Glasfaseranschluss – irgendwie keine (Weihnachts-)überraschung – Teil II

Im Blog-Beitrag Glasfaseranschluss – irgendwie keine Weihnachtsüberraschung – Teil I hatte ich ja einige Impressionen in Sachen Breitband-Internetausbau mit Glasfaser thematisiert. In Teil II möchte ich noch die Geschichte eines Lesers zum Besten geben, die dieser mir bereits zum 1. November 2023 per E-Mail zukommen ließ (danke dafür).


Anzeige

Hurra, ich bekomme Glasfaser

Blog-Leser Stefan K. schrieb mir in seiner Mail, dass er "mit der Familie vor ca. vier Jahren einen Glasfaseranschluss via NordischNet beauftragt" habe. Gut Ding will Weile haben, aber inzwischen liegt bei ihm die Glasfaser bis ins Haus. Und ein ONT wurde bei ihm dem Dachboden verbaut.

Das Kürzel ONT steht für Optical Network Termination (ONT) – siehe auch diesen Artikel, hier und hier. Das ist eine Box (Glasfasermodem), in das die Glasfaser mündet, und die den Abschlusspunkt des Glasfasernetzes im Haus darstellt. Die ONT wandelt die Lichtsignale der Glasfaser in elektrische Signale um, die dann vom Router verarbeitet werden können.

Ende Oktober 2023 bekam er dann ein Schreiben per Post, in dem es hieß, er möge den ONT mit Strom versorgen, damit die Leitung geprüft werden kann.

Schreiben NordischNet Glasfaseranschluss

Stefan schrieb, dass an diesem Tag die Lampen am ONT sogar grün leuchteten und nicht mehr rot waren. Es hatte sich also was getan, d.h. die Glasfaserleitung war auch am Verteiler des Anbieters aufgelegt und aktiv. Stefan konnte also Strom an die ONT anlegen, so dass das Glasfasermodem arbeitete, und dann eine FRITZ!Box anschließen, um die Internetverbindung zu testen und ggf. in seinem Haushalt weiterzuleiten.


Anzeige

Wer tummelt sich denn da?

Der Blog-Leser staunte aber nicht schlecht, als er sich in der FRITZ!Box seine Netzwerkumgebung ansah. Stefan beschreibt es so: "Das Ganze führte aber zu interessanten "Nebenwirkungen", denn von der Fritz!Box hinter dem ONT kamen Meldungen zu neuen Heimnetzgeräten." Er schrieb mir, dass die folgenden Netzwerkgeräte sich erstmalig mit der FRITZ!Box verbunden hätten:

Neue Netzwerkgeräte

Das machte den Leser dann doch etwas stutzig, denn von seiner Seite hing nur eine FRITZ!Box als Verteiler am ONT-Glasfasermodem. Wie konnte es dann sein, dass sich da plötzlich Netzwerkgeräte mit seiner FRITZ!Box verbanden. Der Leser war irritiert und hat dann sein Notebook an den ONT gehangen (der hat ja einen LAN-Ausgang). Dort bekam das Notebook per DHCP eine IP aus dem typischen Fritz!Box Netzbereich (192.168.178.0/24) zugewiesen.

FRITZ!Box 7530

Am Notebook konnte er im Browser eine Verbindung zur IP der FRITZ!Box herstellen (siehe obige Bild). Es war aber nicht seine FRITZ!Box, denn er hatte keine FRITZ!Box 7530 – zudem hing ja sein Notebook direkt am ONT. In obigem Bild fragt die FRITZ!Box zwar ein Kennwort für den Zugang ab. Korrektur: Ob das Kennwort gesetzt war, wurde nicht geprüft. Aber der Leser schrieb:, dass die anderen Gerate, die im Netzwerk eingebucht waren, offenbar aus seiner Nachbarschaft stammten. Er schickte mir folgenden Screenshot eines Druckers aus diesem Netzwerk, auf den er über dessen IP-Adresse zugreifen konnte.

Drucker im Netzwerk

Stefan schrieb mir dazu: "Offenbar haben die es irgendwie hinbekommen, aus unserer Nachbarschaft ein LAN zu bauen, welches nun bei uns am ONT anliegt. Ein Scan per NMAP lieferte diverse Geräte wie Devolo Powerline-Adapter oder intelligente Thermostate, aber auch Drucker oder NAS. Das Netz ist teils 'instabil', da alle FRITZ!Boxen lustig IP-Adressen vergeben und es so auch zu doppelten IPs mit entsprechendem Konflikten kommt. Trotzdem war es mir möglich auf den erreichbaren Druckern unsere Telefonnummer mit bitte um Rückruf zu drucken. Ich bin gespannt ob sich jemand meldet."

Er hat dann NordischNet kontaktiert, worauf diese ein Ticket auf seinen Namen eröffnet haben und als erste Antwort die Rückmeldung gaben, dass dies nicht das Standardverhalten sei. Wie schrieb mit Stefan: "Auf jeden Fall zeigt dies mal wieder, dass auch Geräte im internen LAN nicht unbedingt sicher sind und auch dort ordentlich mit den Zugangsrechten umgegangen werden muss."

