Solved
Zugang über LTE zu eigener Webseite über LTE gesperrt, nachdem IP Sperren aus China eingerichtet wurden
8 years ago
Guten Tag Telekom Community und Telekom Service,
wir haben dieser Tage ein sehr kurrioses Problem festgestellt nachdem wir auf unserer eigenen Webseite IP Sperren für chinesische und russische Provider eingerichtet haben.
Mit anderen Worten: Sämtliche IP Adresseblöcke die für beide Länder registriert sind wurden auf Basis der Webseite ipdeny.com gesperrt.
Seitdem haben wir auf unseren iPhones (6s mit iOS 10.3.3) mit Telekom Vertrag und LTE Anbindung Probleme teile der Seiten aufzurufen. Wir erhalten ein "Forbidden" als wäre die IP Adresse unseres iPhone durch die IP Sperren geblockt worden.
Wir haben ebenfalls über eine SIM Karte von congstar getestet, welche ja auch Telekom Netz nutzen. Auch hier waren die selben Teile der Seite nicht aufrufbar und mit "Forbidden" gesperrt.
Auf unserem Telekom Festnetzanschluss hingegen funktioniert alles einwandfrei und auch auf anderen Anschlüssen deutscher Anbieter.
Ja, wir haben auch unsere IP Adresssperren nochmals geprüft.
Wir können das Problem also soweit eingrenzen, dass nur bei Nutzung des LTE Netzs der Telekom unsere Seiten in Deutschland gesperrt werden.
Darüber hinaus haben wir erstaunlich viele Hits aus Guizhou, China besonders in der Nacht.
Die Serverlogs unserer Anbieters zeigen hier lediglich Synchronisationsabfragen von Kalendern aus unserer Cloudlösung, ebenfalls von unseren iPhones, auf.
Diese Kalenderabfragen sind gewollt und korrekt.
Aber das Aufkommen von Hits aus Guizhou, die geblockten Seiten nach sperren chinesischer IP Adressen, und beides zusammen immer nur über das LTE Netz der Telekom, kommen uns sehr verdächtig vor und sind bestimmt kein Zufall.
Es ist uns auch bekannt das die Telekom (teilweise) Huawaii Hardware einsetzt für die Mobiledatenanbindung zu realisieren.
Unsere Frage richtet sich daher hauptsächlich an die Telekom selbst und zwar wie solche o.g. Probleme möglich sein können?
Und wie es sein kann, dass scheinbar mobiler Datentraffic eines deutschen Providers irgendwo durch China geroutet wird bevor er wieder hier landet.
Wir bitten die Telekom dies zu untersuchen und uns eine Erklärung zu geben.
Mit freundlichen Grüßen
Sven Nemeth
546
9
This could help you too
2813
0
16
427
0
3
4 years ago
in
299
0
1
8 years ago
Funktioniert der Zugriff über LTE ; wenn die Sperren deaktiviert werden?
Dazu kommt: Ob der Traffic über China geroutet wird, liegt daran wo die Server stehen.
Einfach mal ein Tracert aus dem LTE Netz starten, gibt da einige Apps für.
1
Answer
from
8 years ago
Hallo,
zur Ihrer ersten Frage:
Ja, wenn ich die Sperren rausnehmen ist alles einwandfrei erreichbar.
Die Webserver auf der unsere Webseite gehostet ist, stehen im Berliner Rechenzentrum von Telekom und Strato.
Ein trace route habe ich durchgeführt.
Das Ergebnis liefert "multiple IP addresses" zurück und nutzt dann eine IPv6 Adresse. Die Route geht über 6 Hops und bleibt immer in der w80.rzone.de der Cronon AG in Berlin.
Eine Prüfung der Name Server IP Ranges mit unserer Blockliste, hat keine übereinstimmung ergeben.
Der Datenverkehr mag so vielleicht nicht über China geroutet werden, aber trotzdem ist das äußerst komisch.
Haben Sie noch eine andere Idee was man testen könnte?
Mit freundlichen Grüßen
Sven Nemeth
Unlogged in user
Answer
from
8 years ago
Geh doch mal, am besten unmittelbar nachdem das du die Blockademeldung auf dem Handy gesehen hast, auf eine Webseite die Dir Deine IP-Adresse anzeigt. Das geht u.a. auf test-ipv6.com, dort wird sowohl die IPv4 als auch die IPv6-Adresse das Handys angezeigt.
Dann lässt Du Dir auf einem PC mit whois den zugehörigen Adressblock anzeigen und nach dem suchst Du dann in den Zone-Files die man bei ipdeny.com herunterladen kann.
