Beantwoord

Welke poorten worden geblokkeerd of zijn gereserveerd?

  • 2 February 2018
  • 37 reacties
  • 8419 Bekeken
M
Beste lezers,
Sinds 2 dagen ben ik klant bij T-Mobile en loop tegen een probleem aan. Poort 5060 lijkt geblokkeerd (gereserveerd) te zijn. Erg onhandig, ik werk namelijk veel vanuit huis en heb van mijn werkgever een VoIP oplossing en toestel. Dit werkte perfect tot de overstap naar T-Mobile... In het modem is dit verder ook niet aan te passen.
Contact met de technische dienst heeft helaas ook niet echt geholpen, zij verwijzen me door naar dit forum want deze blokkade is hun niet bekend (?!).
Is er een andere oplossing om poort 5060 toch te kunnen gebruiken, bijvoorbeeld door een ander modem te gebruiken?
Alvast bedankt voor jullie suggesties!
icon

Beste antwoord door Brian 5 February 2018, 15:25

Bekijk origineel

37 reacties

A

Oke, het was een relay mailservice maar deze werd via een andere poort geleid om de eigen mailserver niet direct aan het grote boze internet te hangen.

 

Sowieso zou dit een wel hele mooie oplossing zijn, maar zoals inmiddels dacht ik ook bij diverse andere providers te zien is, wordt mail relay tegenwoordig gewoon over dezelfde mailservers gejaagd als waarop de providermail verloopt.

 

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

Mail wil je, als thuishobbyist naar mijn mening sowieso niet meer zelf met een eigen mailserver direct aan het internet gaan onderhouden. Een juiste configuratie van opzetten en onderhouden met spamfilter, spf en DKIM  en alle andere bijkomende zaken is behoorlijk tijdrovend. Uitbesteden is in mijn ogen de betere oplossing. (Kost éénmalig tijd om de DNS te configureren)

Valt op zich wel mee met dat tijdrovend. Het is in eerste instantie een kwestie van goed op zetten en daarin zit de meeste tijd. Daarna is het eigenlijk alleen nog een kwestie van onderhouden. Dat onderhoud valt op zich mee.

SPF, DKIM, DMARC zijn vrij easy. TLSA kan soms nog wel eens waardeloos zijn, vooral als je gebruik maakt van Let's Encrypt of andere short term certificaten. Bij iedere verlenging moet je weer nieuwe TLSA records hebben.

Maar dan nog, dat blokkeren van poort 25 is naar mijn idee vooral bedoeld omdat bijvoorbeeld de “gemiddelde” consument dacht, laat ik eens een mailserver o.i.d. bouwen met alle gevolgen van dien. Als ISP wil je natuurlijk zo min mogelijk vervuilde IP's in je subnet aangezien het best veel tijd vergt om die weer van alle blacklists verwijderd te krijgen. En tegenwoordig zijn er zat blacklists die hele subnets opnemen.

yalerta
Reputatie 7
Badge +5

 

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Volgens mij kan dat niet, tenminste… mail exchanges vinden nagenoeg altijd plaats via poort 25, door deze te re-mappen gaat het niet ineens wel werken want er zal altijd geprobeerd worden om via poort 25 e-mail van en naar je eigen mailserver te sturen.

Via een webhoster kan je, je e-mails sowieso versturen, ook als je een eigen mailserver draait. Dit is een kwestie van relayen via de mailserver van je webhoster.

Oke, het was een relay mailservice maar deze werd via een andere poort geleid om de eigen mailserver niet direct aan het grote boze internet te hangen.

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

Mail wil je, als thuishobbyist naar mijn mening sowieso niet meer zelf met een eigen mailserver direct aan het internet gaan onderhouden. Een juiste configuratie van opzetten en onderhouden met spamfilter, spf en DKIM  en alle andere bijkomende zaken is behoorlijk tijdrovend. Uitbesteden is in mijn ogen de betere oplossing. (Kost éénmalig tijd om de DNS te configureren)

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
A

Mijn data verkeer word DMZ doorgestuurd naar een eigen pfSense route/firewall.
De telefonie bij mijn Voip provider staat ingesteld op poort 5060, lijkt dus dat deze niet geblokkeerd is in de modem.

 

Waarschijnlijk komt dit omdat de router poort 5060 reserveert, zodra DMZ wordt gebruikt wordt deze reservering overruled door DMZ en wordt deze doorgezet naar je pfSense.

 

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Volgens mij kan dat niet, tenminste… mail exchanges vinden nagenoeg altijd plaats via poort 25, door deze te re-mappen gaat het niet ineens wel werken want er zal altijd geprobeerd worden om via poort 25 e-mail van en naar je eigen mailserver te sturen.

