SIP-Zugangsdaten auslesen Centro Router Motorola/Arris
Um an die SIP Zugangsdaten seinen Swisscom Telefonanschlusses zu kommen brauchte man bisweilen einen Centro Router von Pirelli/ADB.
Durch die Information und freundlicher Genehmigung von revault.ch ist es mir nun möglich euch noch einen anderen Weg mit dem Centro Router von Motorola/Arris zu zeigen. Dieser ist sogar noch etwas einfacher anzuwenden da man hierzu kein Downgrade der Firmware machen muss Dabei spielt es keine Rolle ob es sich um einen grande oder piccolo dieses Herstellers handelt.
Geprüft wurde der Exploit mit der Firmware Version 9.0.10h2d12
Voraussetzung
Die SIP Daten müssen auf den Router geschrieben sein. Die Telefon LED muss also weiss leuchten.
Als Trick verwendet man einen Netcat listener im selben Netzwerk. Die Befehle in diesem Beitrag beziehen sich auf die Linux Version. Die Verwendung der Zugangsdaten wird bereits in diesem Beitrag beschrieben und nicht nochmals erwähnt:
Zuerst startet man einen Netcat listener auf einer Maschine im selben Netzwerk des Routers. Dies kann die gleiche Maschine sein von der aus wir nachher noch eine Telnet Verbindung zum Router aufbauen. Natürlich muss der Port des listeners, in diesem Beispiel 1669, erreichbar sein!
nc -l 1669 |grep
siputilsauth.c
Als nächstest startet man mit einem anderen Prozess oder auf einer anderen Maschine eine Telnet Verbindung auf den Router und loggt sich als admin ein.
telnet 192.168.1.1
Mittels dem Befehl magic öffnet man auf dem Router eine erweiterte shell und aktiviert das Logging auf den zuvor eröffneten Netcat listener. Hierzu ist die IP und der Port dem eigenen Netz anzupassen!
magic voip trace sipstack
on
voip extrnlog on 192.168.1.102:1669 8
Um den listener mit Daten zu füllen, muss man einen SIP Parameter ändern. Bei der grande Version kann man gleich beide Linien ändern, bei der piccolo nur eine da ja auch nur eine physikalische Schnittstelle vorhanden ist.
configure
set voip phone 1 sip-expires-time 5
set voip phone 2 sip-expires-time 5
validate
save
exit
Nachdem man einige Sekunden gewartet hat setzt man den Wert wieder auf den dafür vorgesehenen.
configure
set voip phone 1 sip-expires-time 3600
set voip phone 2 sip-expires-time 3600
validate
save
exit
Der Netcat listener sollte sich wie auf dem Bild zu sehen mit den benötigten Daten gefüllt haben. Falls nicht, einfach die Befehle nochmals ausführen. Hat man im Falle von Multiline mehrere Rufnummern kann man diese den Ports des Routers zuweisen lassen und ebenfalls auslesen. Ist man fertig schaltet man das Logging auf dem Router noch aus.
voip
trace sipstack off
voip extrnlog off
Vielen Dank für die Unterstützung und viel Spass damit!
Gerade wieder habe ich in einem Forum gelesen, dass der Centro Grande definitiv kein 5Ghz WLAN kann!
Da musste ich ein wenig schmunzeln.... weil, das ist nicht die ganze Wahrheit :)
Den Trick zur Aktivierung habe ich schon seit einiger Zeit konserviert und schon fast wieder vergessen.
Für mich nun Anlass genug, diesen Post mal zu schreiben.
Der folgende Trick gilt nur für den Centro Grande der Motorola Version. Die Pirelli/ADB Version des Centro Grande ist nicht fähig im 5Ghz Bereich zu senden!
Des Weiteren ist auch die Motorola Version kein Dual Band Router. Es gibt als nur entweder oder (2,4Ghz oder 5Ghz), aber nicht beides simultan!
