Netzwerkproblem mit Speedport W701V (von Telekom) DSL-Modem-Router

Hallo Pinarek!

Also, das sieht für mich wirklich danach aus, als würde bei t-online nach Leibeskräften gefiltert. Von Windows werden die Ports ja korrekt abgehört.

Schau' Dir doch einfach mal zum Vergleich das Ergebnis an, wenn Du einen beliebigen anderen Port öffnest, wie ich das z.B. hier auf dem Bild gemacht habe:

https://www.win-tipps-tweaks.de/forum/win-vist…html#post101965

Übrigens: Bei mir erscheinen diese "speziellen" Ports auch als "stealth" selbst wenn sie routerseitig durchgereicht werden. Gut, ich brauche die ja auch nicht offen... Hier blockt also ebenfalls der Provider.

Wäre aber mal interessant, nachzuschauen, welche Ports noch alle von verschiedenen Provider blockiert werden.

Mir gehen nun so langsam die Ideen aus. Vielleicht hat MagicMike ja noch einen Vorschlag. Ansonsten: Gewöhne Dich an den Gedanken, daß diese einfache Dateifreigabe ohne zusätzliche Software ab jetzt nicht mehr über das Internet funktioniert. Bei anderen Providern wird das inzwischen nicht mehr anders sein.

Ich würde in dieser Situation jetzt ein VPN aufsetzen, das kannst Du auf jedem beliebigen Port laufen lassen. OpenVPN z.B. kommt auch sehr gut mit dynamischen IP's an beiden Enden des Tunnels klar, ist quelloffen (somit überprüfbar) und zudem kostenlos. Um Dich mal einzulesen empfehle ich Dir das deutsche VPNForum. Über das VPN funktioniert dann die windowseigene Datei-und Druckerfreigabe zwischen den beiden Rechnern wieder.

Die Alternative wäre: Einen Provider suchen, der diese Ports noch nicht blockt... Da das mit einigem Aufwand verbunden ist, würde ich zuvor auf einer Stellungnahme der t-online bestehen.

Grüße
Funkenzupfer.

Hallo Pinarek,

Zitat

Also diese Ports, bis auf die besagten 135, 137-139 445 und die UDP-Ports funzt die Freigabe in NAT des W701V. Also können sie Theoretisch nur von der Telekom gesperrt sein, ich weis keine andere logische Erklärung mehr.

Ja, das sehe ich genau so.

Zitat

Falls ich VPN einsetzen würde. muss an dem PC meines Bakannten was geändert werden ?

Ja. Der VPN-Server muß dort installiert werden, da Du ja auf seine Laufwerke zugreifen möchtest. In Kurzform:[INDENT]1.) Virtuelle Netzwerkkarte (TUN/TAP-Adapter) installieren.
[/INDENT]Wichtig: Er soll vorher ein Komplettbackup der Festplatten anfertigen, dann bleiben Fehler bei diesem ersten Schritt ohne ernste Folgen. Sicher ist sicher, denn bei jedem Eingriff auf Systemebene (Treiber) besteht ein gewisses Risiko.[INDENT]2.) OpenVPN-Software installieren (=auspacken)
[/INDENT]Bis hierher ist es nichts anderes, als z.B. eine neue Hardware an den Rechner anzuschließen und die zugehörigen Programme und Treiber zu installieren: Datei starten und alles abnicken.
Nun wird es etwas kniffeliger:[INDENT]3.) Konfigurationsdateien anpassen.
[/INDENT]Das kannst Du für Deinen Bekannten vollständig übernehmen, indem Du die Dateien für den Server vorbereitest, auf Deinen beiden Rechnern (einer als Client, einer als Server) testest und ihm dann die fertigen Konfig-Dateien einach zuschickst, notfalls per E-Mail (ihr legt ja ohnehin keinen großen Wert auf Datensicherheit). Er braucht sie nur noch in das OpenVPN Programmverzeichnis zu kopieren und den Server per Doppelklick zu starten, dann kannst Du Dich mit dem bei Dir installierten Client zu ihm verbinden und wie gewohnt auf seine Windowsfreigaben zugreifen - nun über die VPN-Schnittstelle.
Übrigens: Client und Server unterscheiden sich lediglich durch einige Einträge in den Konfigurationsdateien...

