Beantwoord

Welke poorten worden geblokkeerd of zijn gereserveerd?

  • 2 februari 2018
  • 24 reacties
  • 2827 Bekeken

Beste lezers,
Sinds 2 dagen ben ik klant bij T-Mobile en loop tegen een probleem aan. Poort 5060 lijkt geblokkeerd (gereserveerd) te zijn. Erg onhandig, ik werk namelijk veel vanuit huis en heb van mijn werkgever een VoIP oplossing en toestel. Dit werkte perfect tot de overstap naar T-Mobile... In het modem is dit verder ook niet aan te passen.
Contact met de technische dienst heeft helaas ook niet echt geholpen, zij verwijzen me door naar dit forum want deze blokkade is hun niet bekend (?!).
Is er een andere oplossing om poort 5060 toch te kunnen gebruiken, bijvoorbeeld door een ander modem te gebruiken?
Alvast bedankt voor jullie suggesties!
icon

Beste antwoord door Brian 5 februari 2018, 15:25

Hi Mjansen96, allereerst van harte welkom bij T-Mobile Thuis! Poort 5060 is niet geblokkeerd maar deze is wel gereserveerd voor onze VoIP dienst. Ook poort 8080 is gereserveerd.

Daarnaast blokkeren wij poorten 135 t/m 139 en 445 op UDP en TCP. Voor je eigen VoIP dienst kan je een alternatieve poort gebruiken, bijvoorbeeld 5061 of 5070. Als je nog vragen hebt stel ze dan gerust!
Bekijk origineel

24 reacties

Reputatie 7
Badge +10
je kan vast wel een eigen modem gebruiken. maar meestal werkt het ook wel met een von tunnel of een alternatieve poort
Bedankt voor de reactie, helaas zoek ik een iets concreter antwoord.

Concreet wil ik dus weten of ik een eigen modem kan gebruiken ipv de standaard T-Mobile modem zodat poort 5060 gebruikt kan worden. Iemand?
Reputatie 6
Badge +17
Poort 5060 wordt gebruikt voor telefonie. De meeste VoIP aanbieders hebben een alternatieve poort die je kunt gebruiken.
Je kunt ook gebruik maken van een eigen modem, maar dan moet je spelen met VLANs.

Als je glasvezel hebt, kun je deze topic opvolgen: https://forum.t-mobile.nl/t-mobile-thuis-algemeen-490/draytek-vervangen-met-je-eigen-router-297061
Reputatie 6
Badge +7
Hi Mjansen96, allereerst van harte welkom bij T-Mobile Thuis! Poort 5060 is niet geblokkeerd maar deze is wel gereserveerd voor onze VoIP dienst. Ook poort 8080 is gereserveerd.

Daarnaast blokkeren wij poorten 135 t/m 139 en 445 op UDP en TCP. Voor je eigen VoIP dienst kan je een alternatieve poort gebruiken, bijvoorbeeld 5061 of 5070. Als je nog vragen hebt stel ze dan gerust!
Beter laat dan nooit Brian, maar;
Volgens de wet- / regelgeving is het helemaal niet toegestaan voor internet providers, om zaken te blokkeren. Door het reserveren van poorten blokkeer je bewust bepaalde diensten. Maar ook het gewoon blokkeren van diensten op bijvoorbeeld poorten 135 t/m 139 en 8080 is gewoonweg niet toegestaan.

Dat er uitzonderingen zijn voor het blokkeren, houdt niet per definitie in dat er continue mag worden geblokkeerd. Uitzonderingen zijn hoogstens; wanneer het druk is op internet, de veiligheid in het geding komt of door een gerechtelijke uitspraak. Van geen van deze gevallen is sprake wanneer we het hebben over poort 5060.

Eenvoudigweg stellen dat de klant dan bijvoorbeeld poort 5061 kan gebruiken is niet conform de internationale afspraken. De afspraak is dat poort 5060 wordt gebruikt voor VoIP/SIP. Het is van den zotte dat T-Mobile verwacht dat klanten een probleem moeten oplossen terwijl T-Mobile bewust afwijkt van zaken die wettelijk zijn bepaald.

Voor mij is het een geluk dat ik deze post ben tegengekomen, bijna had ik na verstrijken van mijn huidige overeenkomst elders, bij T-Mobile aangeklopt. Maar als T-Mobile zaken blokkeert, dan houdt het voor mij al op om überhaupt klant te worden bij T-Mobile.
Reputatie 6
Badge +17
5060 wordt niet geblokkeerd. Hij wordt gebruikt voor je telefonie.

