Hitron CVE-30360 Firewall ausschalten

[VBE-Berlin]

so weit mir bekannt, gibt es neben IPSec Passtrough auch noch IPsec-NAT-Traversal. Das soll mit jedem Router funktionieren.
Ob nun anwendbar: Keine Ahnung. Da habe ich keine Erfahrung.

Meine VPN brauchen beides nicht, da es zwischen den Routern aufgebaut wird
MB-Berlin

[Linuxfarmer-HH]

Nun ich mir erstmal einen perversen Workaround gebaut. Hiltron macht Gateway, NAT und DHCP für alles. Der gute TP-Link nur noch Switch (WAN Port unbestückt). Damit habe ich nur noch ein NAT, aber das kann nur ein Provisorium sein.

Okay aber da hier so viel gerechtelt wird, schmeisse ich mal ein weiteres Thema hinzu.

Da mit dem Hiltron der User die Kontrolle über die Firewall / NAT / WLAN entzogen bekommt, kann er rechtlich bei einem Missbrauch seines Anschluss wegen mangelhafter Sicherheitseinstellungen nicht mehr zur Rechenschaft gezogen werden. Alles was KD verriegelt und verrammelt obliegt nicht mehr dem User. Hmmmmm......

Linuxfarmer-HH

[sufnoK]

Da mit dem Hiltron der User die Kontrolle über die Firewall / NAT / WLAN entzogen bekommt, kann er rechtlich bei einem Missbrauch seines Anschluss wegen mangelhafter Sicherheitseinstellungen nicht mehr zur Rechenschaft gezogen werden. Alles was KD verriegelt und verrammelt obliegt nicht mehr dem User. Hmmmmm......

Linuxfarmer-HH

Verstehe ich nicht. Kannst du dass noch mal genauer erklären?


MfG

[Linuxfarmer-HH]

Ein Internetanschluss ist nach aussen hin in Sachen freigegebener Daten auch abzusichern. Nehmen wir zb jemanden mit gekauften Filmen oder Musik auf einem Medienserver. Kommt da jemand von aussen dran und leecht die ab, dann wird man Probleme wegen Fahrlässigkeit oder anbieten von geschützten Gut haben.

Kannst DU für die Sicherheit dieser Daten in Deinem Netz "garantieren", wenn beim Hitron Firewall und NAT ein Buch mit sieben Siegeln sind und kaum etwas konfiguriert werden kann? Nein dieser Bereich wurde von KD übernommen, die können das von aussen und für Dich unsichtbar. Damit überträgt sich auch Haftung und Betriebsrisiko dieser Komponenten auf den Anbieter.
Eine weitere Verschiebung gibts beim Betrieb der Geräte innen. Da NAT IPv4 / IPv6 nicht mehr Dir obliegt, ist fortan KD für das ordnungsgemässe bereitstellen von Netzadressen in Deinem inneren Netz verantwortlich. Egal was die aussen basteln (DS-Lite etc).
Sollten netzwerkfähige Endgeräte nun im inneren Netz nicht mehr richtig laufen, ist wiederum KD in der Pflicht zu leisten was Du nicht mehr kannst. NAT oder Firewall anpassen, ansonsten entsteht am Horizont ein Sonderkündigungsrecht. Anschlüsse mit Hitron und Zwangs-NAT sind Cripplenetzugänge, Der Provider war früher raus, wenn das Problemgerät direkt am Kabelmodem funktionierte. Nun ist er auch für NAT und Firewall verantwortlich, kriegt er das Gerät nicht zum laufen und es ist nicht als "nicht funktionierend" in den AGB so hat man einen Leistungsverzug BGB.
Zum Hitron WLAN kann ich nichts sagen, ist hier jetzt remote deaktiviert und auch nicht mehr einschaltbar.

Zusammengefasst haben die neuen Cripplenetzugänge somit durchaus auch Vorteile, der Provider ist für mehr verantwortlich und der Kunde hat mehr Ausstiegsmöglichkeiten. Denn mit AGB so dick wie ein Telefonbuch mit Gerätelisten rechne ich in den nächsten Jahrzehnten nicht.

P.S. Die PS3 meldet NAT-Type2 direkt am Hitron und alles funktioniert. Nun gilt es wirklich alle Vor- und Nachteile ganz genau zu sichten.

Grüsse
Linuxfarmer-HH

[sufnoK]

Ein Internetanschluss ist nach aussen hin in Sachen freigegebener Daten auch abzusichern. Nehmen wir zb jemanden mit gekauften Filmen oder Musik auf einem Medienserver. Kommt da jemand von aussen dran und leecht die ab, dann wird man Probleme wegen Fahrlässigkeit oder anbieten von geschützten Gut haben.

Kannst DU für die Sicherheit dieser Daten in Deinem Netz "garantieren", wenn beim Hitron Firewall und NAT ein Buch mit sieben Siegeln sind und kaum etwas konfiguriert werden kann? Nein dieser Bereich wurde von KD übernommen, die können das von aussen und für Dich unsichtbar. Damit überträgt sich auch Haftung und Betriebsrisiko dieser Komponenten auf den Anbieter.