Damit Du nicht das ganze OpenVPN-Forum nach der Schritt-für-Schritt-Anleitung durchsuchen mußt , hier die Direktlinks dahin:

1. OpenVPN-Server unter XP

2. OpenVPN Client unter XP

Für Vista braucht es eine Sonderbehandlung, da dieses Betriebssystem ein wenig herumzickt. Die zusätzlichen Infos für einen Betrieb unter Vista findest Du hier:

3. OpenVPN und Vista

Lies Dir alles sorgfältig durch (darum wirst Du nicht herumkommen), und probiere das ganze einfach erstmal auf zwei Rechnern bei Dir im LAN aus, damit Du eine Vorstellung bekommst, was da abgeht. Zuerst sieht es kompliziert aus, aber wenn Du das einmal gepeilt hast, ist das ganze wirklich supereinfach.

Leider haben wir noch kein eigenes Tutorial zu diesem Thema vorliegen. Wenn Du beim Einrichten Fragen hast, mit denen Du nicht weiterkommst helfen wir gerne.

Grüße
Funkenzupfer.

P.S.: Sowohl Vista als auch XP bringen eine eigene VPN-Implementierung schon mit, ob Du mit der hinsichtlich der Ports glücklich wirst, kann ich Dir nicht sagen. Mehr Infos zu dieser Variante: Technet. und Microsoft. Bei meinen Tests hat dieses VPN aus Windows-Bordmitteln aber nicht zuverlässig funktioniert, wohl wegen der Beschränkungen der XP-Home-Version und auch, da der Client ein Win2000-Rechner sein sollte. Einen Versuch wäre es in Deiner Situation allemal wert. Wenn's damit nicht läuft, kannst Du immer noch OpenVPN nehmen.

Hallo Pinarek,

was soll ich sagen... bin etwas geplättet von dieser Auskunft. Offenbar sind wir wirklich zu blöd dazu, ein paar Ports aufzubekommen . Ich brauche sie zwar nicht offen, aber interessieren tut's mich schon, warum das nicht mehr geht.

Zitat

Um einen permanenten Remotezugriff zu ermöglichen, benötigen Sie eine feste IP-Adresse.

Das ist natürlich richtig, aber nur, wenn es wirklich permanent sein soll, also ohne die 24h Zwangstrennung, ja da hat der gute Mann natürlich recht :p. Ansonsten ist das Quatsch, Du mußt eben nach jedem IP-Wechsel die Einträge entsprechend korrigieren oder einen NoIP-Dienst verwenden. Aber das weißt Du ja selbst, glaube ich.

Zitat

Es werden von T-Online generell keine Ports gesperrt.

Hmmm... Und was ist das hier? Screenshots von einem Linux-PC an einem T-Online DSL-Anschluß, hinter einer gewöhnlichen Fritz-Box. Irgendwer filtert da ausgerechnet die Ports, die unter Windows ein Risiko darstellen, weil da angreifbare Dienste laufen...
Die Frage ist: Wer .

- Der Linux-Rechner interessiert sich nicht für die Windows-Ports, er bietet einfach auf diesen wie auf den anderen im Bild keine Dienste an. Sie müßten also beim Portscan genauso erscheinen, wie die übrigen.

- Das Portforwarding in der FritzBox wurde für den Test so eingerichtet, daß alle getesteten Ports (TCP) auf den Linux-PC durchgereicht werden, in den beiden Screenshots gut erkennbar (wie immer: draufklicken zum vergrößern).[INDENT]

Gefilterte Microsoft-Ports[/INDENT]Entweder die Geräte von AVM haben eine Fehlfunktion, so daß sich die für Windows gefährlichen Ports auch durch eine ausdrückliche Portforwarding-Regel nicht öffnen lassen, oder aber die zitierte Aussage der T-Online zu den angeblich nicht gesperrten Ports ist schlichtweg falsch.