Via een webhoster kan je, je e-mails sowieso versturen, ook als je een eigen mailserver draait. Dit is een kwestie van relayen via de mailserver van je webhoster.

Mail wil je trouwens sowieso het liefst niet versturen via poort 25 aangezien lang niet iedere mail server SSL of SSL/TLS ondersteuning heeft op die poort.

 

Het zijn gewoon draken bij T-mobile want bij een zakelijk T-mobile internet, wat gewoon een stuk duurder is maar exact dezelfde  techniek is  mogen ze wettelijk niet eens poorten sluiten.

 

Ligt aan de overeenkomst, wettelijk is er voor B2B voor zover ik weet geen enkel iets vastgelegd dit in tegenstelling tot consumenten alwaar netneutraliteit van toepassing is. Echter is in dit geval opgenomen dat een provider wel maatregelen mag nemen om haar infrastructuur of klanten te beschermen. Of het blokkeren van poort 25 daaronder valt, kunnen we lange discussies over voeren maar het is wel het meest eenvoudige om te voorkomen dat bulk mail wordt verzonden door een slecht geconfigureerde thuisserver.

 

Hidden.nld
Rank
Reputatie 7
Badge +4

 

 

 

Het zijn gewoon draken bij T-mobile want bij een zakelijk T-mobile internet, wat gewoon een stuk duurder is maar exact dezelfde  techniek is  mogen ze wettelijk niet eens poorten sluiten.

Ze durven zelfs te beween dat  er een nieuwe lijn voor zakelijk aangelegd moet worden. Ze zijn belazeren de boel hier. Dan betaal ik wel wat meer.

 

Bij zakelijke verbinding heb je ook vaak een redundante verbinding. Dan worden er een aansluiting gemaakt op de ring. Soms kan ook een bestaande enkelvoudige Reggefiber lijn worden gebruikt dan zal deze via een andere splitter verlopen voor zakelijke klanten. En word er xgs-pon gebruikt inplaats van gpon. Er word dus wel een andere techniek toegepast. Nu weet ik meer van Tele2 zakelijk dan van T-Mobile zakelijk ook al is het overgenomen door T Mobile

 

Heeft geen glazenbol.
B
Reputatie 2

Dit is al een heel oud onderwerp, maar worden er nog steeds poorten geblokkeerd?

Poort 25 en 5060.

Als je gebruik maakt van een eigen router (in plaats van de door T-Mobile geleverde router (Zyxel)) dan is alleen poort 25 geblokkeerd.

Mijn data verkeer word DMZ doorgestuurd naar een eigen pfSense route/firewall.
De telefonie bij mijn Voip provider staat ingesteld op poort 5060, lijkt dus dat deze niet geblokkeerd is in de modem.

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Het zijn gewoon draken bij T-mobile want bij een zakelijk T-mobile internet, wat gewoon een stuk duurder is maar exact dezelfde  techniek is  mogen ze wettelijk niet eens poorten sluiten.

Ze durven zelfs te beween dat  er een nieuwe lijn voor zakelijk aangelegd moet worden. Ze zijn belazeren de boel hier. Dan betaal ik wel wat meer.

 

Let op ik ben geen klant van T-Mobile. IVM Geen transparante voorwaarden. Geen fatsoenlijk antwoort op welke poorten open of dicht staan. Doe pas ICT sinds het internet nog niet bestond en er nog ringkern geheugen bestond. Maar nu ook nog linux, win 10 en SRV 2019 Exchange Enz.
yalerta
Reputatie 7
Badge +5

Dit is al een heel oud onderwerp, maar worden er nog steeds poorten geblokkeerd?

Poort 25 en 5060.

Als je gebruik maakt van een eigen router (in plaats van de door T-Mobile geleverde router (Zyxel)) dan is alleen poort 25 geblokkeerd.

Mijn data verkeer word DMZ doorgestuurd naar een eigen pfSense route/firewall.
De telefonie bij mijn Voip provider staat ingesteld op poort 5060, lijkt dus dat deze niet geblokkeerd is in de modem.

Poort 25 zou Tmobile voor diegenen die denken een eigen mailserver te kunnen onderhouden re-mappen. Zodat e-mail verkeer in eigen beheer mogelijk blijft. Zoiets als 25 naar 19025.
Jammer genoeg is Tmobile minder service gericht om een dergelijke oplossing aan te bieden. Te weinig vraag naar zal een reden zijn.
Een dergelijke oplossing heeft voor mij in het verleden via een web-hoster, toen het internet iets veiliger was, goed gewerkt inclusief de spam afvangen.

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
A

Dit is al een heel oud onderwerp, maar worden er nog steeds poorten geblokkeerd?

Poort 25 en 5060.

Als je gebruik maakt van een eigen router (in plaats van de door T-Mobile geleverde router (Zyxel)) dan is alleen poort 25 geblokkeerd.