Wer jetzt also bewusst nur noch das 5Ghz Band nutzen will (oder kann), weil entweder alle Clients 5Ghz fähig sind oder ein separater 2,4Ghz Access Point vorhanden ist, für den könnte diese Funktion durchaus interessant sein...
Auch hier ist wie immer keine Unterstützung, Garantie oder voller Funktionsumfang via Provisionierung seitens Swisscom zu erwarten.
How-to
Wer einen Centro Grande Motorola hat und schon mal versuchte an der Wireless Übertragung etwas zu ändern, wird schon folgende Fehlermeldung erhalten haben: "Der WLAN n-Standard erlaubt keine Sicherheitseinstellungen mit WEP/WPA1"
Es ist also nahe liegend diese Flausen zu vertreiben ;)
Via Telnet oder SSH zB. mittels Putty greift man auf den Router zu.
Die IP ist standardmässig die 192.168.1.1
Der Benutzername und das Passwort ist das gleiche wie bei einem Zugriff mit dem Browser. Wer die Daten nicht kennt, kann diese im Kundencenter unter Router-Administration nachsehen.
Nach erfolgreichem Login gelangt man mit folgenden Befehlen zur Wireless Konfiguration:
conf [ENTER]
physical wireless [ENTER]
Weiter geht es mit dem Befehl:
set [ENTER]
In der Shell werden nachfolgend nun alle möglichen Wireless Einstellungen abgefragt.
Mit der Betätigung von [ENTER] wird die Standardeinstellung, bzw. die letzte Einstellung übernommen.
Änderungen der Parameter schreibt man ein und bestätigt diese ebenfalls mit [ENTER].
Um den Router künftig via Browser auf 5Ghz oder N only zu stellen, ist vor allem der Punkt wpa-version zu ändern!
Wer will, kann natürlich alle Einstellungen direkt via Terminal tätigen.
Hier halten wir es aber simpel und klicken [ENTER...] uns einfach bis zum Punkt
wpa-version durch.
Diesen stellt man von both auf Version 2 um, indem man dort einfach 2[ENTER] eingibt.
Nun kann man sich bis ans Ende der Wireless Konfiguration durchklicken und mit einem beherzten
save
die Konfiguration speichern.
Das wars auch schon. Ab sofort kann man auch via Browser den Router im 5Ghz Band oder N only Modus laufen lassen.
In diesem Artikel erkläre ich die verschiedenen Betriebsmodi welche die Swisscom Router mit SOC OS 7.8.x bieten. Auch heute noch sind Router mit dieser Software-Generation bei Swisscom weit verbreitet.
So hat die Swisscom bei ISDN Privatanschlüssen bis heute keinen alternativen Router in ihrem Sortiment. Korrektur "Centro ISDN".
Dabei handelt es sich um die Netopia / Motorola Router der 7000er Serie. Die folgenden Erklärungen bzw. Anleitungen können nicht direkt für die Centro Router Generation angewandt werden! Für diese Router habe ich hier einen eigenen Blog Post.
Die Softwaregeneration lässt sich zB. mit einer Telnet Sitzung auf den Swisscom Router herausfinden.
Windows User verwenden den Telnet Client von Windows (ab Vista via Softwareverwaltung nachinstallieren) oder einen alternativen Client wie Putty.
Weil viele fremde Gateways kein kompatibles VDSL Modem drin haben oder die IGMP Unterstützung für Swisscom TV fehlt, lohnt es sich über die Möglichkeiten die mit dem Swisscom CPE bestehen, informiert zu sein. Die einfachste Art wäre es einfach eine Fritzbox! 7390 hinzustellen. Langweilig, es gibt noch zig Alternativen!
Welchen Modus brauche ich?
Damit man am Schluss ein zufriedenstellendes Resultat erreicht, muss man sich im Vorfeld zuerst mal klar werden was man eigentlich will oder braucht.
