Magio Internet Optika - blokovanie portov za ONT v bridge mode

Otázka

  • 0

Za novozriadeny opticky internet s ONT HG8145V5 v bridge mode sa mi nepodarilo dostas na na nasledovne porty:

23 (Telnet), 25, 465, 587 (SMTP), 7547 (CPE WAN Management Protocol TR-069)

Pri dotaze na technickej podpore som sa dozvedel, ze Telekom porty neblokuje, po zadani reklamacie, ci tak napriklad nerobi ONT (hoci v bridge mode) jednoducho prisla genericka SMS, ze "problem" nie je u Telekomu.

Ma niekto skusenost s tymto spravanim, ci uz Telekom firewall riesenia, alebo ONT?

Vsetky ostatne porty (0-65535) boli priechodne, len vyssie uvedene podla nmap zvonku detekovane ako "filtered".

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach

14 odpovedí na túto otázku

  • 0

Nakoniec sa mi nateraz podarilo ziskat update od Telekomu, nasledovne porty su skutocne blokovane (na dynamickych IP) u ISP:   21, 23, 25, 465, 587

 

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 1

Aby som vylucil nejake pravila v infrastrukture Telekomu, skusil som to iste aj z verejneho cloudu mimo Telekomu, vysledok bol rovnaky, porty prechodne.

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 1

Pridal (editované)

Aktualne ONT mam dlhsie, bol som ho pozriet. Neviem pod akym nazvom sa predaval, je to HG8245H.

Pristup do neho nemam, nikdy som do neho pristupovat nepotreboval. Vsetky nastavenia mam v routeri za nim.

Editoval/-a Jano
odpoveď sa páči : 1 osobe

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 1
 

 

 

Dakujem za "radu", ale mna skutocne zaujima, kde a co blokuje porty, ktore moje zariadenie neblokuje urcite:

- jedna sa u mna o routing verejnej IP z bridge LAN portu ONT do konkretnej VLAN bez akehokolvek pravidla v IPTABLES

- DNAT / SNAT nastaveny pre vsetky porty na staticku IP do Raspberry Pi, kde je v DNAT zo vsetkych portov na jediny, kde pocuva Python skript

- z druhej strany cloud provider (otestovany outbound bez firewallu) skusam NMAP na portok 0-65535

Vsetky porty pre TCP spravia SYN/ACK, okrem vyssie menovanych. To Raspberry Pi je izolovane od zvysku siete a je to stock OS, takze k odvahe a VPN zatial rady nevyhladavam.

Ak mi chcete pomoct, uvital by som, ci Vam napriklad TCPDUMP na vlastnom routeri ukazuje prevadzku na niektorom z portov vyssie.

Kedze zrejme Telekom blokuje aj napr. 7547, tak to posobi, ze nevedia, co robia, pretoze konfiguracie ich ONT su na uplne oddelenom VLAN.

Tak mi to nedalo a vyskusal som to. Mas pravdu  7547 je blokovany

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0

Predpokladam, ze si bud doma (prip. firma). Od telekomu mas verejnu IPv4 adresu a testujes otvorenie portov. Modem/Router od telekomu som nenastavoval (teda raz ano, lebo mi ho dodali bez bridgu, tak som musel riesit porty tam, ale nepamatam si uz ako).

Podla mna telekom zakaznikom porty neblokuje.

Port si v routery musis otvorit pre konkretnu IP adresu v LAN. To si zrejme mal, ked si to testoval nmapom. Ale otvarat port 23 je dost odvaha. Ak chces riesit nejaky vzdialeny manazment, tak pouzi vpn (napr. openvpn je OK).

 

odpoveď sa páči : 1 osobe

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0
 

Predpokladam, ze si bud doma (prip. firma). Od telekomu mas verejnu IPv4 adresu a testujes otvorenie portov. Modem/Router od telekomu som nenastavoval (teda raz ano, lebo mi ho dodali bez bridgu, tak som musel riesit porty tam, ale nepamatam si uz ako).

Podla mna telekom zakaznikom porty neblokuje.

