Beantwoord

Welke poorten worden geblokkeerd of zijn gereserveerd?

  • 2 February 2018
  • 37 reacties
  • 8430 Bekeken
Toon eerste reactie

37 reacties

A

Mijn data verkeer word DMZ doorgestuurd naar een eigen pfSense route/firewall.
De telefonie bij mijn Voip provider staat ingesteld op poort 5060, lijkt dus dat deze niet geblokkeerd is in de modem.

 

Waarschijnlijk komt dit omdat de router poort 5060 reserveert, zodra DMZ wordt gebruikt wordt deze reservering overruled door DMZ en wordt deze doorgezet naar je pfSense.

 

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Volgens mij kan dat niet, tenminste… mail exchanges vinden nagenoeg altijd plaats via poort 25, door deze te re-mappen gaat het niet ineens wel werken want er zal altijd geprobeerd worden om via poort 25 e-mail van en naar je eigen mailserver te sturen.

Via een webhoster kan je, je e-mails sowieso versturen, ook als je een eigen mailserver draait. Dit is een kwestie van relayen via de mailserver van je webhoster.

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

 

Het zijn gewoon draken bij T-mobile want bij een zakelijk T-mobile internet, wat gewoon een stuk duurder is maar exact dezelfde  techniek is  mogen ze wettelijk niet eens poorten sluiten.

 

Ligt aan de overeenkomst, wettelijk is er voor B2B voor zover ik weet geen enkel iets vastgelegd dit in tegenstelling tot consumenten alwaar netneutraliteit van toepassing is. Echter is in dit geval opgenomen dat een provider wel maatregelen mag nemen om haar infrastructuur of klanten te beschermen. Of het blokkeren van poort 25 daaronder valt, kunnen we lange discussies over voeren maar het is wel het meest eenvoudige om te voorkomen dat bulk mail wordt verzonden door een slecht geconfigureerde thuisserver.

 

tmoesel
Reputatie 6
Het is dus vooral hardware related en omdat de TM routers op hun eigen FW draaien, zou dit dus voor veiligheidsredenen inderdaad wel eens geblokkeerd kunnen zijn voor poort 7.
Wat @Ano11 aangeeft ligt het niet perse in het TMT thuis domein, maar in het TMO mobile domain. Een uitgaand WoL packet met dst port 7 komt via KPN mobile wel aan, maar niet via TMO mobile.
Misschien heeft de gebruikte APN voor TMO mobile nog invloed, maar ik denk dat men eeuwig kan wachten op een verklaring van T-Mobile/Huawei van hoe en waarom.
yalerta
Reputatie 7
Badge +5

 

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Volgens mij kan dat niet, tenminste… mail exchanges vinden nagenoeg altijd plaats via poort 25, door deze te re-mappen gaat het niet ineens wel werken want er zal altijd geprobeerd worden om via poort 25 e-mail van en naar je eigen mailserver te sturen.

Via een webhoster kan je, je e-mails sowieso versturen, ook als je een eigen mailserver draait. Dit is een kwestie van relayen via de mailserver van je webhoster.

Oke, het was een relay mailservice maar deze werd via een andere poort geleid om de eigen mailserver niet direct aan het grote boze internet te hangen.

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

Mail wil je, als thuishobbyist naar mijn mening sowieso niet meer zelf met een eigen mailserver direct aan het internet gaan onderhouden. Een juiste configuratie van opzetten en onderhouden met spamfilter, spf en DKIM  en alle andere bijkomende zaken is behoorlijk tijdrovend. Uitbesteden is in mijn ogen de betere oplossing. (Kost éénmalig tijd om de DNS te configureren)

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
A

Oke, het was een relay mailservice maar deze werd via een andere poort geleid om de eigen mailserver niet direct aan het grote boze internet te hangen.

 

Sowieso zou dit een wel hele mooie oplossing zijn, maar zoals inmiddels dacht ik ook bij diverse andere providers te zien is, wordt mail relay tegenwoordig gewoon over dezelfde mailservers gejaagd als waarop de providermail verloopt.

 

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

Mail wil je, als thuishobbyist naar mijn mening sowieso niet meer zelf met een eigen mailserver direct aan het internet gaan onderhouden. Een juiste configuratie van opzetten en onderhouden met spamfilter, spf en DKIM  en alle andere bijkomende zaken is behoorlijk tijdrovend. Uitbesteden is in mijn ogen de betere oplossing. (Kost éénmalig tijd om de DNS te configureren)

Valt op zich wel mee met dat tijdrovend. Het is in eerste instantie een kwestie van goed op zetten en daarin zit de meeste tijd. Daarna is het eigenlijk alleen nog een kwestie van onderhouden. Dat onderhoud valt op zich mee.

