{"id":289586,"date":"2023-12-26T00:01:00","date_gmt":"2023-12-25T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289586"},"modified":"2023-12-26T23:50:31","modified_gmt":"2023-12-26T22:50:31","slug":"glasfaseranschluss-irgendwie-keine-weihnachtsberraschung-teil-ii","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/26\/glasfaseranschluss-irgendwie-keine-weihnachtsberraschung-teil-ii\/","title":{"rendered":"Glasfaseranschluss – irgendwie keine (Weihnachts-)überraschung – Teil II"},"content":{"rendered":"

Im Blog-Beitrag Glasfaseranschluss – irgendwie keine Weihnachts\u00fcberraschung<\/a> – Teil I hatte ich ja einige Impressionen in Sachen Breitband-Internetausbau mit Glasfaser thematisiert. In Teil II m\u00f6chte ich noch die Geschichte eines Lesers zum Besten geben, die dieser mir bereits zum 1. November 2023 per E-Mail zukommen lie\u00df (danke daf\u00fcr).<\/p>\n

<\/p>\n

Hurra, ich bekomme Glasfaser<\/h2>\n

\"\"Blog-Leser Stefan K. schrieb mir in seiner Mail, dass er \"mit der Familie vor ca. vier Jahren einen Glasfaseranschluss via NordischNet beauftragt\" habe. Gut Ding will Weile haben, aber inzwischen liegt bei ihm die Glasfaser bis ins Haus. Und ein ONT wurde bei ihm dem Dachboden verbaut.<\/p>\n

Das K\u00fcrzel ONT steht f\u00fcr Optical Network Termination (ONT) – siehe auch diesen Artikel<\/a>, hier<\/a> und hier<\/a>. Das ist eine Box (Glasfasermodem), in das die Glasfaser m\u00fcndet, und die den Abschlusspunkt des Glasfasernetzes im Haus darstellt. Die ONT wandelt die Lichtsignale der Glasfaser in elektrische Signale um, die dann vom Router verarbeitet werden k\u00f6nnen.<\/p><\/blockquote>\n

Ende Oktober 2023 bekam er dann ein Schreiben per Post, in dem es hie\u00df, er m\u00f6ge den ONT mit Strom versorgen, damit die Leitung gepr\u00fcft werden kann.<\/p>\n

\"Schreiben<\/p>\n

Stefan schrieb, dass an diesem Tag die Lampen am ONT sogar gr\u00fcn leuchteten und nicht mehr rot waren. Es hatte sich also was getan, d.h. die Glasfaserleitung war auch am Verteiler des Anbieters aufgelegt und aktiv. Stefan konnte also Strom an die ONT anlegen, so dass das Glasfasermodem arbeitete, und dann eine FRITZ!Box anschlie\u00dfen, um die Internetverbindung zu testen und ggf. in seinem Haushalt weiterzuleiten.<\/p>\n

Wer tummelt sich denn da?<\/h2>\n

Der Blog-Leser staunte aber nicht schlecht, als er sich in der FRITZ!Box seine Netzwerkumgebung ansah. Stefan beschreibt es so: \"Das Ganze f\u00fchrte aber zu interessanten \"Nebenwirkungen\", denn von der Fritz!Box hinter dem ONT kamen Meldungen zu neuen Heimnetzger\u00e4ten.\" Er schrieb mir, dass die folgenden Netzwerkger\u00e4te sich erstmalig mit der FRITZ!Box verbunden h\u00e4tten:<\/p>\n

\"Neue<\/p>\n

Das machte den Leser dann doch etwas stutzig, denn von seiner Seite hing nur eine FRITZ!Box als Verteiler am ONT-Glasfasermodem. Wie konnte es dann sein, dass sich da pl\u00f6tzlich Netzwerkger\u00e4te mit seiner FRITZ!Box verbanden. Der Leser war irritiert und hat dann sein Notebook an den ONT gehangen (der hat ja einen LAN-Ausgang). Dort bekam das Notebook per DHCP eine IP aus dem typischen Fritz!Box Netzbereich (192.168.178.0\/24) zugewiesen.<\/p>\n

\"FRITZ!Box<\/p>\n

Am Notebook konnte er im Browser eine Verbindung zur IP der FRITZ!Box herstellen (siehe obige Bild). Es war aber nicht seine FRITZ!Box, denn er hatte keine FRITZ!Box 7530 – zudem hing ja sein Notebook direkt am ONT. In obigem Bild fragt die FRITZ!Box zwar ein Kennwort f\u00fcr den Zugang ab. Korrektur:<\/strong> Ob das Kennwort gesetzt war, wurde nicht gepr\u00fcft. Aber der Leser schrieb:, dass die anderen Gerate, die im Netzwerk eingebucht waren, offenbar aus seiner Nachbarschaft stammten. Er schickte mir folgenden Screenshot eines Druckers aus diesem Netzwerk, auf den er \u00fcber dessen IP-Adresse zugreifen konnte.<\/p>\n