Port si v routery musis otvorit pre konkretnu IP adresu v LAN. To si zrejme mal, ked si to testoval nmapom. Ale otvarat port 23 je dost odvaha. Ak chces riesit nejaky vzdialeny manazment, tak pouzi vpn (napr. openvpn je OK).

 

Dakujem za "radu", ale mna skutocne zaujima, kde a co blokuje porty, ktore moje zariadenie neblokuje urcite:

- jedna sa u mna o routing verejnej IP z bridge LAN portu ONT do konkretnej VLAN bez akehokolvek pravidla v IPTABLES

- DNAT / SNAT nastaveny pre vsetky porty na staticku IP do Raspberry Pi, kde je v DNAT zo vsetkych portov na jediny, kde pocuva Python skript

- z druhej strany cloud provider (otestovany outbound bez firewallu) skusam NMAP na portok 0-65535

Vsetky porty pre TCP spravia SYN/ACK, okrem vyssie menovanych. To Raspberry Pi je izolovane od zvysku siete a je to stock OS, takze k odvahe a VPN zatial rady nevyhladavam.

Ak mi chcete pomoct, uvital by som, ci Vam napriklad TCPDUMP na vlastnom routeri ukazuje prevadzku na niektorom z portov vyssie.

Kedze zrejme Telekom blokuje aj napr. 7547, tak to posobi, ze nevedia, co robia, pretoze konfiguracie ich ONT su na uplne oddelenom VLAN.

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0

Pridal (editované)

Mam podobnu konfiguraciu: optika/bridge/vlastny router/verejna IP a ziadne blokovanie portov nezaznamenavam. Vyuzivam pomerne 'exkluzivne' porty, dvoj-, troj., stvor- aj patmiestne. Vacsina z nich smeruje do Raspberry. Ziadne dalsie nastavenia, okrem smerovania portov po LAN , som nerobil.
Hore popisanemu nastaveniu uplne na 100% nerozumiem, vyzera celkom komplexne, problem treba vylucovacoiu metodou hladat tam.

Editoval/-a Jano

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0
 

Mam podobnu konfiguraciu: optika/bridge/vlastny router/verejna IP a ziadne blokovanie portov nezaznamenavam. Vyuzivam pomerne 'exkluzivne' porty, dvoj-, troj., stvor- aj patmiestne. Vacsina z nich smeruje do Raspberry. Ziadne dalsie nastavenia, okrem smerovania portov po LAN , som nerobil.
Hore popisanemu nastaveniu uplne na 100% nerozumiem, vyzera celkom komplexne, problem treba vylucovacoiu metodou hladat tam.

Dakujem za solidnu odpoved! Mozem Vas pripadne poprosit vyskusat port forward z 7547 na to Vase RPi? A ak sa mozem spytat o aky model ONT sa jedna?

Ta moja konfiguracia posobi komplikovane, pretoze v ramci testovania som oddelil premavku na to testovacie RPi, je to ekvivalent tomu, akoby som si do ONT v bridge mod zapojil priamo RPi a mal sluzbu, ktora pocuva na vsetkych portoch. Na tych vyssie spominanych sa k nej neda dostat. Na ziadom z mojich zariadeni sa ten packet dropping nedeje, vylucovacou metodo zostava jedine Telekom interna siet, alebo mne dodane zle nakonfigurovane (zvonka) ONT. Preto ta otazka, ci ma zmysel reklamovat ONT konfiguraciu, alebo to Telekom potichu jednoducho zahadzuje vsetkym v ramci policy.

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0

Tento silno anonymizovany screen je tiez z RPI pripojenom na DSL od Telekomu vzdialenej 300 km od tej mojej optiky a da sa na tom vidiet ze 23 telnet aj 7547 smerom k optike je prechodny.

 

ports.png

odpoveď sa páči : 1 osobe

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0
 

Aby som vylucil nejake pravila v infrastrukture Telekomu, skusil som to iste aj z verejneho cloudu mimo Telekomu, vysledok bol rovnaky, porty prechodne.

