Dat de Experia Box geen bridge-mode toestaat is inherent aan het feit dat het remote management plaatsvindt op vlan 6, het vlan dat voor Internet gebridged moet worden. Daarmee kan de Experia Box zelf dan niet meer door KPN op afstand beheerd worden. Zo zijn een tijd terug klanten met een V8 in bridge-mode aangeschreven deze "hack" ongedaan te maken zodat KPN nieuwe firmware kon plaatsen die noodzakelijk was voor de introductie van routed-ITV.
Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248

@Erik_ @kpnwebcare

Inmiddels 5 dagen verder en nog steeds geen reactie...

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.


Het zou mooi zijn als bridge-mode ondersteund zou worden, maar nog beter is het mijns inziens dan om de Experia Box te kunnen vervangen door de router die je wenst te gebruiken.
Gelukkig zal dat binnenkort ook mogelijk gaan worden. Zie: https://forum.kpn.com/internet-9/vrije-router-keuze-wettelijk-vastgelegd-429248

Denk je echt dat KPN dit binnenkort gaat realiseren ondanks de, nogmaals door jouw onder de ogen gebrachte (respect voor je strijdvaardigheid), en de wettelijk vastgelegde regelgeving hierover?

Ik denk dat het niet meer gaat komen 😞 vooral niet nu KPN forwarders aan het instellen is.

Klopt idd wat @RobinFlikkema aangeeft.

Port forwards is KPN al mee bezig, of dit legaal is valt nog te bezien, vandaar dat ik afwachtend ben op een antwoord van de juridische afdeling van KPN.

Het is een ISP niet toegestaan wijzigingen aan te brengen, dan wel configuratie instellingen te wijzigen in en of bij aangesloten apparatuur, eigen aangeschafte en andere aangesloten communicatie apparatuur, zonder hiervan de klant op de hoogte te stellen. Mocht dit zoals aangegeven in artikel 8.1 wel gebeuren dan dient (in dit geval KPN) de klant ten aller tijde op de hoogte gesteld te worden hiervan.

Afgelopen zaterdag (25-02-2017) heb ik aangetekende brieven verstuurd naar de directie van KPN alsmede de juridische afdeling hiervover.

Valt me zwaar tegen dat het zo lang moet duren eer er een reactie danwel een bevredigend antwoord vanuit KPN komt.

De overige vragen/opmerkingen hier zet ik uit, zodra we antwoord hebben kom ik er hier op terug. In het algemeen gesproken echter, dingen als dit worden door de juridische afdeling gecontroleerd of het allemaal voldoet aan wet- en regelgeving.

Al meer duidelijkheid inmiddels? Via post, e-mail, forum en telefoon nog niks gehoord.

Na +2 weken moet er toch wel informatie beschikbaar zijn welke jullie aan de klant kunnen mededelen hierover?

ps: 8 dagen geleden de IPv4 forwards verwijderd en zijn tot op heden nog niet terug gekomen!

Zo KPN, we zijn inmiddels 15 dagen verder. Waar blijven de antwoorden? of gaan we die nooit krijgen en gaan jullie vrolijk door met het onveilig maken van de netwerken van KPN abonnees.