Support UPC durch SUNRISE

phh · 2022-12-29T14:33:02+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

phh

Gibt es unter SUNRISE/UPC noch jemand, der zu einem Kabel-Netzwerkprotokoll oder einer Portweiterleitung noch eine Aussage machen kann?

Der aktuell technische Support beschränkt sich zur Zeit auf die Umschaltung von IPv4 auf IPv6 und vice versa.

TheSven

Stell doch deine Frage gleich hier rein. Viellicht weiss jemand gleich die Antwort.

phh

TheSven

Der Hersteller meiner Wallbox (Charge Amps HALO) bemängelt den Zugriff auf mein WLAN. (Port 80 muss offen sein)

send-status got HTTP ERROR: 500 -> es scheint mit der Portweiterleitung Probleme zu geben

Versuchte Portweiterleitung. 192.168.0.192 (HALO) 80 lokal 80 extern TCP/UDP gemischt

Verbindung wurde aufgebaut, brach aber immer wieder ab. Nach Neustart des Kabelmodems war kein Internetzugriff mehr möglich. Regel wieder gelöscht.

zum Netzwerkprotokoll der Compalbox 🇦

No Ranging Response received - T3 time-out;CM-MAC=ac:22:05:be:12:98;CMTS-MAC=00:17:10:91:aa:0c;CM-QOS=1.1;CM-VER=3.0;

oder:

Illegal - Dropped INPUT packet: SRC=216.58.215.234 MAC=00:17:10:91:AA:0C;CM-MAC=ac:22:05:be:12:98;CMTS-MAC=00:17:10:91:aa:0c;CM-QOS=1.1;CM-VER=3.0;

in Minutenabständen werden solche Events niedergeschrieben

Was läuft hier ab? Gruss phh

pato

phh Also nur damit ich dich richtig verstehe, dein Wallbox Hersteller will unverschlüsselt via Port 80 über das Internet direkt auf dein Wallbox zugreifen?
Falls ja, dann muss dein Anschluss auf IPv4 umgestellt sein. Danach kannst du eine Portweiterleitung für den Port 80 auf die interne IP der Wallbox einrichten.
Dies empfinde ich aber als massives Sicherheitsrisiko!

phh

Hallo Pato

Besten Dank für deine Rückmeldung.

Ja, das verstehst du absolut richtig!

Meine Konfiguration:

Charge-Amps AB, Hersteller von Wallboxes für e-cars verlangt zu meinem Heimnetz einen offenen 80er Port. Dies zur Verbindung mit seiner Cloud. Über diese Verbindung werden Ladevorgänge zu ausgewählten Zeitpunkten gesteuert, bezogene kWh und Statistiken aufgezeichnet.

Der Hersteller bemängelt mein Heimnetz -> send_status got HTTP ERROR: 500 -> Hier scheint es mit ihrer Firewall oder der Portweiterleitung des Routers Probleme zu geben. Stellen Sie sicher, dass Port 80 geöffnet ist und bleibt.

Mein Kabelmodem läuft zurzeit unter IPv6. Geplant im neuen Jahr ist Kabelmodem auf Bridgemode (IPv4) vor Fritz-Box.

(Ja auf IPv6 lässt sich keine Portweiterleitung einrichten. Mit 192 .168.0.192, lokal 80, extern 80, gemischt, kam beim Neustart die Internetverbindung nicht hoch. Danke für den Hinweis.)

Die App zur Steuerung der Wallbox läuft nur auf Android. Mein WLAN mit 3 PC´s und Smartphones wird durch GData Internet Security und Proton geschützt.

Eine Frage beim Hersteller (Charge-Amps), ob die Portöffnung nicht ein Sicherheitsrisiko darstellt, blieb bis anhin unbeantwortet.

Habe diese Anfrage zur Beurteilung soeben auch an die Sicherheitsspezialisten in Bochum gesendet.

Kann ich mich irgendwie schützen vor unbefugtem Zugriff auf mein Heimnetz, oder muss ich den Hersteller zwingen, über https:// mit seinen Wallboxes zu kommunizieren?

Das Umstellungsprojekt ist zurzeit sistiert!

Gruss phh

MagicMax

phh Geplant im neuen Jahr ist Kabelmodem auf Bridgemode (IPv4) vor Fritz-Box.