Meine Erklärung des Hintergrunds

An dieser Stelle habe ich mal versucht, den obigen Sachverhalt für mich technisch zu erklären. Der Betreiber der FRITZ!Box 7530 hat wohl einen der LAN-Ausgänge per Netzwerkkabel mit dem ONT-Glasfasermodem verbunden. AVM gibt in der Beschreibung hier an, das Netzwerkkabel mit der LAN1-Buchse und dem ONT-Glasfasermodem zu verbinden. Damit gehört das ONT-Glasfasermodem zum lokalen Netzwerk und die FRITZ!Box verteilt das vom Modem bereitgestellte Internet auf die anderen LAN-Ausgänge sowie auf das WLAN.

So erkläre ich mir, dass dort die Geräte vom Modem überhaupt erkannt und in die "Glasfaserverteilerstruktur" weitergereicht wurden. Dieses Szenario muss der Glasfaseranbieter aber von der Konzeption berücksichtigen und im ONT-Glasfasermodem oder in seiner Infrastruktur sicherstellen, dass die Geräte nicht in sein "optischen Netzwerk hinein senden".

An dieser Stelle ganz naiv gefragt: Wie hätte der Betreiber der FRITZ!Box 7530 das vermeiden können? Meine Antwort: Gar nicht – er hätte ein Gast-Netzwerk an WLAN1 konfigurieren können, um die Geräte logisch zu trennen – ich bin aber nicht sicher, ob dann das eigentliche Netzwerk hinter der FRITZ!Box noch Internet gehabt hätte. Gehe ich die AVM-Beschreibung durch, ist da von einer VLAN-ID des Anbieters die Rede. Ich interpretiere dies so, dass der Glasfaseranbieter ein virtuelles LAN (VLAN) zur Netzwerksegmentierung und -Isolierung aufbauen muss, damit obiges Szenario nicht vorkommt. Falls ich nichts falsch interpretiert habe, lag der Fehler hier beim Glasfaseranbieter. Warum diese Fehlkonfiguration überhaupt auftreten konnte, entzieht sich meiner Kenntnis – ich halte es aber für ein Desaster, wenn Software-Konfigurationsfelder beim Glasfaseranbieter zu so was führen können. Oder habe ich was falsch interpretiert?

Der tägliche Wahnsinn

Das ist möglicherweise nur ein bedauerlicher Einzelfall. Ich möchte das Thema aber eine Runde weiter drehen – am Beginn der Artikelreihe waren wir "beim Internet an jeder Milchkanne", was von der Politik und den Anbietern gerne angepriesen wird. Die Episode zeigt aber, was passiert, wenn wir "dieses Internet auf die Milchkanne" loslassen.

  • Erstens hätte obiger Fall nicht passieren dürfen, da der Anbieter des Glasfaseranschlusses imho sicherstellen muss, dass die einzelnen Hausanschlüsse – und bei Miethäusern mit mehreren Parteien auch deren Anschlüsse – logisch (per VLAN) voneinander getrennt werden müssen. Es darf nicht sein, dass ich per optisches Netzwerk auf die LAN-Konfiguration eines fremden Kunden gelange.
  • Zweitens zeigt der Fall, dass gut 99 % der Haushalte in dieser Situation schlicht überfordert sind, a) das Problem überhaupt zu erkennen, und b) wird noch deutlich, dass die Leute mit den einfachsten Sachen wie FRITZ!Box mit einem Passwort absichern, überfordert sind.

Immerhin ist die FRITZ!Box 7530 aus obigem Fall erst seit 2021 im Handel, und wird mit 5 Jahren Support auch noch mit Sicherheitsupdates unterstützt. Hier bleibt zu hoffen, dass die Firmware der FRITZ!Box per Auto-Update aktuell gehalten wird. Aber an dieser Stelle muss man sich nicht wundern, dass Privatleute und Unternehmen täglich Opfer von Cyberangriffen werden.

Es reicht halt nicht, eine Breitbandstrategie zu haben, um "Internet an jeder Milchkanne und FFTH in jeder Wohnung" bereitzustellen. Vorausgesetzt muss mindestens werden, dass diese Infrastruktur auch sicher konfiguriert in Betrieb genommen und dann auch über die Lebensdauer der Geräte sicher gehandhabt werden kann. Das sehe ich aber bei weitem nicht erfüllt, was aber kein rein deutsches Problem ist, sondern weltweit virulent ansteht. Es herrscht halt "Hauptsache, es funktioniert" vor – oder es wird lautstark über "die ständigen Störungen" geklagt. Ist jetzt ein schwieriges Thema, was ich in beiden Artikeln beleuchtet und in Form von Beobachtungen sowie aufgeworfenen Fragen angerissen habe. Niederungen der Praxis, statt die schöne Welt der Hochglanz Marketing-Broschüren. Oder wie seht ihr das so?

