Poort 5060 (udp) inkomend geblokkeerd - stop hiermee

Gewoon telefonie met een Gigaset, niets ‘voip server’..

Odido geeft hier eigen telefonie een duidelijk voordeel, door kennis / in bochten wringen te eisen en sommige apparatuur langs deze weg hard uit te sluiten. Lijkt me niet legaal.

Het antwoord lijkt te zijn dat ze niet de moeite wilden nemen om de netwerkbeveiliging (rondom hun eigen telefonie?) goed in te regelen. Want tja.. welke poort wordt nu niet ooit ‘misused’? Daarvoor is de firewall uitgevonden..

Het rare is dat ik (op het Delta netwerk) hier totaal geen last van heb. Ik maak gewoon contact via poort 5060 (udp) naar mijn voip provider. Ik vraag me dus ook af of dat niet ook met de onderliggende netwerkbeheerder te maken heeft. (Overigens is binnenkomend 5060 bij mij wel geblokt)

Maar inderdaad, zover ik weet wordt poort 5060 niet misbruikt zoals poort 25 en 137/139 in het verleden. Schijnbaar willen ze de moeite van beveiliging niet nemen om e.v. misbruik te voorkomen (en is blokkeren van de poort uiteraard de makkelijkste weg).

Dan blijft het overigens wel raar dat ik WEL verbinding kan maken over poort 5060 via Delta netwerk. Want dat zou dan ook een security probleem moeten zijn. Waarom het ene netwerk niet en het andere wel? (als het netwerk afhankelijk is)

Erg teleurstellend proces van Odido. Welke port volgt nu? Welke andere beperkende maatregel kan nu volgen? Een beperking van de service/dienst tijdens het lopende contract is volgens mij een valide reden om dit contract vroegtijdig op te kunnen zeggen.

De beperking is niet tijdens het contract erbij gekomen. Dit is vanaf dag 1 al zo :)

Maar ze hebben inmiddels nog steeds niet hun eigen pagina aangepast. Er staat nog steeds het volgende...

Poort 5060

Wanneer je de Odido spraakdienst bij Internet + TV gebruikt middels een Odido-router, is poort 5060 exclusief gereserveerd voor deze dienst en niet beschikbaar voor andere toepassingen. Wanneer je geen gebruik maakt van de Odido spraakdienst of een eigen router gebruikt, kan deze poort wel voor andere diensten worden gebruikt.

Lijkt me wel dat ze dat een keer aan mogen passen.

Maar het is niet conform het contract (zie ook de info die ​@rvk01 aanhaalt). Dus ​@adekwant verwoordt het wellicht niet helemaal handig, maar Odido levert niet dus ben je als klant ook niet gebonden.

Wanneer ik een andere telefoon in huis had gehad, waarin het niet instelbaar was, dan was Odido er inderdaad weer uit gegaan. Lijkt mij doodnormaal dan, jou niet?

Contract is niet relevant. Er is bij wet vastgelegd dat een internetprovider dit niet mag doen, klaar.

Net zoals een webshop niet in een overeenkomst met een consument mag zeggen “bij ons mag je de producten niet na ontvangst terugsturen tijdens de afkoelperiode, daarom zijn wij goedkoper dan de concurrent.” Nee, de wet is daar duidelijk over. Als bedrijf van type X, heb je verplichtingen A, B, en C.

​@GwtW On-topic over je tweede vraag: het lijkt alsof de Fritzbox 5xxx (ben het exacte nummer kwijt) de optie “use random SIP port” niet heeft, en daarmee dus letterlijk incompatible is met Odido glasvezel met deze blokkade, terwijl dit apparaat met elke andere ISP wel normaal werkt. Zie hier:

• Geen SIP verbingen meer

Inderdaad.

Bij mij niet. Het werkte prima totdat Odido onderhoud pleegde en ik een IP adres kreeg op een ander subnet. Dus ben ik van mening dat het in mijn geval een verandering van de dienst is.

