HalloWernherr: ausschließlich whatsapp im WLAN zulassen....FRITZbox

Moin, hat das Problem schonmal jemand durchexerziert? Es soll nur whatsapp laufen, sonst nichts. Die fritzbox bietet ja n bissl was an Filtern und Portsperren usw, ich bekomme aber nicht hin, was ich will. Dank

  1. Hallo Wernherr,

    (1) was hast Du denn schon probiert? (2) soll die Sperre für alle Geräten im WLAN gelten oder nur für bestimmte?

    Ich finde im Netz unterschiedliche Aussagen. Von "für Whatsapp muss man nichts besonderes freigeben" über "es verwendet TCP auf den Ports 5222 und 5223" bis hin zu einer ausführlichen Beschreibung auf jailbreak-mag.de:

    Diese Ports verwendet WhatsApp aktuell

    Vorweg sei gesagt, die Ports können sich natürlich jederzeit wieder ändern. Dies ist den Berichten zufolge in der Vergangenheit auch schon mehrfach geschehen. Sollte sich hier etwas getan haben, dann schreibe uns gerne einen kurzen Hinweis in den Kommentarbereich dieser Seite und wir werden diesen Beitrag entsprechend aktualisieren.

    Aktuell verwendet WhatsApp verschiedene Ports. Dazu gehört nicht nur der Port TCP 443 (HTTPS) und TCP 80 (HTTP) sondern auch die Portnummern 4244, 5222, 5223, 5228 und 5242 (alles TCP). Die letzteren Ports werden meist dann verwendet, wenn man die Sprach- oder Videoanrufe von dem Instant Messenger unter Android oder iOS (iPhone) nutzt. Größtenteils verwendet WhatsApp bei der normalen Nutzung aber meistens die Ports 443, 80 und 5222.

    Für die Nutzung von WhatsApp müssen übrigens keine Ports freigegeben werden. Die Freigabe ist nur dann notwendig, wenn man in der Android-Firewall oder aber auch im Router statt einer Blacklist eine Whitelist verwendet, also alle verwendeten Ports vor der Nutzung freischalten muss. Alle nicht freigeschalteten Ports werden standardmäßig blockiert.

    Christian Romberg schreibt auf ob8.at:

    (...), neben TCP 80 und 443 will WhatsApp auch folgende Ports nach aussen offen haben:

    TCP: 4244,5222,5223,5228,5242
    TCP/UDP: 59234, 50318
    UDP: 3478,45395

    Dann klappts auch mit der Audio- sowie Videotelefonie.

    Die Kernaussagen für mich sind: Für sein normales Business macht Whatsapp HTTP Requests über Ports 80 oder 443. 5222/5223 sind für das Business API, andere Ports für Sonderzwecke (Sprachkanal).

    Wenn Du aber diese Ports öffnest, insbesondere 80 und 443, ist das komplette WWW offen.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Wenn Du aber diese Ports öffnest, insbesondere 80 und 443, ist das komplette WWW offen.

      Nicht unbedingt: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/3395_Filterlisten-fur-Internetseiten-erstellen/

      Das geht also, z.B. bei einem Gastzugang, auch mit einer whitelist. Da muss aber noch herausgefunden werden, mit bzw. zu welchen Hosts eine Kommunikation erfolgen darf.

      1. Hallo Raketenlistenführer,

        gute Idee.

        Und da steht auch:

        Für Zugangsprofile mit aktiver Filterliste ist der direkte Aufruf von IP-Adressen im Internet immer gesperrt. IP-Adressen, deren Aufruf die FRITZ!Box gesperrt hat, können in der Liste "Erlaubte IP-Adressen" eingesehen und bei Bedarf wieder freigegeben werden.

        D.h. man macht alles zu, lässt Whatsapp ein paar mal vor die Wand rennen und macht da, wo Blutspuren sind, ein Loch in die Wand.