Das Problem ist behoben

Ergänzung des Lesers: Ich hatte dem Leser vorab mitgeteilt, dass ich seine Erfahrungen im Blog aufbereitet habe. Als auf seine Mitteilung an den Anbieter und Nachfragen keine Reaktion erfolgte, hat der Leser kurz vor der Umstellung des Anschlusses dort angerufen. Der Support hat telefonisch nochmals bestätigt, dass der Zugriff auf fremde Netze so nicht möglich sein soll. Eine wirkliche Erklärung gab es aber auch nicht.

Der Mitarbeiter sagte dem Leser, dass ein interner Vermerk der Technik am Ticket hinterlegt sei: "Der Anschluss sei noch nicht freigegeben". Wie schrieb der Leser: "Für mich wenig beruhigend, wenn es zumindest eine Übergangszeit gibt in der alle Teilnehmer einer Node quasi am gleichen Netz hängen."

Mit der Umstellung am 14.12.23 wurde das Ticket dann geschlossen und der Leser fährt seit diesem Zeitpunkt über den Glasfaseranschluss. Er hat die Tage heute nochmal seinen Laptop direkt an den ONT gehängt und versucht, die anderen Geräte erneut zu finden. Das hat erfreulicher Weise nicht mehr geklappt. Das Problem ist also behoben.

Erste Erfahrungen

Was den Router angeht, so hat der Leser eine FRITZ!Box 7590 im Bestand und daher keinen eigenen Router über den Anbieter bestellt. Die 7590 hat einen separaten WAN Port, welche als WAN oder LAN5 genutzt werden kann. Damit sollte eine Isolierung erfolgen (habe ich nicht bedacht).

Den Internetanschluss und auch die Internetrufnummern hat der Leser am 14.12.2023 manuell in der FRITZ!Box eingerichtet. Das klappte überraschend gut und ohne Probleme. Der Leser ist jetzt 11 Tage über den Glasfaseranschluss online und bisher gab es keine Störungen oder Ausfälle.

Einzig eine bestellte öffentliche IPv4-Adresse ist wohl untergegangen. Die hatte er vor vier Jahren gleich mitbestellt. Nach einem Anruf bei der Hotline wurde dieser Punkt aber auch binnen 24 Stunden gelöst. Auch hier war ich positiv überrascht.

Der Punkt CGN und IPv4 ist auch so ein Fallstrick im Zusammenhang mit Glasfaser, schreibt der Leser, da alle Anschlüsse, um IPv4-Adressen zu sparen, über ein Carrier-grade NAT angebunden werden. Externe Portfreigaben sind damit nicht mehr zu erreichen und so funktioniert z.B. auch keine VPN-Anbindung auf die Fritz!Box mehr. Der Leser vermutet, dass dies ist nicht allen Nutzer bewusst ist. Weitere Erkenntnisse der ersten Tage:

  •  Beim Surfen im Web ist kein Unterschied zur alten VDSL-Leitung (100/40) zu bemerken
  • Der Leser hat im Haus eine komplette CAT6-Verkabelung eingezogen. Der Speed am Laptop mit LAN-Kabel kommt an (gebucht 500/200)

An dieser Stelle mein Dank an den Leser für die ergänzenden Hinweise.

Artikelreihe:
Glasfaseranschluss – irgendwie keine (Weihnachts-)überraschung – Teil I
Glasfaseranschluss – irgendwie keine (Weihnachts-)überraschung – Teil II


Anzeige

Dieser Beitrag wurde unter Allgemein, Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

38 Antworten zu Glasfaseranschluss – irgendwie keine (Weihnachts-)überraschung – Teil II

  1. Anonym sagt:

    GPON ist per Definition ein shared Medium mit passiven optischen Sternkopplern. Billig-Technik, die vielleicht bei den Preisen vor 10 Jahren Sinn gemacht hat. Heutzutage kosten klassische GBICs, mit denen man die Verbindung Punkt-zu-Punkt direkt aufbauen könnte, nur ein paar Euro. Wird im kommerziellen Umfeld auch nur so gemacht.

    • Mett sagt:

      Der Punkt überzeugt nicht. Wenn der ISP-Switch bei einem PtP-Anschluss falsch konfiguriert ist, hast du da auch ein LAN, in dem sich die CPE untereinander sehen.

      • Bernd B. sagt:

        Sorry, aber wer ein (wie auch immer geartetes) öffentliches Netz an die LAN-Buchse hängt hat von IT(-Sicherheit) Null Ahnung.
        Das Netz eines Dritten ist _immer_ ein roter Bereich, der vom LAN zumindest per (NAT-)Firewall getrennt werden muss.
        Sich auf evt. (Sicherheits-)Massnahmen und 100% fehlerfreies Arbeiten des Anbieters zu verlassen ist schon reichlich naiv.

        Also eindeutiger Anwenderfehler (haben nicht viele Router den WAN-Anschluss auf dem ersten Ethernetport, hier fälschlich als "LAN1" bezeichnet?).

        • Singlethreaded sagt:

          Stimmt, nur werden hier keine Firmen mit IT-Abteilung angebunden, sondern ganz normale Menschen, welche mit IT meist nichts zu tun haben.

