Skip to main content
Na een paar keer contact te hebben gehad met de klantenservice en een helaas een niet veel zeggende reactie op email. Heb ik de tip gekregen om mijn probleem op dit forum te bespreken.

Eigenlijk is het best wel simpel je kan en mag zelf portforwardings aanmaken in het HG659 modem behalve de volgende poorten: 7547, 514, 68, 53, 546, 500, 1701, 8443, 8080, 990, 5060, 28090 of 50000-50020

Jullie raden het al ik probeer voor mijn Unifi controller poort 8443 te forwarden naar een intern adres.

Dat gaat dus niet omdat het modem dan een foutmelding geeft zie foto in bijlage.

Waarom worden al deze poorten geblokkeerd? Ik begrijp poort 5060 voor jullie eigen voip centrale en voorrangsregels en heel misschien 8080 ook nog als remote management alleen de rest..Joost mag het weten. Kan iemand hier inhoudelijk op reageren?

Ps. Ja de makkelijkste optie is eigen modem met vlan300 op de dsl aansluiten maar dat geeft mij onnodig extra kosten die niet gemaakt hoeven te worden.
Reactie van klantenservice waar je niet op kan reageren omdat het een noreply adres betreft đŸ€”:



>quote]Beste XXX,

Naar aanleiding van de vraag waarom poort 8443 geblokkeerd is, heeft mijn collega deze vraag doorgezet. Wij hebben dit even voor je nagekeken en wij blokkeren deze poort niet. Echter een aantal mogelijkheden die wij kunnen bedenken die dit kunnen veroorzaken zijnib],het gebruik van een eigen router, bepaalde virusscan programma's de Firewall. (
8443 staat te boek als alternatieve https en zal wellicht voor een zelfde doel gebruikt of gereserveerd zijn als waarvoor ook jouw Unifi 8443 dat heeft.

De email reactie is in feite een kluitje in riet tactiek en eventuele schuld bij jouw leggen en geeft aan dat medewerker email naar afdelingen en leveranciers kan sturen. In ieder geval levert Huawei geen gebruikers documentatie. Je kan zoeken in de menus of je remote toegang op webinterface kan uitzetten, dan heb je kans dat 8443 wordt vrijgegeven. Maar kan ook best zijn dat dit hardcoded in de TMT NL versie zit vastgelegd. En als je al antwoord zou krijgen van Huawei/TMT, gaan ze het niet veranderen, of het moet onder het mom van een ernstig beveiligingslek mede aangepast kunnen worden. Ik zou eerder kijken of je jouw Unfi kan aanpassen of toch maar die HG659 buiten spel zetten.
Beste Tmoesel,



Dank voor je reactie..Helaas had ik dat ook al bedacht.

Alleen krijg je dan geen service meer en wordt ongeveer mijn snelheid gehalveerd met een Draytek 130.

Ik snap niet waarom ze je bij wijze van verplichten hun modem te gebruiken en dan wel poorten gaan blokkeren voor je zonder dat je daar om vraagt.

Kan iemand van Tmobile hier op reageren?
Beste Tmoesel,



Dank voor je reactie..Helaas had ik dat ook al bedacht.

Alleen krijg je dan geen service meer en wordt ongeveer mijn snelheid gehalveerd met een Draytek 130.

Ik snap niet waarom ze je bij wijze van verplichten hun modem te gebruiken en dan wel poorten gaan blokkeren voor je zonder dat je daar om vraagt.

Kan iemand van Tmobile hier op reageren?


Je krijgt nu ook geen service, alleen een email die bezigheidstherapie ademt en die poort gaat niet open.



Dit 'modem verplichten' is al een oude bekende truuk. In de mobiele tak was voor 4G voor Thuis zelfs in voorwaarden vermeldt dat het niet toegestaan was om andere apparatuur te gebruiken. Nu sinds dit jaar is er keus tussen abo met huurmodem (Huawei B618) of zonder modem, dus zelf iets kopen. Dat is prima gedaan. Echter voor het inclusief B618 (flink hoger maandbedrag) zit er wel een adder onder het gras: daar zit gestripte firmware in (t.o.v. winkelmodel) en kan b.v. geen DMZ.



