FB 7490 als IP-Client öffnet TCP-Port

alexandi

Aktives Mitglied
Mitglied seit
11 Jun 2009
Beiträge
2,668
Punkte für Reaktionen
578
Punkte
113
Hallo zusammen,
bräuchte mal eine Erklärung:

Meine 7490 läuft als IP-Client an einer FB 7390 in der Upnp-Freigabe aktiviert ist. Für die FB7490 ist "Selbstständige Portfreigaben für dieses Gerät erlauben" aktiviert.
Tatsächlich öffnet die 7490 einen TCP-Port im Bereich 61xxxx.

Kann mir jemand erklären, warum die 7490 als IP-Client einen offenen Port braucht ????

Hab die Freigabe wieder deaktiviert, weils mir "spanisch" vorkommt
 
Da stimmt vermutlich tatsächlich etwas nicht ... da Portnummern nur 16 Bit haben, ist bei 65535 (eigentlich wohl schon bei 65534, also bei 2 ** 16 - 2) Schluß und da hat sich jemand einen Scherz mit Dir erlaubt und eine sechsstellige Portnummer verwendet.

Das kann nur ein "hoax" (der 7390) sein, sieht man auch ab und an mal in Filmen als "technisches Foul", wo dann IPv4-Adressen mit 3 Punkten (also 4 "Zahlen") schon mal Werte > 255 für die einzelnen Tupel verwenden.

Was über den Port genau gehen würde, kann man ja mit einem Mitschnitt ermitteln ... war das tatsächlich ein 1:1-Mapping? Wenn ja, sollte zu diesem Zeitpunkt auf der 7490 ja in den Support-Daten anhand der "netstat"-Ausgabe ersichtlich sein, welcher Service auf dem Zielport aktiv ist ... wobei das auch bei einem Mapping zu erkunden wäre, das nicht 1:1 den Port "durchreicht".
 
Meinst Du, da sollte ein "u" stehen?
 
Mglw. ein "x" zu viel ?
Logisch, eins zuviel

In der Support-Datei kann ich nur diesen Bereich einen Eintrag mit dem freigegebenen Port finden. Das sagt mir aber gar nix :-(

dsld[2761] dump (Mon Jan 30 10:49:23 2017)
------------------------------------------

Groups: IGD IGDPROBE
CTX AF_INET max_lifetime 600 [192.168.178.2] :36297
MAP TCP [192.168.178.2]:9 [externe IP]:61147, lifetime 120 secs, renew in 30 secs
uniqid 0
group "IGDPROBE" desc "IGDPROBE4"
nonce 144ea10504e4970bf2b1d3d0 active
<= [255.255.255.255]/128 port 9
filter version: wanted 1 sent 1 installed 1
wanted_lifetime 184549375 lifetime 120
age 212 lasttime 41 endtime 30 nsent 0
last actions: req 41 reply 41 (secs ago)


multid[2618] dump (Mon Jan 30 10:49:23 2017)
------------------------------------------
CTX AF_INET max_lifetime 600 [192.168.178.2] :48070

pcpd[2678] dump (Mon Jan 30 10:49:23 2017)
------------------------------------------
CTX AF_INET max_lifetime 600 [192.168.178.2] :43485 proxy


-------------------------------------------------------
2017-01-30 10:45:53.510 - MAP complete IGDPROBE TCP [192.168.178.2]:9 "IGDPROBE4" - error (not authorized)
2017-01-30 10:47:40.251 - MAP complete IGDPROBE TCP [192.168.178.2]:9 "IGDPROBE4": external [externe IP]:
61147


Vielleicht kann jemand damit was anfangen, außer AVM
 
Zuletzt bearbeitet:
Und?? Keine Antworten??
Würde auch gerne wissen ob die Geräte die als IP-Client laufen eine selbstständige freigabe bekommen sollten.
Mein mir haut in diesem Aufbau die Priorisierung der Netzwerkgeräte nicht wirklich hin..
 
