Beantwoord

Firewall in Ubee 3200 series modem blokkeert verbinding

  • 8 oktober 2019
  • 34 Reacties
  • 1328x Bekeken

Hallo forum,
Doorgestuurd door Ziggo met een probleem waar de helpdesk blijkbaar zo gauw geen raad mee wist. Ik heb het volgende probleem, waar ik hoop dat 1 van jullie mij verder in kan helpen: ik heb thuis een Ubee 3200 series modem (weet het nummer niet precies uit mijn hoofd). Als ik probeer in te loggen op de webmail van mijn werk, nodig ivm een deeltijdbaan, dan lukt dit alleen maar als ik de firewall geheel uitzet. Er zijn 4 instellingen: 'off', 'low', 'medium', 'high'. Op 'low' zouden er geen poorten worden geblokkeerd, begrijp dus het verschil tussen 'low' en 'off' niet, maar hij moet echt op 'off' staan, anders lukt het niet.
Dat inloggen gebeurt via microsoft online (outlook), die me dan doorstuurd naar de site van mijn werk. Als het inloggen eenmaal is gebeurd, kan ik in principe de firewall weer aanzetten, alles blijft dan gewoon werken.
Ik wil natuurlijk het liefst de firewall gewoon aan laten staan, maar steeds inloggen in het modem om hem eerste uit te zetten is natuurlijk niet echt een optie.
Weet iemand hier een oplossing en/of verklaring voor? Dank voor jullie hulp!
icon

Best beantwoord door Luigi01 15 oktober 2019, 18:44

Ok, nieuwe modem geinstalleerd, en probleem is opgelost!

Dank aan allen voor jullie hulp, en natuurlijk aan Ziggo voor het vervangende modem!

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, start dan een nieuw topic.

34 Reacties

Reputatie 7
Hoi, er zat een bug in bepaalde Ubee modems, ik dacht de EVW3210 / EVW 321b, je moest dan wifispots uitzetten en firewall op low maar vaak krijg je nu met dit soort problemen een nieuw modem toegezonden, even wachten op een reactie van een moderator
Reputatie 7
Badge +35
Op Low worden bijna alle 65.535 TCP/UDP-poorten geblokt, anders had je binnen de kortste keren bergen hackers en malware in je eigen netwerk.

Zie ook dit topic: https://community.ziggo.nl/thuisnetwerk-software-101/port-forwarding-ubee-modem-werkt-alleen-met-firewall-op-low-46136

Als je een bepaalde poort open moet hebben voor je werk, vraag dan aan je ICT afdeling van je werk welke poort dit moet zijn en stel een port forward in op je modem.

Hoe een port forward in te stellen?
Port forwarding: Alles over port forwarding bij Ziggo

Edit: wat @mguzz al zegt, je kunt een ander modem krijgen van Ziggo.
Dat heeft ook nog eens meer Wifi mogelijkheden.
Dank voor jullie reacties.
Ik had in mijn contact met de Ziggo klantenhulp ook al gesuggereerd om het modem te vervangen, omdat ik dus dacht dat het een probleem met het modem was. Dit werd echter tegengesproken, het vervangen van het modem zou de oplossing niet zijn.
Ik heb ook al geprobeerd om te achterhalen welke poort er gebruikt zou worden, om een specifieke poort open te kunnen zetten; dit heb ik gedaan door eerst het ip adres van de site waar ik wil inloggen te achterhalen, vervolgens in te loggen en te kijken welke poort er op mijn computer gebruikt werd door het gevonden ip adres. Dit bleek echter per inlogsessie een andere poort te zijn, in de 50.000 - 60.000 reeks. Dus een poort forward gaat volgens mij niet lukken. Tja, en als Ziggo dan niet mijn huidige modem, een Ubee EVW 321B, niet wil vervangen, dan houdt alles op volgens mij, tenzij er nog een andere mogelijkheid is?
Reputatie 7
Badge +35
Ik zal dit persoonlijke het bij een Ziggo moderator wegleggen. @Luigi01
Zij hebben meer inzicht in je situatie met dit modem.
Snap er eigenlijk niks van.
Dat inloggen gebeurt via microsoft online (outlook), die me dan doorstuurd naar de site van mijn werk.

Je gaat de Webmail van de werkgever gebruiken via Office 365?
Kan dat niet gewoon door de Url van die WebMail in een Web Browser te gebruiken?
Wat is die Url?

