[geloest] Ports vom Lotus Notes Traveler 8.5.2.1 -Welcher Port macht was ???

[DunkelHut]

Hallo,

ich bin hier gerade mal am gründeln und habe verschiedenes zu den Ports gelesen die Lotus Notes Traveler nutzt und auch ab einer bestimmten Version nicht mehr nutzt.


folgende Ports ließen sich per Scan ermitteln:

Lotus Notes Traveler 8.5.2.1..................................

Kann denn jemand von euch ein paar Angaben machen wie welche Ports genutzt werden ?
Ich betreibe hier noch etwas Ursachen- und Grundlagenforschung bezüglich meines letzten Travelerproblems.

Danke für eure Antworten...
Gruß
Stefan

[DunkelHut]

Portlist

• ...80 = üblicher WEBport
• ..443 = üblicher WEBport
• .1352 = NRPC - (Notes Remote Procedure Call) normalerweise der Port, über den der Notesclient kommuniziert
• .2176 = ?
• .2177 =

  qWave Bandwith estimate
• .2178 = ?
• .2179 =

  Microsoft RDP for virtual machines
• .2632 = ?
• .2634 = ?
• .4731 = ?
• .8642 = Traveler Sync Port (soll ab 8.5.2 nicht mehr benutzt werden, ist aber dennoch da ? - Steht im Serverdokument)
• 50125 = IPC Socket (Server interne Nutzung - HTTP Servlet)
• 50126 = IPC Socket

Ich werde das hier über die Zeit ergänzen...

edit: 08.04.2011
Zusammenfassung

[koehlerbv]

2176 wurde wohl zuerst von MS Active Sync beansprucht.
2177: qWave Bandwith estimate
2178: ?
2179: Microsoft RDP for virtual machines
2632: ?
2634: ?
4731: ?

Bist Du sicher, dass alle von Dir gelisteten Ports dem Traveller zuzuordnen sind?

Bernhard

[DunkelHut]

Hallo Bernhard,

Danke für die Ergänzungen an der Portlist.

ich habe den Portscan mit CurrPorts von Nirsoft durchgeführt.
Das ist eines der kleinen hilfreichen Tools aus dem Netzwerkbereich (Link ist und war beigefügt).
Insofern verlasse ich mich auf dieses Tool schon ein paar Jahre. Welche Technik da genutzt wird das weiß ich nicht. Ich vermute nur das das Tool die laufenden Prozesse überwacht und dann diejenigen auflistet die die Portanfragen starten oder gestartet haben.

Leider basieren viele Aussagen im Netzwerkbereich auf Hörensagen. Wenn man da mal etwas hinterfragt dann wird die Luft auf der Gegenseite oft dünn. Damit kann man sich bei einer Fehlersuche jedoch nicht zufrieden geben. Offengesagt verstehe ich auch nur bedingt was da der Traveler mit dieser Summe Ports so treibt. Liest man die ganzen Beiträge hier und im Netz, findet man entweder Spekulationen oder vollkommenes Fachchinesisch, wo ich an der Stelle dann auch nur noch Bahnhof verstehe. Vielleicht bekommen wir es ja hier hin da den Weg der Mitte zu finden.

Port und Gegenport, ok, das versteht man wenn es beim selben Port wie z.B. Port 25 bleibt, aber die Verfahrensweise auf der Gegenseite einen Port auszuhandeln und das dabei die Gegenseite auch noch erkennt welche Daten nun über den ausgehandelten Port transferiert werden und welcher Dienst dahinter steht, da muss ich sagen das ich da im Moment an meine Grenzen stoße.

Ich habe mir angewöhnt, fehlerhaften Prozesse, so weit möglich, "zu Fuß" nachzuvollziehen, nichts anderes was ihr Programmierer ja beim "debuggen" macht. Wäre doch super wenn wir den Traveler verstehen würden statt da nur zu mutmaßen.

Ist ja an sich ein einfaches und tolles Tool, aber wenn es denn wirklich so "easy" wäre, dann würden Hilfeschreie hier und sonstwo im Netz nicht so in der Form auflaufen wie es eben in Realität ist.