SPF, DKIM, DMARC zijn vrij easy. TLSA kan soms nog wel eens waardeloos zijn, vooral als je gebruik maakt van Let's Encrypt of andere short term certificaten. Bij iedere verlenging moet je weer nieuwe TLSA records hebben.

Maar dan nog, dat blokkeren van poort 25 is naar mijn idee vooral bedoeld omdat bijvoorbeeld de “gemiddelde” consument dacht, laat ik eens een mailserver o.i.d. bouwen met alle gevolgen van dien. Als ISP wil je natuurlijk zo min mogelijk vervuilde IP's in je subnet aangezien het best veel tijd vergt om die weer van alle blacklists verwijderd te krijgen. En tegenwoordig zijn er zat blacklists die hele subnets opnemen.

Brian
Rank
Reputatie 7
Hi @gvmelle, thanks voor de tip! Ik kan mij voorstellen dat dit te maken heeft met de instellingen voor. Op ons nieuwe Zyxel zijn alle poorten vrij maar op de Huawei en Draytek zijn poorten 3 en 4 "gereserveerd" voor IPTV. Zou het kunnen dan zijn dat ze daardoor onbruikbaar worden wanneer je het Thuis profiel gebruikt op de Fritz box?
Ik ben per 4-11-2021 niet meer werkzaam als Moderator op de Community. Ik zal eventuele privéberichten daarom niet meer kunnen beantwoorden maar mijn collega's helpen je graag! :)
G
Reputatie 1
De instellingen zijn gemaakt voor de Fritz.box 7490 en waarschijnlijk ook de type routers erna. De poorten 3 en 4 worden inderdaad dan "gereserveerd" voor IPTV.
M

Ik gebruik een eigen modem/router direct op de mediaconverter van T-mobile.

Het lukt mij niet om mijn zakelijke VOIP telefoon te laten werken. De provider van mijn VOIP telefoon geeft aan dat T-mobile in hun centrale deze mogelijkheid blokkeren. In mijn eigen modem/router staan alle instellingen (SIP alg uit) correct. Overigens werkte deze configuratie prima bij mijn oude provider Ziggo.

Hebben jullie hier ervaring mee en/of mogelijk een oplossing?

 

E
Reputatie 2

ik kan het nog steeds niet volgen!
poort 5060 voip waarom moet die voorgeconfigureerd zijn voor iets wat niet in gebruik is!
2e als er 3 vlans gebruikt word 
1 voir t mobile voip
2 tv
3 internet 
koppel dan van vlan voip die naar het modem en laat 
vlan 3 internet lekker voip forwarden naar waar de klant het wil hebben. 
in het kader van we blokkeren niets maar je kunt er lekker niet gebruik van maken??

G
Reputatie 1
Sinds de werkzaamheden in de nacht van 17 op 18 juli zijn zowel poort 5060 als 5061 geblokkeerd. Is dit een vergissing of wordt dit doelbewust gedaan om SIP telefonie te blokkeren?
G
Reputatie 1
Nog even een voetnoot: wanneer je alleen Internet afneemt bij T-Mobile thuis en alle vier LAN poorten wilt gebruiken in je thuisnetwerk, dan moet je vooral NIET het AVM T-mobile Thuis profile gebruiken, maar via andere provider alles instellen anders worden LAN-poort 3 en 4 onbruikbaar gemaakt voor gewoon gebruik.
Boris
Rank
Reputatie 7

Hi @Mark_online  ,

Dat roept bij mij direct vragen op. Welke VOIP dienst gebruik je nu en op welke poort heb je deze ingesteld? Ook ben ik benieuwd via welk modem je bent verbonden. Ik hoor het graag van je! 

Hidden.nld
Rank
Reputatie 7
Badge +4

@escho 

1 vlan voor het beheer van het modem vlan100

2 vlan iptv vlan640 bridged allleen op zyxel routere.

3 internet en telefonie vlan300

op de modems van T-Mobile is poort 5060 gereserveerd voor telefonie van T Mobile ook als je hier geen gebruik van maakt.

normaal gesproken hebben voipaanbieders gewoon een alternatieve poort

Heeft geen glazenbol.

Reageer


ForumvoorwaardenCookie instellingen