Bovendien wordt bij de website ook het volgende aangegeven:
  • als de veiligheid van het internet in gevaar komt. Bijvoorbeeld als een website schadelijke software verspreidt. Dan mag een aanbieder de toegang tot zo’n site blokkeren.
Poort 135-139 en 445 wordt gewoon geblokkeerd vanwege veiligheid. Risico is erg hoog dat iemand gehackt kan worden.
5060 wordt niet geblokkeerd. Hij wordt gebruikt voor je telefonie.

Wanneer je geen telefonie via T-Mobile afneemt maar een VoIP/SIP provider wenst te gebruiken, behoort die poort dus gewoon open te zijn omdat deze niet gebruikt wordt.


Bovendien wordt bij de website ook het volgende aangegeven:
  • als de veiligheid van het internet in gevaar komt. Bijvoorbeeld als een website schadelijke software verspreidt. Dan mag een aanbieder de toegang tot zo’n site blokkeren.


/ Sarcasme aan /
Oeps, je hebt helemaal gelijk ! T-Mobile moet alle (65535) poorten, blokkeren. Want iedere poort kan een potentieel gevaar opleveren. Let op! KAN wat nog niet per definitie het geval is.

/ Sarcasme uit /
Laten we wel even realistisch blijven. Een potentieel gevaar is geen reden om zaken te blokkeren, de wetgeving spreekt ook niet voor niets over "als de veiligheid van het internet in gevaar komt". Daarbij gaan ze uit van dat het een groot gevaar kan zijn. In principe is dit probleem echter op te vangen door de consument een goede en degelijke router/modem te verschaffen met ingebouwde firewall waarbij alle poorten per definitie gefilterd worden maar middels een portforward kunnen worden ingeschakeld.

Poort 135-139 en 445 wordt gewoon geblokkeerd vanwege veiligheid. Risico is erg hoog dat iemand gehackt kan worden.

Alsof hackers zo achterlijk zijn om nog gebruik te maken van standaard poorten. Poorten in de reeks 135-139 werden vaak gebruikt voor NetBUI/Netbios wat vaak ook wel "Microsoft Network" genoemd werd. Of te wel, "bestanden- & printers delen" voor de mensen die Windows 9x, ME en XP nog kennen. In deze laatste (XP) was deze feature standaard uitgeschakeld tenzij je het zelf inschakelde bij de overige stonden deze over het algemeen ingeschakeld en moesten deze features worden uitgeschakeld via de Netwerk-instellingen. Poort 8080 is niets meer of minder dan een poort die voor Proxy-servers werd gebruikt, als men deze poort blokkeert vanwege een mogelijke proxy, dan zouden ze poorten 3128 en 3129 ook moeten blokkeren. Laat ze dan ook poort 53 blokkeren omdat er mogelijk gelazer "KAN" plaatsvinden met een "fake" DNS-Server, poort 21 voor FTP, poort 80 voor het mogelijk serveren van virussen via een verborgen webserver, poort 22 vanwege het mogelijk installeren van een SSH-Server (ja ook bij Windows kun je een SSH-Server op de achtergrond inschakelen/instellen).

En daar ga je al; door te stellen dat poorten 135-139 geblokkeerd zijn omdat het onveilig "KAN" zijn, kun je net zo goed als provider stellen dat je poorten 0-65535 kunt blokkeren. Want in feite is "iedere" poort een potentieel gevaar. Echter blijft het een feit... potentieel gevaar is nog geen reden om te blokkeren. Een goede modem/router volstaat in 99,9% van alle gevallen. Het hele stukje rondom veiligheid (zoals T-Mobile het durft te noemen) is hooguit een vorm van schijnveiligheid.
Reputatie 6
Badge +5
Hoi @GerritS06

Goed punt. Het is alleen zo simpel nog niet om dan maar alles vrij te geven, zoals de wetgeving impliceert. Dit artikel op Tweakers geeft een mooi beeld en achtergrond van de situatie. Momenteel zijn we nog in gesprek hoe dit in de praktijk eruit moet zien.

Ik hoop je graag als klant te mogen verwelkomen! Laat deze wet- en regelgeving je niet tegenhouden. Het zal ook lastig worden om een provider te vinden die volledig voldoet hieraan. Ik heb even een ronde gedaan en kom deze verhalen op meerdere fora tegen. Dus baseer je keuze voor T-Mobile Thuis op onze lage prijzen! Of ons bijzonder scherpe TV beeld. Zie hier voor alle voordelen van T-Mobile als jouw vaste provider! 🙂
Sander, je haalt een totaal irrelevant artikel op Tweakers.net aan in dit geval. Waar het vooral om gaat is dat T-Mobile de grens (wet) wederom overschrijd door zaken te blokkeren die T-Mobile helemaal niet mag blokkeren.