          Die werden die anliegenden fremden Geräte am ONT meist nicht mal bemerken und schon gar nicht per Nmap einen Scan machen. Wenn ich privat mal Leuten helfe, dann wissen viele nicht mal, dass man auf den Router per Webbrowser zugreifen kann.

          Man kann jetzt diskutieren, ob Netzwerke und deren Trennung / Segmentierung Teil der allgemeinen Bildung sein muss. Ich würde sagen das geht zu weit.

          Wenn also ein Betreiber so eine technisch komplizierte Technik einführt, dann sollten keine fremden Netze über die ONT zu erreichen sein.
          Offenbar wird aber ehr das Prinzip "Security by obscurity" zur Anwendung gebracht. Weiß ja keiner, wird schon keiner mitbekommen.

          Die Erkenntnis das nichts schief geht, wenn man alles richtig macht ist eine Binse. Ich arbeite seit fast 15 Jahren in der IT und selbst wir, die uns für Fachleute halten, machen Fehler, können von komplexen Systemen überfordert sein. Wie soll die normale Bevölkerung klar kommen, wenn die sichere digitale Teilhabe nur als IT-Fachkraft möglich ist?

          • Bernd Bachmann sagt:

            Danke für den Kommentar.

            Man kann es nicht oft genug sagen: Ein normaler Nutzer weiß nicht, was ein LAN, ein WAN, ein Ethernet, ein ONT, eine Firewall, ein Router oder NAT sind. Und das sollte er im Jahr 2023 auch nicht wissen müssen. Er kann schließlich auch elektrisches Licht nutzen, Leitungswasser trinken, den Erbonkel in Amerika anrufen, Auto fahren oder Radio hören, ohne sich damit auseinandersetzen zu müssen, wie das im Detail funktioniert.

            Das Internet ist heute Basis-Infrastruktur, die für den Anwender einfach funktionieren muss.

            (Mein eigener Glasfaseranschluss tut das seit mehr als 10 Jahren, aber ob das alles sauber und korrekt konfiguriert ist, kann selbst ich als Diplom-Informatiker nicht beurteilen.)

            • Luzifer sagt:

              naja er kann autofahren, Wasser trinken usw, aber er reapiert sein Auto im allgemeinen nicht, er legt seine Wasserleitungen nicht selbst, seine Stromleitungen ebensowenig… weshalb sollte er das dann beim Netzwerk tun, anstatt nen Profi ranzulassen?

              Ich kann sowohl Waserleitungen selbst legen, wie auch Stromleitungen legen und den V8 meiner Autos zerlegen und wieder funktionsfähig zusammenbauen … wieso? Weil ich gerne weis was ich tue!
              Reines Nutzen kann jeder Depp!
              Unsere Generation lernte noch: kenne was du nutzt! Wisse was du tust! Heute lesen die ja nicht mal das Handbuch und sind wir mal ehrlich Handbücher sind heute nen Witz mein VC20 Handbuch hatte über 1000 Seiten nen PC Beipackzettel ist vielleicht 2 DinA4 Seiten.

              Entweder man kann es eben selbst oder lässt es machen, gilt auch in der IT!

              Aber kann man den Leuten ja nicht verübeln: die Politik macht es vor. Keine Ahnung haben aber das sagen ;-P

              • Bernd Bachmann sagt:

                Das ist super, dass Du das alles kannst, und das meine ich ohne jede Ironie.

                Aber damit bist Du halt eine grosse Ausnahme. Leute wie ich, die nicht solche Universalgenies sind, müssen sich darauf verlassen können, dass das Auto, mit dem sie vom Händlerhof oder aus der Autovermietung rollen, sicher ist. Und genauso sollten sie sich darauf verlassen können, dass ihr Internetanschluss sicher ist.

                (Bei all Deinen Fähigkeiten bezweifle ich trotzdem, dass Du jeden Mietwagen, den Du übernimmst, erst einmal auseinandernimmst und in allen Einzelheiten überprüfst, ob er "richtig konfiguriert" ist, ehe Du Dich vertrauensvoll in ihn hineinsetzt.)

                • Luzifer sagt:

                  zumindestens lass ich mich bei nem Mietwagen ordentlich einweisen und gehe auch mal das Handbuch durch!
                  RTFM! ist das mindeste was man erwarten kann. Aber Generation PostPISA ist dazu ja nichjt mehr in der Lage.

                  Ist alles nur ne Frage des Wollens. Ist noch kein Meister vom Himmer gefallen.
                  Und wenn du dein Auto nicht selbst warten kannst bringst es eben in die Werkstatt… Bei der IT das Gleiche, dann holst dir eben nen Spezialisten!

              • Günter Born sagt:

                Hab mich ja bzgl. des "Meinungsaustauschs" in den Kommentaren zurückgehalten – auch weil nicht niemandem zu nahe treten wollte. Imho sind die Aussagen "Handbuch lesen" schlicht praxisfremd – und das hat nichts mit "Generation PostPISA" zu tun!