Seitdem ich auf beiden Boxen die 6.80 drauf hab, werden überhaupt keine Ports mehr automatisch freigegeben.
Automatische Portfreigabe ist aber aktiviert.
:confused:
 
Ok, ich vermute mal das die automatische portfreigabe für die als IP-Client eingerichteten FritzBoxen auch nicht aktiviert sein muß, sonst würde das in deren Anleitung ja drin stehen, oder?
Bei mir öffnet sich der Port bei einer Box, bei der anderen nicht. Habs jetzt aber wieder deaktiviert.
Ich hoffe doch das die Boxen auch klar kommen wenn man mehr wie 2 Fritzboxen zu verbindet, oder?

Ich habe derzeit die 6840LTE als Internetrouter und eine 7272 u. 3390 per IP-Client dran hängen, inkl. WLan-Roaming mit gleicher SSID, Kanal u. Passwort.
Kann jemand bestätigen das ich das so richtig eingerichtet habe?
Es gibt ja dahingehend sehr viel verschiedene Meinungen u. von AVM bekommt auch keine direkte konkrete Antwort darauf. :-(
 
Wenn die 7490 als IP-Client an der 7390 läuft, arbeitet sie nicht als Router. Sie steht auch in keiner Konfiguration als Router.
Wie sollte dann ein Gerät bei der 7490 einen Port öffnen (können)?
Port werden, wenn überhaupt, nur bei der 7390, dem Router, geöffnet.

Oder hängt die 7490 über ihren LAN-1 als 'Unterrouter' an der 7390 (verwenden eine vorhandene Internet-Freigabe, keine Anmeldedaten benötigt)?
 
Ich glaub du bringst da was durcheinander, der Thread-Ersteller hatte die 7490 als IP-Client laufen (natürlich als Router, als was läuft die sonst?!). Und der Internetrouter, in diesem Fall die 7390, hat eine Portanfrage der 7490 erhalten und diesen geöffnet/freigegeben. Darum ging es eigentlich hier im Thread.
 
@MarcelP: Genau so ist es.
Aber seit ich die 6.80 auf der 7390 habe, wird gar kein Port mehr freigegeben. Von KEINEM Gerät mit aktiviertem: "Selbstständige Portfreigaben für dieses Gerät erlauben"
 
Ich schalte diese Funktion eigentlich auch nur vorher ein wenn ich z.B. GTA Online spiele, damit das Spiel selbstständig Ports für Serversuche öffnen kann und das tut es auch. Und da hab ich einfach mal probiert ob die IP-Client-Router auch Anfragen stellen und so ist mir das aufgefallen...
Ich würde jetzt eigentlich nur wissen wollen ob man diesen Aufbau auch mit mehr als 2 Router machen kann... oder gibts da Gründe dies lieber nicht zu machen. Gerade wegen dem WLan würde mich das interessieren u. auch welche Firmware dafür mind. auf allen Boxen installiert sein muß.
 
@alexandi:
Heißt das jetzt, es ist alles in Ordnung, weil es keine Freigaben braucht oder funktioniert jetzt keine Freigabe mehr?

Wenn letzteres der Fall ist, wie versuchen denn die Geräte ihrerseits, eine Freigabe einzurichten?

Es gäbe ja mehrere Möglichkeiten ... von PCP (siehe die passenden RFCs) über das AVM-Interface "WANIPConnection" (was sicherlich an derselben Stelle landet wie die IGD-Interfaces) bis zu den IGD-Interfaces (IGD1 oder IGD2). Die bieten zwar alle dieselben Funktionen, aber es kann ja auch sein, daß da tatsächlich das gerade vom Gerät benötigte Interface ein Problem hat, das intern auf die nunmehr verwendeten PCP-Requests zu mappen. Das ist ja alles "Neuland" und da kann sich schon noch das eine oder andere Problem verbergen - da muß man halt mal etwas suchen (z.B. mitschneiden, was so ein Gerät denn unternimmt, um eine temporäre Weiterleitung einzurichten und wie das von der Box auf der WAN-Seite eskaliert wird in so einer Kaskade).

