Vreemd gedrag: Proximus WWAN netwerk doet TCP handshaking in plaats van destination router

[HyperBaton]

Ik heb een Telenet router (type: Wireless modem 3.0 (DOCSIS)) met daarachter mijn eigen router (die VyOS runt). Het adres van de VyOS router is als DMZ-adres ingesteld voor de Telenet router. Dit op zich werkt perfect, alles wordt netjes doorgesluisd naar mijn eigen router.

Echter, als ik een nmap -sS scan doe op mijn publiek IP adres, dan worden alle poorten als open gezien. Alle TCP handshakes worden voldaan.

Als ik kijk op mijn eigen router, dan zie ik in de firewall logging dat alle SYN pakketten correct gedropped worden. Via tcpdump zie ik effectief SYN pakketten binnenkomen maar er wordt niet op geantwoord, zoals ingesteld. De default actie van de firewall is om ze te droppen. De TCP handshakes worden dus door de Telenet router gedaan. Als ik mijn eigen router fysisch disconnect, dan kan ik nog steeds een scan doen op mijn publiek IP en worden alle poorten als open beschouwd, wat dus bevestigd dat de Telenet router de handshakes doet.

De instelling van de firewall actief of niet actief op mijn.telenet.be heeft geen invloed op dit gedrag, dat heb ik geprobeerd.

Op zich is dit geen probleem, ik weet dat de traffic correct behandeld en gedropped wordt door mijn eigen router. Maar tenzij ik iets obvious over het hoofd zie, vind ik dit zeer vreemd gedrag. Heeft iemand hier een verklaring voor?

[CCatalyst]

Voor we hier verder in gaan: vanaf waar doe je die nmap precies? Kan je de nmap nog eens herhalen vanop een ander device/ander netwerk? Krijg je dan weer hetzelfde resultaat?

Evt online: https://incloak.com/ports/ http://www.t1shopper.com/tools/port-scan/result/ of google voor nog andere

[petzl]

en doe je dit vanaf je eigen verbinding of vanaf een andere aansluiting?

als het vanaf je eigen verbinding is, dan is dit normaal omdat de modem en jouw router een intern ip zien.

[HyperBaton]

Bedankt voor jullie replies.

Goede vraag ivm de source, dat ben ik vergeten te vermelden inderdaad. De scan deed ik via een WWAN verbinding (Proximus).

Ik ben nu op een andere lokatie (ook een Telenet abonnement) en vanaf hier klopt de scan wel. Enkel poorten die effectief open zijn worden weergegeven als open door nmap.

Dus blijkbaar ging ik er verkeerdelijk van uit dat het aan Telenet lag, maar blijkbaar is dit te eerder te wijten aan de 4G Proximus verbinding die ik gebruikte voor de scan. Nu blijft mijn nieuwsgierigheid wel... Weet iemand wat daar aan de hand kan zijn dan?

[yaris]

Je zal op het moment van de scan een connectie hebben gehad met je interne netwerk en met de 4G. Je zal dan ook een interne scan gedaan hebben volgens mij en zo zag je dat alle poorten openstonden. Deze site gebruik ik regelmatig voor poorten : https://www.grc.com/shieldsup

[HyperBaton]

Hey yaris. Nee, ik kan met zekerheid zeggen dat ik geen verbinding had met mijn lokaal netwerk. Er was maar 1 default route en dat was via de 4G verbinding. Sowieso heb ik mijn metrics zo ingesteld dat de 4G default route altijd de voorkeur krijgt als die actief is, dus zelfs al was mijn lokale ethernet of wireless verbinding actief, dan nog zouden pakketten via de 4G default route gaan.

Dit zijn de actieve routes als ik de 'vreemde' nmap scan doe:
default via 37.184.54.121 dev wwp0s20u8i8 proto static metric 50
37.184.54.120/30 dev wwp0s20u8i8 proto kernel scope link src 37.184.54.122 metric 50

Zoals je ziet loopt alles via de 4G.

Nmap scan ziet er dan dus zo uit:

PORT STATE SERVICE
1/tcp open tcpmux
3/tcp open compressnet
4/tcp open unknown
6/tcp open unknown
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
20/tcp open ftp-data
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
24/tcp open priv-mail
25/tcp open smtp
26/tcp open rsftp

[yaris]

Staat wel redelijk wat open. Ftp, telnet , ssh op poort 22 ... dan nog andere shit, rijp om deel te gaan uitmaken van een botnet. Heb je dat zelf ingesteld of was dit default zo ? Standaard lijkt het me niet dat een router / firewall linux os zoals VyOS dit zo zou doen.

Kijk is voor een modem only, dat heb ik ook en dan voorkom je al een pak problemen.

