Kommt auf den Provider an. Die Telekom provisioniert auch Geräte, die auf dem freien Markt gekauft wurden.
Es gibt zwei Voraussetzungen: Der Provider muss das entsprechende Modell unterstützen, und die Zugangsdaten (Zertifikate) müssen in der Firmware des Routers enthalten sein. Letzteres ist meistens nur bei Provider-Geräten der Fall, denn die Zertifikate sind häufig Bestandteil der Provider-Additive. Soweit ich weiß, beinhalten freie Fritzboxen nur die Zertifikate von Telekom und 1&1.
Bei einigen Providern kommt hinzu, dass sie ihre Server nur mit Kundeninformationen versorgen, wenn sie auch einen Providerrouter gekauft haben. Da hilft dann nicht mal ein passendes Gerät, um die Autokonfiguration loszutreten.
Alles anzeigenHallo zusammen,
wie sieht es eigentlich mit der Autokonfiguration des Internetanschlusses via TR-069 / USP (TR-369) aus, wenn kein Provider-eigenes Gerät genutzt wird? Kann ich beispielsweise eine von mir auf dem Markt erworbene Fritzbox Fiber 5590 per USP einrichten lassen? Oder funktioniert USP nur über Provider-eigene Geräte?
Gruß
fnord
Fragt sich, wofür du dies nutzen willst /nutzen musst?
Der Provider muss dir ja die Zugangsdaten für Internet und Telefonie liefern. Die kann man dann ja selber eintragen. Also zum Beispiel in einem Router von Ubiquiti das Internet und die Telefonie in einem Gerät von Gigaset IP oder Grandstream. Muss ja nicht immer FB sein. 
Ich fand es aber sehr angenehm, dass neben Internet mit Zugangsdaten, Geschwindigkeit und VLAN-ID auch die SIP-Telefonie automatisch eingerichtet wurde.
Das hat auch den Vorteil, dass die SIP Zugängen garantiert richtig eingerichtet werden. In den Untiefen der Konfiguration verstecken sich üble Stolperfallen, die u.a. dazu führen können, dass Notrufe nicht funktionieren, während normale Telefonate funktionieren. Wenn man es merkt, ist es zu spät. Deshalb immer der dringende Hinweis, VoIP Rufnummern über ein vorgegebenes Profil oder über Autokonfiguration einzurichten.
Deshalb immer der dringende Hinweis, VoIP Rufnummern über ein vorgegebenes Profil oder über Autokonfiguration einzurichten.
Danke, war mir noch nicht bekannt.
So wie es sich anhört, bliebe mir bei einem EWE-Anschluss wohl nur die Nutzung vorgegebener Profile bei eigenem Endgerät?
Davon gehe ich aus. Ganz sicher weiß ich es nicht.
Alles anzeigenIch würde die Sache gerne nocheinmal anderes herum betrachten: welche Risiken bringt die Nutzung mit sich?
In der Vergangenheit gab es ja bereits eine Lücke im TR-069 Protokoll, wodurch Konfigurationen eingeschleust werden konnten.
Aber auch bei technisch fehlerfreier Funktion erhält der ISP ja Zugriff auch auf die CPE-Endgerätedaten. Wenn ich es richtig verstehe, sieht der ISP je nach TR-Konfiguration auch WLAN-Einstellungen (mit Passwort?), VPN-Konfiguration (mit Passwort?) und angeschlossene Geräte des Heimnetzes. Neben Sicherheitslücken reicht hier ja ein unloyaler ISP-Mitarbeiter aus, der beispielsweise eine VPN-Konfiguration ausliest und sich so Zugriff auf das Heimnetzwerk des Kunden verschafft…
Sehe ich das so richtig? Was sind eure Gedanken?
Der Provider dürfte/sollte mit dem TR-069 maximal die WAN-Seite lesen und schreiben dürfen. Der Rest müsste vollständig vor ihm verborgen sein. Wenn das nicht ist, dann sollte das Protokoll nicht benutzt werden.
Der Link mit dem Bild funktioniert bei mir nicht.