        Man muss nur aufpassen, dass Whatsapp bei dem Versuch allein im Zimmer ist, bzw. von den gefundenen Stellen Blutproben nehmen und sie analysieren (sprich: Besitzer der IP recherchieren).

        Rolf

        --
        sumpsi - posui - obstruxi
        1. Oder man macht erst mal mittels eines AP und eines Linux-Rechners ein eigenes Netzwerk aufund sorgt dafür, dass bind9 alles mitloggt.

          Tipp: Das Smartphone neu starten, damit dessen eigener DNS-Cache geleert wird…

      2. Hello,

        Wenn Du aber diese Ports öffnest, insbesondere 80 und 443, ist das komplette WWW offen.

        Nicht unbedingt: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/3395_Filterlisten-fur-Internetseiten-erstellen/

        Das geht also, z.B. bei einem Gastzugang, auch mit einer whitelist. Da muss aber noch herausgefunden werden, mit bzw. zu welchen Hosts eine Kommunikation erfolgen darf.

        Das funktioniert für HTTP/s hervorragend. Ist Also eine kleine Applikation-Firewall, da sie den requested Host aus dem Datenstrom herauspult.

        Und nun weiß man auch spätestens, warum ältere Fritzboxen noch zu hohen Preisen gehandelt werden. Man kann die nämlich auch kaskadieren, wenn es auf das Modem nicht mehr ankommt. Das ist meistens die einzige Komponente, die schnell veraltet ist.

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
        1. danke für eure vielen Antworten, sehr genial!

          Aktuell habe ich ein Profil angelegt mit whitelisting und allen Servern, die ich zu whatsapp gefunden habe, als Ausnahme. -->Whatsapp läuft nicht.

          zuvor hatte

          Mit Portfreigaben konnte ich auch nichts erreichen. Entweder geht da nichts oder ich muß 80 öffnen, auch schlecht.

          Ansich müßte doch, sollte ich nur genug Ausnahmen finden für die Whitelist, die Kiste laufen oder bin ich da grade falsch gewickelt?

          1. jetzt läuft's! Genau mit der Einstellung oben...gestern ging's nicht. Mußte wohl irgendwas zwischendrin mal durchatmen. whatsapp braucht jedenfalls dann auch kein https. Zum Glück, weil sobald offen, läuft auch das Netz im Allgemeinen wieder.

            Cool!!

            1. Bilderdownload funkt nicht. Damit kann ich leben.

              Geht eh nur darum, der Freundin meiner Tochter nachts Kommunikation zur Mama zu ermöglichen, sonst aber nix.

              1. Hallo HalloWernherr,

                Geht eh nur darum, der Freundin meiner Tochter nachts Kommunikation zur Mama zu ermöglichen

                Helikopteralarm!!!

                Es mag Sonderfälle geben, wo die folgenden Standpunkte nicht gelten. Die sind dann aber ein Fall für den Psychiater.

                Wenn die Freundin alt genug ist, um bei euch zu übernachten, dann muss sie auch durchhalten, Mama nicht anzufunken. Sie muss auch lernen, nach euren Regeln zu leben und nicht nach Mama zu schreien, wenn was nicht nach ihrer Nase läuft. Das ist wichtiges Anti-Heimweh Training für Klassenfahrten.

                Das Problem in solchen Fällen ist aber eher die Mama. Sie signalisiert der Tochter im Vorfeld und beim Abschied, wie schwer es ist, wenn sie nicht zusammen sind, und impft ihrer Tochter Schuldgefühle ein. Das müssen Eltern noch mehr lernen als die Kinder. Die Tochter ist bei euch. Nicht bei Mama. Punkt. Solange ihre Mama nichts von ihr hört, ist alles in bester Ordnung. Punkt. Wenn sie trotzdem einen ständigen persönlichen Draht zur Tochter braucht, ist das eine Misstrauenserklärung euch gegenüber.

