SIP-Zugangsdaten auslesen Centro Grande Router
ADB/Pirelli
Hallo Freunde.
Mit freundlicher Genehmigung von Tobias, ist es mir heute möglich, euch freien
Bürgern, eine neue Methode zu zeigen, wie ihr an die SIP Zugangsdaten eures
Swisscom IP Telefonanschlusses kommt.
Alles was ihr braucht, ist ein Centro
Grande/Picollo Router vom Hersteller ADB/Pirelli mit aktueller
Firmwaregeneration 6.
How-to
Beim Router muss das DSL oder Fiber Anschlusskabel entfernt werden. Danach setzt man den Router über das Webinterface auf Werkseinstellung.
Startet eine Telnet oder SSH Session
auf euren Router, meldet euch als admin (BN: admin, PW:1234) an und gebt folgende Befehle ein:
configure terminal
cli-authentication
V0iPcon7ro1!
show voip
Jetzt muss man das DSL oder Fiberkabel wieder anschliessen und den Router connecten lassen. Über den Link
http://swisscom.ch/access kann man das pairing forcieren.
Jetzt kann mann die oben genannten Befehle erneut in der Shell des Router eingeben. Benutzername bleibt admin, da der Router aber nun wieder individuelle Zugangsdaten erhalten hat, ist das Passwort das alt bekannte, zu finden im Kundencenter.
Wie ihr diese Zugangsdaten gebrauchen
könnt, habe ich schon in diesem Post beschrieben. Viel Spass und denkt
an die Sicherheit!
Seit ihr inspiriert oder habt neue, andere Erkenntnisse? Scheut euch nicht mit mir Kontakt aufzunehmen. Verschlüsselte Kommunikation ist möglich. Den Public Key für GPG findet ihr auf der Company Seite.
tuxone.ch steht für Freiheit ;)
Olympus will fall!
Seit dem Update der Swisscom Centro Grande Router ADB/Pirelli auf Firmwareversion 6.02.xx, existiert ein zusätzlicher User "superadmin".
Dieser User kann sich mit dem Passwort 1234 einloggen.
Obwohl der User admin bei jedem Gerät durch cwpm ein individuelles Passwort bekommt, wird dieser Schutz durch den superadmin ausgehebelt!
Klar das somit sämtliche Geräte im LAN (Trojaner), Zugriff auf das Router Interface oder die CLI bekommen.
Fix
Dem User superadmin kann man einfach ein sicheres Passwort vergeben.
Im WUI unter Router > Einstellungen vergibt man dem superadmin bei "Fernzugriff aus dem Internet", einfach ein Passwort.
Achtung, dieses Passwort muss man im Falle eines Reset wieder setzen!
Ob dieser Fix dauerhaft hält oder mittels TR-069 überschrieben werden kann ist mir nicht bekannt.
Ich gehe aber davon aus das die Swisscom in einem nächsten Release zumindest das Passwort von 1234 auf pass4all oder so ändern wird :D
Bekannter massen hat die Swisscom fortgeschrittene Funktionen aus dem WUI ihrer Centro Router gestrichen. Seit dem Update auf die Firmware-Versionen 06.02.XX der ADB/Pirelli Router, fehlt diesen auch das freischaltbare "Admin-GUI"
Unverständlich aber, dass sogar gewisse Grundfunktionen wie PAT/NAPT im GUI schlicht nicht möglich sind.
Was ist PAT /NAPT
Ich gehe davon aus das man diesen Beitrag mit gezielter Suche gefunden hat und daher weiss was PAT / NAPT ist. Falls nicht, hier eine Kurzbeschreibung:
PAT (Port Address Translation) auch bekannt als NAPT (Network Address Port Translation) ist eine erweiterte Form des NAT (Network Address Translation).
Gegenüber NAT wird zusätzlich zur IP Adresse auch noch die Port Nummer umgeschrieben.
Falls man zB. hinter einer öffentlichen IP mehrere Webserver betreibt die auf dem gleichen Port laufen (TCP 80) und man diesen nicht ändern kann, benötigt man NAPT. Da man nur eine öffentliche IP hat erfolgen Anfragen über unterschiedliche Ports. Der Router übersetzt diese Anfragen sowohl auf die richtige interne IP als auch auf den vorgegebenen Port.
Veranschaulicht in dieser Grafik:
CLI Command portmap
PAT lässt sich beim Pirelli/ADB Router mit aktueller Firmware nur via der CLI konfigurieren:
Der Einstieg dazu führt über Programme wie Telnet oder Putty und der IP des Routers (192.168.1.1)
Der Benutzername ist wie beim Zugang über das WUI admin. Das Passwort findet man im Kundencenter.