De wet is gewoon overduidelijk (zo klaar als een klontje);

Het is niet toegestaan poorten te blokkeren, beperken of onderscheid te maken en dit is wel degelijk wat T-Mobile doet. "Uitzonderlijke geval" wordt door T-Mobile misbruikt en lijkt de normaalste zaak van de wereld. Ik heb nog altijd geen enkel gegronde reden gevonden om de betreffende poorten te blokkeren/reserveren.

Poorten als 135-139, 8080 blokkeren of 5060 reserveren, zijn geen uitzonderlijke gevallen. In tegendeel zelfs, het is "potentieel gevaar" uitsluiten. Let wel; potentieel gevaar... dat zelfde gevaar wat je loopt op de resterende 65529 poorten. Daarnaast moet je als consument/klant of potentiële klant dit helemaal niet willen. Als T-Mobile nu al stelt dat er potentieel gevaar dreigt op deze poorten, wat staat de klant in de toekomst dan nog te wachten? Want als T-Mobile al zo makkelijk is met het blokkeren van deze poorten, zie ik het nog sober in voor de consument.

Het zal ook lastig worden om een provider te vinden die volledig voldoet hieraan
Nee hoor, bij KPN wordt geen enkele poort geblokkeerd. Ik heb per ongeluk een keer mijn DNS open gehad waardoor deze als recursive DNS fungeerde. Ik kreeg netjes een e-mail en werd tijdelijk in quarantaine gezet zodat het probleem kon worden opgelost en ik weer uit quarantaine gehaald werd.

Poort 5060, 8080, 3128, 3129, 20, 21, 22, 53 op zowel IPv4 als IPv6 zijn toegankelijk middels een poort-forwarding of d.m.v. DMZ zolang maar wordt voldaan aan bepaalde voorwaarden. Het kan dus wel gewoon! Het ligt er echter aan hoe je het uitvoert, T-Mobile is echter een provider die al geregeld heeft laten zien de grens te overschrijden en de goedkoopst mogelijke manier te gebruiken. Het is alleen de vraag of de consument daar überhaupt bij gebaat is.

Ik heb even een ronde gedaan en kom deze verhalen op meerdere fora tegen. Dus baseer je keuze voor T-Mobile Thuis op onze lage prijzen! Of ons bijzonder scherpe TV beeld.
Wij van WC-Eend, adviseren WC-Eend. Maar als dat dan ook per definitie inhoudt dat T-Mobile voor mij bepaald welke poorten potentieel gevaar opleveren (alle 65535 dus), dan is het voor mij al per definitie gedaan met de pret.

Die lage prijzen zijn het eerste jaar en veelal i.c.m. mobiel, de prijzen erna zijn altijd anders. Televisie wordt nauwelijks meer gebruikt dus van die kwaliteit valt al niet te profiteren 🙂 Al met al; mijn mening/conclusie blijft dat T-Mobile zeker niet wordt overwogen en eigenlijk vind ik persoonlijk dat (potentiële) klanten ook zeker goed moeten nadenken of ze het accepteren dat een provider op voorhand poorten blokkeert zonder dat daarvoor een gegronde reden bestaat. (je kent 'm vast wel "geef ze één vinger ........................").
Reputatie 6
Badge +7
Hi Gerrit, wij kiezen er voor om onze klanten tegen "potentieel gevaar" zoals jij het noemt op voorhand te beschermen in deze uiterste gevallen met deze specifieke poorten. Wat poort 5060 betreft, deze is niet geblokkeerd maar gereserveerd voor de dienst die wij als provider aanbieden. We zorgen uiteraard altijd dat we hierin voldoen aan de wet. Over het wel of niet vrijgeven van het modem is nog geen definitieve beslissing gevallen maar we zijn al wel aan het bekijken wat we hier mee doen. Wat het grenzen verleggen betreft, dat klopt, maar dit doen we alleen wanneer we er van overtuigd zijn dat dit in het voordeel is van onze klanten, denk dan bijvoorbeeld aan Datavrije Muziek. Hier hebben sommige mensen een mening over (ik als persoon zelf ook) maar ik kan je verzekeren dat we in dit soort gevallen absoluut niet over één nacht ijs gaan. Mocht je je hier niet in kunnen vinden dan kan het de conclusie zijn dat wij niet de provider voor jou zijn maar vanuit onze kant staat de deur altijd voor je open! 😉
Het is onzin om te zeggen dat je een poort gereserveerd hebt. Een poort staat nooit op zichzelf maar is altijd onderdeel van het doel-IP-adres. M.a.w. indien je dus verbindingen naar andere dan jullie eigen IP-adressen naar die poort tegenhouden, blokkeer je hem dus wel degelijk.

