Yesss Firewall in Kombination mit Public IP / eingehende ICMP Packets blocken

opb

2 April 2015
469
247
Hab ich ebenfalls aktiv, geringere Akkulaufzeit hab ich aber nicht bemerkt.
Ja aber was bringt das? Ich bin echt happy dass die Geräte wenigstens a bat dazwischen haben und net direkt aus dem internet erreichbar sind! Tip lass es mal abdrehen und schau ob dann der Verbrauch weniger ist!
 

gst

30 Juli 2015
232
109
ja die FW wird schon alles zumachen wenn sie dicht ist bis auf ICMP und ICMP ist halt auch anstrengend für die Batterie

Die Firewall funktioniert offenbar überhaupt nicht wenn Public IP aktiviert ist. Mit rvictl/tcpdump sehe ich alle Pakete die am LTE Interface vom iPhone eintreffen und dort kommt TCP/UDP/ICMP alles ungefiltert durch.
 

gst

30 Juli 2015
232
109
@gst Hast du das von einem anderen Yesss Vertrag getestet?

Nein. Hatte dazu leider nicht die Zeit/Möglichkeit, werde aber berichten ob das Deaktivieren der Public IP etwas gebracht hat (Anfrage liegt derzeit beim Support).

Was ich getestet habe ist:
  • SIM Karten von anderen Providern auch in anderen Ländern. Bei gutem Empfang kaum ein Battery-Drain über die Nacht, bei schlechtem Empfang kann es zwar mehr Batterieverbrauch geben, aber nicht die 20% (oder mehr) die ich mit Yesss sehe.
  • Mobile Daten bei Yesss deaktivieren (am Handy): Genau dasselbe Problem wie davor. Würde zwar meiner Theorie widersprechen, aber ich bin dann draufgekommen, dass bei LTE ja die IP weiterhin zugewiesen bleibt auch wenn mobile Daten deaktiviert sind (nachdem LTE IP-basieret ist). Wenn ich am iPhone mobile Daten deaktiviere treffen externe Pakete damit weiterhin am LTE Modem ein, werden dann aber vom iPhone ignoriert (mittels tcpdump am LTE Interface vom iPhone überprüft dass das tatsächlich der Fall ist).
  • Bei Yesss am Webinterface mobile Daten deaktivieren: Absolut kein Batterieverbrauch über Nacht. Vielleicht 1% oder sowas. Handy hat (wie in den anderen Fällen auch) weiterhin eine Verbindung über WiFi gehabt, also Apps haben trotzdem Daten übertragen können. Leider habe ich dann erst am nächsten Tag bemerkt, dass das Deaktivieren von mobilen Daten bei Yesss offenbar auch LTE deaktiviert und die Verbindung nur 3G verwendet hat.
Meine bisherige Schlussfolgerung: Entweder LTE ist generell extrem ineffizient bei Yesss oder nur dann wenn mobile Daten und Public IP enabled ist. Ich habe einen hervorragenden LTE Empfang, vermute also dass es das Zweite ist. Ich weiss aber mehr, sobald die Umstellung erfolgt ist.

Diese Vermutung würde sich auch mit anderen Posts hier im Forum decken (dass mit Open Internet / Public IP der Batterieverbrauch höher ist und mit diversen Posts auf der Apple Website). Und ich vermute auch, dass dieses Posting auf der Apple Website dasselbe Problem beschreibt (der Poster dort dürfte nicht ganz sicher sein was das Feature das er aktiviert hat genau macht, aber für mich klingt das sehr sehr danach als ob dieses Add-On ihm eine öffentliche IP gegeben hat).

Hier ein Screenshot vom Problem:
Screen Shot 2021-12-18 at 12.03.13.png

Hardware Problem ist es definitiv keines (zumindest bei der Batterie), weil bis auf diesen zusätzlichen Drain durch LTE funktioniert die Batterie eigentlich sehr gut. Aber ja, im Apple Thread den ich oben weiter verlinkt habe gibt es hunderte andere mit demselben Problem, da dürfte ich also kein Einzelfall sein.
 
