Din rådne CPE!

Andetsteds på version2 kan du læse om VPNFilter, som er dagens infektion i nyhederne. https://www.version2.dk/artikel/nulstil-din-router-nu-at-pacificere-vpnf...

Den slags er hverken nyt, første eksempel, sidste eller noget som helst. Just another day at the office.

Men hvorfor dog det?!

Fordi CPE'er som spredes i millionvis er lort, ganske simpelthen billigste skrammel man kan slippe afsted med at få nogen til at betale for. Indimellem har jeg mere indtryk af at der bruges flere penge på designet end på selve indmaden. CPE betyder Customer Premises Equipment og er at andet navn for din hjemmerouter.

Det er formentlig ikke korrekt at kalde det for Minimum Viable Product, men det er fandme hvad det er! https://en.wikipedia.org/wiki/Minimum_viable_product

Jeg lyder måske sur, men det er fordi den fucking router hjemme hos dig er skyld i DDoS der rammer andre imorgen, du kan simpelthen ikke være det bekendt!

"Jeg har fået den af YouSee/Stofa/Telenor/...." - hallo, så skulle du måske se på om du ikke er for nærig når du køber internet. Det kunne være så fedt med en varefakta for internet. Det kunne indeholde ting som, hvlke porte er blokeret og er der en model hvor du kan køre i bridge-mode og selv bliver ansvarlig for routeren.

Jeg ser det som en uskik at mange danske internetudbydere blot spreder router-affald som sjældent opdateres, men det er nok en konsekvens af få krav fra kunder, udover prisen der skal være i bund.

Hvad med dig selv!

I mange år har jeg brugt OpenBSD som min egen CPE. Der kommer opdateringerne løbende hvert halve år, og rettelser indimellem. Det har været så lækkert og nemt. Det har kørt på en Soekris 4801, Soekris 5501 og de lever stadig de stykker hardware!

Det giver en effektiv pris som er yderst lav, og sammen med nogle Access Points som ligeledes understøttes er jeg meget tilfreds med min installation hjemme.

Senere købte jeg så en open source OpenWRT baseret router, Turris Omnia, som har været så god at jeg aldrig fik skiftet tilbage til min OpenBSD - men det gør jeg en af dagene! Jeg har allerede skrevet om Turris Omnia tilbage i 2016 https://www.version2.dk/blog/open-source-router-turris-gennemgang-984572

Min Turris Omnia kostede også ligesom mine Soekris lidt mere end den billigste, men den kører upåklageligt! Dagens pris er vist EUR 329 eller ca. 2.500kr. Den kan så også mere end bare routing, men holdbarheden er nok for mig.

Den er baseret på OpenWRT og der kommer mange opdateringer løbende. Du kan se flere detaljer på https://github.com/CZ-NIC/turris-os med en oversigt over releases på https://github.com/CZ-NIC/turris-os/releases - wauuw. Der er faktisk flere end jeg lige troede! Nøgleord er ting som OpenVPN security update, Samba security update, ...

Hvis du har lyst til at se hvilke rettelser så har de også log over ændringerne https://gitlab.labs.nic.cz/turris/openwrt/tags?page=2&sort=updated_desc

Illustration: Screenshot Henrik Kramshøj

Hvorfor er din CPE, egen router og NAS box ikke opdateret i samme hastighed?

Specielt når vi VED der er remote execution sårbarheder, faste kodeord fra producenterne, åbne services som ikke giver mening osv.

PS Tilføjelse kl 16:04 Det officielle soundtrack til dette indlæg er https://www.youtube.com/watch?v=dQw4w9WgXcQ fordi jeg elsker OpenBSD og PF knows the rules ;-)

16:39 forklaring på CPE tilføjet, tak for kommentar nedenfor Bjarne!

Kommentarer (71)
Yoel Caspersen Blogger

CPE?

Customer Premises Equipment - typisk en WiFi-router.

Ud fra listen over sårbare devices ser det dog ud til, der primært er tale om skrammel folk selv køber i Elgiganten og Bilka, og ikke routere, der typisk uddeles af danske internetudbydere.

Internetudbydere vil som regel også have en plan for løbende firmwareupgrade, alene af den årsag at supportbyrden bliver mindre, hvis fejl i udstyret løbende rettes.

Et enkelt mærke stikker dog ud: Mikrotik. Man skulle tro, det primært var IT-professionelle, som købte den slags, og sørgede for at holde softwaren opdateret (det er der, så vidt jeg ved, endda en meget brugervenlig funktion til i Mikrotiks RouterOS).

Jens Mikkelsen

Jeg har en af de routeren der er potentielt ramt af dette og er faktisk imponeret over mængden af opdateringer tror der har været 4-6 på de sidste 6 måneder
Jeg kunne dog godt tænke mig at de meldte ud hvordan man kan se om ens router er inficeret, for det står ingen steder.

Henrik Mohr

Jeg synes din vrede blog grænser til victim blaming. Det er urimeligt at alm. mennesker skal forholde sig næsten professionelt til noget udstyr de får sammen med en internetydelse.

Du giver jo heller ikke folk skylden for elmålerens mangler. mht. sikkerhed.

Der er vist kun en måde at gøre dette bedre på. Den (gode!) gamle traver om produktansvar. At de firmaer som laver billige skrammel-routere tvinges til at lave dem til et vist tåleligt sikkerhedsniveau, inkl. en pligt til at sørge for at hardwaren er understøttet et passende langt stykke tid med firmwareupdates til mitigering af nye sårbarheder.

Cristian Ambæk

Jeg bruger en ældre bærbar med to ekatra USB til rj45 kabler med Debian og iptables med noget IDS, fail2ban med mere. Og det virker for mig rigtig godt.

For de teknisk snilde er det ikke svært at sætte ISP udstyr i bridge mode og opsætte dit eget, men det var jo ideen at ISP'erne enten tog deres ansvar eller fra lagde det totalt og at de kun levere bridge mode udstyr så andre kan komme til

Thomas Hedberg

Tror du har fat i noget af det rigtige.