Grundsätzlich gibt es 4 Hauptmodi welche ich hier erkläre:
Gateway Modus (Standard-Modus)
Statisches NAT
IP Weiterleitung Modus (IP Passthrough)
Bridge Mode
Es gibt auch noch andere Arten der Anwendung, zB den LAN-WAN Turnaround (Router Mode) oder den Betrieb als Access Point. Keine Frage das so was geht. Aber sorry, tut euch was gutes und bringt in diesem Fall das Gerät zu einer Entsorgungsstelle :)
Gateway Modus
Dies ist der normale Modus mit dem der Router geliefert wird. Im Router steckt ein DSL Modem und ein Router. Das Gerät arbeitet als Gateway zwischen dem WAN (DSL) und dem LAN (Ethernet) und routet zwischen diesen beiden Netzen.
Diese Betriebsart ist für alle gut die keinen eigenen Router verwenden und simple Portweiterleitungen reichen.
Hinweis: Wer zb. WLAN nach dem neusten Stand brauchen will muss keinen zusätzlichen Router betreiben. In solch einem Fall ist ein Access Point bzw ein Router welcher sich in diesen Modus setzen lässt besser geeignet!
Im Gateway Modus arbeitet diese Router Generation eigentlich sehr stabil und zuverlässig. Auch User mit höheren Anforderungen wie schnellerem WLAN oder LAN können unter Gebrauch von Zusatzhardware (Access Point, Switch) zufrieden werden.
So ist es kein Problem, Services zB. von einem NAS extern anzubieten. Alle was es dafür braucht, ist die sogenannte Portweiterleitung.
Diese findet man im Web Router Interface
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Expertenmodus aktivieren.
Unter Konfigurieren NAT/Spiele Konfiguration findet man die Oberfläche um Portweiterleitung einzurichten.
Gewünschten Service auswählen oder erstellen und auf Host lenken, speichern.
Nach Beendigung der Konfiguration Gerät neu starten.
Host
Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit die Portweiterleitungen richtig bestehen bleiben.
Advanced: Leider ist in einer aktuellen Softwareversion das sogenannte PAT nicht mehr via GUI möglich.
Abhilfe schafft die shell:
conf
set pinhole
Statisches NAT
Dieser Modus kann man brauchen wenn man einen eigenen Router verwendet, eine DMZ bauen möchte oder sämtliche Anfragen an einen Host leiten will.
Statisches NAT ist kein eigentlicher Modus. Das Gerät arbeitet immer noch als Gateway. Es ist also weiterhin möglich Clients zB. STB für Swisscom TV im LAN des Swisscom Routers zu belassen. Statt wie bei einer Portweiterleitung gezielt Ports auf Hosts zu lenken, wird beim statischen NAT sämtlicher nicht aus dem LAN initiierter Verkehr auf einen Host geleitet. Klar das dieser Host durch eine Firewall oder eben einem fremden Router geschützt werden sollte. Keine gute Idee diesen Modus zB für ein NAS zu verwenden, nur weil es bei den Portweiterleitungen scheitert! ;) Ein Scan des Swisscom Netzes zeigt. Ein Rat den ein kleiner Teil leider so nicht kennt.
Da statisches NAT sehr verwand mit der Portweiterleitung ist, gleicht sich das Vorgehen auch.
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Expertenmodus aktivieren.
Unter Konfigurieren NAT/Spiele Konfiguration findet man den Button um statisches NAT zu aktivieren.
gewünschten Host auswählen und speichern.
Nach Beendigung der Konfiguration Gerät neu starten.
Host
Dem Host sollte man eine statische IP ausserhalb des DHCP Ranges geben, damit statisches NAT immer auf das richtig Ziel führt.
Ist der Host ein fremder Router sollte oder muss man dessen LAN Bereich in ein anderes Subnet setzen, zB. 192.168.2.0/24 (verhindert routing issues)
IP Weiterleitung / IP Passthrough
Auch bei einer IP Weiterleitung arbeitet das Swisscom Gateway in seinem LAN immer noch als Router. Es ist also auch hier immer noch möglich STBen für Swisscom TV in diesem LAN zu betreiben. Im Gegensatz zum statischen NAT wird bei der IP Weiterleitung die öffentliche IP auf das WAN Interface eines bestimmten Host's abgebildet. Dieser Modus ist also vor allem im Betrieb mit einem eigenen Router oder Firewall interessant und man mit dem Bridge Mode überfordert ist.