Dakujem moc, cize mne uz zostava len svoje vlastne ONT (na ktore v bridge mod nemam pristup :D), kedze ten isty setup som sam skusil zapojit za inu siet a fungoval bez filtrovanych portov.

Nahodou neviete, ake ONT to modelovo je, resp aspon z akej doby? Od 6/2020 sa podla PDF materialov z webu poskytuje HG8145V5 (co je pocitam nahrada za HG8245H dostupneho od 3/2017).

Bude zaujimave sledovat, ako sa tou reklamaciou bude niekto zaoberat, ked mi moze vzdy povedat, ze v bridge mode si to zahadzujem sam ibaze mi poslu technika ...

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0

Pridal (editované)

Mal som pred rokmi obdobny problem , ale u ISP orange na VDSL. Spominany ISP zacal mat problemy z napadanim svojich koncovych zariadeni u zakaznikov, tak jednoducho zacal blokovat port 80. Mne bezali nejake webove sluzby a zrazu prestali fungovat. Vsimol som si to sice az po nejakom case. Potom som zacal patrat, kde moze byt problem a vobec ma nenapadlo, ze to moze blokovat ISP. Vtedy som pouzival mikrotik a snad 10 krat som kontroval port forward a vsetko bolo v poriadku. Ine porty fungovali.

Potom som prisiel na to, ze orange blokoval port 80. Potom som ich poziadal o otvorenie portu, ale zacali sa vyhovarat a nakoniec sme sa dohodli a celkom vyhodne v moj prospech.

Neviem ci nevedeli, alebo sa im nechcelo, alebo chceli mat menej problemov, ale otvorit port pre zakaznika ktory ma dynamic IPv4 adresu sa im nepodarilo, tak mi pridelili staticku IPv4 co mi vyhovovalo a mal som to bez poplatkov. Takze mozno uspejes aj ty a dostanes staticku zdarma :D

Editoval/-a janyxx

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0

Pridal (editované)

 

Tak mi to nedalo a vyskusal som to. Mas pravdu  7547 je blokovany

Tak to zacina byt vskutku zaujimave, este teda pre moj teraz uz takmer statisticky zber ... je to na ONT 8245H alebo 8145V5, pripadne uplne niecom inom?

Mne by to mozno ani tak nevadilo, keby to bolo riadne zdokumentovane a napr. predchadzal tomu notifikacny email. Takto ked si napr. nieco otvara nahodne pomocne porty, tak nestaci sa spolahnut na to, ze hocikde volny neprivilegovany, pretoze sa jednoducho zo dna na den moze stat, ze mi to ISP bez notifikacie zablokuje. V tomto pripade nasledne zlyhal aj proces reklamacie a do toho poskytovane mylne informacie, ze ISP nic neblokuje.

U bezneho zakaznika by som napriklad to SMTP pochopil, ale to predsa mozu robit uplne inym sposobom, najma ked maju kontrolu nad celym FW vlastneho ONT v sprave a koncovych zakaznikov v bridge mode z toho mohli vynechat. A do toho blokovat 7547, ktory to ONT moze mat nanajvys otvorene na uplne oddelenom VLAN - bolo by zaujimave vediet, ci je to "pre istotu", alebo "omylom", to potom tiez nieco vypoveda o kvalite technickeho zazemia takeho ISP.

Editoval/-a marcelo32

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach
  • 0
 

Mozem sa spytat, ci sa nieco zmenilo na tej info, ze 7547 bol u Vas tiez blokovany? Vsimol som si, ze ten prispevok zmizol, zostal len citovany.

Co sa 7547 tyka, Telekom mi potvrdil, ze zamer to blokovat nebol, sam mam v tejto chvili sluzbu zrusenu, tak by bolo snad napomocne, ak by sa dalo odkazat na niekoho s aktivnym ACS profilom o konkretneho ONT, kde by si mohli overit, ako to je.