                Wie schaut es denn aus: Die Leute bekommen einen Router oder ein Glasfasermodem sowie den Brief mit den Daten für den Zugang zugeschickt. In der Sendung liegt ein Flyer von zwei Seiten zur Inbetriebnahme bei – das war es schon. Wer hat sich die letzten "Dokumente" denn mal angesehen, die einer FRITZ!Box oder einem anderen Router beiliegen? Die umfassen nicht mehr als fünf oder sechs DIN A6 Seiten, die in bunten Bildchen erklären, wo welches Kabel rein gehört und wie man wo was eintippen muss, damit das Ganze (hoffentlich) funktioniert.

                Wer mehr will, müsste sich auf den Seiten des Herstellers die PDF-Dokumentation zusammen suchen – in der Hoffnung, dass er diese findet, versteht und auch umgesetzt bekommt. Ich erinnere mich, wie oft ich schon für Spezialfragen zu FRITZ!Boxen das Internet durchforstet habe – dann x Anleitungen zu diversen AVM-Modellen gefunden hab – und schließlich über Drittforen die Lösung recherchieren konnte. Das macht kein normaler Anwender – und wer meint, dass die Leute da einen Fachbetrieb für mehrere Hundert Euro beauftragen, lebt imho schlicht auf dem falschen Planeten. Aber ich lasse mir gerne das 50 seitige Manual zur FRITZ!Box unter die Nase reiben, das mir den in obigem Beitrag skizzierten Sachverhalt auf Endnutzer-Niveau erklärt.

            • Dat Bundesferkel sagt:

              Ich teile diese Ansicht nicht und erwarte eigentlich, daß Grundlagen (Elektrizität, Wasser, Fahrzeuge, Netzwerke) vermittelt und angewandt werden.

              In letzter Distanz jedoch der Dauerklassiker: RTFM! Ich gehe jedes mal an die Decke, wenn Personen Gegenstände auspacken und nicht mal einen flüchtigen(!) Blick in die Bedienungsanleitung werfen.

              Beispiel hier: AVM weist in der Dokumentation *ausdrücklich* darauf hin, den WAN-Port (LAN1) zu verwenden! Wenn man sich schon nicht mit weiteren Details befassen möchte, sollte man zumindest das beherzigen.

              Aber viele leben lieber nach dem Motto: "Der hat mir gar nix zu sagen, ich mache, was ich will – das Patriarchat will mich nur unterdrücken!".

              Bei Fahrzeugen genau so… Dieselpartikelfilter… "ich muß auf der Autobahn 200+ fahren, um den Partikelfilter frei zu brennen…" – nein, mußt Du NICHT. Es geht um die DREHZAHL. Kannst genau so im 1. (~10 km/h, 2. (~30 km/h), 3. (~50 km/h), 4. (~70 km/h) Gang bei 2.000 upm fahren. Auch DAS steht im HANDBUCH.

              RTFM! Eine Lösung für viele (selbstgemachte) Probleme.

              • R.S. sagt:

                Wenn denn ein Handbuch dabei wäre!
                Schon einmal in den letzten 20 Jahren ein Handbuch bei Windows gesehen?
                Ich habe hier noch eins von Windows NT 4. Sind zwar auch nur 30-40 Seiten, aber ein paar grundlegende Dinge werden da erklärt.
                Im Grunde ist jeder PC mit Windows drauf eine mangelhafte Lieferung, denn lt. Gesetz muß einem Produkt zwingend eine Bedienungsanleitung beiliegen!
                Nicht nur für die Hardware, sondern auch für vorinstallierte Software!
                Nur besteht da bei Software merkwürdigerweise niemand drauf.
                Nach dem Motto: "Ein echter Mann braucht keine Anleitung".

        • Pau1 sagt:

          Ja, es stimmt. Aber der Normalfall ist der technische Laie, der natürlich den Router seines Providers in sein LAN stellt, das WLAN machen lässt. Da muss er halt so viel Vertrauen zum Provider, BND und NSA haben, dass die sich nicht mal kurz mit Gerichtlichem Geheimbeschluss im Privaten LAN umsehen.
          Das wäre ja derzeit auch verboten!

  2. Herr IngoW sagt:

    Moin
    Die Fritz!Box 7530 ist nicht zum Anschluss an ein GF-Modem geeignet da sie keine Wan-Buchse hat.
    Die Lan1-Buchse ist nur ein Notbehelf, funktioniert zwar, hat aber mit einer vernünftigen Verbindung nix zu tun (Sicherheit).
    Bei meinem Anschluss ist nicht unbedingt ein extra Modem vom Anbieter nötig (kostet ja nur extra Strom).
    Man kann ein extra Modem nehmen, es geht aber auch (und besser) mit einem Glasfaser-Router in dem schon alles eingebaut ist.
    Kann man vom Anbieter Mieten oder Kaufen.
    Nichts desto trotz sollten natürlich keine anderen Geräte zu sehen sein.
    Hier sind in den Eigenheimen nur FTTH-Anschlüsse, in den Mehrfamilienhäusern sind FTTB-Amschüsse verbaut.
    Bei einem Bekannten im neuen Wohnblock sind FTTH-Anschlüsse vorhanden.
    Die Unterschiede der Anschlüsse sind hier mal erklärt: https://www.verivox.de/internet/ratgeber/glasfaseranschluss-schnelles-internet-per-ftth-fttb-und-fttc-das-sind-die-unterschiede-1119988/
    Schönen zweiten Weihnachtstag.

