Hybrid Modem DMZ Sicherheitsproblem mit IPv6 Adressen


Hallo Community,
nachdem ich gestern von der Hotline mit dem Grund, dass das ein Problem mit meinem Webserver sei, abgewimmelt wurde und nur die kostenpflichtige Hotline mir helfen kann, versuche ich es nun hier. Natürlich können an der Hotline nicht nur Spezialisten sitzen, jedoch sollten diese wenigsten in der Lage sein mich zu jemandem mit der entsprechenden Kompetenz zu verbinden, wo ich doch mehrfach erwähnt habe dass das doch etwas sicherheitskritisch ist. Aber nun genug gejammert, zu meinem Problem:

Nachdem man das Hybrid Modem ja nachvollziehbar nicht in den SU Modus schalten kann, habe ich am Modem die DMZ aktiviert und dort die IP Adresse meines Routers eingetragen. Funktioniert soweit alles herrvoragend und alle Anfragen werden an meinen Router weitergeleitet, welcher dann auch das Port-Forwarding erledigt.
Gestern wollte ich dann mit einem Internet Anschluss der bereits IPv6 verwendet auf meine IP zugreifen, jedoch bin ich direkt auf der Hybrid Modem Login Seite gelandet!!
Ich denke das sollte nicht so sein, ihr weist doch selbst auch immer darauf hin dass das Modem nicht aus dem Internet zugänglich gemacht werden sollte ;)

Ich hoffe dass ich wenigstens hier Ernst genommen werde, und mein Problem an die richtige Stelle weitergegeben wird.

LG

11 Antworten

Benutzerebene 7
Abzeichen +6
Ja das sollte wirklich nicht so sein.
Leider kann ich dir da auch nicht wirklich helfen ausgenommen du verwendest eine Synology Diskstation.
Danke für deine Antwort MSgtDomanian!
Auf eine Diskstation greife ich zu, jedoch sind auch noch einige andere Services dahinter. Rein interessehalber, was würde die DS ändern?

Ich hoffe jemand von A1 nimmt sich dem Problem an, mir würde es schon reichen wenn IPv6 generell geblockt wird, falls es sich hier um technisches Problem zwischen IPv4 und v6 handelt.
Benutzerebene 7
Abzeichen +8
Nimm einen anderen Port, dann sollte es funktionieren.
Das Phänomen hat nichts mit IPv6 zu tun.
LG
Jo
Benutzerebene 7
Abzeichen +6
Die Synology Diskstation kann grundsätzlich deinen Router (so gut wie alle Marken) so einstellen, dass nur die Dienste welche du über das Internet ansprechen willst auch die Ports auf dem Router öffnet.
Somit sollte eine DMZ nicht zwingend erforderlich sein.
Weiters hat man mit Quickconnect die Sicherheit auch bei ständig wechselnder öffentlicher IP die Dienste über das Internet zu erreichen, die man auch benötigt bzw. freigeschaltet hat.

Von daher ist man doch etwas sicherer unterwegs als mit einem generellen Durchschleifen der Ports auf die NAS.

Leider kann ich dir nicht garantieren , dass das auch mit einem A1 Router funktioniert, da ich kein Internetkunde bei A1 mehr bin.

Wenn es aber um Informationen über die Synology und ihrer Möglichkeiten geht, kann ich dir nur den Youtube Kanal von iDomix empfehlen.

Zu deinem Theme zurück:
Ich würde jetzt die DMZ Einstellung am Router sofort entfernen (aus Sicherheitsgründen) , solange bis sich ein A1 Engel hier meldet bzw. bis du vom Support eine Antwort bekommst.
Vorausgesetzt du kannst bis dahin ohne den Zugriff über das Internet auf deinen Server leben.
Vielleicht findest du ja noch einen Weg ohne aktivierte DMZ auf deinen Server von Außen zuzugreifen.

PS: Ich glaube auch dass das mit IPv6 nichts zu tun hat.
@jo93 In der Tat, die anderen Dienste, welche unter anderen Ports erreichbar sind funktionieren wie gewohnt. Also scheint die Ursache tatsächlich die in der PM genannte zu sein. Somit hat es nichts mit IPv6 zu tun und tritt auch nur bei der einen Adresse auf, was nicht weiter schlimm ist.

@MSgtDomanian Achso, so meintest du das. Meine DS ist aber eh nicht in der DMZ, sondern mein eigener Router. Das soll auch so sein damit ich dort mein Port Forwarding einrichten kann und nicht am grottig schlechten A1 Modem.

Somit sollte alles geklärt sein, das Phänomen kann eher als Funktion angesehen werden und tritt auch nicht generell auf, somit auch nicht weiter schlimm. Danke an Jo93 für die Aufklärung.
Benutzerebene 7
Abzeichen +6
Hallo Communty 🙂 Hier die allgemeine Info zu diesem Thema: Die DMZ ist eine Funktion über die von außen auf das Modem zugegriffen werden kann. Wenn die nicht gewünscht ist, kann man diese natürlich deaktivieren. In den Werkseinstellungen ist die A1 Hybrid Box nicht von außen erreichbar. Wenn beim Anschluss zusätzlich eine NAT Firewall aktiv ist, kann der Anschluss nur mit DynDNS Diensten von außen direkt erreicht werden. IPv6 hat in dem Fall nichts damit zu tun da Privatkundenanschlüsse nur mit IPv4 angebunden sind. Lg Kornelia
Benutzerebene 7
Abzeichen +8
Hallo @A1_Kornelia,
Erklärung siehe VIP lounge.
Das Problem hat nichts mit irgendetwas zu tun was hier genannt wurde
Benutzerebene 7
Abzeichen +6
hallo,