Diese Kombination dürfte bei dir unter Umständen dann zur Problematik von Internet- Unterbrüchen durch DHCP- Timeouts führen (siehe auch div. Beiträge in der Community -> Suchfunktion FritzBox; DHCP). Hier schieben sich der Hersteller AVM und Liberty Global (UPC/Sunrise) gegenseitig die Schuld zu, zulasten der Kunden! Das Phänomen äussert sich dann jeweils wie folgt: Die FritzBox verliert die Verbindung zum Internet, in der Ereignisaufzeichnung sieht man zuerst die Meldung: “Internetverbindung wurde getrennt” und einige Sekunden später erhält dann die FritzBox plötzlich eine IP-Adresse von der ConnectBox (welche ja im Grunde im Bridge Modus ist): In meinem, Fall: 192.168.100.34, DNS-Server: 0.0.0.0, Gateway: 0.0.0.0. Später protokolliert dann die FritzBox die Meldung “Internetverbindung ist fehlgeschlagen, Fehlergrund: 1 (DHCPv4 lease time out)” danach wird dann die Verbindung (mit der gleichen IP wie vor der Meldung über die getrennte Verbindung) wieder hergestellt und alles läuft wieder.

Entweder du kannst damit leben oder eben nicht (nicht sehr praktisch wenn man Homeoffice macht und z.B. aus einem Teams-Call fliegt). Sollte zweiteres der Fall sein, rate ich dir, deine Entscheidung (Kombination ConnectBox im Bridge-Modus und FritzBox dahinter), nochmals zu überdenken. Varianten:

Bei Sunrise-UPC bleiben aber anderen Router kaufen (habe gehört, die von Asus sollen nicht schlecht sein)

oder

Einen anderen Provider wählen, dort funktioniert die FritzBox einwandfrei (einzelne Provider geben sogar ihren Kunden als Leihgerät eine FritzBox ab), z.B. Green.ch oder iWay

Feststeht: Wenn ein Provider eigene Router hat, leistet dieser keinen Support für fremde Geräte. Dass sich aber Liberty Global / UPC / Sunrise sträubt, der Sache auf den Grund zu gehen, ist schon speziell. Es geht ja hier schliesslich nicht um klassischen Anwendersupport, sondern um ein grundlegendes Problem. Fazit: Die AVM / FritzBox Geräte sind im Grundsatz nicht schlecht und bieten viele Konfigurationsmöglichkeiten aber dennoch eine anwenderfreundliche Bedienung. Nur leider ist das Zusammenspiel hier in der Kombination denkbar schlecht. Interessanterweise machen die gleichen Geräte bei anderen Providern (inklusive Swisscom, die ebenfalls eine eigene Box hat und daher ebenfalls keinen Support auf Fritz Box leistet), überhaupt keine Probleme. Sogar blue TV (ehemals Swisscom TV) funktioniert über diese Boxen problemlos.

EZS1234

Mal blöd gefragt. Funktioniert den für dich jetzt etwas nicht mit deiner Wallbox ohne diesen offenen Port 80?

phh

Gar nicht blöd gefragt. Es funktioniert seit 6 Monaten alles bestens. Der Support stellte mir bei einer Anfrage im November den HTTP 500 Fehler zu, mit der bitte diesen zu korrigieren, da sonst die Funktionalität nicht gewährleistet sei.

Habe letzthin eine weitere Frage im Zusammenhang mit der geplanten Migration zur Fritz-Box gestellt. Da kamen folgende Forderung

Bitte achten Sie darauf, dass Sie sich ausschließlich mit ihrem Router in einem 2,4 GHz netz befinden (wird zur gleichen Zeit ein 5GHz mit gleicher SSID ausgesendet, springt das Netz hin und her und führt zu Problemen). Ihre SSID darf nur 32 Zeichen lang sein. Ihr dBm Wert an der Halo muss mindestens -80 oder besser sein. Ihr Netzwerk darf zudem nur mit WPA2 (nicht WPA3!) verschlüsselt sein. Port 80 in Ihrem Router muss geöffnet sein! Die SSID vom Charger wird nach dem einschalten nur für ca. 10 Minuten sichtbar sein. PMF (packet management frames) im Router (falls verfügbar) deaktivieren.

Vor der angeforderten Bewertung der Supportleistung habe ich heute noch mal eine spezifische Anfrage zur Sicherheit gestellt. Mal sehen, ob da noch etwas konkreteres kommt.

phh

Dank an die Community (Pato und andere) für den Hinweis, dass die Portweiterleitung nur auf IPv4 möglich ist. Wenn die Connect-Box im Bridgemodus läuft, wird das Problem (HTTP500 Error) beseitigt sein.

Der CTO des Herstellers der Wallbox schreibt:

Thank you for your question and I’m very glad to hear that you are satisfied with the functionality of our charger. I can ensure you that the traffic between the charger and the Cloud is indeed encrypted despite HTTP port 80. We decided to use port 80, but we encrypt all traffic. It is an AES crypto.