ISP'er skal naturligvis være ansvarlige for opdateringen af det udstyr de installerer hos forbrugeren forbindelse med installationen.

For forbrugerens eget udstyr må øget produkt ansvar, en mærknings ordning og selvom jeg ikke normalt er fan af built-in obsolescence, så er det måske nødvendigt i en eller anden form.

Claus Thorsen

Min router er dyrere end din router, så du snyder... Prøv lige at vende den igen.

Mange køber internet adgangen som en færdigpakket serviceydelse (fx igennem en aftale gennem arbejdsgiver) og her leveres routeren, der nu engang er gatekeeper til familiens IT-enheder. Dette sælges som en plug-n-play løsning, hvor ISPen også står for opdateringer.

Hvis du skal lange ud efter nogen her er det dels de ISPer der tillader sig at leverer dårlige routere og dårlige opdateringsprocesser og dels de politikkere der der i deres naivitet tillader det regelløse IT wild west der er konsekvensen.

Det er korrekt, at hr og fru Jensens IT er platform for angreb. Men det er også korrekt, at der ikke findes regler om at de skal forhindre det, og ofte har de ikke den fjernest kompetance til at gøre dette. En ændring af dette starter ikke med at skælde hr. og fru Jensen ud.

Ser vi på ISPerne er det ynkeligt, at de ikke vælger at levere en sikker service uden at regelhammeren tages frem, men det er jo traditionel kapitalistisk snæversyn.

En ændring kommer kun igennem en politisk indsats, og den skal inddrage ISPere, producenter og kunder. Dette rækker langt ud over Danmark, men man kan jo starte i egen hønsegård eller animerer EU til at tage fat i sagen. Man har jo med GDPR vist, at man gerne stiller krav til hele verden, og det er der brug for.

Martin Jensen

Altså .. Mikrotik fixede den fejl i en patch i Marts 2017. At ikke have opdateret er ren og skær dovenskab, medmindre man kører noget meget kritisk på udstyret. Ved ikke hvor mange der understøtter online opdatering ala kpatch.

Det er meget nemt at opdatere på Mikrotik. Log ind på web interface. System -> Packages -> Check for updates -> Download & Install.. Efter det skal den bare genstartes hvilket tager et par minutter.

Christian E. Lysel

Min router kunne ikke vidersende IP pakker, når jeg streamede TV2 .... jeg blev nød til at slå unødvendige features fra, ISPen havde slået til. Helt almindelig features virker ikke, selvom man slår dem til ... Hvis jeg laver 3 firewall regler, virker regel nr 2 ikke, ectetera .... Det virker nogen gange helt tilfældigt, hvad der virker, hvornår.

Det eneste positive jeg kan sige, er at den forbruger 6W (siger min kamstrup måler), og det driver xDSL, wifi og 5 x 1 Gigabit ethernet forbindelser.

At sætte crappy router i bridgemode er ikke optimalt, da den stadigvæk kan angribes. Og køber jeg en løs bridge forbruger den alene 6 W, oveni skal en selvstædig router.

Men hvad kan konkurrer med 6 W forbruget, med xDSL, wifi og Gigabit switch ... jeg er ligeglad om det er BSD eller Linux

Jens Mikkelsen

Selvfølgelig må du det.
Netgear R7000, har egenligt indkøbt Ubiquiti edgerouter og et AP, men den Netgear er både stabil og nem at administrere så har ikke nået at få det op at køre endnu.
Det skal dog også nævnes at den seneste opdatering til R7000 til den gav automatisk opdatering, men det er ikke lige frem logisk, man skal definere i hvilke tidsrum den ikke må opdatere, i stedet for at sige hvornår den må...
Det må være fremtiden at routere selv kikker på et tidsrum hvor den normalt ikke bliver brugt og så selv opdaterer.

Hans Nielsen

Som at Cisco, som sidder mange steder på ISP siden, lader hån om standart DHCP håndtering. Så ikke Cisco udstyr kan blive ustabil.

Kan du håndtere 600/600 Mb fiber med inspektion og VPN på din Turris Omnia eller Soekris, uden det går ud over Latency ?

Ellers tror jeg at jeg holder mig til noget hardware NAT, så jeg kan spille FPS uden at blive skudt i ryggen. Og henter filer med fuld hastighed.

Det meste fiber udstyr kan bridge. Ved lorte* ISP stofa, kommer du dog typisk bag dobbelt nat 44 (eller hvad de nu kalder det). Som betyder at du deler Offentligt IP. Det kan giver typisk problemer med spil, opdateringer, VPN, Mail og at IP er blokeret på grund af andres (mis)brug. Det giver også lidt mere Latency. Eneste fordel, er nok hvis man piratkopier.

Har selv prøvet udstyr dyrt udstyr som sonicwall, men synes ikke sikkerheden er bedre på det dyre udstyr. Da dem som normalt bruger noget sådan, også er mere saftige at få fat i. Desuden er løbende support og opdateringer dyrt.

Det billige udstyr kan være lige så godt. De mange enheder der bliver solgt, betyder en meget laver "kina" pris. Og hvis man holder sig til nogle gode mærker som TP-Link** så kommer der også fejlrettelser, og man kan skifte bokse 10-100 gange, for hvad det dyre udstyr koster.

  • Deres fiber del fra Syd Energi er fint, når man ikke skal tilgå deres kundeservice. Men deres kundeservice, hvis man kan kalde det det, giver dem en karakter alene på 00

** Hvis andre har gode mærker eller erfaring så skriv det gerne. ?
Leder efter en billig standard routere, hvor man kan udskifte fabriks firmware. Så man installere åben software ?`

*** Vil i anledning af ** gerne advare mod D-link. De har ikke en godt opdateringer efter køb, og deres software er tit fyldt af fejl. Har især dårligt erfaringer med deres trådløse routere.

Bjarne Nielsen

Hvordan ser det ud herhjemme med at få alt nødvendig info fra isp til at skift deres ud med ordenligt hardware, ...