Verder is voor gebruik van een WebMail faciliteit geen Port Forward nodig.
Gaat het wel over Webmail?
Hanh: Het gaat als volgt: ik ga naar de website van mijn werk [https://www.bla.nl], maar log niet in; ik kies op de pagina de link 'webmail'; vervolgens verschijnt er een inlogscherm van microsoftonline [op https://login.microsoftonline.com], waar ik mijn gebruikersnaam invoer; nu kom ik weer terug op de site van mijn werk [https://sts.bla.nl/] om mijn password in te voeren. Tja, ik heb het niet bedacht, en begrijpen doe ik het nog minder, maar zo is de procedure.
Het probleem (firewall moet uit) doet zich voor na het invoeren van de gebruikers naam bij microsoft; ik krijg daarna een melding "u wordt naar de aanmeldpagina van uw orginisatie doorgeleid"; indien de firewall niet uit staat, kom ik niet op de site van mijn werk, en volgt uiteindelijk een timeout.

Bert: wat vreemd dat op een firewal setting 'low' bijna alle poorten worden geblokkeerd - wat doet een setting van 'medium' dan? Er wordt bij die setting juist melding gemaakt van een aantal poorten die niet worden geblokkeerd, een aantal wat afneemt indien je de setting 'high' kiest. Dan ga ik er van uit dat juist alles openstaat op de setting 'low' - ??
Hmm. Voor mij is dit een compleet onbegrijpelijke procedure.
Kan geen oordeel vellen over wat er niet zou kunnen kloppen.
Na: https://www.bla.nl
krijg ik een https certificate error & als ik dan doorduw bij Chrome, zie plaatje.
Opmerkelijke domain name dat 'bla.nl'.

Wat ik daar verder mee moet, weet ik niet.
Ik haak dus af.

Nogmaals: een Port Forward zou niet nodig moeten zijn.
Het zou me wat wezen als gebruikers van deze Webmail dat zouden moeten gaan instellen.
Verder: ??????????????????????????????????
Vraag nadrukkelijk support bij je werkgever. Speel je probleem samen met ze na.
Als dat tenminste kan.
Dat de Firewall op de UBEE uit zou moeten om in te kunnen inloggen is behoorlijk bizar. Of een andere Ziggo Modem/Router dit gaat oplossen, kan, maar is ongewis.
Ook als de firewall uitstaat zal er nog steeds een vorm van blokkade zijn, want je zit achter NAT ( voor IPv4). Voor IPv6 zal het wellicht anders liggen. Maar die firewall settings zijn een soort van blackbox. Geen idee wat die doen op uitgaande verbindingen.

Maar goed, je bedrijf maakt dus gebruik van de Secure Token Service van Microsoft, om in te loggen. Je logt inderdaad in bij MS en krijgt dan een secure token mee voor je bedrijf. Zo ongeveer...

Het zou maar zo kunnen dat er in dat login proces gecommuniceerd wordt met een wat ongebruikelijke poort op de externe servers die de ”blackbox” firewall tegenhoudt.
Met een portforwarding los je dat niet op, want die gebruik je voor een verbinding naar binnen (dus naar je eigen netwerk) toe. Je hebt al gezien dat uitgaande verbindingen vanaf voortdurende andere poorten worden opgezet. Dat is normaal gedrag. Blijkbaar heb je dat kunnen testen. Het is vooral interessant om te kijken met welke externe poorten contact wordt gezegd tijdens dit login proces. Alles anders dan poort 80 of 443 is interessant.

@hanh het domein bla.nl is natuurlijk niet zijn echte domein 😉. blablablabla.nl had ook gekund...
Hahn: Excuses, ik had voor de eenvoud, plus dacht dat het niet relevant zou zijn, voor de website 'bla' ingevuld - dit moet zijn 'renn4'.
Geeft niks. Dat dacht ik al, maar deed alsof ik dit opvatte als een serieus domain.
En verdomd, het bestaat nog ook.
Je kunt het echte domain hier best geven. Het is een onderdeel van het publieke Internet en geheim houden voor niet medewerkers van je werkgever, helpt niet zoveel om de boze buitenwereld goed buiten de deur te kunnen houden.
Dat regel je anders. Over het 'hoe' hoef jij niets te weten.
Dus.... het lijkt er op dat er een poort wisseling is in de verbinding na het invullen van de naam bij microsoftonline en voor het invullen van het password, terug op de renn4 site - ? Als renn4 terug komt via een andere poort, staat deze vanaf mijn kant natuurlijk niet open, of zit ik er nu helemaal naast?
Nee, als er teruggekomen wordt via een andere poort.
Daar geloof ik niet zo in, maar niets is uitgesloten in deze wereld.

Vreemd is wel dat jij als gebruiker van deze faciliteit daar kennelijk geen heldere voorlichting over heeft. Dat sterkt mij in de veronderstelling dat een Port Forward niet nodig is.

