Router Speedport 700V: Vom Kauf bitte Abstand nehmen!

#1 So ein Schrott! Selten so ein dämliches und kaputtes Gerät in den Händen gehabt! Es geht um den Router
Speedport 700V, welcher bspw. von der Telekom vertrieben bzw. zum Kauf angeboten wird.

Bevor ich ins Detail gehe, eine Anmerkung: Nachfolgender Text bezieht sich ausschließlich auf den 700V, der fast
namensgleiche 701V ist ein komplett anderer Router und von diesen Problemen nicht betroffen!

Derzeit nicht behebbare Mängel (Firmware aktuell, Stand 12/07):

1.: Ist die interne "Firewall" eingeschaltet, antwortet der Router nicht auf ICMP.

2.: Ist die interne "Firewall" ausgeschaltet, lauscht der Router auf den Ports 443, 9000 & 10000 auf ein-
gehende Verbindungen aus dem WAN. Eine etablierte Verbindung per http://<router wan-ip>:9000 brächte
das Router-Menü samt Status-Bericht zum Vorschein!
Eine separate Konfiguration -wie sonst üblich- für den Zugriff von außen ist nicht existent.

Ausschlaggebend für dieses Posting hier war jedoch eine neue, negative Eigenart des 700V:

3.: Ist die Firewall eingeschaltet ist ein ansurfen von z.B. www.rose.de nicht möglich. Das berichtete ein User in dcsm.
Kann ich bestätigen, nachdem ich einen Bekannten (700V Eigentümer) um einen diesbezüglichen Test bat.
Prognose: Das wird nicht der einzige FQDN sein, mit dem dieses Müll-Gerät seine Probleme haben wird...

Ich besitze keinen 700V, muß aber leider seit 2 Wochen einen Client remote administrieren, der diesen Router vor-
geschaltet hat.

Zu 1: Auf ICMP will und kann ich nicht verzichten! Es sollte ein Echo kommen, wenn ich einen Ping auf die Reise
schicke. Dies ist aber bei aktivierter Router-Firewall des 700V nicht der Fall. Das ist #§$#"! Müßig zu erwähnen,
dass im Routermenü keine gesonderte Einstellung betreffend ICMP zur Verfügung steht.
Nicht, dass ich falsch verstanden werde: Ich lege auf eine Router-Firewall eh keinen Wert und würde diese sowieso
deaktivieren, aber es existiert ja Punkt 2!

Zu 2: So einen Schrott habe ich noch nie gesehen! Ist die Firewall deaktiviert, sind 3 lauschende Ports aktiv,
welche Verbindungen aus dem WAN annehmen. Bullshit! Ob die Firmware letztendlich exploitbar ist, weiß ich
(noch) nicht. Jedenfalls erfährt man -nachdem man mittels Portscan potenzielle 700V Nutzer mit de-
aktivierter Firewall ausfindig gemacht hat (Ports sind ja "offen")- so allerlei aus der Status-Anzeige (ggf. VoIP Tel-
Nr. und ähnliches). Au weia...

Zu 3: Das ist mikosch. Ich weiß gar nicht, wie diese Firewall (Content-Filter?) auf die Idee kommt, rose.de als aus-
gehende Verbindung zu verwerfen. Jedenfalls bin ich dem Poster in dcsm dankbar, dass er dieses Problem
schilderte. Ansonsten fehlen mir die Worte...

Würgarounds:
Nutzer dieses Brechmittels sollten definitiv die Firewall des 700V aktivieren. ICMP geht ausgehend dann zwar
nicht (bäh), aber von zwei Übeln lieber das kleinere wählen. Wer will schon Fernzugriff aus dem WAN auf
seinen Router (zumindest i.d.R.)?

Alternative: Port-Forwarding für die Ports 443, 9000 & 10000 (alles TCP) aktivieren und dementsprechend
die Anfragen auf einen Client im LAN weiterleiten. Dann kann die Router-Firewall auch ausgeschaltet bleiben,
ICMP & Rose.de funktionieren danach auch.

Abschließend: Ein besonderes Auge auf evtl. Firmware-Updates haben! Vielleicht geschehen noch Zeichen von
Wunder.
Wer glücklicherweise noch kein Besitzer eines Speedports 700V ist, sollte an dieser Tatsache auch nichts ändern
und eventuelle Gedanken an einen Erwerb dieses Teils verwerfen!


Gruß,

Sepia

#2 Nach dem Firmware Update auf 3.15.000 ist zwar Port 443 noch offen
aber 9000 und 10000 sind danach closed.

Wie es mit dem ICMP aussieht jetzt kann ich ja nicht beurteilen.

Und www.Rose.de funktioniert jetzt auch ohne Probleme

#3

Zitat

Nach dem Firmware Update auf 3.15.000 ist zwar Port 443 noch offen
aber 9000 und 10000 sind danach closed.

Ja, stimmt. Ich vergaß das Thema upzudaten. Das neueste Update schließt Port 9000 & 10000, läßt Port 443 nach
wie vor unberücksichtigt und "öffnet" nun zusätzlich (neu!) Port 5060! Ergo: 2 Ports gefixt, 1 Port (443/TCP) nicht
berücksichtigt, 1 neuer lauschender Port.
Trotzdem danke für dein Reply.

Zitat

Wie es mit dem ICMP aussieht jetzt kann ich ja nicht beurteilen.

Unverändert. Einen Pong gibt´s nur bei deaktivierter Firewall.

Zitat

Und www.Rose.de funktioniert jetzt auch ohne Probleme

Ja, der Fehler wurde behoben.

Gruß,

Sepia

#4 Letztes Update meinerseits zu diesem Thema:

Am 26.02. teilte ich einem Bekannten und 700V Nutzer mit, dass eine neue Firmware (v3.15) verfügbar ist. Er
spielte die neue Firmware daraufhin am 27.02. manuell ein. Danach testete ich seinen Router remote und wir
tauschten die Ergebnisse aus:

Firmware 3.15:
- Problematik mit lauschenden Ports 9000 & 10000 (jeweils TCP) gefixt.
- Rose.de läßt sich ansurfen.
- Neuer lauschender Port 5060/TCP! (wahrscheinlich SIP wg. VoIP).
- ICMP Problem unverändert und existent.
- Lauschender Port 443/TCP nicht gefixt.

Weiterhin von mir unbestätigt aber real: VPN-Probleme bei anderen Anwendern bei Nutzung von
Firmware v3.15.

Ich verkneife mir hier die Kommentare.

Irgendwann Anfang März wurde die Firmware v3.15 wieder von der Downloadseite der T-Com genommen.
Derzeit (heute) ist nur die ältere Version v1.22 zu bekommen. Erklärung hierzu seitens eines T-Com Supporters:
http://foren.t-online.de/foren/read.php?510,3024977

Zitat

Ich besitze keinen 700V, muß aber leider seit 2 Wochen einen Client remote administrieren, der diesen Router vor-
geschaltet hat.

Hat sich erledigt. Der 700V wurde zwischenzeitlich ersetzt und in Rente geschickt. Auf Müll habe ich einfach
keinen Bock.

Gruß,

Sepia