Og det er vel den ene halvdel af problemstillingen. Jeg har også anskaffet mig noget, som jeg mener er kram, men jeg har sat den op bag kassen fra ISPen (som jeg nu ved hedder en CPE, takker!). Jeg orker ikke at skulle overbevise en 1st level supporter om, at evt. problemer ikke er selvforskyldte, hvis ikke jeg har den kasse at pege på (og helst med tæt på factory settings). Langt fra optimalt, men jeg har andet at bruge tiden på.

Den anden halvdel er, at flertallet af os (ja, ikke læserne her, af danskerne i almindelighed) nok ikke har så mange andre kriterier end prisen at kigge på, når vi skal vurdere om det skal være det ene eller det andet. Og så bliver det designet og ikke indmaden, som bliver udslagsgivende. Beklager.

Er man lidt mere fremme i skoene, så kan man spørge den lokale netværksmand i firmaet, men her får man ofte at vide, at de bruger professionelt udstyr og det nok er at skyde over målet som privatperson. Og så er man lissom lige vidt.

PS: Den "tredje halvdel" er så, at man ikke får nogen ros fra de "indfødte" for at rode med netværket imellem 16 og 8 på hverdage eller i ferier og weekender!

Jens Jönsson

"Jeg har fået den af YouSee/Stofa/Telenor/...." - hallo, så skulle du måske se på om du ikke er for nærig når du køber internet.

Jow, det er der rigtigt mange der er. Men hvordan får du Hr. og Fru Jensen til at forstå at det altså koster noget at levere Internet til dem ?

https://en.wikipedia.org/wiki/VPNFilter

Umiddelbart er det gamle enheder, som jeg ikke tænker er i brug som ISP ejede enheder i DK i dag. De er vel forlængst udskiftet ?

Er det kundernes eget udstyr, så er problemet med sådanne æsker, at der ofte ikke er en automatisk opdateringsfunktion indbygget. Det er vel producentens ansvar at implementere det (med en fungerende fallback løsning, skulle der være fejl i firmwaren, hvilket jo kan ske), og vel næppe ISP'ens ?

john rue andersen

mikrotik routere/wireless bruger alle RouterOS og deres dedikerede switche bruger SwOS.
vpnfilter malware blev de-bugged i marts 2017, efterfølgende opdateringer fjerner al kendt malware og lukker det af.
- RouterOS bliver opdateret 1 ugenligt med bug fix, smårettelser og nye ting -og 3 måneder major updates cirka. når routerOS bug fix er ude bliver alle +100 routere/access points/switches produkter mulighed for opdate. (well, bruger iværksat)
mine egne ccr1009, ccr1016 og ccr1036 gør dette under 35 sekunder - og brugerne opdager det aldrig.
mvh

Benny Lyne Amorsen

Det er meget nemt at opdatere på Mikrotik. Log ind på web interface. System -> Packages -> Check for updates -> Download & Install.. Efter det skal den bare genstartes hvilket tager et par minutter.


Det er helt vildt nemt. Bortset fra den procent eller to som ikke kommer op igen efter opdateringen. Og at den automatiske hent-funktion har skiftet syntaks for nylig (altså CLI-version) og i øvrigt i sig selv er relativt ny. Nå ja, og så skifter opsætning af den indbyggede switch fuldstændigt, så man skal lige huske at vælge bugfix-release, ikke current.

Bare for at gøre det rigtigt sjovt så ligner https://mikrotik.com/download/changelogs/release-candidate-release-tree altså at man skal igennem hele møllen igen-igen, selvom der ikke er nogen CVE annonceret endnu.

Denny Christensen

... at min gamle mor for at tilfredstille dit behov for perfekt opdateret udstyr kravler gigtplaget rundt og genstarter, installerer, patcher og beskytter sin adgang til BT.DK via et netværk af sofistikeret hw og sw.

Come on....skriv artiklen igen og ret den mod leverandørerne alene.

Martin Pedersen

Det billige udstyr kan være lige så godt. De mange enheder der bliver solgt, betyder en meget laver "kina" pris. Og hvis man holder sig til nogle gode mærker som TP-Link** så kommer der også fejlrettelser, og man kan skifte bokse 10-100 gange, for hvad det dyre udstyr koster.


Mener du helt seriøst at TP-Link er et godt mærke?
Alt TP-Link jeg har haft fingre i har været ustabilt, og haft væsentlig højere strømforbrug end andre mærker. Har du derudover tjekket hvor ofte dit TP-Link udstyr poller eksempelvis a.root-servers.net?

Henrik Kramshøj Blogger

Hej

Jeg smider næsten altid harddisk eller nu SSD i mine mindre enheder. Jeg synes det blev for bøvlet med CF-kort osv.

Jeg brugte http://www.nmedia.net/flashdist/ som nu linker til http://www.mindrot.org/projects/flashboot/

Det virkede snildt med flashdist med en liste over filer der skulle med på kortet og så lavede den image.

og tak for alle de mange kommentarer. Vi er nok herinde enige om at selvom en opgradering er tilgængelig, og det er nemt med menu X og det kun tager 5 minuter - hvis man har passwordet og kender IP adressen osv. Så ER det ingen garanti for at det sker :-(

Mht at rette skytset det rette sted, så ja - ISP'erne gør det ikke af egen drift. Derfor tænker jeg vi må igang med at bearbejde den almindelige befolkning, så de kan gøre det mere værd at behandle det politisk.

Det er også svært at anbefale produkter, men det er IMHO bedre at sige Turris er godt, men ikke at Netgear/D-link osv er dårlige. Vi har allesammen dårlige erfaringer med bestemte produkter - spørg mig om Junos en dag over en øl :-)

Så TL;DR vi skal have gjort routere i Danmark mere resistente overfor angreb, og det rammer også hustanden selv hvis de er åbne og hullede.

Yoel Caspersen Blogger

Hvis ISP'en fik erstatningsansvar for følgeskader af det usikre og derfor defekte udstyr de spreder er jeg sikker på det vil ændre deres indkøbskriterier.

Skal vi ikke lige få aflivet den her myte en gang for alle: På nuværende tidspunkt er det ikke danske ISP'ers CPE'er, der er ramt af VPNFilter.