Bij welke wet staat dit geregeld? Mag ik een link van jouw hebben?

Nee hoor. In de wet netneutraliteit staat niets vermeld over “poorten”. Kun jij anders de wet even opzoeken waar dit wel specifiek staat?

En hoe denk jij dan over poort 25? Mogen ze die ook niet blokkeren? In de wet staat dat ze diensten (in zijn geheel) niet mogen blokkeren. Dus ze mogen niet filteren op VOIP en dat tegenhouden (in voorkeur voor hun eigen dienst). Maar er staat niets over ‘over welke poort’ dat zou gaan. En hierboven is reeds aangegeven dat ze hem geblokkeerd hebben wegens (een door hun beoordeeld) beveiligingsrisico en bevordering van de stabiliteit van het netwerk (wat dat ook mag betekenen). En dan mag dat volgens mij wel.

Wel moeten ze die tekst op de website aanpassen wat die is erg misleidend.

In de wet netneutraliteit staat dat je "diensten die hetzelfde zijn, moeten op dezelfde manier behandeld worden door de internetprovider". Maar bij specifieke gevallen is dit geoorloofd, staat zelfs of website van ACM

https://www.acm.nl/nl/publicaties/publicatie/12507/T-Mobile-mag-gratis-internet-in-NS-treinen-beperken

Maar als het blokkeren van diensten ‘filevorming’ op het netwerk voorkomt, geldt er een uitzondering.

Ook hier, als de poort 5060 een dreiging is voor de veiligheid van Odido of zijn gebruikers, mag Odido dit blokkeren

Ok, als je het specifiek wilt, het gaat om de Open Internet Verordening:

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015R2120&from=EN

De specifieke implementatie/uitleg hiervan wordt verzorgt door BEREC. ACM verwijst ook naar de BEREC regels als het gaat over hoe zij binnen Nederland oordelen:

https://www.berec.europa.eu/sites/default/files/files/document_register_store/2022/6/BoR_%2822%29_81_Update_to_the_BEREC_Guidelines_on_the_Implementation_of_the_Open_Internet_Regulation.pdf

De belangrijkste algemene regel is deze (op pagina 8):

End-users shall have the right to access and distribute information and content, use and provide
applications and services, and use terminal equipment of their choice, irrespective of the end-user’s or
provider’s location or the location, origin or destination of the information, content, application or
service, via their internet access service.

Oftewel, een ISP mag niks blokkeren in beginsel. Maar dan komen dus de uitzonderingen, waar Odido zich ook op beroept.

blocking of specific port numbers which constitute a threat to security and integrity.

Het probleem hier is dat poort UDP 5060 niet een veiligheidsrisico is.

Dat bepaalt Odido niet. Er is algemene technische consensus over welke poorten daadwerkelijk gevaarlijk zijn. Dat zijn poort 25, en een paar poorten die ik even op moet zoeken, poort 137 enz. uit mijn hoofd. Poort 5060 wordt door niemand behalve Odido geblokkeerd omdat het niet een gevaarlijke poort is. Odido gebruikt dit simpelweg als slap excuus.

Precies, dat bepaald Odido niet maar de wet, en als in de wet niet staat specifiek erover, dan mag Odido bepalen dat deze poort gevaarlijk is en je mag het tegendeel bewijzen door naar rechter te stappen en jouw gelijk te halen.

BTW. Diensten zoals VoIP zijn niet impliciet genoemd in de EU-verordening. En de netneutraliteitsregel in USA wordt net verworpen, het kan ook zo zijn dat deze EU-verordening door EU-rechtbank voor ongeldig te verklaren

https://www.opn.ca6.uscourts.gov/opinions.pdf/25a0002p-06.pdf

En de dienst VoIP wordt ook door Odido niet geblokkeerd. Er wordt niet op verkeer gefilterd. Daar gaat het over als je het hebt over “diensten blokkeren”. Dan blokkeert een provider AL het VoIP verkeer (over alle poorten). Odido blokkeert alleen poort 5060.

