[Problem] Fritz!Box 6820 LTE - FW 142.06.50 - FRITZ!OS 6.50 - Sperre Internetseiten

[klaus2006]

Hallo,

ich habe in den Einstellungen "nur surfen und mailen" erlaubt und auch einige Webadressen wie youtube.be, netflix.com ausgesperrt, um den Traffic geringer zu halten.

Die Box steht in unserem Ferienhaus und da man nie weiß, auf welche Ideen Gäste kommt (und der monatliche Traffic auch nicht unbegrenzt ist), gibt es diese Einschränkungen.

Bei den letzten Gästen hatte ich dann öfters nachfolgende Meldungen in der täglichen Push-Mail. Da ich mit IP-Adresse 1.1.1.2 nichts anfangen konnte, hatte ich mich heute an
den AVM-Support gewandt.

In der täglich per E-Mail zugesandten Ereignisübersicht steht z.B.:

22.05.16 22:31:00 Der Zugriff auf die feste IP-Adresse 1.1.1.2 wurde durch die Filter für Internetseiten verhindert.
22.05.16 22:30:59 Der Zugriff auf die feste IP-Adresse 1.1.1.5 wurde durch die Filter für Internetseiten verhindert.
22.05.16 22:30:59 Der Zugriff auf die feste IP-Adresse 1.1.1.2 wurde durch die Filter für Internetseiten verhindert.
22.05.16 22:30:59 Der Zugriff auf die feste IP-Adresse 1.1.1.1 wurde durch die Filter für Internetseiten verhindert. [4 Meldungen seit 22.05.16 22:21:49]
22.05.16 22:21:41 Der Zugriff auf die feste IP-Adresse 1.1.1.4 wurde durch die Filter für Internetseiten verhindert.

Frage:
Was sollen das für IP-Adressen sein?
1.1.1.1
1.1.1.2
usw.
Weshalb stehen da keine konkreten IP-Adressen?
Oder ist das ein Bug im OS 6.50?

Die Antwort von AVM:

Diese IP-Adressen sind ganz normale öffentliche IP-Adressen, die wahrscheinlich für Zugriff auf Ihrem Netzwerk gesperrt wurden.

Aha -jetzt bin ich genauso schlau wie vorher, denn IPs habe ich nicht konkret gesperrt und zu diesen IPs werde ich auch nicht wirklich fündig. Jemand eine Idee?

 

[H´Sishi]

Mh, mir fallen da drei Möglichkeiten ein.
1. Da nur Surfen und Mailen erlaubt wurde, läßt die Box nur Anfragen über die für diese Dienste (plus DNS-Abfragen) gültigen Ports durch. Alles andere wird geblockt.
Eventuell hat Software auf den Geräten der Gäste versucht, nicht-standard-Ports zu erreichen.

2. Die White- bzw. Blacklists enthalten auch Seiten, die die BPjM zusammengestellt hat, die aber leider nicht innerhalb der Box kommuniziert werden. Ist der BPjM-Filter ebenfalls aktiv?

3. Was die IP's angeht ... wie genau wird die Internet-Verbindung hergestellt? Über ein Mobilfunk-Netz?
Dann gilt es zu beachten, daß beim Mobilfunk-Anbieter NAT-Router zum Einsatz kommen, d.h. die Mobilfunk-Provider bauen "private" interne Netze auf, um die benötigten öffentlichen IP's zu reduzieren.
Bei EPlus z.B. werden Kunden-Handy's 10.x.x.x-IP's zugewiesen.
Eventuell trifft das bei Dir zu - 1.1.1.x könnten Dienste in dem von Dir verwendeten Provider-Netz sein.

 

[thtomate12]

Vodafone hat(te früher) so einen Kompressionsdienst, der im HTML die URLs der Bilder ausgetauscht hat, dieser hat diese IP-Adressen genutzt. (Das ist mir aufgrund des Hinweises von H'Sishi eingefallen; was das allerdings mit NAT zu tun hat, weiß ich nicht)

wie genau wird die Internet-Verbindung hergestellt? Über ein Mobilfunk-Netz?

Wie sonst bei einer LTE-Box?

 

[H´Sishi]

Ah, sry, das mit der LTE-Box war mir durchgerutscht .