Det er derimod skrammel, som folk selv køber i Elgiganten og lignende steder, og ofte tilslutter i den tro, det er bedre end den CPE, ISP'en udleverer.

Kenn Nielsen

Hvis ISP'en fik erstatningsansvar for følgeskader af det usikre og derfor defekte udstyr de spreder er jeg sikker på det vil ændre deres indkøbskriterier.


Jamen i danmark er det jo skadelidte som skal bevise et tab, for at kunne opnå en erstatning.
Så langt hen ad vejen er det en gratis omgang med "erstatningsansvar".

Med mindre det bliver bøder, som tilfalder staten
Men så er det bare en skat, som overføres til kunden, - javel vi har så muligvis (kunden har jo indirekte betalt for indfrielsen af forventningen om at have) fået højnet sikkerheden til en ekstra - ugennemskuelig - pris.

K

Thomas Mørch

Jeg har lige været igennem en større omgang med min ISP, der hårdnakket påstod at deres udstyr ikke fejlede noget.

Jeg har fået deres udleverede CPE sat i bridge mode, og har min egen router bagved (openwrt/lede). Problemet var at der var rod i deres route opsætninger, så incoming connections fra internettet havnede et andet sted, end ved min router. Men de kunne komme ind på deres udstyr (påstod de). 5 forskellige kundeservice medarbejdere blev ved med at påstå at de ikke havde problem, og når jeg talte om traceroute så stod de "unge piger" helt af.. og blev sure på mig, da jeg insisterede på at komme til at tale med en teknisk kompetent person.

Endte med at springe på facebook for at få en email jeg kunne sende debug info til.. En time efter jeg havde sendt mail med traceroute og beskrivelser virkede mit internet igen, og deres backoffice ringede og undskyldte..

Dermed sagt, internet udbyderens kundeservice får nemmere ved at afvise support i tilfælde af fejl, hvis man har valgt "avancerede opsætninger", og deres kundeservice er ikke altid gearet til rigtig teknisk support, ud over "Har du tændt på kontakten" typer..

Henrik Kramshøj Blogger

Mener du helt seriøst at TP-Link er et godt mærke?

Jeg vil godt give mit besyv med her. Jeg køber med glæde TP-Link switche, fordi de har nogle modeller der passer mig godt. Metalkabinet, indbygget strømforsyning, passiv køling osv.

Deres andre enheder er sådan ca. samme kvalitet som resten af feltet, få opdateringer, mange nye modeller, kvalitetsproblemer med visse features = dårlig QA for software.

Deres software stoler jeg absolut ikke på! Derfor skal management gerne sættes på sit eget VLAN, og så er det "tåleligt". Prisen er så også under halv pris af en Juniper EX typisk , så derfor køber jeg dem.

Når de mange enheder ofte er baseret på Linux er det specielt irriterende at pakkerne og softwaren på dem ikke vedligeholdes løbende.

En anden ting med det "professionelle udstyr" er at de ofte kræver support for at få adgang til softwareopdateringerne - hvilket så igen hæmmer udbredelsen af sikkerhedsrettelser.

og til PHK, jeg mener ikke at have talt imod producentansvar. Jeg tror bare ikke det på kort sigt bliver gennemført. Hvis EU satte et krav om at CPE enheder skulle understøttes med software i eksempelvis 5 år ville det til en start være OK. Delt ansvar mellem ISP og producent. ISP ville så sikre sig i højere grad at få softwaren udleveret eller lignende.

og lille PS. Nu taler vi denne gang om VPNFilter, men der er eksempler på at 100.000s af routere ownes - eksempelvis Deutsche Telekom sidste år, som burde være dygtige folk.

Henrik Kramshøj Blogger

Skal vi ikke lige få aflivet den her myte en gang for alle: På nuværende tidspunkt er det ikke danske ISP'ers CPE'er, der er ramt af VPNFilter.

Det er derimod skrammel, som folk selv køber i Elgiganten og lignende steder, og ofte tilslutter i den tro, det er bedre end den CPE, ISP'en udleverer.

Jeg skrev specifikt, i starten af teksten:

Den slags er hverken nyt, første eksempel, sidste eller noget som helst. Just another day at the office.

Vi andre snakker om CPE'er generelt, og fortæller du mig - mens du ser mig direkte i de virtuelle øjne, og uden at blinke. AT de danske ISP'ers udstyr er "godt"? Siden den klassiske skildpadde Cisco 677 som en cybercity ansat smadrede hver gang de kom med ny firmware til den, har det været utilfredsstillende.

Du er jo ISP Yoel, så jeg ville langt hellere have hørt dig sige, vi har valgt X som er pissefedt og opdateres hele tiden, og vi fik management med, så ca. 98,5% altid er opdaterede. :-)

Så ja, det man købe på tilbud i Aldi ved siden af mælken kan sagtens i min optik være på samme niveau, og begge to er formentlig ringe ...

Yoel Caspersen Blogger

Vi andre snakker om CPE'er generelt, og fortæller du mig - mens du ser mig direkte i de virtuelle øjne, og uden at blinke. AT de danske ISP'ers udstyr er "godt"?

Man skal ikke rette bager for smed, og det er (med den viden, vi har nu) det du gør, når du giver udbyderne skylden for at sprede billige, sårbare routere på markedet.

Danske udbyderes CPE'er er ikke, hvad du vil kalde "godt", for det vil kunderne ikke betale for - men det er bedre end hr. og fru Jensens grej, som er købt i Elgiganten, alene af den årsag, at det bliver opdateret løbende.

Man kan ikke drive en seriøs ISP-forretning uden at opdatere sine CPE'er med jævne mellemrum - fx så vi omkring årsskiftet, at Google gennem en bug i deres firmware til Chromecast og Google Home fik adskillige WiFi-netværk baseret på Broadcom-chipset til at gå ned. En sådan situation kan kun håndteres, hvis man kan opgradere firmwaren i CPE'en, og den koster udbyderen tab i form af øget support, sure kunder osv. Så set fra en kommerciel vinkel har ISP'en gode grunde til at opgradere firmwaren løbende, da færre fejl holder kunderne glade og aflaster supporten.