Swisscom Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Expertenmodus aktivieren.
Unter Konfigurieren IP-Weiterleitung findet man die entsprechende Oberfläche.
Einen Host auswählen und aktivieren
Das Gateway wird darauf hinweisen das ein Neustart nötig ist. Also neu starten!
Host
Das WAN Interface des Host's (Router) muss die IP automatisch beziehen, also auf DHCP eingestellt sein. Ansonsten kann man das Gerät nicht als Ziel für die IP-Weiterleitung auswählen.
Nachdem das Swisscom Gateway beim letzten Punkt den Neustart ausgeführt hat und die Internetverbindung wieder steht, muss auch der eigene Router neu gestartet werden oder einen DHCP refresh ausführen, damit die öffentliche IP bezogen werden kann.
Auch hier ist es besser den LAN Bereich des eigenen Routers in ein anderes Subnet zu setzen damit routing Probleme gleich von Anfang an verhindert werden können.
Bridge Mode
In diesem Modus schaltet das Gateway eine Bridge zwischen LAN und WAN, arbeitet also nicht mehr als Router.
Gut also für all die welche ihren eigenen Router verwenden möchten und das Swisscom Gateway nur noch als Modem betreiben. Simple Sache wenn man nur Internet braucht. Schwieriger wirds wenn man noch Swisscom TV oder VoIP Services von Swisscom benötigt. Da muss man wissen was man macht! :D
Das Gateway wird in Bridge Mode nicht einfach nur ein dummes Modem. Ein Client mit statischer IP im Range des Motorola Gateways (192.168.1.0/24) kann immer noch Zugriff erlangen um zB. Leitungsinformation auszulesen!
Gateway
Mit einem Browser 192.168.1.1 aufrufen und anmelden. Die Zugangsdaten findet man im Kundencenter.
Im Webinterface den Expertenmodus aktivieren.
Unter Konfigurieren, Verbindungen die Übersicht öffnen.
Bei Bridging von deaktiviert auf aktiviert stellen.
Im folgenden Fenster UPnP noch deaktivieren (schont das LOG einer Firewall)
Änderungen speichern
Reboot akzeptieren
Config Host entfernen und eigenen Router ans LAN hängen (DHCP, first come first serve)
eigener Router
WAN Interface des eigenen Router muss auf DHCP stehen. (Swisscom verwendet bei Privatkunden VDSL Terminierungen DHCP mit Option 82.)
Nach dem Neustart des Swisscom Gateways schadet auch hier ein Reboot nichts. Somit kann der IP Bezug sauber ablaufen.
Das LAN Subnet muss hier nicht zwingend geändert werden, aber es empfiehlt sich auch hier ein anderes als das Default Subnet von (192.168.1.0/24) zu verwenden. Nur schon um VPN Probleme einzuschränken.
Advanced: Die Sys Bridge lässt sich auch via Shell aktivieren. Als Hinweis für die Centro Serie mit älterer Firmware:
6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.
IPv6 bei Swisscom
Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!
Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!
Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.
Sicherheit durch Router
Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.
Die Zeit ist gekommen, auch Swisscom wird sie haben :)
In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.
NAT IPv4
Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.
IPv6 Firewall
Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.
Sicherheit in 3 Stufen
Mittel
Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.
Falls die IPv6 Firewall
Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr
in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist
eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle""
und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie
definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle"
gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP
Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im
abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um
vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens
ausschalten, wird automatisch der Firewall-Status "Mittel"
angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden
Richtungen (ankommend und abgehend) erlaubt.
Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle
Fernwartungs-Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
Secure Shell (SS)
TCP
22
Eingehend
Telnet
TCP
23
Eingehend
Apple Airport PPP Status etc.