B
Reputatie 2

Hi Mjansen96, allereerst van harte welkom bij T-Mobile Thuis! Poort 5060 is niet geblokkeerd maar deze is wel gereserveerd voor onze VoIP dienst. Ook poort 8080 is gereserveerd.

Daarnaast blokkeren wij poorten 135 t/m 139 en 445 op UDP en TCP. Voor je eigen VoIP dienst kan je een alternatieve poort gebruiken, bijvoorbeeld 5061 of 5070. Als je nog vragen hebt stel ze dan gerust!

Dit is al een heel oud onderwerp, maar worden er nog steeds poorten geblokkeerd?
 

Let op ik ben geen klant van T-Mobile. IVM Geen transparante voorwaarden. Geen fatsoenlijk antwoort op welke poorten open of dicht staan. Doe pas ICT sinds het internet nog niet bestond en er nog ringkern geheugen bestond. Maar nu ook nog linux, win 10 en SRV 2019 Exchange Enz.
Boris
Rank
Reputatie 7

Hi @Mark_online  ,

Dat roept bij mij direct vragen op. Welke VOIP dienst gebruik je nu en op welke poort heb je deze ingesteld? Ook ben ik benieuwd via welk modem je bent verbonden. Ik hoor het graag van je! 

M

Ik gebruik een eigen modem/router direct op de mediaconverter van T-mobile.

Het lukt mij niet om mijn zakelijke VOIP telefoon te laten werken. De provider van mijn VOIP telefoon geeft aan dat T-mobile in hun centrale deze mogelijkheid blokkeren. In mijn eigen modem/router staan alle instellingen (SIP alg uit) correct. Overigens werkte deze configuratie prima bij mijn oude provider Ziggo.

Hebben jullie hier ervaring mee en/of mogelijk een oplossing?

 

E
Reputatie 2

@escho

1 vlan voor het beheer van het modem vlan100

2 vlan iptv vlan640 bridged allleen op zyxel routere.

3 internet en telefonie vlan300

op de modems van T-Mobile is poort 5060 gereserveerd voor telefonie van T Mobile ook als je hier geen gebruik van maakt.

normaal gesproken hebben voipaanbieders gewoon een alternatieve poort

dankje.  er is maar een fijnlijntje tussen  in gebruik houden van en blokkeren voor de gebruiker
door dat er dus altijd door TM is verteld dat er niets geblokkerd word heb ik dus een halfjaar zonder telefonie gezeten. 
Bedankt TM top/ nu nog eenduidige info ivm iptv

Hidden.nld
Rank
Reputatie 7
Badge +4

@escho 

1 vlan voor het beheer van het modem vlan100

2 vlan iptv vlan640 bridged allleen op zyxel routere.

3 internet en telefonie vlan300

op de modems van T-Mobile is poort 5060 gereserveerd voor telefonie van T Mobile ook als je hier geen gebruik van maakt.

normaal gesproken hebben voipaanbieders gewoon een alternatieve poort

Heeft geen glazenbol.
E
Reputatie 2

ik kan het nog steeds niet volgen!
poort 5060 voip waarom moet die voorgeconfigureerd zijn voor iets wat niet in gebruik is!
2e als er 3 vlans gebruikt word 
1 voir t mobile voip
2 tv
3 internet 
koppel dan van vlan voip die naar het modem en laat 
vlan 3 internet lekker voip forwarden naar waar de klant het wil hebben. 
in het kader van we blokkeren niets maar je kunt er lekker niet gebruik van maken??

G
Reputatie 1
De instellingen zijn gemaakt voor de Fritz.box 7490 en waarschijnlijk ook de type routers erna. De poorten 3 en 4 worden inderdaad dan "gereserveerd" voor IPTV.
Brian
Rank
Reputatie 7
Hi @gvmelle, thanks voor de tip! Ik kan mij voorstellen dat dit te maken heeft met de instellingen voor. Op ons nieuwe Zyxel zijn alle poorten vrij maar op de Huawei en Draytek zijn poorten 3 en 4 "gereserveerd" voor IPTV. Zou het kunnen dan zijn dat ze daardoor onbruikbaar worden wanneer je het Thuis profiel gebruikt op de Fritz box?
Ik ben per 4-11-2021 niet meer werkzaam als Moderator op de Community. Ik zal eventuele privéberichten daarom niet meer kunnen beantwoorden maar mijn collega's helpen je graag! :)
G
Reputatie 1
Nog even een voetnoot: wanneer je alleen Internet afneemt bij T-Mobile thuis en alle vier LAN poorten wilt gebruiken in je thuisnetwerk, dan moet je vooral NIET het AVM T-mobile Thuis profile gebruiken, maar via andere provider alles instellen anders worden LAN-poort 3 en 4 onbruikbaar gemaakt voor gewoon gebruik.
Pieter_B
Rank
Reputatie 7
Badge +3
@gvmelle
Bij veel VoIP providers zijn er alternatieve poorten beschikbaar gemaakt, omdat internet providers veelal vastgebakken zitten op de default.
Fijn om te horen dat het een klik en go oplossing voor je was.