En CPE-producent, der sælger til hr. og fru Jensen har derimod intet incitament til at producere bugfixes efterfølgende, tværtimod. En 2 år gammel router, der "føles defekt", resulterer blot i, at producenten kan sælge den nyeste model med endnu flere antenner end den forrige.

Jeg synes godt om din idé om at pålægge 5 års vedligehold på selve hardwaren (og dermed også den indbyggede software). Det bør dog som udgangspunkt gælde al elektronik, der kan sluttes til internettet og i særdeleshed elektronik, der købes af private brugere.

Du er jo ISP Yoel, så jeg ville langt hellere have hørt dig sige, vi har valgt X som er pissefedt og opdateres hele tiden, og vi fik management med, så ca. 98,5% altid er opdaterede. :-)

Nu var mit ærinde ikke at reklamere for min egen forretning, blot at påpege, at VPNFilter ikke umiddelbart har noget med de danske internetudbydere at gøre.

Men siden du spørger: På DSL og fiber anvender vi Inteno, der er baseret på en fork af OpenWRT. Der kommer jævnligt nye opdateringer fra Inteno, og vi ruller selv upgrades ud, når der er sikkerhedsopdateringer eller væsentlige fejlrettelser. På coax anvender vi den samme elendige Sagemcom-router som alle andre coax-udbydere på TDC's coax-net, da det er den eneste mulighed på nuværende tidspunkt. Men selv den bliver faktisk også opdateret - sidste update er ca. 1 måned gammel.

Martin Pedersen
Povl H. Pedersen

Ansvaret bør være ISP'ens. Hvis de leverer routeren, så bør de holde den opdateret. Hvis den er out of support, så bør de skifte den.

De burde kunne få råd til at levere OpenWRT baserede routere til folket. De er ikke meget dyrere, det er vel samme hardware. Dem kan de opgradere.

Problemet er vel bare at operations er gået fra at overvåge, tune og justere (det hedder vist devops i dag) til at være en eventdrevet disciplin, hvor man prioriterer incidents efter hvor mange kald der kommer ind, og sætter firmaets ene ekspert til at løse det. Og hvis kunder ikke ringer ind og beder om en routeropgradering, så er der ikke noget problem. Ikke før DDoS begynder at være så stort et problem på linierne at det giver kald ind.

Drift er afskaffet de fleste steder i takt med at man ikke længere uddanner nye medarbejdere, og dermed har mangel på dem. Ingen uddanner mere, alle vil kun ansætte erfarne medarbejde.

Hans Nielsen

Unifi udstyr, .... da man jo også skal have controller software kørende til at administrere det.


Hvis vi taler WIFI. Nogle af deres enheder køre nu fint uden administration, hvis vi kun taler 2-3 stykker. Det skal bare sætte op første gang. Deres dækning WIFI, er også nok det bedste jeg har set til prisen.

Men det gør ikke deres Firewall/Routere sikre og hurtigere end andet jeg har set.

Martin Pedersen

Hvis vi taler WIFI. Nogle af deres enheder køre nu fint uden administration, hvis vi kun taler 2-3 stykker. Det skal bare sætte op første gang. Deres dækning WIFI, er også nok det bedste jeg har set til prisen.

Men det gør ikke deres Firewall/Routere sikre og hurtigere end andet jeg har set.


Det er korrekt, det kører fint uden administration. Men netop angående sikkerheden, så er du nødt til at køre deres controller for at opdatere enhederne. Kommer lige i tanke om at man vidst også kan gøre det udelukkende via deres mobil app.
Hvis du holder dem opdateret, så er jeg nu ret sikker på at de har mere sikre produkter end det du finder i Elgiganten, specielt fordi Ubiquiti konstant kommer med sikkerhedsopdateringer.

Hans Nielsen

TP-Link jeg har haft fingre i har været ustabilt


Der har været et problem med CISCO (fiber) og DHCP, som har gjort TP-Link og næsten samtlige andre routere ustabile. En opdatering til nyeste firmware løser det.

Hvis du desuden laver en regel, om at den skal genstarte en gang i døgnet, så har jeg kun oplevet dem som stabile. - Hermed menes der tænd/sluk 5-6 måneder af gangen.

Du skal også i den forbindelse tænke på prisen og segmentet. Vi snakker om routere til 300-600 kr, som har et udmærket WIFI. Har hardware NAT, så de kan klare 1 Gb fiber. Samt kan nok, for de fleste privatpersoner og mindre firmaer.

Men vil da gerne høre om du kender andre mærker i 500,- kr klassen, som er bedre, hurtigere, sikrere og mere stabil ? (*)

PS: Og hvor mange huller er det lige at CISCO har, og hvor ringer den hen.

  • Hvis du gør det, så vil jeg da lige teste dem. For jeg vil da gerne anbefale noget som bedre. Især på sikkerhed fronten. Noget som de mindre og billigere routere ikke er gode til, er hvis du sætter for mange inspektion og sikkerhed til. Så kan de ikke følge med. Især på latency. Men lige bortset fra nogle simple DOS angreb, så tror jeg heller ikke at det giver den store sikkerhed. Lige Bortset fra LOG. Men du skal huske at smertegrænsen for de fleste private nok er omkring 1000,- og for mange noget før. Et godt WIFI kan sælge en lidt dyreenhed, og det har TP-Link i FORHOLD TIL PRISEN. Noget jeg skal prøve ?
Michael Cederberg

Når jeg kigger på routere/modems så virker det som om de consumer devices jeg kan købe og dem man får udleveret af ISP’en alle er bygget på de samme chipsets og dermed også ganske få kerner. I grundsubstansen er de software- og hardwaremæssigt nogenlunde ens (hvis man ser bort fra bygge kvalitet), selvom der altid er forskel med features.