Ob man die Schnittstelle zum Internet über's Mobilfunknetz "NAT-Router" nennen kann ... da lasse ich mich gerne berichtigen. Auf jeden Fall haben die Mobilfunkbetreiber weniger IP-Adressen als Internet-nutzende Kunden, daher muss es so was wie private Adreßräume geben, wie es halt im Heimnetzwerk auch gang und gäbe ist.

Was ich noch vergessen hab, ist die Möglichkeit "Proxy-Server", den die Box aufgrund der verwendeten Ports nicht als solchen erkannt hat.

Dennoch ist es schade, daß das Log nur die Blockade der IP-Adressen notiert und nicht auch den kontaktierten Port ... wäre einfach gewesen, das dann einzugrenzen.

 

[thtomate12]

Ich verstehe dich nicht, man kann auch ohne NAT DPI machen. Die Box gibt sich gar keine Mühe Proxy-Server zu erkennen, wieso auch? Und was hat das mit den Ports zu tun?

 

[H´Sishi]

Ok, verlassen wir den Pfad mit der NAT ...

Wenn die Internetverbindung für Gäste nur auf Mailen und Surfen beschränkt wird, geht das am einfachsten, wenn man die ausgehenden Datenpakete nach deren Ziel-Ports sortiert:
- Surfen: 80 oder 8080
- Mailen:
- - 110 / 995 (POP3 / POP3+SSL),
- - 143 / 993 (IMAP / IMAP+SSL),
- - 25 / 465 / 587 (SMTP / SMTP+SSL / alternativ SMTP+SSL)

Alle ausgehenden Abfragen zu anderen Ports werden verworfen.

 

[thtomate12]

Aber hier sind nicht die Ports das Problem, sondern dass die Blacklist an ist, damit darf man nur zu per DNS aufgelösten IP-Adressen Verbindungen aufbauen. Doch wahrscheinlich diese Provider liefert den komprimeirten Inhalt direkt über IP-Adressen aus, die nicht einmal ihm gehören.

 

[H´Sishi]

Mh, laut http://wq.apnic.net/apnic-bin/whois.pl?searchtext=1.1.1.2 gehören die IP-Adressen zu APNIC Research, Australien. In den verlinkten Info's steht u.a. Folgendes:

remarks: + Address blocks listed with this contact
remarks: + are withheld from general use and are
remarks: + only routed briefly for passive testing.

remarks: + If you are receiving unwanted traffic
remarks: + it is almost certainly spoofed source
remarks: + or hijacked address usage.

 

[thtomate12]

Genau, IP-Adressvergabestellen betreiben kein Mobilfunknetz, damit ist es klar, dass dies illegal ist.

 

[klaus2006]

Hi,

danke für Eure Rückmeldungen!

2. Die White- bzw. Blacklists enthalten auch Seiten, die die BPjM zusammengestellt hat, die aber leider nicht innerhalb der Box kommuniziert werden. Ist der BPjM-Filter ebenfalls aktiv?

Dieser Filter ist nicht aktiviert, da im Regelfall Erwachsene bei uns wohnen und nicht ersichtlich ist, was für Seiten der Filter sperrt.

Dann gilt es zu beachten, daß beim Mobilfunk-Anbieter NAT-Router zum Einsatz kommen, d.h. die Mobilfunk-Provider bauen "private" interne Netze auf, um die benötigten öffentlichen IP's zu reduzieren.
Bei EPlus z.B. werden Kunden-Handy's 10.x.x.x-IP's zugewiesen.
Eventuell trifft das bei Dir zu - 1.1.1.x könnten Dienste in dem von Dir verwendeten Provider-Netz sein.

Ahhh...hier schlägt die gleiche Problematik zu wie beim nicht möglichen Fernzugriff von außen auf die Fritzbox, da keine öffentliche IP dargestellt wird. Die IP-Adresse wird zwar immer wieder automatisch gewechselt
(lt. Pushmail) jedoch ist diese nicht nutzbar für mich.

Ich komme mehr und mehr zur Erkenntnis, daß dieser 1&1-Tablet-Flattarif D2 mit 10 GB Traffic zu 19,90/Monat viel bietet, jedoch für meine Anforderungen (Fritzbox aus der Ferne steuerbar - öffentlich sichtbare/nutzbare IP-Adresse)
nicht geeignet ist. Leider habe ich bisher keinen Tarif gefunden, der alle meine Wünsche erfüllt und nicht viel teurer ist. DSL-Anschluß ziehe ich noch nicht in Erwägung da keine Leitung von der Straße liegt und somit erst das geschaffen werden müsste.