Maar goed… ik begrijp ook niet helemaal hoe dit een veiligheidsprobleem kan zijn of waarom dit een netwerk instabiel kan maken. Zeker bij goed netwerkbeheer is zo’n poort absoluut geen probleem.

Nee hoor, daar is de rechtbank niet voor nodig. Je kan een klacht indienen bij de ACM om ze wakker te maken. En de ACM bepaalt (n.a.v. BEREC richtlijnen) of het bedrijf in kwestie de regels overtreedt, en legt mogelijk een sanctie op, en/of vertelt ze dat ze anders moeten handelen. Geen rechtbank voor nodig.

En het idee dat de wet exacte poortnummers moet noemen, want anders kan Odido YOLO’en is gelukkig niet hoe het werkt.

Interessant. Niet onverwacht, de Amerikanen hebben als vuistregel veel minder pro-consumenten regulatie. Gelukkig niet relevant voor de EU. Je verwacht bijvoorbeeld hopelijk ook niet dat de GDPR wordt afgeschaft omdat ze in Amerika geen noemenswaardige privacy hebben.

Pagina 24 van het BEREC document:

In order to safeguard the open internet, Article 3(3) third subparagraph describes traffic
management practices that are prohibited, unless under specific exception. These are
practices that, inter alia, are banned in that regard, and can be described by these
seven basic principles which should be used by NRAs when assessing ISPs’ practices:
• no blocking;
• no slowing down;
• no alteration;
• no restriction;
• no interference with;
• no degradation; and
• no discrimination
between specific content, applications or services, or specific categories thereof. This
is a non-exhaustive list of traffic management measures that are prohibited, and any
other measure going beyond reasonable traffic management is also prohibited.
Practices not complying with the seven basic principles, or that otherwise go beyond
reasonable traffic management, may be used by ISPs only based on the three specific
exceptions elaborated below under Article 3(3) (a), (b) and (c).

Daar zit geen woord Spaans bij. Poort 5060 blokkeren mag niet. Tenzij het een uitzondering is, zoals poort 25 wel een uitzondering is (dat levert namelijk een enorme berg spam op.)

Staat toch bij, behalve uitzondering, en als Odido zegt dat 5060 een uitzondering is, mag je het tegendeel bewijzen. Overigens zijn nog meer porten gevaarlijk SMB 445, FTP 21, NetBIO 137-139…. en zijn standaard geblokkeerd bij vele providers. Ik heb nog niemand gezien, dat hij met succes deze provider aangeklaagd had. 

Je hebt daar precies het verschil te pakken:

• Poort 25 (en 137-139) zijn geblokkeerd door iedereen. Daar is dus consensus over, dat dat poorten zijn die gevaarlijk zijn en geblokkeerd kunnen worden
  • Als iemand tegen de ACM klaagt over een poort 25 blokkade is het simpelweg: de hele wereld blokkeert die poort voor consumenten, waarom zou jij als enige consument plotseling hier wel toegang toe krijgen?
• Poort 5060 is geblokkeerd door niemand behalve Odido. Oftewel, niemand vindt deze poort gevaarlijk, geen enkele andere ISP, behalve Odido
  • Als de ACM dit dilemma krijgt, dan is het andersom: waarom besluit opeens Odido zelfstandig dat deze poort bijzonder is? En als dat zo zou zijn, waarom blokkeert dan geen enkele andere ISP die poort?

Een klein beetje logica en redelijkheid leid onvermijdelijk tot de conclusie dat Odido fout zit.

​@ccnl Die conclusie is geheel op persoonlijke titel en voor rekening van deze gebruikersnaam hoor. Ik ben het helemaal met je eens!

Ik denk dat ​@GebruikersnaamRandomTekst hierop doelt Consuwijzer Internet.