Jeg kan ikke vurdere hvor hurtigt diverse ISP’er fikser sikkerhedsproblemer – den slags synes at være hemmeligt – men jeg kan se at det kan tage meget meget lang tid før de fikser funktionelle problemer og UI er typisk fuldstændigt latterligt. Det giver ikke en god følelse i maven omkring kvalitet. Det kan sagtens være at OEM’en fikser alle disse problemer hele tiden, men det ser ikke ud til at ISP’erne opdaterer software så often …

Af samme grund har jeg valgt at køre med både ISP’ens modem-router og min egen router bagved. Det giver dobbelt NAT og i praksis ingen problemer som ikke nemt kan fikses..

PS: Kender man attack-vector for VPNFilter? Jeg har ikke set det beskrevet nogen steder.
PPS: Det er meget fint med pfSense, OpenWRT og TurrisOmnia, men ingen af dem tillader hardware based routing eller 802.11ac uden at man bruger en closed source driver og i mange tilfælde slet ikke.

Gert G. Larsen

Hvilket hardware kan I anbefale, til at fungere som router og firewall på en 1000/1000 Mbit/s internetlinje?
Min gamle Cisco 5505 kan slet ikke følge med, så lige nu bruger jeg ISP'ens skrammel fra Zyxel, der faktisk hastighedsmæssigt performer OK.
Jeg er frisk på *BSD, eller tilsvarende, men mangler den gode og stabile, og lidt prisvenlige, hardware til at køre det på.

Loke Dupont

På coax anvender vi den samme elendige Sagemcom-router som alle andre coax-udbydere på TDC's coax-net, da det er den eneste mulighed på nuværende tidspunkt. Men selv den bliver faktisk også opdateret - sidste update er ca. 1 måned gammel.

Det er simpelthen noget af det værste skrammel den der Sagemcom router. Den har en underlig tendens til at stoppe med at fungere hvis man bruger sin interforbindelse til mere end lige opdatere Facebook. Den er vist kun semi brugbar i bridge mode.

Jørgen Elgaard Larsen

Jeg skulle gerne indkøbe en kvalitetsrouter, konfigurere firewallen og holde alting opdateret. Hvis ellers...

  • jeg kunne stå nede i butikken og afgøre, om den ene router er bedre end den anden
  • jeg kunne købe en router og være sikker på, at den kan køre f.x. openWRT - også med det chipset, som producenten har proppet i netop denne revision af routeren. Og også om 5 år.
  • jeg kunne slå WiFi fra i IPS'ens skodrouter: Den står i bridge mode, men har stadig aktivt WiFi (WTF?!?) Og nej, jeg kan ikke vælge en anden ISP - FullRate var de eneste, der ville levere ADSL over krøllet sejlgarn en milliard kilometer fra centralen.
  • ISP'en bare leverede en RJ45 ethernetport og ikke blandede sig i firewall og WiFi.
  • jeg ikke skulle bruge oceaner af tid på at finde ud af, hvilken router, der er acceptabel lige i denne uge.

Hvis jeg ikke vidste noget om netværk og sikkerhed, ville jeg gerne bare have, at jeg kunne se på routeren i butikken, om den var sikker og god - og at der ikke stod "nej" ud for begge dele på alle routerne i butikken.

Det er iøvrigt ikke lykkedes mig at finde en SOEKRIS i hverken Elgiganten eller Bilka, så hvordan skulle almindelige mennesker overhovedet vide, at den eksisterer?

Henrik Hansen

Du kommer heller ikke til at kunne finde en Soekris i hverken Elgiganten. Power eller Bilka lige foreløbigt:

April 24, 2017

Due to declining sales, limited resources available to design new products, and increased competition from Asia, Soekris Engineering, Inc. has suspended operations in the USA as of today.

It has been our pleasure to serve our customers over the last 16 years. We are proud that we provided reliable, low-power communications computers Made in the USA to many markets worldwide.

Thank you for your business.

So long and thanks for all the fish...

Allan Eising

ISP-verdenen er desværre drevet af meget lav profit - med privat-kunder handler det hele om volume, og holde omkostningerne pr. kunde så lav så mulig. Det betyder desværre at det er nogle skrammel-produkter, der sendes afsted.

En gang var din CPE naiv. Det var en simpel router, der lige akkurat gav dig en IP-adresse, og så ikke specielt meget mere. Men så gik folk ned i elgiganten, og købte den billigste router de kunne købe, og ringede til kundeservice når det ikke virkede.

Jeg tror at dette har gjort at man har øget funktionaliteten på CPE'erne, på bekostning af kvaliteten. At man typisk skal levere VoIP og IPTV på samme dåse, hjælper ikke akkurat.

Det her er et af de problemer, jeg ikke har en løsning på. Det er fint, når man som Kramse kan installere OpenBSD på noget hardware man har købt og samlet selv, men det kan jeg ikke ligefrem anbefale min nabo, min ikke-tekniske kollega, eller min gamle mor.

Jeg kan heller ikke anbefale mine kollegaer (hvis jeg havde den indflydelse) i ISP-miljøet at sænke funktionalitets-niveauet (og dermed attack-vectors) i deres routere, for så køber folk bare noget skrammel i elgiganten, med samme udfordringer.

Henrik Kramshøj Blogger

Det her er et af de problemer, jeg ikke har en løsning på. Det er fint, når man som Kramse kan installere OpenBSD på noget hardware man har købt og samlet selv, men det kan jeg ikke ligefrem anbefale min nabo, min ikke-tekniske kollega, eller min gamle mor.

Hvis vi fik lag 7+ til bare at forstå at en middelmådig IT konsulent kan lave sin egen router selv, og det kræver få konfigurationsændringer til eksisterende produkter - OpenWRT/OpenBSD. Så burde vi måske kunne få dem til at kræve at routerproducenterne open sourcer, eller deler deres ændringer af OpenWRT til ISP?

Så vi får en situation hvor ISP selv har en rimelig mulighed for at ændre, opdatere og rette for dem kritiske fejl og mangler?

Per Mejdal Rasmussen

Selv om CPE'en fra din ISP er sat i bridge mode. Så er det stadig muligt at hacke den igennem ISP'ens maganenetværk. Hvorefter det er muligt at aflyttet og manipulere alt traffik der ikke er krypteret eller ikke er beskyttet imod "man in the middle"-angreb. For eksempel DNS traffik.