Waar dit mysterieuze probleem dan wel in zit, weet ik helaas niet.
@efok schreef nog:
Maar goed, je bedrijf maakt dus gebruik van de Secure Token Service van Microsoft, om in te loggen. Je logt inderdaad in bij MS en krijgt dan een secure token mee voor je bedrijf. Zo ongeveer...

Dat lijkt mij nog een aanknopingspunt. Aanhaken kan ik echter niet.
Ok, security token, heb daar eens even info over opgezocht. Ik log dus in bij microsoft online, krijg een 'token' terug, en 'geef' die dan weer door om bij mijn werkgever in te loggen. Helder. Lijkt er dus op dat dat token dat ik terugkrijg van microsoft niet op mijn computer terecht komt tenzij mijn firewall uitstaat. Zou dit ook misschien nog aan de browser instellingen kunnen liggen? Denk aan het bijv. niet toestaan dat anderen cookies (token?) op je computer opslaan - kan dan het verhaal van de firewall niet verklaren.
Reputatie 7
Badge +35
Ik vond ergens deze info over de TC7200

Level Description

High
Use this Security Level to block all outgoing connections except well known
applications (DNS, HTTP, HTTPS, FTP, TELNET, IMAP, and POP) and block all incoming
connections. Game and Application sharing is not allowed by the firewall.

Medium
Use this Security Level to allow all outgoing connections except Windows protocols
(NetBIOS, RPC, SMB) and block all incoming connections. Game and Application sharing
is allowed by the firewall.
Standard Use this Security Level to allow all outgoing connections and block all incoming
traffic. Game and Application sharing is allowed by the firewall.

Low
Use this Security Level to allow all outgoing connections and block all incoming
traffic except Internet Control Message Protocol (ICMP). Game and Application
sharing is allowed by the firewall.

Disabled
Disable the firewall. All traffic is allowed to pass through your gateway. Game
and Application sharing is allowed by the firewall.
Ha, @Be rt
Interessant. Weet ik achteraf wat beter wat die Firewall instellingen op mijn overleden Technicolor 7210 zouden kunnen hebben betekend. Publieke info is er bij Ziggo niet over dit soort dingen. Het is ook nogal technisch en kan verschillen per Modem/Router. Er is geen echte standaard hiervoor.

Grofweg kun je zeggen dat LOW je beste optie is, als je die optie hebt. Op de Connectbox bestaat die niet.
Alle communicatie initiatieven van buitenaf kunnen niet.
Zo hoort dat. Alles waar je zelf van binnen naar buiten aan begint staat open. Ook prima.
Zolang de poorten die je Outgoing gebruikt ook worden benut voor de Response van buitenaf, is er niets aan de hand = geen Forward nodig.

Het is aan te bevelen de Firewall op de UBEE maar op LOW te zetten.
Waarom die uit moet voor de login, snap ik niet.

@Luigi01
Even lekker simpel doen. Had eigenlijk eerder gemoeten...... Pffff.
Kun je het eens proberen via een andere Internetverbinding?
Bv via een Wifii connectie met de Wifi Hotspot van je Phone, die aan het Mobiele telefoonnetwerk hangt? Zegt je dat wat?
Of bij een maatje?
Reputatie 7
Badge +35
Even buiten de box denken, er wordt iets geblokt, maar wat precies en hoe.

Ik heb altijd deze instellingen uitgezet in de diverse gebruikte routers en modem/routers om vreemde blocks te voorkomen.

Hahn:
Op die simpele manier ben ik erachter gekomen dat er iets met mijn router moest zijn: kon op mijn telefoon bij een kennis (Kpn netwerk) wel gewoon inloggen via de wifi op mijn werkmail, maar thuis met dezelfde telefoon via de wifi niet. Zodoende ben ik aan het zoeken gegaan, en uiteindelijk per ongeluk gevonden dat alles ok is wanneer de firewall uitstaat.
Ok. Had ik dit moeten weten? Misschien, dan excuus.
Het moment is m.i. nu wel gekomen om de UBEE vaarwel te gaan zeggen.
Ik zal dit persoonlijke het bij een Ziggo moderator wegleggen. @Luigi01



Zij hebben meer inzicht in je situatie met dit modem.

Dat was een goede aktie. Ik vertrouw het beestje ook niet meer. Vervanging van zo'n oudje moet kunnen.
Nu nog ff wachten op een reaktie van een Mod.
Die komt. Laat dat maar aan Bert over.
We horen van je.
Hahn:
Nee hoor, had je natuurlijk niet kunnen weten! Persoonlijk houdt ik wel van het oplossen van problemen, en juist een 'back to basics' test kan soms hele verhelderende inzichten geven, dus helemaal niets mis mee. Gewoon toevallig dat ik deze test een tijdje geleden al had gedaan, nadat het duidelijk was dat ik thuis niet kon inloggen.