Ich bin mir auch nicht sicher, ob die PCP-Implementierung bei der 7390 wirklich ausreichend getestet wurde - das ist eben noch ein anderer Linux-Kernel (die VR9-Modelle sind bei Kernelversion 3, die 7390 und die 6490 noch bei Version 2, ggf. gibt es noch weitere Modelle mit Kernelversion 2) und ich tippe einfach mal, daß auch die "Sonderstellung" der 7390 (das ist ja die einzige (verbreitete) Box mit dem Vx180, für den es auch gesonderte Kernel-Quellen von AVM gibt) ihren Teil dazu beiträgt, daß eine funktionierende PCP-Implementierung auf einer VR9-Box noch lange nicht auf der 7390 ebenfalls problemlos arbeiten muß.

Da könnte sich also bei tatsächlichen Problemen dann sogar der Tausch von 7390 und 7490 als Test lohnen ... nur weil beide Versionen 06.80 heißen mögen, müssen nicht die Fehler beider Versionen an dieser Stelle identisch sein.

EDIT: Mir fällt gerade auf, daß ich noch nicht einmal nachgesehen habe, ob bei der 7390 tatsächlich auch auf PCP umgestellt wurde ... da ich dort den ganzen Labor-Zirkus diesmal nicht mitgemacht habe, ist das sogar nur eine Vermutung meinerseits, was das PCP auf der 7390 anbelangt. Sollte sich aber in den Support-Daten ablesen lassen, ob da PCP verwendet wird.
 
Zuletzt bearbeitet:
Danke für deine ausführliche Erklärung, aber damit kann ich so gut wie nichts anfangen. Dein Wissen überschreitet meinen Horizont ins Unermessliche. Dennoch hab ich schon viel von Dir gelernt.;)

Problem ist jetzt, daß überhaupt kein Gerät einen Port freischalten kann, darf.
Meine PS4 öffnet eigentlich IMMER benötigte Ports.
Seit der Release nicht mehr.
Und in der letzten Labor war alles gut, bis auf das Öffnen von einem Port der 7490 als IP-Client. Das hat mich gewundert (für was braucht ein IP-Client einen offenen Port)
 
Moin

:confused:
für was braucht ein IP-Client einen offenen Port
So ein zufällig Gewählter auch noch.
HTTPS?
FTP?
TR-069?
...vielleicht mal einfach im Webbrowser checken?
 
Ich habe zu dem Port nichts im Netz gefunden.

Und ja, auch mich überfordert die Antwort von PeterPawn, für Ihn scheint das alles ganz logisch zu sein, aber für mich leider nicht. :)
Danke trotzdem für die ausführliche, ich denke auch kompetente Antwort. :)
 
TCP Port 9 :gruebel:
MAP TCP [192.168.178.2]:9 [externe IP]:61147
...hat der nicht was mit "Computer aus dem Internet aufwecken" zu tun?
(Sollte aber eigentlich UDP sein :noidea: )

Für mich sieht das irgendwie nach "Konfigurationskuddelmuddel" aus.
Altlasten der Routerkonfiguration bevor dieser in den IP-Klient Modus versetzt wurde, zum Beispiel.
 