Allan Eising

Jeg går ud fra at du mener ISP'ens lukkede management-netværk?

Jeg vil vove den påstand, at hvis du får adgang til det net, så har ISP'en langt større problemer.

Management netværk skulle helst gerne være helt isoleret, kun med tilgang for ISP'ens tekniske personel og -systemer via sikrede bastions (jump-hosts).

Per Mejdal Rasmussen

Vi mangler også at få ad vide hvilke huller der er blevet brugt af VPNfilter. Hvad hander problemet enligt om. Kræver det for eksempel at en PC er inficeret på LANet, og router kører med default password? Så det der igenmen er muligt for ormen at installer en anden firmware. Eller kan det klare bare n enhed besøger en inficeret hjemmeside, der via javascript får browseren til at logge ind på lokalrouteren? eller noget helt andet...

Per Mejdal Rasmussen

Her er mine råd:
* Almindelige brugere skal ikke køber en router, og vi nørder skal holde ISPerne op på at de lave nogle sikreløsninger.
* Wannerbe nørder skal lære at skrifte default koden, og holder deres udstyr opdateret. Endnu bedre ville det være hvis det var muligt at få noget udstyr uden default kode, og som holder sig selv opdateret.
* Rigtige nørdere kører en fuld Linux eller FreeBSD, som holder sig selv opdateret.

Baldur Norddahl

Og nej, jeg kan ikke vælge en anden ISP - FullRate var de eneste, der ville levere ADSL over krøllet sejlgarn en milliard kilometer fra centralen.

Du kan skifte til en vilkårlig udbyder uden at der sker andet end der ændres lidt i VLAN opsætningen på DSLAM på centralen. Så jo det kan du godt. Også selvom det måske er rigtigt at Fullrate en gang var de eneste der kunne finde ud af at få etableret linjen. Et skift er noget helt andet.

Baldur Norddahl

Management-netværket til CPE-udstyr er jo lige netop ført ud til alle husstandes CPE udstyr.

Vi har ikke noget management netværk til CPE udstyr. Vores CPE modtager oplysninger via DHCP. Så ja hvis du har hacket vores DHCP server, så kan du hacke CPE'erne.

Dog ikke dem der er i bridge mode for de lytter ikke til DHCP og har ingen IP adresse. Vi har ingen kontrol over dem. Hvis de skal firmware opgraderes må brugeren midlertidig tage den ud af bridge mode og genstarte.

Yoel Caspersen Blogger

Intersandt. Jeg antog alle gjore det på samme måde. Men ikke hos gigabit.dk. Hvad så hvis man faker sin nabos MAC-adresse i DHCP requesten. Får man så hans WiFi kode?

Jeg antager, vi her taler om Inteno-CPE'er som både Gigabit og Kviknet anvender. I Kviknets setup (og Gigabits, antager jeg) er WiFi-koden genereret lokalt i CPE'en og styres således ikke centralt.

DHCP-forespørgslen returnerer en URL til en generisk config-fil, som ikke indeholder noget hemmeligt. Du får således ikke noget ud af at forsøge at fake en DHCP-forespørgsel fra din nabo.

Baldur Norddahl

Kom med et korrekt eksempel på en ISP der ikke udlever CPE-udstyr til private.

Lad mig gentage mig selv: På fiber leverer vi en mediekonverter. På xDSL kan man på forespørgsel få et modem (DSL mediekonverter).

En mediekonverter har ingen IP adresse, kan ikke lave NAT funktioner og kan ikke lave nogen layer 3 funktioner i øvrigt overhovedet.

Kunden skal selv købe en router. Man kan valgfrit vælge at købe en af os. Eller man kan købe en i Elgiganten, lave sin egen med PFsense eller hvad man nu har lyst til. Principielt kan man også sætte en computer direkte til, men så kan man kun have én computer.

På xDSL er prisen på modem ligeså høj som på en router. Derfor følger der en router med som standard. På fiber er mediekonverteren derimod væsentlig billigere end en router med indbygget GPON. Samtidig er vi ikke tilfredse med de GPON routere der findes. Derfor skal man have sin egen router.

Jacob Rasmussen

Jeg skulle gerne indkøbe en kvalitetsrouter, konfigurere firewallen og holde alting opdateret. Hvis ellers...

Linksys WRT1200AC. Den fås for 1.046 kr. i Bilka.
Elgiganten har den lidt større model, WRT1900ACS for 1.199 kr.
Samme model fås til 1.299 kr. i Bilka.
Der findes også en WRT3200ACM til 1.992 kr i Bilka.

Modellerne er udviklet i samarbejde med OpenWRT, og kan således helt med producentens velsignelse, forsynes med open source firmware.
Jeg har haft 3-4 stykker i hænderne, og de to af dem fik en OpenWRT firmware installeret. Det har indtil videre ikke været noget der gav anledning til bekymring.
Man kan selvfølgelig også blot køre videre med Standard firmwaren. Den ser ikke helt horribel ud.

Hans Nielsen

Et skift er noget helt andet.


Hvis du skifter på en ADSL forbindelse, så vil jeg anbefale dig Udstyr fra Draytek. De har udstyr med indbygget ADSL modem, er rimelige i pris, og kan en helt masse. Som SIP telefon og hardware VPN.
Den integreret modem fungere rigtigt godt, har selv oplevet at et skifte har betydet et fald i Latency i spil fra 50-60 til 30-40 ms.

Draytek er en lille spiller i Danmark og viden er ikke så udbredt.
Men hvis du har spørgsmål eller Ønsker hjælp, så ring og tag en snak med Henrik H. ved Draytek, han er altid villig til at hjælpe.