  3. Jens sagt:

    Das hört sich für mich so an, wie wenn das ONT noch nicht am Netzwerk hängen sollte, was aber von den Leuten nicht eingehalten wurde.

    Wahrscheinlich wurden die Glasfaser Leitungen so getestet, ob alle ONTs erreichbar sind. Klar, nicht unbedingt super dass das so gemacht wird, aber das Thema hört sich für mich nach nem User Fehler an.

    Wobei natürlich die Endbenutzer keinen Zugriff auf alle anderen Endgeräte haben sollten.

    Auf jeden Fall eine interessante Geschichte.

    Ich bin schon extrem auf den Ausbau in unserem Dorf gespannt, die Leitungen liegen schon und sollen bis Juni 24 angeschlossen werden (Telekom).

  4. R.S. sagt:

    Ich stelle mir die Frage, warum die fremde 7530 kein Passwort hat.
    Denn per Default hat jede Fritzbox ein Passwort.
    Das Default-Passwort steht auf dem Datenaufkleber auf der Unterseite.
    Wenn eine Fritzbox kein Passwort hat, dann hat jemand das Passwort absichtlich entfernt.
    Und ich frage mich, warum der Anbieter überhaupt eine 7530 als Standardmodell und eine 7590 anbietet. Bei der 7530 lässt sich der LAN1-Anschluß nicht als WAN konfigurieren. Damit hätte es das Probem nicht gegeben.
    Und warum eine FB mit DSL-Modem?
    Das DSL-Modem ist bei Glasfaser überflüssig.
    Passender als die 7530/7590 wäre eine FB ohne Modem, also eine 4040 oder 4060.
    Die haben dann auch einen dedizierten WAN-Anschluß.

    • Singlethreaded sagt:

      Zunächst einmal der Hinweis: Die Fritz!Box hat ein Passwort. Man sieht in dem Screenshot ja deutlich die Eingabemaske. Wie dieser Punkt in den Artikel gelangt ist, ist mir im Moment ehrlich gesagt nicht ganz klar. Vielleicht kann Günter das nochmal prüfen.

      Bei anderen Geräten wie Druckern war zum Teil kein Passwort gesetzt. Auch gab es SMB Freigaben welche in NMAP von der Scripting Engine (NSE) als "writable" identifiziert wurden. Es bestand also mit hoher Wahrscheinlichkeit ein Lese- / Schreibzugriff für die Gruppe "everyone / jeder".

      -> Ich habe das aber nicht tiefer geprüft: Diese Daten gehen mich nichts an und es war offensichtlich, dass es sich hier nicht um eine bewusste / willentliche Freigabe von Daten handeln konnte. Daher habe ich die Finger davon gelassen. Es zeigt aber sehr schön was passieren kann, wenn man im vermeintlich sicheren LAN Geräte betreibt und keine Zugriffsrechte konfiguriert.

      Warum der Anbieter nun eine 7530 liefert kann ich nur mutmaßen. Vielleicht eine Entscheidung auf Grund von Preis / Verfügbarkeit?

      • R.S. sagt:

        Die Passwort-Eingabemaske kommt auch, wenn man kein Passwort vergeben hat.
        Man drückt dann einfach Enter und ist drin.

        Was den Zugang angeht:
        Der war wohl noch nicht passend konfiguriert.
        Der Anbieter hat wohl nicht damit gerechnet, das da jemand sofort den Anschluß prüft.

        • Singlethreaded sagt:

          Über ein leeres Passwort kann ich nichts sagen. Ich teste grundsätzlich keine Zugangsdaten auf fremden Systemen. Entsprechend wurde auch keine Anmeldung versucht.

      • Günter Born sagt:

        zum Passwort: wohl mein Fehler, hatte angenommen, dass durch Drücken der Eingabe-Taste der Zugriff auf die FRITZ.Box erfolgt ist. War aber dann wohl nicht der Fall. Werde den Artikel diesbezüglich noch anpassen, wenn ich wieder am Rechner bin.

    • Pau1 sagt:

      AFAIK kamen alte Fritz-Boxen ohne den Zwang, beim ersten Anmelden ein Passwort setzen zu müssen.
      In sofern kann das schon sein, denn es sieht so aus als seien die 7530 des Providers versehentlich gar nicht konfiguriert worden. sh*t happens.
      Der Kollege hatte ja einen eigenen 7590 von dem er das Passwort sicherlich kannte, denn woher hatte er sonst die Arp Tabelle oben?
      In dessen LAN hatte er sein Notebook gesteckt und auch vermutlich lan1 mit dem GF Modem verbunden.

  5. Anonym sagt:

    kann der Lan1 Port bei der 7530 nicht wie bei anderen FritzBoxe (auch ohne extra WAN Port) in den WAN Modus (und damit NAT) versetzt werden!?