Tja, de UBEE vaarwel zeggen, als het de oplossing is heb ik daar geen moeite mee. Toch blijft dit probleem me bezighouden...
Hahn:
Nee hoor, had je natuurlijk niet kunnen weten! Persoonlijk houdt ik wel van het oplossen van problemen, en juist een 'back to basics' test kan soms hele verhelderende inzichten geven, dus helemaal niets mis mee. Gewoon toevallig dat ik deze test een tijdje geleden al had gedaan, nadat het duidelijk was dat ik thuis niet kon inloggen.

Tja, de UBEE vaarwel zeggen, als het de oplossing is heb ik daar geen moeite mee. Toch blijft dit probleem me bezighouden...

Het kan maar zo zijn dat je met een firewall in de connectbox op hetzelfde issue stuit. Ik weet niet of dat zo is, maar het zou me niet verbazen als de firewall policies op de modems gelijk zijn (klinkt aannemelijk, maar you never know for sure). Misschien ben je het beste af met het modem in bridge en een eigen router, waar jij de firewall van beheert.

Misschien kun je nog wat wijzer worden met het commando netstat -an op de command prompt, als je de firewall helemaal uitzet? Dan zie je met welke poorten er wordt verbonden. Hebben we misschien een idee waar het vast loopt. Enig speurwerk levert op, dat waarschijnlijk poort 389 (ldap) ergens in het spel is.
Reputatie 7
Hey @Luigi01 . Welkom hier!
Ik stuur je graag een nieuw modem. Dan ben je daarmee sowieso weer up-to-date 🙂. Natuurlijk horen we dan ook graag of hiermee het vreemde probleem met je werkmail/firewall opgelost is. Hij gaat bij deze voor je op de post!
Hoi Lycke, super!, dank je wel Natuurlijk laat ik weten of het hiermee is opgelost.

Efok: ik heb een dergelijke test gedaan: ik draai linux thuis, en heb het ss-commando gebruikt (vervanger van netstat), vervolgens gefilterd op het lan-adres van mijn computer (om de lijst korter te maken); hierdoor kwam ik erachter dat de verbinding met de uiteindelijke webmail geen vaste poort heeft.
Maar nu het verhaal van de microsoft token duidelijk is, iets wat als ik het goed heb begrepen door microsoft (na het invullen van de gebruikersnaam bij microsoft) wordt terug gegeven aan je browser (als adres in de adresbalk), die dan daarmee bij de webmail kan inloggen, is het misschien nog interessant om te zien via welke poort dat gebeurt. Hoe moet ik dat echter 'vangen', er wordt iets (een token) geretourneerd, waarna je meteen wordt doorgesluisd? Of zou dat via dezelfde poort gaan waarmee je in eerste instantie verbinding maakt met microsoftonline?
Nieuwe modem vandaag gearriveerd! Dank!

Gisteravond nog even gekeken: de token van microsoft blijkt niet bij mij aan te komen.
Volgorde: ik open de renn4 website, dit gaat via een https verbinding, en kies webmail; wordt vervolgens doorgesluisd naar microsoftonline, opnieuw https, en typ mijn gebruikersnaam in; nu zou opnieuw de renn4 website moeten openen na het ontvangen van de info van microsoft, maar het systeem met de firewall aan komt nu niet verder en stopt na een zekere tijd. Als ik microsoft mag geloven gaat al deze communicatie via poort 443, dus geen poortwissel. Zal proberen dit te verifieren.
Shit.
Vlgs mij is renn4 niet goed bezig.
Dat kan geen enkele andere Modem/Router verhelpen.
Ik heb een network traffic analyser de netwerk data laten opnemen tijdens een aantal pogingen om in te loggen, zowel met de firewall aan als uit. Hier komt veel data uit.....
Op het moment dat het misgaat (firewall aan), waarbij ik dus een username heb ingevuld en die verstuur, zodat ik een token van microsoft terug ontvang om verder te kunnen inloggen, zie ik dat mijn computer data probeerd te versturen maar hierin blijkbaar niet slaagt; mijn computer verstuurd vanaf verschillende poorten (verschillende inlog sessies), bijv. 3849-2/4/6, 605-28/48/68, 49900, 60658, 6055-0/2/4, in alle gevallen naar poort 443 van de ontvanger, en herhaalt dit verschillende malen met de melding 'retransmission'.
Als het wel goed gaat (firewall uit) worden vergelijkbare poorten gebruikt: 385-06/08/10, 3855-0/2, 506-80/84/86/90.
Tja, de enige conclusie dit ik meen hieruit te kunnen trekken is dat blijkbaar de poorten vanaf circa 38000 dicht staan met de firewall aan - nog vreemder is dat ze dicht staan voor uitgaand verkeer?!