Met de HG659 dus eigenlijk hetzelde. Maar staat er in jouw contract dat je geen ander modem mag gebruiken? (het kost geld ja, maar verplichting is wat anders).



Een waarom ga je er van uit dat snelheid gehalveerd wordt met een Draytek 130? Zo aan de specs te zien kan ie qua DSL meer dan de HG659.
Hi rhabraken, hmm voor zover mij bekend blokkeren we alleen poorten 135 t/m 139 en 445 op UDP en TCP, is poort 5060 gereserveerd voor onze VoIP dienst en is ook poort 8080 gereserveerd. Het screenshot dat je door hebt gestuurd geeft duidelijk meer poorten aan. Ik ga dit navragen bij de collega's die verantwoordelijk zijn voor ons modem en ik kom hier op teruug! Of de instellingen ook aangepast (kunnen) worden durf ik alleen niet te beloven!
Hi rhabraken, ik zou nog even terug komen op je vraag over het forwarden van poorten!

De poorten worden niet geblokkeerd als zodanig maar zijn gereserveerd voor verschillende functies van de modem zelf. Dit komt doordat de HG659 verschillende services intern heeft draaien die of actief zijn of die zich in een slaapstand bevinden. Vaak zijn deze poorten standaard in gebruik voor bepaalde diensten/services (poort 80 is bijvoorbeeld altijd webverkeer en 5060 haast altijd VoIP verkeer). Ondanks dat sommige diensten misschien niet geconfigureerd zijn, worden deze poorten alsnog gereserveerd.



Een makkelijke oplossing hiervoor is extern een andere poort gebruiken. In de scherm afbeelding die je hebt bijgevoegd zie je deze mogelijkheid ook. Je kan de interne poort dan wel laten staan. Vervolgens verbind je extern op de geconfigureerde poort. Dit kan van alles zijn (bijv. 1.2.3.4:35000). Een andere oplossing zou zijn om de host service (bijv. de unifi controller) op een andere poort te configureren. Op de site van de leverancier vind je hier meer informatie over. Kan je hier mee uit de voeten? 🙂
Ten eerste mijn excuses voor het oprakelen van een oude post, maar het bevreemd mij toch enigszins dat een netwerk engineers van een netwerkleverancier (T-Mobile) de CPE zo inregelen dat well known ports gebruikt worden voor interne dienstverlening.



Wat ik hiermee bedoel is dat poorten als 8080, 8443, 5060, etc niet beschikbaar zijn voor diensten van de klant. Dit is nou niet echt best (of practical) practice.



Wat betreft het configureren van een andere poort dan 8080 voor de unifi controller, ja dit kan echter sloop je dan de remote auto discovery / provisioning functie. (unifi CNAME naar jouw-unifi-controler.domein.tld in de lokale DNS search domain).



Voor de interne SIP dienst had net zo goed poort 5050 of 3050 voor mijn part gebruikt kunnen worden aangezien je volledige controle over de front en back-end setup hebt.

Het zelfde geld voor alle andere poorten die voor beheer gebruikt worden, persoonlijk zou ik bijvoorbeeld een range in de duizendtal kiezen kiezen, laten we 2000 nemen en poorten met daarin configureren. Zo ongeveer:

22 --> 2022

80 --> 2080

443 --> 2443

5060 --> 2560

8080 --> 2880

etc. --> etc.

(of ze desnoods in de nooit gebruikte range poort 1 t/m 17 neerzetten)



En ga nou niet zeggen dat dit niet kan, ook zou het niet in de standaard firmware kunnen (wat ik ten zeerste betwijfel) dan kan het toch zeker wel in de custom firmware.



Nou, de frustraties zijn er weer even uit. 😉

Reageer