Aber ich kann bestätigen, dass über TR-069 erheblich mehr übertragen werden kann. Ursprünglich wurden im Entwurf sogar Dinge wie Zählerfernauslese etc. geplant, ich weiß aber nicht, ob die es am Ende ins finale Release geschafft haben. Also nicht nur Infos aus dem Router über Heimnetzkomponenten, sondern sogar Daten von den Komponenten selber können theoretisch übertragen werden. Ob jemand das in der Praxis nutzt, kann ich nicht sagen. Jedenfalls müsste der Kunde darüber wohl informiert werden (in Europa zumindest).
In der Vergangenheit gab es ja bereits eine Lücke im TR-069 Protokoll, wodurch Konfigurationen eingeschleust werden konnten.
Du beziehst dich da auf einen Artikel aus dem Jahr 2014 aus dem Heiseverlag?
Das Router im zweistelligen Millionenbereich 2013/2014 angreifbar waren?
Die Untersuchung von Checkpoint war sicherlich nicht ohne Hintergedanken für das eigene Firewall-Geschäft. Wie dem auch sei, dort war das eigentliche Problem der ACS auf Providerseite und das TLS-Zertifikatshandling der jeweiligen Routerhersteller. Vor knapp 10 Jahren war sicherlich TR-069 noch nicht auf dem Stand wie heute. Daher bin ich immer etwas vorsichtig, wenn sich auf so alte Berichte/Reports bezogen wird.
Die Grundsatzfrage ist jedoch die: traue ich meinem Provider oder nicht? Tue ich das nicht, muss ich wechseln.
Ketzerisch sage ich immer: wer TR-069 abschaltet, der muss ebenfalls sicherstellen, das der Router (von dem wir ja sprechen) die DHCP Option 43 ignoriert.
Ich sage allerdings auch nicht, das man die Unterstützung von TR-069 nicht abschalten darf. Wenn man in der Lage ist eventuell auftretende Probleme zu analysieren und selbst zu beheben, dann gibt es keinen Grund TR-069 Unterstützung nicht zu deaktivieren.
Ich habe vor meinem VDSL Providerwechsel von Telekom zu 1&1 erst zwei Tage vor dem Termin in der FRITZ!Box TR-069 aktiviert. Der Wechsel war aufgrund dessen so geräuschlos, dass ich zunächst dachte er wäre fehlgeschlagen. Internetaccess war vorhanden und die übernommenen Telefonnummern waren alle aktiv. Zwei Tage danach habe ich TR-069 wieder deaktiviert.
Es ist also nicht unbedingt die Frage: an oder aus, sondern eher die eines Zeitraumes für Aktivierung und/oder Deaktivierung.
Ich sehe das Bild ebenfalls nicht.
Wir sehen damit die komplette Fritzbox inkl deren Eventlog, angeschlossene Geräte/WLAN Devices, registrierte Rufnummern etc.
Passwörter sehen wir aber afaik nicht, VPN Konfigurationen müsste ich schauen.
keine Ahnung, was ich da machen kann.
Es ist die Art, wie du das hochgeladene Bild in den Beitrag eingebettet hast. Da ist ein Link auf die Bild-Datei, das funktioniert nicht. Du musst aus dem Bild-Dialog die Option "Vorschau einfügen" oder "Bild einfügen" wählen. Vorschau ist empfehlenswert, da es auch Nutzer mit mobilen Endgeräten gibt.
VPN Konfigurationen müsste ich schauen.
Würde mich interessieren, wenn es dir keine Umstände macht.
Ändern kann der ISP Passwörter/Schlüssel von VPN-Konfigurationen aber nicht, oder?
Schon ein ziemlich mächtiges Tool für jeden Internetanbieter, um Konnektivitätsprobleme im Heimnetzwerk des Kunden ausfindig zu machen (und die eigenen Dienste freizusprechen).
Zum Teil kann ich die Frage nach den ISP-Zugriffen beantworten: Die EWE beschreibt beispielsweise in ihrer Leistungsbeschreibung zum Internettarif den Zugriff auf dem Kunden überlassene Hardware (Providerbox).
So ist der Abruf von Verbindungsinformationen einer Providerbox jederzeit, der Abruf von WLAN/LAN-Umgebungsinformationen aber nur im Störungsfall und bei Kundeneinwilligung möglich. Ein Zugriff auf Kundenpasswörter wird pauschal ausgeschlossen.