TCP
192
Eingehend
Mac OS X Server Admin
TCP
311
Eingehend
rlogin
TCP
513
Eingehend
TCP Shell
TCP
514
Eingehend
Mac OS X Server Administration
TCP
660
Eingehend
Mac OS X Server Administration
TCP
687
Eingehend
Samba Web Administration Tool
TCP
901
Eingehend
Telnet over TLS/SSL
TCP
992
Eingehend
QT Server Administration
TCP
1220
Eingehend
VNC Listener
TCP
5500
Eingehend
VNC over HTTP
TCP
5800
Eingehend
VNC remote desktop protocol
TCP
5900
Eingehend
TeamViewer remote desktop proto.
TCP
5938
Eingehend
WBEM HTTP, Apple Remote Desktop
TCP
5988
Eingehend
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Ankommend/Abgehend
TACACS
Beide
49
Ankommend/Abgehend
Trivial File Transfer Protocol
Beide
69
Ankommend/Abgehend
Mac OS X Server Password Server
Beide
106
Ankommend/Abgehend
ONC RPC (SunRPC)
Beide
111
Ankommend/Abgehend
SQL Services
Beide
118
Ankommend/Abgehend
DCOM Service Control Manager
Beide
135
Ankommend/Abgehend
NetBIOS Name Service
Beide
137
Ankommend/Abgehend
NetBIOS Datagram Service
Beide
138
Ankommend/Abgehend
NetBIOS Session Service
Beide
139
Ankommend/Abgehend
SQL Service
Beide
156
Ankommend/Abgehend
SNMP
Beide
161
Ankommend/Abgehend
SNMP Traps
Beide
162
Ankommend/Abgehend
Print-srv, Network PostScript
Beide
170
Ankommend/Abgehend
X Display Manager Ctrl (XDMCP)
Beide
177
Ankommend/Abgehend
Service Location Protocol (SLP)
Beide
427
Ankommend/Abgehend
Microsoft-DS SMB file sharing
Beide
445
Ankommend/Abgehend
Kerberos Change/Set password
Beide
464
Ankommend/Abgehend
Rexec, Remote Process Execution
Beide
512
Ankommend/Abgehend
Line Printer Daemon
Beide
515
Ankommend/Abgehend
RIPng
Beide
521
Ankommend/Abgehend
RPC
Beide
530
Ankommend/Abgehend
DHCPv6 client
Beide
546
Ankommend/Abgehend
DHCPv6 server
Beide
547
Ankommend/Abgehend
AFP over TCP
Beide
548
Ankommend/Abgehend
Internet Printing Protocol
Beide
631
Ankommend/Abgehend
LDAP over TLS/SSL
Beide
636
Ankommend/Abgehend
Kerberos administration
Beide
749
Ankommend/Abgehend
iSCSI (RFC 3720)
Beide
860
Ankommend/Abgehend
MSSQL Server
Beide
1433
Ankommend/Abgehend
MSSQL Monitor
Beide
1434
Ankommend/Abgehend
RADIUS authentication
Beide
1812
Ankommend/Abgehend
RADIUS accounting
Beide
1813
Ankommend/Abgehend
SSDP
Beide
1900
Ankommend/Abgehend
NFS
Beide
2049
Ankommend/Abgehend
MySQL Server
Beide
3306
Ankommend/Abgehend
Web Services Discovery
Beide
3702
Ankommend/Abgehend
UPnP
Beide
5000
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5351
Ankommend/Abgehend
NAT Port Mapping Protocol
Beide
5353
Ankommend/Abgehend
Link-Lcl Mcast Name Resolution
Beide
5355
Ankommend/Abgehend
WSDAPI over HTTP
Beide
5357
Ankommend/Abgehend
WSDAPI over HTTPS
Beide
5358
Ankommend/Abgehend
PostgreSQL
Beide
5432
Ankommend/Abgehend
Hoch
Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".
Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.