Suc7
LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
G
Reputatie 1
Het gaat om een Fritz!Box 7490. Ik heb net met FBEditor-0.6.9.7h (niet met FBEditor-0.7 dus!) de poorten 5060 op 5070 gezet. Alles werkt weer!
Pieter_B
Rank
Reputatie 7
Badge +3
@gvmelle
Even een vraag daarbij is, om welk modem gaat het? (lees een topic van 2 jaar geleden een Fritz?)
Hier op het nieuwe Zyxel modem werkt 5060 zonder problemen naar mijn VoIP systeem.

Heb je al geprobeerd om te kijken of je provider een andere registratiepoort beschikbaar heeft?
Bijv. Cheap Connect heeft ook 5070, waarbij je voorkomt dat je eigen provider in de weg zit met hun 5060.

Nu blijkt het aanpassen van de poort op een Fritz!, i.v.m. de nieuwste FW, met FBEditor tool eenvoudig aan te passen.
Zie ook dit topic.
LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
G
Reputatie 1
Sinds de werkzaamheden in de nacht van 17 op 18 juli zijn zowel poort 5060 als 5061 geblokkeerd. Is dit een vergissing of wordt dit doelbewust gedaan om SIP telefonie te blokkeren?
tmoesel
Reputatie 6
Het is dus vooral hardware related en omdat de TM routers op hun eigen FW draaien, zou dit dus voor veiligheidsredenen inderdaad wel eens geblokkeerd kunnen zijn voor poort 7.
Wat @Ano11 aangeeft ligt het niet perse in het TMT thuis domein, maar in het TMO mobile domain. Een uitgaand WoL packet met dst port 7 komt via KPN mobile wel aan, maar niet via TMO mobile.
Misschien heeft de gebruikte APN voor TMO mobile nog invloed, maar ik denk dat men eeuwig kan wachten op een verklaring van T-Mobile/Huawei van hoe en waarom.
Pieter_B
Rank
Reputatie 7
Badge +3
@Ano11

Heb hier een topic gevonden op tweakers, waar jonkeats wel een redelijke uitleg geeft in het hoe en wat.

Een qoute die hij geeft, en die is ISP related
Welkt poort je voor zo iets gebruikt maakt niet uit, als je uiteindelijk maar op broadcast je L2 frames krijgt. Dat heb je dan dus met alle frames, en om dat dat net zo onveilig is als bijv. SMB of SMTP via je internetverbinding thuis draaien is wordt het vaak ook gewoon geblokkeerd door je ISP.


Het is dus vooral hardware related en omdat de TM routers op hun eigen FW draaien, zou dit dus voor veiligheidsredenen inderdaad wel eens geblokkeerd kunnen zijn voor poort 7.

Let op, elke kier (poort) die je openzet naar je LAN is een veiligheidsrisico. En als je dat wel doet, moet de achterliggende hardware kunnen omgaan met foutief verkeer.
LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
A
Ja, op poort 9 werkt het, maar ik ben nog steeds benieuwd waarom gebruik van poort 7 niet wordt toegelaten door T-Mobile.
Pieter_B
Rank
Reputatie 7
Badge +3
Hallo @Ano11





7 is volgens IANA status opgave ook niet bedoeld geweest voor de WOL, maar UDP poort 9 staat min of meer daarvoor genoemd om te gebruiken.

REF: list of TCP and UDP port numbers en Wake-on-LAN (WoL)
Moet er wel bij zeggen dat men in het WOL Wiki verhaal zelf weer wel poort 0 of 7 of 9 benoemd.

Ik ben altijd voorstander om poorten volgens de standaarden te gebruiken en dit is waar nu ook tegen deze beperking aanloopt.

Maar goed poort 9 werkt wel.

The magic packet that turns on the computer is normally sent as a UDP datagram over port 7 or 9.
LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
A
Ik kom er net achter dat ik met mijn SIM kaart van T-Mobile ook geen "Magic Packets" via UDP port 7 kan versturen, die komen gewoon niet aan (het gaat dus om een computer aan te zetten via Wake On Lan, oftewel WOL). Met mijn SIM kaartje van KPN gaat dat zonder problemen...

Waarom blokkeert T-Mobile UDP verkeer op poort 7?

Tsja, op poort 9 werkt het wel - dan maar poort 9 gebruiken...
Maar het is wel vreemd.

Reageer


ForumvoorwaardenCookie instellingen