Im Klartext ist es wohl so das in erster Instanz die Frage steht, ob die interne Traveler-Kommunikation gestört ist oder ob es ein Problem bei der Darreichung der Ergebnisse ist, wie z.B. das HTTP Userinterface oder eben die Kommunikation zu den Endgeräten. Nach meinem Verständnis sollte die Fehlersuche an der Quelle, ergo beim Server beginnen und nicht am Ende der Kommunikationskaskade, hinter der Firewall.

Was die Zuordnung der Ports und deren evtl. Doppelnutzung meint:

Grundsätzlich gilt applikationstechnisch bei der Nutzung der Ports da eben das "Highlanderprinzip" "Es kann nur einen geben". Ergo reden wir jetzt bei der Portbetrachtung über Lotus Domino in Summe, da der Traveler ja eine Untermenge des Lotus Domino ist.

Port 80 und 443 da fingert Domino noch mit anderen WEBdiensten dazwischen, aber das war es dann auch schon.
Port 1352 ist der Port an dem der Notes-Client andockt so wie es im Ergebnis des Portscans aussieht wird da aber die Gegenrichtung genutzt.

Grundsätzlich steht zum besseren Verständnis ja auch auch die Frage welcher Port wird bidirektional und welcher Port wird unidirektional genutzt. Wenn wir das zweifelsfrei rausbekommen sind wir da wohl schon einen entscheidenden Schritt weiter.

Vielleicht kannst Du ja mal einen Vergleichsscan bei Dir durchführen ?

Eine gebündelte Fachfrage habe ich da aber noch:

Port 50125 und  50126 werden als  IPC Socket bezeichnet.
IPC verstehe ich als Merkmal der beabsichtigten oder vereinbarten speziellen Nutzung eines Ports, ergo das da mehr passiert als das da nur Daten durchfließen. Kann man da unterstellen das das so eine Art Schnittstelle zur Steuerung ist, in diesem Fall der Initiator z.B. Port 50126 ist und das der Regulator auf der Gegenseite sitzt, es im weiteren rein der internen Kommunikation dient und damit nicht firewall-technisch relevant ist ? Warum spricht man von Socket oder üblerweise von "Sockets" wenn man an sich die Summe bzw. das Grundanliegen der Ports meint ?

Danke für Deine Zeit...
Gruß
Stefan

[m3]

Which TCPIP ports does Lotus Notes Traveler use?

[m3]

Eine gebündelte Fachfrage habe ich da aber noch:

Port 50125 und  50126 werden als  IPC Socket bezeichnet.
IPC verstehe ich als Merkmal der beabsichtigten oder vereinbarten speziellen Nutzung eines Ports, ergo das da mehr passiert als das da nur Daten durchfließen. Kann man da unterstellen das das so eine Art Schnittstelle zur Steuerung ist, in diesem Fall der Initiator z.B. Port 50126 ist und das der Regulator auf der Gegenseite sitzt, es im weiteren rein der internen Kommunikation dient und damit nicht firewall-technisch relevant ist ? Warum spricht man von Socket oder üblerweise von "Sockets" wenn man an sich die Summe bzw. das Grundanliegen der Ports meint ?

Danke für Deine Zeit...
Gruß
Stefan

    When an ap­pli­ca­tion wants to connect to a port to start waiting for in­com­ing con­nec­tions, it first asks Winsock to create a socket handle. Winsock creates the socket and hands control of it to the ap­pli­ca­tion. From this point the ap­pli­ca­tion is said to 'own' the socket. Then, the ap­pli­ca­tion binds the socket on to a spec­i­fied port. The socket is then free to begin lis­ten­ing for in­com­ing con­nec­tions (back to the factory analogy, it's as if the em­ploy­ee tells the mail sorter that he wants his mail de­liv­ered to say, pi­geon-​hole no.​15 — in essence he binds himself to the pigeon hole.)