Siehe auch: https://www.nalpeiron.com/glossary/port-80/

Die Spezialisten von GData nehmen wie folgt Stellung:

Bei Port 80 handelt es sich um den regulären HTTP-Port für unverschlüsselte Verbindungen. Verbindungen aus dem Netzwerk sind standardmäßig möglich, während unaufgeforderte eingehende Verbindungen aus Sicherheitsgründen blockiert werden. Um das Netzwerk nicht unnötigerweise zu kompromittieren, sollte eine Portweiterleitung nur auf das entsprechende Gerät eingerichtet werden und der Port nicht generell für alle eingehenden Verbindungen geöffnet werden. Über die Funktionsweise bzw. den Sicherheitsstatus der Wallbox selbst können wir leider keine Aussage treffen, vermuten jedoch ein eher geringes Risiko, sofern es sich hierbei um den vom Hersteller vorgesehenen Kommunikationsfall handelt. Die Kommunikation zwischen Wallbox und App über das interne Netzwerk sollte bestenfalls verschlüsselt stattfinden. Aus Bochum grüßt Sie freundlich Holger, 2nd Level Consumer Support

Nachlese zum Support Sunrise/UPC:

Das Handbuch zur Connect Box ist auch auf der Sunrise Homepage zu finden. Wäre schön, wenn auch weniger alltägliche Fragen (z.B. Portweiterleitung unter IPv6 ja/nein?) vom Support beantwortet oder zur Beantwortung weitergeleitet würden. Irgendwo müssen bei diesem Firmenzusammenschluss doch noch ein paar technisch orientierte Spezis hängengeblieben sein. Oder wurden diese alle in die Community entlassen ………

ThomasGloor

Unverschlüsselte Kommunikation zu einem modernen Gerät wie einer Wallbox…. Sorry, das wäre für mich ein Grund für einen Eingeschriebenen mit zweiwöchiger Nachbesserungsfrist (maximal)! Schon wenn der Standort der Anlage unverschlüsselt ausgelesen werden könnte, wäre das ein Verstoss gegen das Datenschutzgesetz….

phh

MagicMax

Besten Dank für deinen Beitrag. Providerwechsel ist problematisch. Hänge in einer abgelegenen Gegend am dicken UPC/Cablecom Kupferkabel.

Seltsam wenn bei einer Bridge DHCP mitspielt. Mit welcher FB hattest du dieses Problem? Was war die Antwort von AVM zu diesem Fehlverhalten?

MagicMax

phh Ich hatte zuletzt die FritzBox 7590 und seit dem dass die einen Blitzschlag hatte letzten Sommer habe ich nun die 7590 AX. Zwischen beiden Geräte stellte ich keinen Unterschied fest, die Problematik besteht bei beiden. AVM habe ich bislang nicht kontaktiert, wechsle im Januar so oder so den Anbieter, somit hat sich dies für mich erübrigt. Bei mir ist ein anderes Problem, die Connectbox verliert immer mal wieder die Verbindung, dabei spielt es keine Rolle ob diese im Bridge-Modus oder im Routermodus läuft. Das Netz hier scheint echt am A… zu sein, da konnte auch der aufgebotene Techniker nichts ausrichten.

Beim Telefonnetz ist in meinem Fall jetzt das nächste Netzelement mit Glasanbindung näher gelegen, als beim Kabelanschluss, sprich die Strecke über Kupfer ist bei meinem Telefonanschluss kürzer, als über das HF-Netz von Sunrise (ex UPC). Klar, könnte man über dieses Coaxialkabel, trotz längerer Leitung, eine höhere Bandbreite übertragen als über die Zweidrahtleitung von Swisscom, welche zwischen unserem Haus und dem Netzelement im Schacht verlegt wurde, welches dann mit Glasfaser angebunden ist. Der “Flaschenhals” liegt dort bei den letzten Metern. Aber lieber konstant und stabil, als theoretisch bis 1GBit/s (so viel braucht eh kein normaler Haushalt), dafür mehrmals die Woche Theater, totaler Disconnect etc. und der mühsahme Sunrise-Support.

Ich würds mir überlegen, etwas abgelegen bedeutet nicht in jedem Fall einen langsamen Speed über einen anderen Anbieter, ausserdem bietet Swisscom ja noch den 5G Mobile Booster an, damit wird die Leitung noch zusätzlich durch den mobilen Speed unterstützt.

pato

phh Du kannst alle anderen Router verwenden und solltest keine Probleme haben.