Ich habe das mal ausprobiert und sowohl der Bereich 2a01:598/40 aus dem meine IPv6-Adresse stammt, wie auch der Bereich 80.187/16 in dem meine IPv6-Adresse liegt, wird in den jeweiligen "de.zone" files gefunden. Sollte bei Dir etwas anderes herauskommen hättest Du einen Datenbankfehler bei ipdeny.com gefunden.
Die Sache mit Huawei und China in Deinem Posting klingt für mich komplett wirr. Kannst Du nochmal genauer erklären was Du damit meinst? Du glaubst hoffentlich nicht die Telekom würde ihren Traffic über China routen weil sie ihre Hardware von einem chinesischen Supplier kauft?
5
Answer
from
8 years ago
Hallo,
in den letzten 2 Tagen habe ich einige weitere Tests bezüglich des Problems durchgeführt und es ist etwas neues aufgefallen.
- Auf dem iPhone6s habe ich nun mit 3 Browsern getestet: Safari, Firefox und Google Chrome. Auf allen das selbe Ergebnis. "Forbidden". Verbunden über IPv6
- Auf einem Windows Phone mit congstar Sim Karte passiert das Gleiche. Verbunden über IPv6
- Dann haben wir es auf einem älteren iPad Air mit iOS 10.3.3 getestet. Dieses erhält nur eine IPv4 Adresse und dort funktioniert der Seitenaufruf ganz normal.
Meine Vermutung ist nun, dass es am IPv6 liegt, welches die beiden anderen Geräte verwenden.
Hat jemand dazu eine Idee?
Die IPv6 Adressen die vergeben werden landen im IP Bereich den auch lejupp bereits angesprochen hat (2a01:598/40) nur bei mir ist es ein /33 . Same mit den IPv4 Adressen.
Welche IP Bereiche habe ich geblockt? Sämmtliche IPs aus diesem Link, der die China Zone bei IPdeny beschreibt. Diese beziehen die IP Adresse Ranges wiederrum von den Registras.
http://ipdeny.com/ipblocks/data/aggregated/cn-aggregated.zone
Ich habe bisher nur die IPv4 Adressen gesperrt. Die IPv6 habe ich vorerst noch ausgelassen.
Answer
from
8 years ago
[...] Ich habe bisher nur die IPv4 Adressen gesperrt. Die IPv6 habe ich vorerst noch ausgelassen.
Ich habe bisher nur die IPv4 Adressen gesperrt. Die IPv6 habe ich vorerst noch ausgelassen.
Bist Du denn sicher dass IPv6 überhaupt funktioniert? Hast du vielleicht die Möglichkeit die Erreichbarkeit Deines Servers via IPv6 von anderen IPv6-Anschlüssen aus zu testen, z.B. von einem DS-Lite Anschluss eines Kabelproviders oder einem neueren Telekom (V)DSL-Anschluss? Telekom Festnetz kommt aus 2003::/32 statt 2a01:598/40 wie der Mobilfunk.
Answer
from
8 years ago
Hallo,
vielen Dank für den Tipp zum Testen.
Das Problem hat sich mittlerweile gelöst und es lag leider am Hosting Provider, dessen Verzeichnismanager die modifizierte .htaccess Datei irgendwie falsch interpretiert und mit veralteten, eigentlich nicht mehr existenten, Einträgen zusammengeworfen hat.
Nachdem diese Einstellungen bereinigt waren, hat es auch vom iPhone wieder funktioniert.
Wieso es aber überall anders funktioniert und nur auf dem iPhone nicht, kann ich mir immer noch nicht richtig erklären.
Wie dem auch sei. Vielen Dank für Eure zahlreichen Tipps.
Unlogged in user
Answer
from
Accepted Solution
accepted by
8 years ago
Hallo,
vielen Dank für den Tipp zum Testen.
Das Problem hat sich mittlerweile gelöst und es lag leider am Hosting Provider, dessen Verzeichnismanager die modifizierte .htaccess Datei irgendwie falsch interpretiert und mit veralteten, eigentlich nicht mehr existenten, Einträgen zusammengeworfen hat.
Nachdem diese Einstellungen bereinigt waren, hat es auch vom iPhone wieder funktioniert.
Wieso es aber überall anders funktioniert und nur auf dem iPhone nicht, kann ich mir immer noch nicht richtig erklären.
Wie dem auch sei. Vielen Dank für Eure zahlreichen Tipps.
0
Unlogged in user
Ask
from