Falls man die Daten vergessen hat, kann man sich auch mit BN: superadmin, PW: 1234 einloggen.
Zum Glück bieten die Centro Router einen DNS rebinding Schutz ;) (ausgenommen Centro Business - Sicherheitslücke)
portmap bietet drei Grundfunktionen:
portmap add: Fügt eine neue Portweiterleitung hinzu
portmap del: Löscht eine Portweiterleitung
portmap list: Listet alle konfigurierten Portweiterleitungen auf. Interessant was wohl manch einer hier wegen aktiviertem UPNP vorfinden wird... :D
Der portmap add Befehl erwartet 5 Eingaben:
portmap add [name: Name der Portweiterleitung] [public port: Öffentlicher Port] [local_ip: IP des Servers]
[local_port: Port des Servers] [protocol: tcp, udp oder both]
Um eine NAPT Regel des öffentlichen Ports 8080 auf die interne IP 192.168.1.11/24 mit Port 80 zu machen, müsste der Befehl also folgendermassen lauten:
portmap add HTTP2 8080 192.168.1.11 80 tcp
Nach Abschluss der Konfiguration empfiehlt sich ein save
Die Überprüfung der Konfiguration erfolgt über portmap list
CLI mittels Putty
Zu Beachten: Portweiterleitungen welche man via portmap konfiguriert (und solche die UPNP macht) finden man nicht im Webinterface des Routers.
Den Befehl für die Centro Motorola Router und das ehemalige Admin Gui des Pirelli findet man hier.
Swisscom hat auf ihre Centro Grande ADB/Pirelli Router bereits grösstenteils die neue Firmware der 6er Generation ausgerollt (6.02.02).
Neben einer besseren Stabilität, wurde in diese Firmware auch eine IPv6 Firewall integriert.
Grundsätzlich gäbe es also keinen Grund sich ein Downgrade zu wünschen.
Die Funktionen über das Web User Interface der Swisscom Router ist traditionell eingeschränkt.
Services wie IPTV und VoIP zwingen den Provider Voreinstellungen auf ihren CPE's zu tätigen.
Eingebürgert hat sich die Konfigurationbeschränkung durch den Kunden, mit der Begründung, dass Kundenkonfigurationen die bereitgestellten Services behindern oder unbrauchbar machen können.
Unlängst sind solche Provider Restriktionen in Deutschland zum Thema geworden, Schlagwort: "Routerzwang".
Somit bringt die 6er Generation der Firmware nicht nur Verbesserungen, sondern teils auch Ärger mit sich.
Das gute alte "Admin Gui" wurde gestrichen. Somit können die Kunden nicht mehr von den vielfältigen Konfigurationsmöglichkeiten von openrg profitieren. Den Reaktionen nach, waren das mehr Kunden als ich dachte.
Bis auf weiteres bleibt somit nichts anderes übrig als ein Downgrade zu starten.
Nun gut. Dies soll kein Blog Post über Sinn oder Unsinn solcher Sachen sein. Hier beschreibe ich nur den Downgrade auf die ältere Firmware. Des weiteren lehne ich jegliche Haftung ab falls es zu Schäden am Router kommt oder in Folge des Downgrades nicht alle Services wie gewohnt funktionieren.
Downgrade durch Image Dateien
Wie manch einer der ein Downgrade machen wollte gemerkt hat, funktioniert es nicht, wenn man einfach eine ältere rmt Datei hochlädt. Der Router bleibt stur auf der 6er Version.
Der Router verfügt aber über einen "Recovery Modus" bei dem man Image Dateien hochladen kann.
Diese Images beinhalten die Firmware ohne Signatur. Ich habe die Signatur der aktuellsten 5er Firmware entfernt und stelle das Image als Download zur Verfügung.
Gibt dem PC welcher die Datei uploaden soll die fixe IP 192.168.1.2/24
Verbinde nur den Upload PC mit dem Router über LAN
Schalte den Router über den seitlichen on/off Knopf aus.
Drücke mit einen Stift sanft auf den versenkten Resetknopf und halte ihn gedrückt.
Schalte den Router ein während der Resetknopf immer noch gedrückt bleibt.
Nach spätestens 10s sollte die Betriebsanzeige an der Front rot leuchten. Man kann nun den Resetknopf loslassen. Bild 1
Mittels Browser kann man nun http:/192.168.1.1 öffnen. Es öffnet sich eine Seite bei der man die Image Datei hochladen kann. (Vx226N1_50037_04b20.img) Bild 2
Nach erfolgreichem Upload warten bis der Router wieder zur Verfügung steht. Dies kann mehrere Minuten dauern. In der Anfangsphase ist nicht zu erkennen ob sich was tut. Die BetriebsLED bleibt weiterhin rot. Auf gar keinen Fall darf man den Router in dieser Phase ausschalten!