Ik kan geen andere source poort gebruiken want mijn eigen modem (Fritzbox 7360 v2) ondersteunt dat niet! Vroeger kon je via telnet of een script de source poort wijzigen, maar sinds firmware 6.25 heeft AVM (het bedrijf van Fritzbox) om “vergelijkbaar vermeende veiligheidsredenen” bovenstaande functies uitgeschakeld.

Sinds 11 februari heb ik exact hetzelfde probleem als andere Odido gebruikers en werkt mijn VoIP apparaat met source poort UDP 5060  niet meer toen mijn IP adres wijzigde. Volgens de Odido klantenservice zou mijn IP adres zeer regelmatig moeten wijzigen, maar dat is dus niet zo. Ik heb jaren hetzelfde IP adres gehad tot en met 10 februari. Ik heb ook in de logs van mijn VoIP provider gekeken en die laat dit ook zien. T/m 10 februari IP dat begnit met 82. Sinds 11 februari IP adres dat begint met 178. (De rest is ook hetzelfde maar dat zet ik natuurlijk niet hier neer. Op verzoek kan een Odido medewerker de complete IP's krijgen.)

Al mijn VoIP apparaten die een andere source poort dan 5060 gebruiken werken gewoon, maar op mijn (enigszins verouderde maar nog steeds actuele VVDSL2 ondersteunende) Fritzbox kan ik geen andere source poort instellen. Alle SIP VoIP verbindingen hebben source poort UDP 5060.

Ik ga geen dure 7590 kopen die “random sip source port” ondersteunt. Het werkte tot 10 februari goed dus als Odido hun firewall controleert en alle IP ranges op 178 precies zo instelt als die voor het IP adres wat ik voor 11 februari dan werkt alles weer zoals het hoort.

Graag hoor ik wat er gedaan kan worden of wat ik zelf kan doen om voor mij en andere voor wie een open UDP 5060 source poort noodzakelijk is kunnen doen.

Het is sowieso niet veilig een EOL router te gebruiken. Hebt je al gedacht alternatieve firmwares te installeren? OpenWRT en Freetz-NG laten op jouw router installeren.

Ik hoef geen advies, en nee ik heb niet gekeken naar alternatieve firmwares want dat maakt voor het probleem en dus ook mijn probleem niet uit. Ik (en met mij velen) willen gewoon een oplossing voor mijn probleem. Dat probleem is dat ik mijn eigen modem die als SIP source poort UDP 5060 gebruikt tot 10 februari 2025 probleemloos werkte en nu ineens niet meer terwijl ik niks heb aangepast.

De oplossing zit in de advies, met alternatieve firmwares kan je andere VoIP porten gebruiken. Maar omdat je geen advies wil, alleen maar de oplossing, het is simpel, stap over naar een andere provider.

Dat is geen oplossing maar een workaround. In feite “work je around” de geblokkeerde UDP source port 5060 heen met een andere firmware. Het originele probleem, de geblokkeerde UDP source port 5060, is daarmee niet opgelost. Ik moet zeker iedere keer als Odido netbeheerders het nodig vinden om een poort te blokkeren eromheen dansen om mijn configuraties weer werkbaar te krijgen? Wat zijn dat nou voorn onzin oplossingen?

Ik ben ook aan het overwegen over te stappen, want na alle topics te hebben gelezen over dit onderwerp heb ik weinig hoop. Maar dan moet ik wel zeker weten dat die andere provider UDP source port 5060 niet blokkeert en dat ook niet in de toekomst gaat doen.

De Odido netwerkbeheerders blokkeren blijkbaar poorten wanneer het hun uitkomt en goeddunkt onder het mom van veiligheid en de technische dienst snapt niet eens wat dit probleem precies inhoud en ontkennen het of verwijzen alleen maar naar de Odido community als oplossing waar alleen workarounds als oplossing worden gegeven.