Das würde ich so nicht unterschreiben. Von Haus aus ist die Firewall/NAT vom Hitron ja so konfiguriert dass sie eben nichts durch lässt. Man muss wenn man diverse wie du sie nennst "Medienserver" aufsetzt, selber den Port öffnen sonst kann von außen auch keiner zugreifen. Ich bezweifle dass man KD dafür verantwortlich machen kann wenn dritte auf deine Dienste zugreifen können die du freigegeben hast - es sei denn es gibt eine bekannte Sicherheitslücke im Hitron welche KD nicht schließt...

[Linuxfarmer-HH]

Da ich NAT / Firewall jetzt mal von aussen mit ShieldsUp! geprüft habe, kann ich dies bestätigen. Innen am Hitron laufende Geräte geben nichts nach aussen durch. Jedoch habe das nicht gewusst ohne Test und KDG hat nichts davon irgendwo nieder geschrieben. Wenn ich nun in die Konfig ein Loch reisse, dann bin ich in der Tat wieder in der Verantwortung. Nun kann man auch schon ablesen, warum KD wohl so verfährt. Die Hitronkonfig ist auch für die zugänglich und mit ziemlicher Sicherheit speichern sie dies für genau diese Fälle.

Nach einiger Überlegung habe ich hier nun ein Zweistufennetz konfiguriert, PC's, Webradios und Medienserver sind im inneren NAT Kreis (MTU 1472). Im äusseren des Hitron befindet sich nur der Fernseher und die Playstation, quasi eine Mini DMZ. Hitron kann anscheinend auch kein DNS Forwarding, sondern macht lediglich NAT mit den Anfragen.

superkabel ip? - hitron 192.168.0.x - tp-link 192.168.1.x
Aussenwelt - DMZ - Innenkreis

Hat noch jemand einen interessanten Aufbau der sauber funktioniert?

Grüsse
Linuxfarmer-HH

[Goofman]

Kurzes Update:

KD hat das Firmwareupdate wie angekündigt durchgeführt und das Hitron ist jetzt ein "normales" Modem und mein Notebook bekommt auch per DHCP eine externe IP/WAN IP, ist also direkt von außen ansprechbar. So weit so gut. Die VPN Verbindung zwischen den Firewalls kann ich erst später einrichten, da hier noch gearbeitet wird.

Trotzdem finde ich, hätte KD mich ruhig informieren können, was sie machen oder machen wollen, ohne dass man zig mal hinterher telefonieren muss. "Vielen Dank für Ihren Auftrag" und "Ihr Auftrag ist jetzt abgeschlossen" per SMS ist doch etwas wenig. Aber was letztendlich zählt ist das Ergebnis.

Gruß, Goofman

[Winchester]

Nach deiner Argumentation könnte es sich KD aber auch ganz einfach machen. Sie stellen einen Zugang zum Internet bereit, aber keinen Zugang vom Internet in dein LAN. Somit könnten Sie alle Schotten dicht machen und du hast nur ne Einbahnstraße zum Internet zum Abrufen von Daten und das wars dann. Würde bedeuten das alle Verbindungen aus deinem LAN heraus initialisiert werden müssten. Sprich VPN oder VoIP Verbindungsaufbau muss immer aus dem LAN des Kunden erfolgen. Spiele Host bei der Gamekonsole wäre dann ebenso wenig möglich wie mal eben von Unterwegs auf sein NAS zuzugreifen. Das schlimme an dem Szenario ist, das diese Art von Internet Zugang für die meisten Kunden völlig ausreichend ist. Diejenigen welche mit ihrem Internet Anschluss mehr machen möchten wären dann mit KD nicht gut beraten.

@Linuxfarmer-HH
Wieso spielst du mit deiner MTU rum? MTU ist 1500.

[binary]

Hallo Leidensgenossen, gerade ist mein Cisco Modem per DHL gekommen. Hab es natürlich gleich in Betrieb genommen und siehe da, alles funktioniert wieder genau so, wie es sein soll. NAT-Loopback auf meine DynDNS Adresse aus dem LAN klappt und DNS mit allen Apple Devices klappt, Wunderbar! Bin rundum zufrieden, bis auf die Tatsache, dass aktuell noch kein Telefon geht und meine Leitung gefühlte 64kbit hat, statt 32Mbit. Laut Technik Hotline hängt das damit zusammen, dass mein Auftrag noch nicht geschlossen wurde und damit das alte Modem noch drinhängt. Bis morgen soll das alles gehen. Ich bin gespannt. Alles in allem hatte ich wohl nun Glück, dass ich noch ein Cisco Modem bekommen habe. Scheint ja nicht überall zu klappen. Auch die Lösung mit der Modem Firmware für das Hitron wurde mir bei keinem der vielen Telefonate angeboten. Naja, ich bin nun zufrieden, alles geht, wie ich es will und wenn dann morgen auch noch das Telefon wieder geht und die Leitung ordentlich Dampf hat, dann mach ich drei dicke rote Kreuze hinter die Sache.

Allen anderen hier weiterhin viel Glück und Erfolg und danke für die Tipps und Hinweise!

Schönes Wochenende noch.

lg
binary

[binary]

Ich kann die 3 Kreuze schon eher machen. Kaum hatte ich hier auf Senden geklickt, kam ein Modem Reset und nun geht das Telefon wieder und die Leitung steht unter Volldampf .

X X X