                Und natürlich ist es beinahe unmöglich, Eltern mit übertriebenem Beschützerdrang (a.k.a. Helikoptereltern) dieses Problem klarzumachen. Sie wollen doch nur das Beste für ihr Kind. Das ist es in dem Fall aber nicht.

                Ich würde der Tochter, wenn sie bei euch nicht ins Internet soll, einfach gar kein WLAN geben. Erkläre, dass das technisch bei Dir nicht geht, alleine Whatsapp zuzulassen. Wenn sie Kontakt zur Mama braucht, soll sie euer Festnetztelefon nutzen. Wenn die Mama was will, soll sie euer Festnetztelefon anrufen. Das ist dann beiden hinreichend peinlich, dass sie es lassen.

                Rolf

                --
                sumpsi - posui - obstruxi
                1. Hallo,

                  Helikopteralarm!!!

                  du sprichst mir sowas von aus der Seele!

                  Das Problem in solchen Fällen ist aber eher die Mama.

                  Den Eindruck habe ich bei vielen jungen Eltern in meinem Bekanntenkreis auch. Die Kinder könnten schon viel selbständiger sein, wenn die Eltern sich nur überwinden könnten, etwas locker zu lassen. Es ist vielleicht unfair, wenn ich das jetzt mit meiner Kindheit vergleiche, weil ich ja nun auch schon zum Club der alten Säcke gehöre. Ich tu's trotzdem.

                  Als ich mit 4 in den Kindergarten kam, ist meine Mama die ersten paar Tage mit mir zusammen hingegangen und hat mich auch wieder abgeholt. Aber wirklich nur die ersten Tage. Dann durfte ich allein gehen.
                  Zwei Jahre später zur Grundschule, etwa dasselbe. Meine Mutter hat die ersten zwei oder drei Tage noch aufgepasst, dass der Bub auch wohlbehalten (und pünktlich) in der Schule ankommt.

                  Okay, das war jetzt auch kein so großes Ding - der Kindergarten und die Grundschule lagen einander gegenüber, der Weg dorthin nur knapp 500m in einem ruhigen Wohngebiet. Und trotzdem: Mit etwa 8..10 Jahren war ich qua Verhalten meiner Eltern "flügge". Sie wollten zwar wissen, wo ich hinging, und ich musste versprechen, zu einer bestimmten Zeit wieder zuhause zu sein (den Zeitpunkt durfte ich aber meist selbst bestimmen).

                  Mit 10 dann zum Gymnasium. Das war knapp 5km von zuhause weg. Wie kam ich dorthin? Mit dem Fahrrad. Und zwar vom ersten Tag an. Nur im Winter haben meine Eltern Wert darauf gelegt, dass ich mit dem Schulbus fahre.

                  Wenn ich heute um die Mittagszeit irgendeine Schule beobachte, stelle ich fest, dass ein großer Teil der Schüler von den Eltern (vermutlich) mit dem Auto abgeholt wird. Kann man den Kids heute nicht mehr zumuten und zutrauen, ein bis zwei Kilometer selbständig zu gehen (oder meinetwegen zu radeln)?

                  Und natürlich ist es beinahe unmöglich, Eltern mit übertriebenem Beschützerdrang (a.k.a. Helikoptereltern) dieses Problem klarzumachen. Sie wollen doch nur das Beste für ihr Kind. Das ist es in dem Fall aber nicht.

                  Genau. Das sehen diese Eltern aber nicht so.

                  Ich würde der Tochter, wenn sie bei euch nicht ins Internet soll, einfach gar kein WLAN geben. Erkläre, dass das technisch bei Dir nicht geht, alleine Whatsapp zuzulassen. Wenn sie Kontakt zur Mama braucht, soll sie euer Festnetztelefon nutzen. Wenn die Mama was will, soll sie euer Festnetztelefon anrufen. Das ist dann beiden hinreichend peinlich, dass sie es lassen.