Standardregeln
LAN Protokolle
Aktivieren
Dienst
Protokoll
Ports
Blockieren
WINS
Beide
42
Blockiere gesamten Verkehr
TACACS
Beide
49
Blockiere gesamten Verkehr
Trivial File Transfer Protocol
Beide
69
Blockiere gesamten Verkehr
Mac OS X Server Password Server
Beide
106
Blockiere gesamten Verkehr
ONC RPC (SunRPC)
Beide
111
Blockiere gesamten Verkehr
SQL Services
Beide
118
Blockiere gesamten Verkehr
DCOM Service Control Manager
Beide
135
Blockiere gesamten Verkehr
NetBIOS Name Service
Beide
137
Blockiere gesamten Verkehr
NetBIOS Datagram Service
Beide
138
Blockiere gesamten Verkehr
NetBIOS Session Service
Beide
139
Blockiere gesamten Verkehr
SQL Service
Beide
156
Blockiere gesamten Verkehr
SNMP
Beide
161
Blockiere gesamten Verkehr
SNMP Traps
Beide
162
Blockiere gesamten Verkehr
Print-srv, Network PostScript
Beide
170
Blockiere gesamten Verkehr
X Display Manager Ctrl (XDMCP)
Beide
177
Blockiere gesamten Verkehr
Service Location Protocol (SLP)
Beide
427
Blockiere gesamten Verkehr
Microsoft-DS SMB file sharing
Beide
445
Blockiere gesamten Verkehr
Kerberos Change/Set password
Beide
464
Blockiere gesamten Verkehr
Rexec, Remote Process Execution
Beide
512
Blockiere gesamten Verkehr
Line Printer Daemon
Beide
515
Blockiere gesamten Verkehr
RIPng
Beide
521
Blockiere gesamten Verkehr
RPC
Beide
530
Blockiere gesamten Verkehr
DHCPv6 client
Beide
546
Blockiere gesamten Verkehr
DHCPv6 server
Beide
547
Blockiere gesamten Verkehr
AFP over TCP
Beide
548
Blockiere gesamten Verkehr
Internet Printing Protocol
Beide
631
Blockiere gesamten Verkehr
LDAP over TLS/SSL
Beide
636
Blockiere gesamten Verkehr
Kerberos administration
Beide
749
Blockiere gesamten Verkehr
iSCSI (RFC 3720)
Beide
860
Blockiere gesamten Verkehr
MSSQL Server
Beide
1433
Blockiere gesamten Verkehr
MSSQL Monitor
Beide
1434
Blockiere gesamten Verkehr
RADIUS authentication
Beide
1812
Blockiere gesamten Verkehr
RADIUS accounting
Beide
1813
Blockiere gesamten Verkehr
SSDP
Beide
1900
Blockiere gesamten Verkehr
NFS
Beide
2049
Blockiere gesamten Verkehr
MySQL Server
Beide
3306
Blockiere gesamten Verkehr
Web Services Discovery
Beide
3702
Blockiere gesamten Verkehr
UPnP
Beide
5000
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5351
Blockiere gesamten Verkehr
NAT Port Mapping Protocol
Beide
5353
Blockiere gesamten Verkehr
Link-Lcl Mcast Name Resolution
Beide
5355
Blockiere gesamten Verkehr
WSDAPI over HTTP
Beide
5357
Blockiere gesamten Verkehr
WSDAPI over HTTPS
Beide
5358
Blockiere gesamten Verkehr
PostgreSQL
Beide
5432
Blockiere gesamten Verkehr
Aus
Es ist nur eine
grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und
schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist.
Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu
benützen.
Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.
Regeln erstellen
Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.
What else?
Hmm es gibt da schon noch was :)
Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.
Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.
Um an die SIP Zugangsdaten seinen Swisscom Telefonanschlusses zu kommen brauchte man bisweilen einen Centro Router von Pirelli/ADB.
Die SIP Daten müssen auf den Router geschrieben sein. Die Telefon LED muss also weiss leuchten.