  6. Norbert N. sagt:

    Da geht in der Diskussion über die FritzBox 7530 einiges durcheinander.
    Sie hat 4 Ethernet-Ports, benannt LAN1 .. LAN4.
    LAN2 .. LAN4 bilden immer ein internes lokales Netz.
    Die Buchse LAN1 ist entweder auch intern an dieses Netz angebunden (Default) oder sie kann als WAN-Anschluss konfiguriert werden, dann trennt die Fritzbox7530 diesen WAN-Anschluss so wie es sich gehört, vom internen LAN.
    Da liegt also ein Konfigurationsfehler der Fritzbox vor: Glasfasermodem an LAN1 angeschlossen, aber Port LAN1 nicht als WAN konfiguriert.

  7. Kleiner Tipp sagt:

    Seit 2016 haben Verbraucher das Recht, ihren Router frei zu wählen. In der Richtlinie 2008/63/EG sowie in der Verordnung 2015/2120 ist geregelt, dass Endnutzer ein Recht auf Endgerätefreiheit haben. Umgesetzt in nationales Recht ist es im Telekommunikationsgesetz §75 Abs.1.
    Dies ist im Mai 2023 nochmals vom BGH (Az. III ZR 88/22) bestätigt worden.
    Wenn man sich vom Internetdienstleister das Glasfasermodem nicht aufzuzwingen lässt, sondern seinen eigenen Router mit Glasfaseranschluss (AON oder GPON) anschafft, umgeht man die hier angesprochenen Probleme. Und es wird nur ein Gerät am Stromnetz betrieben.
    Das Recht ist hier eindeutig auf Seiten des Verbrauchers. Dieser Rechtsbruch einiger meist kleinerer Anbieter wird leider von der Bundesnetzagentur nicht geahndet.

    • Dat Bundesferkel sagt:

      Keine Sorge, hat sich bald erledigt. Der Wind steht auf Wegfall der Routerfreiheit, was auch kein Problem ist, wenn AVM verkauft wird – denn nennenswerte Konkurrenz gibt es nicht.

    • R.S. sagt:

      Ähmmm, ein Glasfasermodem ist kein Router.
      Und an das Glasfasermodem kannst du den Router deiner Wahl anschließen.
      Durch das providerseitige Stellen des Glasfasermodems wird deine Routerfreiheit also gar nicht berührt.

      • Herr IngoW sagt:

        Eine Friz!Box 5530/5590 erübrigt das Glasfasermodem.
        Die Zugangsdaten dafür muss!!! der Anbieter bereitstellen, das ist die gemeinte Router-Freiheit und es braucht weniger Strom.
        Wenn der Anbieter meint ein Modem zwingend vorschreiben zu müssen soll er gefälligst auch den Strom dafür liefern, der Nutzer ist schließlich nicht die Wohlfahrt.

  8. Michael H. sagt:

    Der Hinweis auf CGN und Nichterreichbarkeit externer Portfreigaben (z.B. VPN zur Fritz!Box) ist wichtig – danke!
    Trotz 34+ Jahren beruflicher IT-Erfahrung ist mir beim Abschluss des Vertrages (O2 my Home) nicht aufgefallen, dass laut Leistungsbeschreibung nur „eine dynamische IP-Adresse zugewiesen" wird. An CGN und private IP-Adressen habe ich gar nicht gedacht.
    Nach kurzer Recherche sieht es aber so aus, als ob eine öffentliche IPv4-Adresse für O2 my Home zubuchbar wäre.
    Spannend wird noch die Frage, wann oder ob überhaupt „Unsere Grüne Glasfaser" bei uns im Ort die FTTH-Anschlüsse legen wird…

    • Luzifer sagt:

      Unsere Grüne Glasfase: hier im Nachbarort: vor 3 Jahren die Straßen aufgerissen, Glasfaser liegt bis heute nicht da schon der 4. Suppler (Tschechisch / Polnisch… Deutsche Wertarbeit ist zu teuer) pleite gegangen ist. Zerstörte Gehwege und Straßen notddürftig geflickt!
      (siehe auch mein Beitrag zu Glasfaser Teil 1)

      Also viel Glück… den Knebelvertrag hätte ich mir nie im Leben angetan! Ich hoffe du hast das Kleingedruckte auch gelesen ;-P

    • Herr IngoW sagt:

      Hier ist auch ein kleiner Anbieter für die Glasfaser: "RENE" : https://rene-mv.de/
      Die Fritz!Box 5530/5590 kann man dazu mieten.
      Kein extra Modem oder sonst was, nur ne kleine Box (5x5x1) an der Wand für die GF-Verbindung zur Box (Zwei kleine GF-Buchsen, eine davon wird wohl genutzt).

  9. Blupp sagt:

    Dann hoffe ich mal, dass es wirklich nur ein Einzelfall war. Wenn nicht, riecht das nach sehr viel Mieterpost. Damit dann meinen besten Dank für die Frühwarnung. Bis Ende 2025 sollen alle Mieter mit Glasfaser versorgt werden, die Verträge mit der Telekom hab ich vor 3 Monaten unterzeichnet, das könnte spannend werden.