Rein theoretisch könnte natürlich auch irgend ein Carrier im Internet-Backbone dafür verantwortlich sein. Ein tracert zeigt, daß die Verbindung über hosteurope zu crossnet geht. Eher unwahrscheinlich, daß die damit anfangen, Ports zu blockieren. Für mich riecht das doch sehr nach einer t-online-Sperre.

Grüße
Funkenzupfer.

P.S. Übrigens: Der Microsoft Remote Desktop, den Du oben angesprochen hast läuft auf anderen Ports (Standard: 3389, aber jeder andere geht auch). Der wird also von dieser Blockade nicht beeinträchtigt.

Nimm mal einen Router eines anderen Herstellers (bei dem Du ohne Klimmzüge wirklich alles frei konfigurieren kannst), und versuche es damit. Es liegt tatsächlich an einigen für Normalnutzer schwer erreichbaren Einstellungen der AVM-Geräte. Ob es sich bei Deinem Speedport evtl. über die Web-Oberfläche ändern läßt, weiß ich nicht. Bei der alten Fritz-Box muß man jedenfalls per Hand einige Einträge in den Konfigurationsdateien der Firmware ändern, um die Ports aufzubekommen. Ein einfaches Portforwarding reicht da nicht.

Die T-Online ist jedenfalls tatsächlich unschuldig :).

Grüße
Funkenzupfer.

P.S.: Netzwerkprofi bin ich noch nicht, sonst hätte ich Dir das aus dem Stehgreif sagen können

Zitat

Erkläre mir doch dann mal die Test mit Linux, wo doch gar keine Einstellungen eines Routers oder Windowseinstellungen ein Rolle spielen. Warum sind denn die Ports alle (die wir meinen) gesperrt ?

Einfach, weil die Box das per Default blockiert, wie ich ja auch schon vermutet hatte. Hier die Bestätigung, eben er-yahoo-t:
Re:*OT:*Zur*Spamunterdrückung*Ports*geblockt? | Bounce-Verbot*für*Bundes-Mailserver | iX-Newsforen

Da das bei Heise wohl bald wieder verschwindet, die wesentlichen Infos als Zitat:

Zitat

Hier sind die default NAT Einstellungen der FritzBox:

policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"deny udp any any eq 135",
"deny tcp any any eq 135",
"deny udp any any range 137 139",
"deny tcp any any range 137 139",
"deny udp any any range 161 162",
"deny udp any any eq 520",
"deny udp any any eq 111",
"deny udp any any eq 22289",
"deny udp any any eq 1710",
"deny udp any any eq 1048",
"deny udp any any eq 158",
"deny udp any any eq 515";
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0",
"reject udp any any eq 135",
"reject tcp any any eq 135",
"reject udp any any range 137 139",
"reject tcp any any range 137 139",
"reject udp any any range 161 162",
"reject udp any any eq 520",
"reject udp any any eq 111",
"reject udp any any eq 22289",
"reject udp any any eq 1710",
"reject udp any any eq 1048",
"reject udp any any eq 158",
"reject udp any any eq 515",
"reject icmp any 149.1.1.0 255.255.255.0",
"reject tcp any host 202.106.185.127 eq 25";

Das hat nichts mit einem eingerichteten PFW zu tun.

kezboard

Alles anzeigen

Aus diesen Konfigs geht eindeutig hervor, daß zumindest die Fritzbox diese Ports grundsätzlich zurückweist. Auch ich habe in den Benutzereinstellungen der Fritz-Box nichts gefunden, womit man das beeinflussen könnte. Man muß da wohl tatsächlich per Telnet rein, um das freizugeben (Durch Löschen der betreffenden Zeilen aus der entsprechenden Datei, wie unter Linux üblich) Das dürfte bei Deinem Speedport, der ja auch von AVM sein soll, ähnlich funktionieren.

Grüße
Funkenzupfer.

Das dürfte aber alles keine Rolle spielen, wenn die Box nur als Modem ohne Routerfunktion betrieben wird... DAS habe ich mit Linux noch nicht getestet, habe derzeit dazu aber auch keine Möglichkeit. Wäre wirklich interessant, das Ergebnis...

Grüße
Funkenzupfer

P.S.: Die Firmware muß man glaube ich nicht umschreiben, nur im laufenden Router ein paar Zeilen einer Datei im Arbeitsspeicher ändern.