 

[Dann halt nicht mehr]

Es gibt eine Version auf dem Service-Server von AVM. Vielleicht ist das Problem da ja schon gefixt: hier lang.

 

[klaus2006]

@Daniel - Danke für den Tipp!


_________________________________________________________

Verbesserungen in FRITZ!OS 6.50-33586

LTE:
Verbesserung: Verbesserte Modem-Firmware
_________________________________________________________

Verbesserungen in FRITZ!OS 6.50-33145

LTE:
NEU - Einstellung "Automatisch" für Mobilfunkart versucht als erstes immer eine LTE-Verbindung aufzubauen. Erst nachgelagert wird UMTS bzw. GSM versucht bzw. dem Netzwerk des Anbieters die Möglichkeit einer Übergabe zu UMTS/GSM gestattet.

_________________________________________________________

Weitere Verbesserungen in FRITZ!OS 6.50-32988

LTE:
Behoben - Absturzursache beseitigt (Lua-Feher)
Behoben - Berechnung des Bandanteils konnte über 100 Prozent liegen

Internet:
Behoben - Internetverbindung ohne Funktion durch zuvor erhöhtem Speicherverbrauch

Heimnetz:
Behoben - erhöhter Speicherverbrauch im Kontext der Kindersicherung

WLAN:
Verbesserung - Anmeldeverhalten von Apple-Geräten verbessert
Behoben - Fehler bei australischen Landeseinstellungen behoben

System:
Behoben - Berechnung des Energieverbrauches für das LTE-Modul fehlerhaft

_________________________________________________________

Weitere Verbesserungen in FRITZ!OS 6.50-32790

LTE:
Behoben - möglicher partieller Absturz des Modemmoduls bei Wechsel oder initialer Verbindung zu UMTS-Zellen behoben
Behoben - Internetverbindung wurde nach präventiver Temperatur-Schutzabschaltung nicht wiederhergestellt

 

[MarcelP]

Gibts hier weitere Erkenntnisse? Ich habe dasselbe Problem, genau die gleichen Einträge.. meine Box startet sogar ab und zu neu, weil sogar ihr das manchmal zuviel wird!
Woher kommen diese Einträge? Es liegt bei mir auf jeden Fall an nur einem PC, der von unserem Großen. Keine Ahnung was er da macht, warum es immer diese Einträge in der 6840er FritzBox gibt wenn sein Rechner an ist u. er dran arbeitet.
An anderen PCs tritt es nicht auf. Allerdings spielt er auch viel Internetspiele, auch mit Chat, Mikrofon usw.
Wäre dankbar für ein Tip woran es liegt. Oder ob ich den Filter gefahrenlos aus machen kann.

 

[stoney]

Welche FW Version ist denn aktuell bei Dir installiert ?

Aktuell gibts für die 6840 seit 07.06.2017 die 105.06.84

 

[MarcelP]

ich hab immer die aktuellste Firmware drauf. Der Support hat auch keine eindeutige Antwort gegeben. :-(

 

[stoney]

Was hast Du denn genau gesperrt und wie?

Hat sich der Sohn bislang über etwas beschwert, was nicht funktioniert?

 

[koyaanisqatsi]

Moin

Woher kommen diese Einträge?

Aus meinen Zockerzeiten weiss ich, dass nicht jeder Game-, und Teamspeakserver über eine DNS verfügt.
Auch Multiplayergameserver die in einer Multiplayerliste auftauchen nicht.
Außerdem ist die Kindersicherung für "Große" eher als Eigenschutz denn als Maßregelung zu verstehen.
...dafür kann sie zu leicht ausgehebelt werden.
Unterhalte dich am besten mit dem "Großen" was er benötigt.
Und diskutiert darüber was am besten, unter dem Aspekt des Eigenschutzes, geblockt werden sollte.

Beispiel: Im Urlaub in Griechenland war nur surfen und mailen erlaubt.
Nach einer Diskussion mit dem W-Lan Betreiber: Nur surfen, mailen und VPN