Zdieľať tento príspevok


Odkaz na príspevok
Zdieľať na iných stránkach

Vytvor si účet alebo sa prihlás, ak chceš komentovať

Musíš byť členom, aby si mohol pridať komentár

Vytvoriť účet

Zaregistrujte si nový účet v našej komunite. Je to ľahké!


Registrácia nového účtu

Prihlásiť sa

Máš už účet? Prihlás sa tu.


Prihlásiť sa teraz

  • advertisement_alt
  • advertisement_alt
  • advertisement_alt


sidebar
  • Podobný obsah

    • Od ms9621
      Je mozne pri vyuzivani sluzby pevna linka na optike pouzit VoIP telefon tak, ze bude zapojeny do ONT na specificky LAN port podobne ako napr STB s poskytnutim prihlasovacich udajov na SIP podobne ako PPPoE?
    • Od jurajberner
      Chcel by som vediet ako mam postupovat ked chcem pouzivat svoj vlastny ONT router.
      V ponuke od telekomu je moznost mat internet bez routera od telekomu. mam svoj vlastny ONT router ktory teraz nepouzivam a chcel by som ho vymenit s tym co mam teraz od telekomu.
      Treba niekde nahlasit MAC adresu? pripadne poziadat o nejake konfiguracne nastavenia?
      mate niekto skusenost?
      Dakujem
    • Od pakoni
      Dobrý deň,
      prešiel som celé fórum a pre istotu by som sa chcel uistiť, či ozaj neexistuje možnosť, ako "preniesť INT aj IPTV" jedným ethernetovým káblom z Huawei HG8245H v "bridge móde" (umiestnený v garáži) do domu a tam mať vlastné zariadenia - router a switche.
      Nepôjde to ani keby som mal v dome na vstupe manažovateľný switch, v ktorom by som nastavil porty do jednotlivých VLAN (s nejakými zodpovedajúcimi VLAN ID toho Huawei HG8245H ) ???
      Neprosím o rady typu "natiahni ďalší kábel" (áno, predpokladám, že keď natiahnem nový ethernet kábel a dám na koniec switch s IGMP snoopingom a nastrkám do neho aj tri magioboxy, pôjde to) ...
      Verím, že to niekto rozchodil... :-) 
      Juraj
      PS: Potom ma už napadá iba dať manažovateľný switch aj v garáži a ísť do neho dvoma patch káblami z Huawei HG8245H a rozbiť to na VLAN-y...
    • Od dreisig.martin
      Dobry den, pouzivam tento router niekolko tyzdnov a lutujem ze som si ho dal vymenit. Po vymene je viac problemov ako radosti. Po konzultacii s vasou infólinkou mi bolo povedane ze “starsie” zariadenia s nim maju problem. 
      problem spociva ze po hodine ho odpoji od internetu a viac sa sam nepripoji iba ak resetnem router. Tyka sa to televizie, wifi controleru na svetlo v akvariu, wifi extender. Nepomoha ani zmena na bng standard s novym n/xa sa neda pripojit vobec.
      dakujem pekne za novinku!
      Chcem sa teda opytat ci je mozne s tym nieco urobit resp. ho vratit. Rad by som si kupil svoj vlastny router vy ako ISP umoznujete aj pouzitie vlastneho routra ci je potrebny router s upravenym FW? 
      dakujem
       
    • Od japr11
      Ako nastavit speedport+ do modu bridge?
    • Od lucia.jaremkova.kosice
      Dobry večer, už 2x som podavala požiadavku o priradenie Huawei pristroja k ONT, nakoľko som si menila na rýchlejší internet. Ani doposiaľ mi nebola požiadavka vybavená a aj naďalej musím používať svoj wifi router. Vždy som bola spokojná s Vašimi službami ale toto je už cez. Baby na infolinke mi sľúbili že požuadavku zaslali a vybavi sa zvyčajne do 24 hodín, no už prešlo viac ako 48 hodín a znova sa nič neudialo. Takže aj infolinka aj online chat na technicku podporu mi klamal. Dúfam, ze mi to vybavite čím skôr lebo už ma nebaví za každým vypisovať a telwfonovať.
      Ďakujem