  10. Pau1 sagt:

    Der/die Kunden hat/haben wohl einen unkonfigurierten, jungfräulichen 7530 aus dem Lager bekommen.
    So eine Glasfaser-Box kann natürlich auch auch im Bridge Mode arbeiten, z.B. wenn der Kunde es wünscht, weil er eine feste IP haben möchte (ach) und kein doppeltes Natting machen will.
    Wenn mehre Boxen so konfiguriert sind, sehen natürlich alle alles…(VLANs sollten eigentlich verhindern, dass die Kunden sich sehen können, aber ohne Konfigurierung?)
    Vielleicht wollte man sich auf die 7530 verlassen, was das Verteilen der IP im Kunden LAN per DHCP betrifft oder man hatte die feste IP nicht voll durchgezogen?
    Für diese initiale Konfiguration gibt's ein spezielles Protokoll, in der Ecke von TR069.
    Der Provider kann damit die 7530 remote komplett neukonfigurieren. Z.B. die Rufnummern für SIP VoIP.

    Das da etwas mit DHCP schief gelaufen ist eigentlich sofort auch in der Tabelle zu sehen.
    192.168.178.1 erscheint mehrfach (3mal) mit unterschiedlichen MAC Adressen als WAN port. Das kann eigentlich nicht sein.192.168.178.1 ist die Default Adresse der Fritzboxen.
    Da wurschteln mindestens 3 FritzBoxem auf einem Segment rum. So eine Doppelung stört aber erstaunlich wenig, sollte aber ein schlauer Router merken..(Windows Server prüfen das).
    Die Pakete werden ja anhand der MAC Adressen zugestellt.
    Wer zuerst die Frage "wer hat 192.168.178.1" beantwortet, hat erstmal die Verbindung.
    Darum ist der Kollege zufällig auf der fremden Fritzbox gelandet.

  11. Pau1 sagt:

    Ist das kein meldepflichtiger Verstoß gegen die DSGV?

    Immerhin wurden private Komponenten den Nachbarn, also unbefugten Dritten, "präsentiert".
    Möglicherweise hatte einer der Nachbar-PC einen bösen Wurm und hat die fremden Rechner infiziert? Es war für ihn ja LAN und die Instabilität wird wohl nur die .1 betroffen haben.(So schlau wird ja wohl inzwischen auch der AVM-DHCP-Server sein, und vor der ersten Vergabe einer IP das Netz auf bereits bestehende Nutzung der IP prüfen?)
    Oder man hatte Shares ohne Passwort, ist ja LAN…
    Das Problem kann ja mehrere Tage bestanden haben.

  12. Pau1 sagt:

    "Er hat die Tage heute nochmal seinen Laptop direkt an den ONT gehängt und versucht, die anderen Geräte erneut zu finden. Das hat erfreulicher Weise nicht mehr geklappt. Das Problem ist also behoben."

    Er hätte auf seinem Notebook Wireshark oder so installieren sollen und damit, promiskutiv, schauen müssen, ob noch Pakete ankommen. Das darf natürlich nicht sein.
    Er müsste auch den WAN Port des ONT in sein Notebook stecken.
    vermutlich war auch der ONT noch nicht konfiguriert, und hatte auch alle seine Ethernet Buchsen gebrückt

    Wenn die ONT und die 7350 bei den Nachbarn richtig konfiguriert worden sind, scheitert der Versuch ja schon an der fehlenden oder falschen IP Adresse auf seinem NB.

  13. Pau1 sagt:

    "Erstens hätte obiger Fall nicht passieren dürfen, da der Anbieter des Glasfaseranschlusses imho sicherstellen muss, dass die einzelnen Hausanschlüsse – und bei Miethäusern mit mehreren Parteien auch deren Anschlüsse – logisch (per VLAN) voneinander getrennt werden müssen. Es darf nicht sein, dass ich per optisches Netzwerk auf die LAN-Konfiguration eines fremden Kunden gelange."

    @Günter
    Hast Du denn mal beim zuständigen DSB nachgehakt?
    Es sieht ja so aus, als habe NordischNet durch einen Konfigurationsfehler das private LAN von ca 3 Kunden anderen zugänglich gemacht und die Integrität der Installationen gefährdet.
    Das ist doch ein meldepflichtiger Verstoß gegen Art 33 der DSGVO, oder nicht?

    Der Kollege konnte mit dem Hacker-Tool "nmap" das Netz seines Nachbarn erfolgreich ausforschen, z.B. sehen wo es schreibbare Shares gab(die wohl auch lesbar waren).
    Ja, er konnte (vermeintlich) sogar dessen Drucker benutzen.
    Dass die Verbindung instabil war, weil die IP 192.168.178.1 mindestens 3 mal vergeben war (weil fixer Default der AVM Boxen) verhindert ja einen Zugriff nicht. Die anderen DHCP-Adressen waren nicht doppelt und um die Rechner bei den Nachbarn erreichen zu können, brauchte er den Router ja sowieso nicht, die lagen ja in seinem LAN.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.