  • Gefällt mir
Reaktionen: killerbees19

gst

30 Juli 2015
232
109
Dann kannst du nicht beurteilen ob die Firewall funktioniert wenn du nicht ein Setup wie in #3 zum Testen verwendest.

Ich kann nicht beurteilen ob der Batterieverbrauch direkt mit der Firewall zusammen hängt oder generell ein LTE Problem ist. Ob die Firewall funktioniert oder nicht kann ich allerdings schon beurteilen und habe ich ganz am Anfang in meinem zweiten Posting erklärt:

Am IPhone kann man mit rvictl das LTE Interface am MacBook zugänglich machen wo man dann tcpdump drauf laufen lassen kann. Das heisst es ist extrem einfach zu testen ob eingehende Pakete die ich von meinem Server auf die IP vom iPhone schicke dort anlangen oder nicht (je nachdem ob ich sie in tcpdump sehe oder nicht). Und das tun sie. Egal ob TCP, UDP, ICMP - alles trifft trotz aktivierter Firewall ungefiltert am iPhone ein.
 
8 August 2014
1.964
1.067
Das heisst es ist extrem einfach zu testen ob eingehende Pakete die ich von meinem Server auf die IP vom iPhone schicke dort anlangen oder nicht (je nachdem ob ich sie in tcpdump sehe oder nicht). Und das tun sie. Egal ob TCP, UDP, ICMP - alles trifft trotz aktivierter Firewall ungefiltert am iPhone ein.
Dein Server hat aber keine SIM Karte von Yesss und damit auch keine Zuweisung zum selben Gateway. Du hast also nie die Aufgabe der Firewall (oder anders genannt Client Isolation) überprüft.

Dass Pakete von externen IP Adressen ankommen ist schlüssig, wenn es nicht die Aufgabe der Firewall ist diese zu filtern. Für diese Aufgabe ist bei den Mobilfunkbetreibern NAT vorgesehen.
 
  • Gefällt mir
Reaktionen: email.filtering

gst

30 Juli 2015
232
109
Dein Server hat aber keine SIM Karte von Yesss und damit auch keine Zuweisung zum selben Gateway. Du hast also nie die Aufgabe der Firewall (oder anders genannt Client Isolation) überprüft.

Dass Pakete von externen IP Adressen ankommen ist schlüssig, wenn es nicht die Aufgabe der Firewall ist diese zu filtern. Für diese Aufgabe ist bei den Mobilfunkbetreibern NAT vorgesehen.

Genau diese Rolle der Firewall bei A1 war mir eben ursprünglich nicht klar, weil der Support hinsichtlich meiner Fragen leider auch nicht sehr hilfreich war (die einzige Antwort vom Support war, dass es eine "600" und eine "700" Einstellung gibt, aber niemand hat erklären können was diese genau machen oder was der Unterschied ist).

Danke fürs Bestätigen dass das Firewall Setting allein bei meinem Problem damit eher nutzlos ist wenn die Public IP aktiviert ist. Wie oben geschrieben: Antrag um NAT wieder zu aktivieren ist schon weggeschickt und sobald es wieder aktiviert wird kann ich hoffentlich bestätigen, ob der Batterieverbrauch durch die externen Pakete verursacht wird.
 
  • Gefällt mir
Reaktionen: berni456

gst

30 Juli 2015
232
109
Kurzes Update: Support hat mir die Settings für Public IP und Firewall auf die Standardeinstellungen zurückgestellt und das Problem ist behoben. Bei Nichtbenutzung vom Handy gibt es auch keinen Batterieverbrauch mehr:

IMG_4962.jpeg

Einziges kleines Problem das mir aufgefallen ist, ist dass dadurch offenbar auch IPv6 deaktiviert wurde. Aber das werde ich glaubich so belassen bevor da wieder etwas verstellt wird. Oder würde bei IPv6 die Firewall eingehende Pakete (ohne zugehörige ausgehende Connection) blockieren?
 
  • Gefällt mir
Reaktionen: killerbees19

Aktuelle Themen

Wie zufrieden bist du mit yesss?