En dat mag niet. Je mag in het kader van de netneutraliteit geen internetverkeer tegenhouden mits er geen dringende redenen zijn. En het hebben van een eigen dienst op een eigen IP-adres met gebruik van dezelfde poort is geen dringende reden zoals verwoord in de tekst van de netneutraliteit.

https://www.acm.nl/nl/onderwerpen-telecommunicatie-internet/netneutraliteit

"Internetaanbieders mogen de toegang tot internetdiensten niet blokkeren of onnodig beperken"

"Wanneer mag mijn internetaanbieder ingrijpen in het internetverkeer?

Alleen in uitzonderlijke gevallen mag uw aanbieder maatregelen nemen die verder gaan dan hierboven omschreven. Dat mag bijvoorbeeld:
  • als het heel erg druk is op het internet. Dan mag een aanbieder internetdiensten blokkeren om het internet bereikbaar te houden. Dit is heel uitzonderlijk en mag alleen als het echt niet anders kan.
  • als de veiligheid van het internet in gevaar komt. Bijvoorbeeld als een website schadelijke software verspreidt. Dan mag een aanbieder de toegang tot zo’n site blokkeren.
  • als een wet of een rechter een blokkade heeft opgelegd. Dan moet een aanbieder de toegang blokkeren.
"

Geen van de uitzonderlijke gevallen is hier van toepassing.


Door het blokkeren van poort 5060 naar het internet ben ik in mijn functionaliteit nu beperkt.

Ik kan op mijn router wel een SIP naar een aanbieder opzetten over een alternatieve poort die toevallig door die andere aanbieder ondersteund wordt, maar dan werken er een aantal applicaties binnen mijn thuisnetwerk niet meer, want die hebben geen mogelijkheid tot het aanpassen van de gebruikte poort.

Ik verwacht / eis dat T-Mobile het gebruikt van poort 5060 naar het internet toe vrij bruikbaar maakt.
Reputatie 6
Badge +2
@frisjes @Brian @Sander

Het is onzin om te zeggen dat je een poort gereserveerd hebt. Een poort staat nooit op zichzelf maar is altijd onderdeel van het doel-IP-adres. M.a.w. indien je dus verbindingen naar andere dan jullie eigen IP-adressen naar die poort tegenhouden, blokkeer je hem dus wel degelijk.

Het probleem zit hem in de setting van SIP ALG.
Voorheen had ik een ADSL modem met daarachter een N300A IP, deze wilde gewoonweg niet registreren als dit op enabled stond.
Tijden opzoek geweest op internet waarom de registratie niet wilde lukken, maar kwam toen op dit artikel uit en toen viel het kwartje en daarna werkte mijn N300A IP probleemloos samen met de VoIP van het modem zelf.
Mijn eigen huisnummer zat toen in het modem en mijn uitbellen werd geregeld door de N300A IP kast.

Toen ik overging op glasvezel ben ik een stap verder gegaan, want toen ben ik alternatieve registratie poorten gaan gebruiken. Dat werkt nu al probleemloos vanaf 09/2016 met de Draytek.

Dus even goed doorlezen en dan even je conclusie bijstellen, want het ligt dus niet aan een blokkade van die poort maar aan het overbekende vervormen (re-write) van je header door SIP ALG.

NOTE: Op de Draytek kan ik SIP ALG niet uitzetten, staat dus default op enabled. Weet dus niet hoe dat zit op een Huawei, maar ik denk hetzelfde.
Ik kom er net achter dat ik met mijn SIM kaart van T-Mobile ook geen "Magic Packets" via UDP port 7 kan versturen, die komen gewoon niet aan (het gaat dus om een computer aan te zetten via Wake On Lan, oftewel WOL). Met mijn SIM kaartje van KPN gaat dat zonder problemen...

Waarom blokkeert T-Mobile UDP verkeer op poort 7?

Tsja, op poort 9 werkt het wel - dan maar poort 9 gebruiken...
Maar het is wel vreemd.
Reputatie 6
Badge +2
Hallo @Ano11





7 is volgens IANA status opgave ook niet bedoeld geweest voor de WOL, maar UDP poort 9 staat min of meer daarvoor genoemd om te gebruiken.

REF: list of TCP and UDP port numbers en Wake-on-LAN (WoL)
Moet er wel bij zeggen dat men in het WOL Wiki verhaal zelf weer wel poort 0 of 7 of 9 benoemd.