    A port is not a socket (a common con­fu­sion), though there is a close re­la­tion­ship between the two. A socket is as­so­ci­at­ed with a port, though this is po­ten­tial­ly a many-​to-​one re­la­tion­ship. Each port can have a single passive socket binded to it, await­ing in­com­ing con­nec­tions, and mul­ti­ple active sockets, each cor­re­spond­ing to an open con­nec­tion on the port. It's as if the factory worker is waiting for new mes­sages to arrive (he rep­re­sents the passive socket), and when one message arrives from a new sender, he ini­ti­ates a cor­re­spon­dence (a con­nec­tion) with them by del­e­gat­ing someone else (an active socket) to ac­tu­al­ly read the packet and respond back to the sender if nec­es­sary. This permits the factory worker to be free to receive new packets.

http://weblog.cynosura.eu/post/2009/03/02/sockets-and-c.aspx

[DunkelHut]

Which TCPIP ports does Lotus Notes Traveler use?

Hallo Martin,

ich will Dir da nicht zu nahe treten, aber das ist eben der Unterschied zwischen Wahrheit und Wahrhaftigkeit. In diesem Falle ist die Aussage in dem Link zwar richtig, was aber eben nicht bedeutet das das alles war. Wenn ich Fehlersuche betreibe, sollte ich aber das tatsächliche Spektrum betrachten und nicht eine Teilmenge.

Der Portscan den ich durchgeführt habe der zeigt eben das mehr Ports durch den Traveler in Nutzung sind als die Port: 80, 443 und 8624

zu 1: Im LNT CLient muss dann der Port natürlich auch geändert werden.
Zu 2. Bei den IPhones reicht der HTTP Port. bei anderen Geräten muss zusätzlich noch Port 8642 geöffnet werden. ( Ab 8.5.2 auch nicht mehr nötig )

Diese Aussage kann ich zumindest bidrektional insofern bestätigen, da wir einen Lotus Notes Traveler 8.5.2.1 betreiben der funktionierte OHNE das ich den Port 8642 in unserer zentralen Firewall geöffnet hatte.

Gruß
Stefan

[DunkelHut]

http://weblog.cynosura.eu/post/2009/03/02/sockets-and-c.aspx

Danke  ...das ist doch mal was...

Gruß
Stefan

[m3]

Dann machen wir es halt genauer.  
 
Schaun wir uns die Traveler TCP-Ports mal auf meiner Linux-Box an, dafür braucht man kein kryptisches Tool, von dem man nicht weiß, was es tut. netstat (gibts auch für Windows) reicht:

Code

m3@martin:~#sudo netstat -apve | grep traveler
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 *:8642                  *:*                     LISTEN      lotus      10388295    9380/traveler
tcp        0      0 *:50125                 *:*                     LISTEN      lotus      10388292    9380/traveler
tcp        1      0 localhost:33327         localhost:33531         CLOSE_WAIT  lotus      10388291    9380/traveler
tcp        0      0 localhost:33531         localhost:33327         FIN_WAIT2   lotus      10388290    9380/traveler
tcp        0      0 localhost:50125         localhost:53201         ESTABLISHED lotus      10388344    9380/traveler
tcp        0      0 localhost:34470         localhost:50126         ESTABLISHED lotus      55697173    9380/traveler

Wie man hier schön sieht, hört der Traveler auf allen IP-Adressen auf Port 8642 und 50125.
8642 ist bereits geklärt (legacy Port für Autosync notifications).
50125 ist für die Interprozess-Socketverbindungen zwischen dem Lotus Notes Traveler-Server und dem zugehörigen HTTP-Serverservlet.

Die CLOSE und FIN Verbindungen sind uninteressant^[1]

Und die localhost->localhost Connections stellen genau die bereits etablierten Verbindungen zwischen Lotus Notes Traveler-Server und dem zugehörigen HTTP-Serverservlet dar (Verbindungsaufbau über Port 50125, Datenaustausch dann auf dynamisch ausgehandelten Ports, um den 50125 nicht zu blockieren).