Zuletzt bearbeitet:
Das ist ein Mapping, was alle FRITZ!Boxen mit dem neuen Mechanismus der Portfreigabe (eben dem "Port Control Protocol") verwenden ... immer! Steht praktisch in jeder (als Router arbeitenden) FRITZ!Box als Mapping und kann dort in den Support-Daten angesehen werden (woanders taucht es nicht auf):
Code:
MAP  TCP [192.168.178.1]:9 [123.1.2.3]:9, lifetime 120 secs, renew in 53 secs
    uniqid 0
    group "IGDPROBE" desc "IGDPROBE4"
    nonce 15ab0cdcbc42012821406f9b active
    [COLOR="#008000"]<= [255.255.255.255]/128 port 9[/COLOR]
    filter version: wanted 1 sent 1 installed 1
    wanted_lifetime 184549375 lifetime 120
    age 1229426 lasttime 7 endtime 53 nsent 0
    last actions: req 7 reply 7 (secs ago)
Die Frage ist halt, ob diese zusätzliche Angabe ggü. anderen Mappings "[255.255.255.255]/128 port 9", die ja offensichtlich ein Filter sein soll (bei PCP arbeitet alles prophylaktisch mit Adressen in IPv6-Breite) für die Quell- oder die Zieladresse gelten soll. Ich denke mal für die Zieladresse und da es auf dem Port 9 in der Box gar keinen wartenden Prozess gibt (sagt mein "netstat"), muß das schon ziemlich früh im IP-Stack, aber eben noch nach der Firewall/dem Forwarding (sonst bräuchte es den Eintrag nicht), ausgewertet/umgeleitet werden. Da bei PCP auch der vorgelagerte Server seinerseits einen PCP-Client per Broadcast über Änderungen informieren kann (nur die Festlegung auf den "discard"-Port habe ich noch nirgendwo gefunden - der ist nämlich auch beim WoL nur "mißbraucht" worden, weil da eben keine Antwort geplant ist auf diesem Port), werden da wohl solche Pakete von einem PCP-Server auf der WAN-Seite der FRITZ!Box "durchgelassen" und dann irgendwie ausgewertet.

Da vermutlich die vorgelagerte 7390 seit dem Update mit PCP-Unterstützung nun ihrerseits bereits das Mapping für Port 9 verwendet, kriegte die dahinterliegende 7490 eben einen anderen externen Port zugewiesen, als sie beim PCP-Server der 7390 den Port 9 für sich reklamieren wollte. So ein PCP-Request kann zwar einen "Wunschport" enthalten, aber der muß ja nicht zwangsläufig zur Verfügung stehen.

Warum das jetzt nicht mehr eingerichtet wird, würde mich viel mehr interessieren ... entweder die 7490 "will" den gar nicht mehr (weil sie die 7390 nicht als zuständigen Server sieht) oder die 7390 zeigt jetzt diese Mappings nicht länger an, um die Kunden nicht zu verwirren (sollte man aber in den Support-Daten der 7390 sehen können, ob das immer noch/schon wieder existiert).

Solange da der Filter für "Broadcast-Adresse und TCP-Port 9" wirkt und das wohl direkt im Kernel oder im kdsld abgefangen wird, dürfte vom "Verschweigen" dieser Mappings (zumindest wenn um die "Sicherheit"-Seite im GUI geht) eher keine Gefahr ausgehen und das eine eher "läßliche Sünde" sein.

Ich staune zwar über mich selbst (und wenn der Filter nicht da wäre, sähe ich das auch anders), aber ein durchzulassendes Paket muß dann ja aus der Broadcast-Domain unmittelbar vor der WAN-Seite stammen und kann nicht irgendwo von weither aus dem Internet kommen. Damit müßte also der Angreifer die Chance haben, irgendwelchen sinnlosen Payload in ein Broadcast-Paket für TCP-Port 9 unmittelbar vor dem DSLAM zu kippen ... das ist dann sogar mir zu theoretisch, wenn es um "malformed payload" für einen so tief im IP-Stack vergrabenen Zweck geht - wie gesagt, eigentlich soll jedes System dort eingehende Pakete ungesehen verwerfen (discard).

Dieses versteckte Mapping ist es eben auch, warum seit ein paar Monaten das Mappen von TCP-Port 9 von extern auf irgendeinen LAN-Client nicht mehr funktioniert, damit man den auf diesem Weg (mit irgendwelchen Apps) wecken kann. Da muß jetzt halt ein anderer externer Port verwendet werden und eine passende Anwendung, die so einen abweichenden Port auch kennt. Das FRITZ!Box-eigene Mapping hat Priorität und eine Möglichkeit "Broadcasts ins Kröpfchen, die anderen ins Töpfchen (im LAN)" gibt es m.E. nicht. Das Port 9-Mapping steht auch in keiner Konfigurationsdatei - da kann man also auch nichts ändern oder ergänzen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.