\"Drucker<\/p>\n

Stefan schrieb mir dazu: \"Offenbar haben die es irgendwie hinbekommen, aus unserer Nachbarschaft ein LAN zu bauen, welches nun bei uns am ONT anliegt. Ein Scan per NMAP lieferte diverse Ger\u00e4te wie Devolo Powerline-Adapter oder intelligente Thermostate, aber auch Drucker oder NAS. Das Netz ist teils 'instabil', da alle FRITZ!Boxen lustig IP-Adressen vergeben und es so auch zu doppelten IPs mit entsprechendem Konflikten kommt. Trotzdem war es mir m\u00f6glich auf den erreichbaren Druckern unsere Telefonnummer mit bitte um R\u00fcckruf zu drucken. Ich bin gespannt ob sich jemand meldet.\"<\/p>\n

Er hat dann NordischNet kontaktiert, worauf diese ein Ticket auf seinen Namen er\u00f6ffnet haben und als erste Antwort die R\u00fcckmeldung gaben, dass dies nicht das Standardverhalten sei. Wie schrieb mit Stefan: \"Auf jeden Fall zeigt dies mal wieder, dass auch Ger\u00e4te im internen LAN nicht unbedingt sicher sind und auch dort ordentlich mit den Zugangsrechten umgegangen werden muss.\"<\/p>\n

Meine Erkl\u00e4rung des Hintergrunds<\/h2>\n

An dieser Stelle habe ich mal versucht, den obigen Sachverhalt f\u00fcr mich technisch zu erkl\u00e4ren. Der Betreiber der FRITZ!Box 7530 hat wohl einen der LAN-Ausg\u00e4nge per Netzwerkkabel mit dem ONT-Glasfasermodem verbunden. AVM gibt in der Beschreibung hier<\/a> an, das Netzwerkkabel mit der LAN1-Buchse und dem ONT-Glasfasermodem zu verbinden. Damit geh\u00f6rt das ONT-Glasfasermodem zum lokalen Netzwerk und die FRITZ!Box verteilt das vom Modem bereitgestellte Internet auf die anderen LAN-Ausg\u00e4nge sowie auf das WLAN.<\/p>\n

So erkl\u00e4re ich mir, dass dort die Ger\u00e4te vom Modem \u00fcberhaupt erkannt und in die \"Glasfaserverteilerstruktur\" weitergereicht wurden. Dieses Szenario muss der Glasfaseranbieter aber von der Konzeption ber\u00fccksichtigen und im ONT-Glasfasermodem oder in seiner Infrastruktur sicherstellen, dass die Ger\u00e4te nicht in sein \"optischen Netzwerk hinein senden\".<\/p>\n

An dieser Stelle ganz naiv gefragt: Wie h\u00e4tte der Betreiber der FRITZ!Box 7530 das vermeiden k\u00f6nnen? Meine Antwort: Gar nicht – er h\u00e4tte ein Gast-Netzwerk an WLAN1 konfigurieren k\u00f6nnen, um die Ger\u00e4te logisch zu trennen – ich bin aber nicht sicher, ob dann das eigentliche Netzwerk hinter der FRITZ!Box noch Internet gehabt h\u00e4tte. Gehe ich die AVM-Beschreibung durch, ist da von einer VLAN-ID des Anbieters die Rede. Ich interpretiere dies so, dass der Glasfaseranbieter ein virtuelles LAN (VLAN) zur Netzwerksegmentierung und -Isolierung aufbauen muss, damit obiges Szenario nicht vorkommt. Falls ich nichts falsch interpretiert habe, lag der Fehler hier beim Glasfaseranbieter. Warum diese Fehlkonfiguration \u00fcberhaupt auftreten konnte, entzieht sich meiner Kenntnis – ich halte es aber f\u00fcr ein Desaster, wenn Software-Konfigurationsfelder beim Glasfaseranbieter zu so was f\u00fchren k\u00f6nnen. Oder habe ich was falsch interpretiert?<\/p>\n

Der t\u00e4gliche Wahnsinn<\/h2>\n

Das ist m\u00f6glicherweise nur ein bedauerlicher Einzelfall. Ich m\u00f6chte das Thema aber eine Runde weiter drehen – am Beginn der Artikelreihe waren wir \"beim Internet an jeder Milchkanne\", was von der Politik und den Anbietern gerne angepriesen wird. Die Episode zeigt aber, was passiert, wenn wir \"dieses Internet auf die Milchkanne\" loslassen.<\/p>\n