Discaler.. Er ikke ansat ved Draytek, men er en glad kunde og bruger. Der har været meget glad for deres produkter, Især VPN og SIP delen er de stærke på. Og tror ikke deres ADSL løsninger finde bedre i Danmark ?

http://www.draytek.dk/

Hans Nielsen

Re: Oplysningsgrundlag


Tak vil lige se på det, have ikke lige en Linksys i tankerne. Har ikke gode erfaringer med deres software og hardware. Men det er godt nok mange år siden. - Klog af skade :-)

Men at finde noget Kina OEM skrammel som kan køre OpenWRT uden problemer er fint. Når der er store volumener så er prisen jo tit en 1/20 af hvad man skal give de store etableret. Samme CPU og specifikationer, man må så leve med mere plastik, mindre køling og levetid, og måske lidt en lidt højerer DOA (Som jeg selv definer som bortgang inden for 14 dage efter tilslutning) Vil have det i tankerne.. Tak

Jacob Rasmussen

Men at finde noget Kina OEM skrammel som kan køre OpenWRT uden problemer er fint.

Nu blev OpenWRT og DD-WRT jo oprindeligt lavet til en Linksys router. Nemlig WRT54G. Den findes og produceres utroligt nok stadig, i en WRT54GL udgave. (L for Linux). Linksys har anderkendt at der bliver loaded andre firmwares på dem, og er stoppet med at forsøge at blokere det. Linksys ejes i dag af Belkin, men har været under Cisco i en del år. Belkin er amerikansk, men Foxconn har planer om at opkøbe dem.

WRT1200 / 1900 / 3200 er en 'reboot' af den gamle serie, hvor man fra starten har udviklet dem til at køre OpenWRT.

Der skal virkeligt ingen krumspring til, for at loade OpenWRT firmwaren på de nye modeller. Det er lige så nemt som at opdatere den oprindelige firmware. Når man går den modsatte vej, er der dog et par forholdsregler der lige skal tages.

Hvis du kigger bag på kassen, nævnes OpenWRT også, men det er dog i dag erstattet af LEDE (Linux Embedded Development Environment).

Yoel Caspersen Blogger

Hvis du skifter på en ADSL forbindelse, så vil jeg anbefale dig Udstyr fra Draytek.

Draytek er på nuværende tidspunkt ikke på TDC's whitelist over CPE'er, så de må som udgangspunkt ikke tilsluttes til en DSL, hvor TDC's DSLAM sidder i den anden ende, hvilket gælder størstedelen af de DSL-forbindelser, der anvendes i DK.

Der er dog ikke noget til hinder for at få et 1-ports modem fra TDC, og så tilslutte en Draytek-router bagefter.

Baldur Norddahl

Draytek er på nuværende tidspunkt ikke på TDC's whitelist over CPE'er, så de må som udgangspunkt ikke tilsluttes til en DSL, hvor TDC's DSLAM sidder i den anden ende, hvilket gælder størstedelen af de DSL-forbindelser, der anvendes i DK.

Hvis man kører ADSL så sker der mig bekendt ikke noget ved det. Kører man VDSL2 med vektoring, så kan man blive sparket ned på ADSL hastighed.

Den rigtige løsning er dog at bede om et modem. Hos os kan man få et modem på forespørgsel i stedet for en router/CPE.

Hans Nielsen

Draytek er på nuværende tidspunkt ikke på TDC's whitelist over CPE'er, så de må som udgangspunkt ikke tilsluttes til en DSL, hvor TDC's DSLAM sidder i den anden ende, hvilket gælder størstedelen af de DSL-forbindelser, der anvendes i DK.


Derfor virker det normalt alligevel :-)

Prøv at hør Henrik H. som jeg skriv hvis du har spørgsmål. Han også data til Dslam, hvis der skal ændres noget. Men som jeg husker det, findet den normalt det selv. Eneste ulemper, som ved skift af alt andet udstyr, det kan tage 1-2 timer før man får en ny IP fra DHCP fra TDC.

Hint: Som jeg husker det, kan man vælge en specielt version firmware version til Engelsk, hvis man har langt til centralen. De har gjort den mere robust over for støj og svage signaler. Nok på en bekostning af hastighed som man alligevel ikke får.

På det meste af deres udstyr, kan man også vælge en af Ethernet Lan Portene, og bruge den som Wan. Så der er 2 indgange. De resterede Lan porte kan også styres enkeltvis , med Båndbred Begrænsning og adgang til andre hinanden.

Jesper Kastrup

Hvis man vil have advanceret techsupport og high-end CPE, så må man jo
købe et professionelt produkt.

Hvis man køber et privatabonnement tilsvarende hr. og fru jensen's, så må man forvente CPE og support der er tilpasset den gennemsnitlige forbruger. Altså må man sætte sit standard udstyr på for at komme igennem 1. lvl support... Jeg synes egentlig ikke det er urimeligt.

Det hænger også sammen med erstatningsansvaret. Begrebet 'Adækvans' indenfor erstatningsretten dækker over at det skal være påregneligt for skadevolder at skaden vil lede til et tab (groft sagt).

Hvis en bank kørte deres aktiehandelsplatform over et privat bredbåndsabonnement ville de få svært ved at kræve noget som helst hvis linjen gik ned i 3-4 timer.

Jens Jönsson

Hvis ISP'en fik erstatningsansvar for følgeskader af det usikre og derfor defekte udstyr de spreder er jeg sikker på det vil ændre deres indkøbskriterier.

Og hvorfor skal ISP'en have erstatningsansvar ? Det er jo ikke dem der har produceret udstyret. De kan højst sende opdateringer afsted mod det.

Indkøbskriterier ? Den største udfordring for en ISP er at have for mange forskellige slags udstyr hængende ude. Det giver nye fejlmuligheder og kompatibilitetsproblemer, som kun koster blod, sved og tårer.

Som ISP må jeg sige at vi bruger mange ressourcer på at det udstyr vi benytter er så sikkert som muligt, det er stabilt og ikke kræver for meget support.
Support er tid, som der ikke kan opkræves betaling for. En kunde der ikke ringer til supporten med problemer er som udgangspunkt en glad kunde. Det fungerer og hun snakker positivt til andre potentielle kunder.

Det sjove ved sådan en debat som denne, er at mange har mange gode ideer. Men man kan tydeligt gennemskue at de aldrig har arbejdet indenfor området...

Log ind eller Opret konto for at kommentere