[HyperBaton]

Yaris, als je bovenstaande berichten leest dan zal je zien dat dit dus niet te wijten is aan de Telenet router of mijn eigen router maar aan het feit dat de scan was uitgevoerd via een 4G verbinding. Als ik dezelfde scan uitvoer op een andere locatie (niet op 4G dus, maar een andere Telenet-verbinding), dan toont de scan enkel de poorten die effectief geopend zijn op de VyOS router. Dus dit heeft blijkbaar te maken met het maken van verbindingen via 4G en nu probeer ik uit te dokteren waarom dit zo is.

[CCatalyst]

Yaris, als je bovenstaande berichten leest dan zal je zien dat dit dus niet te wijten is aan de Telenet router of mijn eigen router maar aan het feit dat de scan was uitgevoerd via een 4G verbinding. Als ik dezelfde scan uitvoer op een andere locatie (niet op 4G dus, maar een andere Telenet-verbinding), dan toont de scan enkel de poorten die effectief geopend zijn op de VyOS router. Dus dit heeft blijkbaar te maken met het maken van verbindingen via 4G en nu probeer ik uit te dokteren waarom dit zo is.

Maak zelf eens een verbinding met bv poort 22 en 80 op 4G en zie wat je krijgt. Maak ook eens verbinding met een poort die niet open staat op je router. Mogelijks iets captive portal/proxy/firewall-achtig.

[Geert-Jan]

Mij lijkt dit normaal gedrag aangezien je Telenet modem alles aanpakt en dan doorstuurt naar je VyOS.
Je Telenet modem is op dan moment je Wan-IP gate en die heeft geen poorten gesloten.
Indien je je Telenet modem in Bridge zet (=onzichtbaar) waardoor je VyOS alles aanpakt als zijnde de Wan-IP dan ga je de poorten wel gesloten zien.
DMZ is immers ook een port-forward maar dan eentje die alles doorstuurt, dus volgens mij klopt het dat je ze allemaal open ziet.

DMZ kent geen firewall dat die poorten gaat tegenhouden, dus voor dat doet je firewall niets.

[CCatalyst]

Heb zelf eens getest en kan bevestigen dat je op in werkelijkheid gesloten/filtered poorten steeds established raakt bij een SYN vanop Proximus cellular naar een ander netwerk. De ACK komt ook veel te snel binnen om van een extern netwerk te komen. Ook als ik rechtstreeks vanaf iPhone op cellular dit doe heb ik hetzelfde resultaat, ligt dus niet aan tethering technologie evt. Je kan bijgevolg ook telnetten naar die poorten, maar als het een gesloten poort is blijft het gewoon altijd "stil" aan de overkant, wat je ook stuurt.

Zal wel deel uitmaken van hun cellular CGNAT/firewall. Misschien voor compressie/metering data? Heb zelf geen kennis van hun systemen, misschien kan iemand van Proximus dit meer verduidelijken.

[xayana]

Mij lijkt dit normaal gedrag aangezien je Telenet modem alles aanpakt en dan doorstuurt naar je VyOS.
Je Telenet modem is op dan moment je Wan-IP gate en die heeft geen poorten gesloten.

Ik vind daar niks normaal aan hoor. Een OPEN poort betekent in principe ook dat er een service achter draait dat antwoordt.
Zelfs een 'open' poort zal 'closed' tonen als er geen service achterdraait.


Zoals CCatalyst al zei moet het wel ergens op het Proximus netwerk zitten.

[HyperBaton]

Bedankt voor de test CCatalyst. Dat komt overeen met mijn bevindingen inderdaad. Ik heb net nog een test gedaan met netcat (nc -zv) op een gesloten poort en traffic gemonitored met tcpdump. Eerst vanaf een DigitalOcean VPS en daarna via mijn 4G-verbinding.

Op de VPS krijg ik geen pakketten terug en op mijn router thuis zie ik via tcpdump evenveel SYN pakketten aankomen als er verstuurd worden vanaf de VPS. Standaard en verwacht gedrag dus.

Via 4G krijg ik meteen melding dat de connectie geslaagd is en wordt dus maar één SYN-pakket verstuurd door netcat, want de handshake lukt meteen. Op mijn router zie ik via tcpdump echter 4 SYN-pakketten aankomen, die allemaal gedropped worden uiteraard. De spacing is om de drie seconden. Dus Proximus stuurt SYN-pakketten gedurende 12 seconden na het initiëren van de connectie via 4G.

Ik heb de titel trouwens aangepast, misschien komt er dan een Proximus-expert langs met uitleg

[petzl]

Proximus gebruikt ook routers van fortinet voor hun 3G klanten ...

ik had overlaatst een abonnement met een security optie en als ik naar poort 8081 surfte kwam ik altijd op een fortinet firewall uit.

Ik ben moeten overschakelen naar een ander abo, om geen beperkingen te hebben.