Hallo zusammen,

Mir ist nicht ganz klar, warum es bei reinem Modembetrieb nicht gehen sollte. Aber es sollte auch so gehen.
Telnet ist nicht notwendig und geht auch standardmässig nicht übers Telefon zu aktivieren wie bei der Fritzbox:(. Einstellungen exportieren (geht sowohl mit Fritzbox als auch mit dem Speedport). Kopie anlegen und in der Kopie !! die gewünschten Einstellungen mit einem Unix kompatiblen Editor z.B Notepad++ ändern. Damit der Speedport die manuell geänderte Datei schluckt, muss man noch die Checksumme anpassen, oder die Checksummenprüfung deaktivieren. Ich denke es braucht nicht darauf hingewiesen zu werden, das derjenige der dort editiert, wissen sollte was er tut. Das Schmankerl ist, man kann durch laden der gesicherten und der geänderten Konfiguration recht einfach zwischen den Einstellungen wechseln.

Gruss 4your:only

Hallo und herzlich willkommen bei uns, [noparse]4your:only[/noparse]!

Ein wirklich klasse Tip von Dir, und das gleich als Einstiegsbeitrag . Ein großes DANKE!

Ich hab mir das natürlich gleich mal angesehen: Und tatsächlich, die Datei, welche die FritzBox bei unverschlüsselter Sicherung der Konfiguration auf die Festplatte schreibt ist wirklich weitgehend nur eine einfache Textdatei, in der sich genau die fraglichen Einstellungen finden lassen. Damit wird das Ändern derselben (richtiger Editor vorausgesetzt) zum Kinderspiel...

Zitat

Mir ist nicht ganz klar, warum es bei reinem Modembetrieb nicht gehen sollte.

Genau DAS ist es, was ich auch nicht nachvollziehen kann. Der Sache werde ich aber gelegentlich noch auf den Grund gehen. Bestimmt hat Pinarek irgendetwas übersehen, bei seinem Versuch unter Vista.

Grüße
Funkenzupfer

Hallo Funkenzupfer,

freut mich, das der Tipp gut ankommt. Wenn Du in der Datei änderst, wirst Du diese nicht geladen bekommen.
Generell bekommst Du ja die Konfiguration nur auf die gleiche Kiste zurückgesichert, wenn beim sichern KEIN passwort angegeben wurde. (trifft auch auf den speedport zu).

Um Deine geänderte Export Datei zurücksichern zu können, musst Du oben ins export File einen Eintrag hinzufügen:

Suche die Zeile Country=049 und füge unterhalb eine neue Zeile hinzu:
NoChecks=yes

Damit wird die Checksummenprüfung beim Import übergangen, aber Vorsicht das Ding schluckt dann auch Blödsinn mit garantierten Nebenwirkungen!

Ob der Trick in neueren Versionen und mit allen Fritzen funktioniert, musst Du ausprobieren.

Mein Problem das ich auf diesem Wege lösen konnte war ein anderes : ich habe den Speedport im Keller und wollte eine Fritz als Repeater im 1. OG. Blöderweise können nur Fritzboxen untereinander mit WPA2 zwischen Basis und Repeater arbeiten (die Partner prüfen anscheinend, ob ein Fritzchen am anderen Ende hängt, damit scheiden alle anderen nicht AVM normalerweise aus), der Speedport bietet eine adäquate Verschlüsselung überhaupt nicht an. Da der Speedport von AVM produziert wird (Hardwaremässig ein Mix verschiedener Fritzen) , lag es nahe, der 701 da ein wenig auf die Sprüge zu helfen.

Mit den entsprechenden Modifikationen am 701V konnte ich die Fritz als Repeater mit WPA2 an den Speedport hängen. Dadurch habe ich jetzt in dem 1.OG mehrere Internetanschlüsse ohne einen einzigen WLAN Adapter und noch zusätzlich nutzbare Telefonanschlüsse (SIP Telefonie):D.

Dran denken, modifizierte Boxen verlieren jeden Herstellersupport und sollte man nur machen wenn man noch´n Ass äh. Router in der Hinterhand hat.

Viel Spass beim probieren!