sorry , diese aussage kann ich so nicht stehen lassen

eine dmz ist keine funktion mit der man von außen auf das modem zugreifen können soll
das ziel ist auf ein gerät (host) zuzugreifen auf das die dmz (eigentlich exposed host) zeigt
und nicht auf das modem selbst (das währe eine schwere sicherheitslücke)
analog zu portweiterleitungen (welche man übrigens auch nicht direkt auf das modem machen kann)
das gerät(host) in der dmz ist üblicherweise ein eigener router/firewall und manchesmal auch eine spielekonsole (um einen entsprechenden nat typ zu erreichen)
man öffnet mit der exposed host funktion alle ports und protokolle aber nur für die ip (mac) adresse welche angegeben wurde aber nicht für das modem selbst
beim hybrid hat man keine alternative da der single user betriebsmodus nicht geht

man könnte statt dmz portweiterleitungen nutzen
das klappt aber leider nicht immer da man keine protokolle weiterleiten kann
manchesmal braucht man auch protokolle und nicht nur ports (je nach anwendung)
diese funktion fehlt übrigens beim hybrid und leider auch bei den meisten a1 routern

p.s.
ich habe diese diskussion nicht weiter verfolgt
und hoffe das der zugriff von außen auf das webinterface des a1 modems nicht einfach durch aktivieren der dmz funktion möglich ist
höchstens indirekt und abgesichert über den eigenen router wenn so gewollt
@A1_Kornelia Danke für deine Antwort, jedoch habe ich den selben Textbaustein bereits bei der Hotline und vom Support per Mail(wird anscheinend automatisch ausgelöst wenn man hier einen Thread erstellt) erhalten. Und es ist einfach immer wieder der selbe Blödsinn den ihr mir antwortet. Habs dem Supportler sogar zu erklären versucht, als Antwort bekam ich dass ich doch mal das Modem resetten soll 🤦🏽‍♂️
Zum Glück gibt es hier fähige User, die das „Problem“ sofort erkannt haben und mir die nötigen Informationen liefern konnten. Danke dafür nochmal an dieser Stelle.
Somit bleibt nur zu sagen, A1 Support flop, Community top.
Benutzerebene 7
Abzeichen +8
Zur Aufklärung, was Problem war und was vom Kornelias Post inhaltlich Korrekt ist.
A1 hat bei den A1 Modems per Default Fernzugriff auf das Modem. Hier ein Screenshot aus dem VV2220. Unten sind die standardmäßig aktiven Einstellungen zu sehen. Die Oben zusehenden Einstellungen wurden von A1 bei der Erstverwendung nachgetragen und dann die Default Einstellungen deaktiviert, vllt trat dabei ein Fehler auf. So sollte es aussehen:


Screenshot von Kornelia's Post:



Irgendwie war/ist Steffan auf dieser whitelist gelandet. Hier nochmals der Post von Kornelia mit einem Kommentar von mir versehen.
Hallo Communty 🙂
Hier die allgemeine Info zu diesem Thema: Die DMZ ist eine Funktion über die von außen auf das Modem zugegriffen werden kann.

Stimmt leider nicht. Ich kann nur auf die Erklärung von rwhlive verweisen.

Wenn die nicht gewünscht ist, kann man diese natürlich deaktivieren.

Stimmt, man kann das DMZ wieder deaktivieren, wenn man es mal aktivierte.

In den Werkseinstellungen ist die A1 Hybrid Box nicht von außen erreichbar.

Das ist zumindest beim ADB VV2220 Falsch, per Default ist dieses von außen für einige Personen erreichbar. Siehe oben.

Wenn beim Anschluss zusätzlich eine NAT Firewall aktiv ist, kann der Anschluss nur mit DynDNS Diensten von außen direkt erreicht werden.

NAT hat nichts mit DynDNS zu tun und NAT ist keine Firewall. DynDNS braucht man wegen der Dynamischen IP.
Solange man die IP vom eigenem Modem kennt kann man dort hin auch Pakete schicken. Wie diese dann gehandhabt werden und weiter bearbeitet steht auf einem anderem Blatt. In diesem Fall war es so, dass die Pakete von Stefan's Firmen IP vom Modem abgefangen wurde und ihn dann auf die Weboberfläche weiter geleitet.
DynDNS hat aber mit dem eigentlichem Problem nichts zu tun.


IPv6 hat in dem Fall nichts damit zu tun da Privatkundenanschlüsse nur mit IPv4 angebunden sind. Lg Kornelia

Stimmt leider. Jedoch wäre der Fehler mit IPv6 wahrscheinlich nichts so aufgetreten bzw sichtbar gewesen.

J.
Benutzerebene 7
Abzeichen +8
Bei meinem Modem kam es heute auch zu einem Fehler beim deaktivieren der Einträge. Einige wurden deaktiveren aber eine gute Hand voll ISPs war noch freigeschaltet. Nach einem Reset hat wurde das Modem wieder richtig eingestellt.

Mir fällt so etwas auch nur dann auf, wenn ich danach suche. Einem normalen Kunden wird es nie auffallen, dass ein paar Personen zu viel auf das Modem zugreifen können.

Antworten