Ik ben altijd voorstander om poorten volgens de standaarden te gebruiken en dit is waar nu ook tegen deze beperking aanloopt.

Maar goed poort 9 werkt wel.

The magic packet that turns on the computer is normally sent as a UDP datagram over port 7 or 9.
Ja, op poort 9 werkt het, maar ik ben nog steeds benieuwd waarom gebruik van poort 7 niet wordt toegelaten door T-Mobile.
Reputatie 6
Badge +2
@Ano11

Heb hier een topic gevonden op tweakers, waar jonkeats wel een redelijke uitleg geeft in het hoe en wat.

Een qoute die hij geeft, en die is ISP related
Welkt poort je voor zo iets gebruikt maakt niet uit, als je uiteindelijk maar op broadcast je L2 frames krijgt. Dat heb je dan dus met alle frames, en om dat dat net zo onveilig is als bijv. SMB of SMTP via je internetverbinding thuis draaien is wordt het vaak ook gewoon geblokkeerd door je ISP.

Het is dus vooral hardware related en omdat de TM routers op hun eigen FW draaien, zou dit dus voor veiligheidsredenen inderdaad wel eens geblokkeerd kunnen zijn voor poort 7.

Let op, elke kier (poort) die je openzet naar je LAN is een veiligheidsrisico. En als je dat wel doet, moet de achterliggende hardware kunnen omgaan met foutief verkeer.
Reputatie 6
Badge +11
Het is dus vooral hardware related en omdat de TM routers op hun eigen FW draaien, zou dit dus voor veiligheidsredenen inderdaad wel eens geblokkeerd kunnen zijn voor poort 7.
Wat @Ano11 aangeeft ligt het niet perse in het TMT thuis domein, maar in het TMO mobile domain. Een uitgaand WoL packet met dst port 7 komt via KPN mobile wel aan, maar niet via TMO mobile.
Misschien heeft de gebruikte APN voor TMO mobile nog invloed, maar ik denk dat men eeuwig kan wachten op een verklaring van T-Mobile/Huawei van hoe en waarom.
Sinds de werkzaamheden in de nacht van 17 op 18 juli zijn zowel poort 5060 als 5061 geblokkeerd. Is dit een vergissing of wordt dit doelbewust gedaan om SIP telefonie te blokkeren?
Reputatie 6
Badge +2
@gvmelle
Even een vraag daarbij is, om welk modem gaat het? (lees een topic van 2 jaar geleden een Fritz?)
Hier op het nieuwe Zyxel modem werkt 5060 zonder problemen naar mijn VoIP systeem.

Heb je al geprobeerd om te kijken of je provider een andere registratiepoort beschikbaar heeft?
Bijv. Cheap Connect heeft ook 5070, waarbij je voorkomt dat je eigen provider in de weg zit met hun 5060.

Nu blijkt het aanpassen van de poort op een Fritz!, i.v.m. de nieuwste FW, met FBEditor tool eenvoudig aan te passen.
Zie ook dit topic.
Het gaat om een Fritz!Box 7490. Ik heb net met FBEditor-0.6.9.7h (niet met FBEditor-0.7 dus!) de poorten 5060 op 5070 gezet. Alles werkt weer!
Reputatie 6
Badge +2
@gvmelle
Bij veel VoIP providers zijn er alternatieve poorten beschikbaar gemaakt, omdat internet providers veelal vastgebakken zitten op de default.
Fijn om te horen dat het een klik en go oplossing voor je was.

Suc7
Nog even een voetnoot: wanneer je alleen Internet afneemt bij T-Mobile thuis en alle vier LAN poorten wilt gebruiken in je thuisnetwerk, dan moet je vooral NIET het AVM T-mobile Thuis profile gebruiken, maar via andere provider alles instellen anders worden LAN-poort 3 en 4 onbruikbaar gemaakt voor gewoon gebruik.
Reputatie 6
Badge +7
Hi @gvmelle, thanks voor de tip! Ik kan mij voorstellen dat dit te maken heeft met de instellingen voor. Op ons nieuwe Zyxel zijn alle poorten vrij maar op de Huawei en Draytek zijn poorten 3 en 4 "gereserveerd" voor IPTV. Zou het kunnen dan zijn dat ze daardoor onbruikbaar worden wanneer je het Thuis profiel gebruikt op de Fritz box?
De instellingen zijn gemaakt voor de Fritz.box 7490 en waarschijnlijk ook de type routers erna. De poorten 3 en 4 worden inderdaad dan "gereserveerd" voor IPTV.

Reageer