Nachdem der Router wieder hochgefahren ist (mit der Firmware 5.0.0.37_04b20) lädt man via WUI (Router Firmware aktualisieren) die alte Recovery Firmware hoch. (Vx226N1_50037R.rmt) Falls der Zugriff mit den persönlichen Zugangsdaten nicht funktioniert, Router reseten (Resetknopf 30s gedrückt halten) und Benutzername admin, Passwort 1234 verwenden.
Der Router macht nach diesem Schritt einen automatischen Reboot. Danach den Router nochmals richtig reseten. (Resetknopf für ca 30s gedrückt halten)
Nach erfolgreichem Downgrade ist cwmp (TR-069) zu deaktivieren. Dies sollte vor dem Einstecken des DSL Uplinks geschehen.
6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.
IPv6 bei Swisscom
Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!
Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!
Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.
Sicherheit durch Router
Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.
Die Zeit ist gekommen, auch Swisscom wird sie haben :)
In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.
NAT IPv4
Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.
IPv6 Firewall
Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.
Sicherheit in 3 Stufen
Mittel
Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.
Falls die IPv6 Firewall
Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr
in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist
eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle""
und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie
definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle"
gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP
Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im
abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um
vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens
ausschalten, wird automatisch der Firewall-Status "Mittel"
angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden
Richtungen (ankommend und abgehend) erlaubt.
Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle
Fernwartungs-Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
Secure Shell (SS)
TCP
22
Eingehend
Telnet
TCP
23
Eingehend
Apple Airport PPP Status etc.
TCP
192
Eingehend
Mac OS X Server Admin
TCP
311
Eingehend
rlogin
TCP
513
Eingehend
TCP Shell
TCP
514
Eingehend
Mac OS X Server Administration
TCP
660
Eingehend
Mac OS X Server Administration
TCP
687
Eingehend
Samba Web Administration Tool
TCP
901
Eingehend
Telnet over TLS/SSL
TCP
992
Eingehend
QT Server Administration
TCP
1220
Eingehend
VNC Listener
TCP
5500
Eingehend
VNC over HTTP
TCP
5800
Eingehend
VNC remote desktop protocol
TCP
5900
Eingehend
TeamViewer remote desktop proto.
TCP
5938
Eingehend
WBEM HTTP, Apple Remote Desktop
TCP
5988
Eingehend
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Ankommend/Abgehend
TACACS
Beide
49
Ankommend/Abgehend
Trivial File Transfer Protocol
Beide
69
Ankommend/Abgehend
Mac OS X Server Password Server
Beide
106
Ankommend/Abgehend
ONC RPC (SunRPC)
Beide
111
Ankommend/Abgehend
SQL Services
Beide
118
Ankommend/Abgehend
DCOM Service Control Manager
Beide
135
Ankommend/Abgehend
NetBIOS Name Service
Beide
137
Ankommend/Abgehend
NetBIOS Datagram Service
Beide
138
Ankommend/Abgehend
NetBIOS Session Service
Beide
139
Ankommend/Abgehend
SQL Service
Beide
156
Ankommend/Abgehend
SNMP
Beide
161
Ankommend/Abgehend
SNMP Traps
Beide
162
Ankommend/Abgehend
Print-srv, Network PostScript
Beide
170
Ankommend/Abgehend
X Display Manager Ctrl (XDMCP)
Beide
177
Ankommend/Abgehend
Service Location Protocol (SLP)
Beide
427
Ankommend/Abgehend
Microsoft-DS SMB file sharing
Beide
445
Ankommend/Abgehend
Kerberos Change/Set password
Beide
464
Ankommend/Abgehend
Rexec, Remote Process Execution
Beide
512
Ankommend/Abgehend
Line Printer Daemon
Beide
515
Ankommend/Abgehend
RIPng
Beide
521
Ankommend/Abgehend
RPC
Beide
530
Ankommend/Abgehend
DHCPv6 client
Beide
546
Ankommend/Abgehend
DHCPv6 server
Beide
547
Ankommend/Abgehend
AFP over TCP
Beide
548
Ankommend/Abgehend
Internet Printing Protocol
Beide
631
Ankommend/Abgehend
LDAP over TLS/SSL
Beide
636
Ankommend/Abgehend
Kerberos administration
Beide
749
Ankommend/Abgehend
iSCSI (RFC 3720)
Beide
860
Ankommend/Abgehend
MSSQL Server
Beide
1433
Ankommend/Abgehend
MSSQL Monitor
Beide
1434
Ankommend/Abgehend
RADIUS authentication
Beide
1812
Ankommend/Abgehend
RADIUS accounting
Beide
1813
Ankommend/Abgehend
SSDP
Beide
1900
Ankommend/Abgehend
NFS
Beide
2049
Ankommend/Abgehend
MySQL Server
Beide
3306
Ankommend/Abgehend
Web Services Discovery
Beide
3702
Ankommend/Abgehend
UPnP
Beide
5000
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5351
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5353
Ankommend/Abgehend
Link-Lcl Mcast Name Resolution
Beide
5355
Ankommend/Abgehend
WSDAPI over HTTP
Beide
5357
Ankommend/Abgehend
WSDAPI over HTTPS
Beide
5358
Ankommend/Abgehend
PostgreSQL
Beide
5432
Ankommend/Abgehend
Hoch
Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".
Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.
Standardregeln
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Blockiere gesamten Verkehr
TACACS
Beide
49
Blockiere gesamten Verkehr
Trivial File Transfer Protocol
Beide
69
Blockiere gesamten Verkehr
Mac OS X Server Password Server
Beide
106
Blockiere gesamten Verkehr
ONC RPC (SunRPC)
Beide
111
Blockiere gesamten Verkehr
SQL Services
Beide
118
Blockiere gesamten Verkehr
DCOM Service Control Manager
Beide
135
Blockiere gesamten Verkehr
NetBIOS Name Service
Beide
137
Blockiere gesamten Verkehr
NetBIOS Datagram Service
Beide
138
Blockiere gesamten Verkehr
NetBIOS Session Service
Beide
139
Blockiere gesamten Verkehr
SQL Service
Beide
156
Blockiere gesamten Verkehr
SNMP
Beide
161
Blockiere gesamten Verkehr
SNMP Traps
Beide
162
Blockiere gesamten Verkehr
Print-srv, Network PostScript
Beide
170
Blockiere gesamten Verkehr
X Display Manager Ctrl (XDMCP)
Beide
177
Blockiere gesamten Verkehr
Service Location Protocol (SLP)
Beide
427
Blockiere gesamten Verkehr
Microsoft-DS SMB file sharing
Beide
445
Blockiere gesamten Verkehr
Kerberos Change/Set password
Beide
464
Blockiere gesamten Verkehr
Rexec, Remote Process Execution
Beide
512
Blockiere gesamten Verkehr
Line Printer Daemon
Beide
515
Blockiere gesamten Verkehr
RIPng
Beide
521
Blockiere gesamten Verkehr
RPC
Beide
530
Blockiere gesamten Verkehr
DHCPv6 client
Beide
546
Blockiere gesamten Verkehr
DHCPv6 server
Beide
547
Blockiere gesamten Verkehr
AFP over TCP
Beide
548
Blockiere gesamten Verkehr
Internet Printing Protocol
Beide
631
Blockiere gesamten Verkehr
LDAP over TLS/SSL
Beide
636
Blockiere gesamten Verkehr
Kerberos administration
Beide
749
Blockiere gesamten Verkehr
iSCSI (RFC 3720)
Beide
860
Blockiere gesamten Verkehr
MSSQL Server
Beide
1433
Blockiere gesamten Verkehr
MSSQL Monitor
Beide
1434
Blockiere gesamten Verkehr
RADIUS authentication
Beide
1812
Blockiere gesamten Verkehr
RADIUS accounting
Beide
1813
Blockiere gesamten Verkehr
SSDP
Beide
1900
Blockiere gesamten Verkehr
NFS
Beide
2049
Blockiere gesamten Verkehr
MySQL Server
Beide
3306
Blockiere gesamten Verkehr
Web Services Discovery
Beide
3702
Blockiere gesamten Verkehr
UPnP
Beide
5000
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5351
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5353
Blockiere gesamten Verkehr
Link-Lcl Mcast Name Resolution
Beide
5355
Blockiere gesamten Verkehr
WSDAPI over HTTP
Beide
5357
Blockiere gesamten Verkehr
WSDAPI over HTTPS
Beide
5358
Blockiere gesamten Verkehr
PostgreSQL
Beide
5432
Blockiere gesamten Verkehr
Aus
Es ist nur eine
grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und
schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist.
Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu
benützen.
Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.
Regeln erstellen
Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.
What else?
Hmm es gibt da schon noch was :)
Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.
Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.