                  Wir wissen nicht, wie alt die Mädels sind, um die es geht. Fünf? Zwölf? Das macht vielleicht noch einen kleinen Unterschied. Aber im Prinzip bin ich völlig deiner Ansicht.

                  Live long and pros healthy,
                   Martin

                  --
                  Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
              2. Hello,

                Bilderdownload funkt nicht. Damit kann ich leben.

                Und da ist es dann hilfreich, wenn man noch eine zweite (ältere) Fritzbox zur Hand hat, auf der man die Einschränkungen einstellt. Die schließt man dann im Routerbetrieb über einen Hub am bezüglich Filtern transparenten Gastport der Haupt-Fritze an, damit die Abfragen nicht ins LAN durchschlagen.

                Am Hub (NICHT SWITCH!) schließt man dann seinen Laptop/PC an und stellt dessen NIC auf promiscuous ein, damit man mit WireShark mitlesen kann, was da an Daten fließt. Danach weißt Du dann ganz genau, welche Ports, welche Protokolle und welche Ziel-Hosts Du zulassen musst, damit auch der Bilder-Download mit "Watts App" (ich dachte immer, der hätte Dampfmaschinen entwickelt?) funktioniert.

                Man könnte auch die Fritze freetzen, damit man dort direkt einen Lauschport zur Verfügung hat. Aber das führt jetzt zu weit.

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. Hallo Tom,

                  Am Hub (NICHT SWITCH!) schließt man dann seinen Laptop/PC an und stellt dessen NIC auf promiscuous ein

                  das brauchst du alles nicht, denn die Fritzbüxen haben seit ewigen Zeiten die Option auf einen Live-Paketmitschnitt in der Firmware integriert.

                  Man könnte auch die Fritze freetzen, damit man dort direkt einen Lauschport zur Verfügung hat.

                  Hat man doch auch so.

                  Live long and pros healthy,
                   Martin

                  --
                  Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
                  1. Hello Martin,

                    das brauchst du alles nicht, denn die Fritzbüxen haben seit ewigen Zeiten die Option auf einen Live-Paketmitschnitt in der Firmware integriert.

                    Interessant! Hatte ich ganz verdrängt.

                    Ab welcher Box-Version steht das Feature zur Verfügung? Ich habe hier noch eine 7270 und eine 7390 in der Ecke liegen.

                    Glück Auf
                    Tom vom Berg

                    --
                    Es gibt nichts Gutes, außer man tut es!
                    Das Leben selbst ist der Sinn.
                    1. Hallo Tom,

                      das brauchst du alles nicht, denn die Fritzbüxen haben seit ewigen Zeiten die Option auf einen Live-Paketmitschnitt in der Firmware integriert.

                      Interessant! Hatte ich ganz verdrängt.

                      Ab welcher Box-Version steht das Feature zur Verfügung?

                      kann ich nicht genau sagen, aber das konnte schon meine 7170, die ich anno 2005 bekommen habe, aber vor rund 3 Jahren in den Ruhestand schicken musste.

                      Mein Internet-Anbieter hier sagt, das Endgerät müsse für den DSL16000-Anschluss ADSL2+ mit Annex J unterstützen, und das ging bei der alten Box nicht mehr. Den Wechsel auf VDSL mit 50Mbit[1] vor etwa 2 Wochen hätte sie erst recht nicht mehr mitmachen können.
                      Dafür habe ich jetzt eine 7430, die es günstig bei amazon gab.

                      Ich habe hier noch eine 7270 und eine 7390 in der Ecke liegen.

                      Die sollten das beide können. Ich habe meine alte 7170 auch noch irgendwo in der Kiste. Wer weiß, was man damit doch noch anstellen kann ...

                      Live long and pros healthy,
                       Martin

                      --
                      Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.

                      1. 50Mbit ist jedenfalls das, was ich bestellt habe und was man mir auch schriftlich bestätigt hat. Tatsächlich meldet meine Box aber seit der Umstellung 116/46Mbit. Ich warte mal die nächste Rechnung ab. ↩︎