Daher kommen alle Verindungsaufbauten (außer bei Legacy-Installationen) über Port 80 und/oder 443 auf das HTTP-Serverservlet des Domino-Servers herein und werden dann über eine IPC-Verbindung (localhost) an den Traveler-Task übergeben.

Alles klar?

^[1]:
FIN_WAIT2
    Connection is closed, and the socket is waiting for a shutdown from the remote end.
CLOSE_WAIT
    The remote end has shut down, waiting for the socket to close.

[DunkelHut]

...dann nennen wir Dich ab heute Dr. Traveler 

Das ist doch mal eine Aussage über die Funktionsweise des Traveler   .

• Port 8642 bidirektional für Sync, an sich nur noch aus Kompatibilitätsgründen vorhanden, kann also ab 8.5.2 unberücksichtigt bleiben wenn man den Sync komplett für alle Geräte neueinrichtet, ergo keine Altlasten berücksichtigen muss.
• Port 50125 bidirektional für Sync mit HTTP-Servlet, firewalltechnisch NICHT zu betrachten da das HTTP Servlet ja hinter der Firewall steht

Im Klartext bedeutet das, das Traveler Neueinsteiger, ab Lotus Domino 8.5.2 bei Inbetriebname des Lotus Notes Traveler die Firewall nicht mehr anfassen müssen, da in der Regel die Port 80 und Port 443 bereits feigeschaltet sind.

Habe ich das jetzt richtig interpretiert ?

Gruß
Stefan

[Joachim Römer]

ab Lotus Domino 8.5.2 bei Inbetriebname des Lotus Notes Traveler die Firewall nicht mehr anfassen müssen, da in der Regel die Port 80 und Port 443 bereits feigeschaltet sind.

Das wage ich zu bezweifeln, da in der Regel das Porforwarding zum Traveler-Server fehlt.

Gruss,

Joachim

[DunkelHut]

Da hast Du recht Joachim,

in meinem Port-Wahn habe ich das port-forwarding außer acht gelassen.

Gruß
Stefan

[m3]

Im Kartext bedeutet das, das Traveler Neueinsteiger, ab Lotus Domino 8.5.2 bei Inbetriebname des Lotus Notes Traveler die Firewall nicht mehr anfassen müssen, da in der Regel die Port 80 und Port 443 bereits feigeschaltet sind.

Habe ich das jetzt richtig interpretiert ?

Korrekt.
Plus der Öffnung der Firewalls auf Port 1352 vom Traveler Server hin zu dem Mailservern, damit der Traveler auf diese zugreifen kann (vor allem, wenn er in der DMZ läuft).

[DunkelHut]

Im Ergebnis der Zusammenarbeit hier mit Bernhard (koehlerbv), Martin (m3) und Joachim Römer, fasse ich an dieser Stelle noch einmal übersichtlich zusammen...

Funktion der Ports des Lotus Notes Traveler - Stand 08.04.2011

• Port 80 und/oder Port 443 (notwendig)
  bidirektional für Sync zwischen Smartphones und dem HTTP-Servlet des Lotus Notes Traveler.
• Port 1352 (notwendig)
  bidirektional für Kommunikation zwischen Traveler Server und dem(n) Mailserver(n), damit Traveler auf diese zugreifen kann. Wenn Traveler und Maildienste auf einer Maschine liegen, muss der Port ebenso offen sein, da die Notes Clients dort am Domino Server andocken
• Port 8642 (versionsabhängig)
  bidirektional für Sync, an sich nur noch aus Kompatibilitätsgründen vorhanden, kann ab Lotus Domino 8.5.2 unberücksichtigt bleiben wenn man den Sync komplett für alle Geräte neu einrichtet, ergo keine Altlasten berücksichtigen muss.
• Port 50125 (notwendig)
  bidirektional für Sync zwischen Traveler und HTTP-Servlet, firewalltechnisch NICHT zu betrachten da das HTTP-Servlet ja hinter der Firewall steht und Traveler und HTTP-Servlet auf einer Maschine laufen.

Alle anderen scanbaren Ports des Traveler dienen der Kommunikation des Travelers mit sich selbst.

Gruß
Stefan