7
Unbekannte IPs im LAN , wieso habe ich die ?
Hallo Beieinander,
ich habe zuhause ein kleines Netzwerk mit Router an dem mehrere PCs/Laptops und gelegentlich auch eine NAS hängen.
Kürzlich kaufte ich einen neuen Route (TP-Link TD-W8970B) damit ich im Heimnetz endlich auch Gigabit-Ethernet nutzen kann (für Datentransfer zum NAS).
Ich änderte ich die voreingestellte Router-Ip 192.168.15.x und legte auch das ganz Heim LAN in diesen Subnetzbereich.
Kürzlich ließ ich spaßeshalber einen Komplettscan des Bereiches 192.168.0.0 bis 192.168.255.255 laufen.
Zu meiner verwunderung tauchten dort 2 IPs auf, die in einem anderen Subnetz als mein Heim LAN lagen: 192.168.8.xxx .
Ein tracert.exe auf beide IPs ergab, das diese IPs 2-3 Sprünge durch den Backbone meines Providers machen. Dann ist entweder noch eine DialUp IP adresse meines ISP (Internet service Providers) dazwischen, oder die Entsprechende 192.168.8.xxx IP hängt direkt am Backbone. Die DialUP IP ist übrigens konstant seit auffinden dieser merkwürdigen Verbindung die Selbe.
Ich habe das Netzwerk von 3 Verschiedenen Geräten PCs/Laptops gescannt. Die anderern Geräte waren jeweils ausgeschaltet. Zwischendurch habe ich auch den Router immer ausgeschaltet. Sicherheithalber habe ich den Scan auch noch mittels eines CD Boot LIVE-Linux durchgeführt.
Jedes mal tauchen 1-2 dieser merkwürdigen IPs auf. Jedesmal ist die tracert.exe ausgabe recht änlich.
Daher gehe ich davon aus, das diese 2 IPs vom Router direkt in mein LAN gelassen werden.
Ich bin mir sicher kein VPN oder änliche Tunnel im Router eingerichtet zu haben. Es gibt jetzt keine Servicezugänge mehr die offen sind.
Ich frage mich also:
1. Wie kommen die 2 IPs überhaupt in mein LAN ?
Sind mir die vom IPS aufgezwungen worden auf meinen privat gekauften Router ? geht das überhaupt so einfach ?
2. Was kann ich dagegen tun ?
Im Router selber kann ich keine Informationen zu diesen IPs finden. Der interne DHCP-Server im Router vergibt ja ganz andere Adressen.
3. Kann es sein das irgendwer meinen Router "gehackt" hat und diesen dann manipuliert hat um das einzurichten ? Falls ja
stellt sich mir die Frage: wozu das ganze ?
4. Gibt es einen weg herauszufinden was da für Daten drüber laufen ? (Ohne extra Hardware wie einen extra Router anschaffen zu müssen, den ich dann Zwischen Internet & derzeitgen Router schalte.) Bzw wozui diese IPs überhaupt gut sind ?
Dazu muss ich noch anmerken das ich einen Kompletten Portscan (TCP & UDP) via nmap habe durchlaufen lassen. Gefunden wurde nur :
" Used port: 68/udp (closed) "
Und die Info das wohl das Betriebssystem Junos OS am anderen Ende sitzt.
Viele Fragen auf die ich gerne Antworten hätte. Es wäre Klasse wenn mir jemand tipps zum weiteren Vorgehen geben könnte.
ich habe zuhause ein kleines Netzwerk mit Router an dem mehrere PCs/Laptops und gelegentlich auch eine NAS hängen.
Kürzlich kaufte ich einen neuen Route (TP-Link TD-W8970B) damit ich im Heimnetz endlich auch Gigabit-Ethernet nutzen kann (für Datentransfer zum NAS).
Ich änderte ich die voreingestellte Router-Ip 192.168.15.x und legte auch das ganz Heim LAN in diesen Subnetzbereich.
Kürzlich ließ ich spaßeshalber einen Komplettscan des Bereiches 192.168.0.0 bis 192.168.255.255 laufen.
Zu meiner verwunderung tauchten dort 2 IPs auf, die in einem anderen Subnetz als mein Heim LAN lagen: 192.168.8.xxx .
Ein tracert.exe auf beide IPs ergab, das diese IPs 2-3 Sprünge durch den Backbone meines Providers machen. Dann ist entweder noch eine DialUp IP adresse meines ISP (Internet service Providers) dazwischen, oder die Entsprechende 192.168.8.xxx IP hängt direkt am Backbone. Die DialUP IP ist übrigens konstant seit auffinden dieser merkwürdigen Verbindung die Selbe.
Ich habe das Netzwerk von 3 Verschiedenen Geräten PCs/Laptops gescannt. Die anderern Geräte waren jeweils ausgeschaltet. Zwischendurch habe ich auch den Router immer ausgeschaltet. Sicherheithalber habe ich den Scan auch noch mittels eines CD Boot LIVE-Linux durchgeführt.
Jedes mal tauchen 1-2 dieser merkwürdigen IPs auf. Jedesmal ist die tracert.exe ausgabe recht änlich.
Daher gehe ich davon aus, das diese 2 IPs vom Router direkt in mein LAN gelassen werden.
Ich bin mir sicher kein VPN oder änliche Tunnel im Router eingerichtet zu haben. Es gibt jetzt keine Servicezugänge mehr die offen sind.
Ich frage mich also:
1. Wie kommen die 2 IPs überhaupt in mein LAN ?
Sind mir die vom IPS aufgezwungen worden auf meinen privat gekauften Router ? geht das überhaupt so einfach ?
2. Was kann ich dagegen tun ?
Im Router selber kann ich keine Informationen zu diesen IPs finden. Der interne DHCP-Server im Router vergibt ja ganz andere Adressen.
3. Kann es sein das irgendwer meinen Router "gehackt" hat und diesen dann manipuliert hat um das einzurichten ? Falls ja
stellt sich mir die Frage: wozu das ganze ?
4. Gibt es einen weg herauszufinden was da für Daten drüber laufen ? (Ohne extra Hardware wie einen extra Router anschaffen zu müssen, den ich dann Zwischen Internet & derzeitgen Router schalte.) Bzw wozui diese IPs überhaupt gut sind ?
Dazu muss ich noch anmerken das ich einen Kompletten Portscan (TCP & UDP) via nmap habe durchlaufen lassen. Gefunden wurde nur :
" Used port: 68/udp (closed) "
Und die Info das wohl das Betriebssystem Junos OS am anderen Ende sitzt.
Viele Fragen auf die ich gerne Antworten hätte. Es wäre Klasse wenn mir jemand tipps zum weiteren Vorgehen geben könnte.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 238068
Url: https://administrator.de/contentid/238068
Printed on: April 19, 2024 at 16:04 o'clock
7 Comments
Latest comment
Zitat von @Rainbowcatcher:
Ich frage mich also:
1. Wie kommen die 2 IPs überhaupt in mein LAN ?
Sind mir die vom IPS aufgezwungen worden auf meinen privat gekauften Router ? geht das überhaupt so einfach ?
Ich frage mich also:
1. Wie kommen die 2 IPs überhaupt in mein LAN ?
Sind mir die vom IPS aufgezwungen worden auf meinen privat gekauften Router ? geht das überhaupt so einfach ?
Die sind nicht "in Deinem LAN". Die sind, wie Du schon sagtest bei Deinem Provider, 2 bis 3 Hops von Dir entfernt. Da hat einfach Dein Provider geschlampt.
2. Was kann ich dagegen tun ?
Einen ordentlichen Router kaufen, der keine RFC1918-Adressen raus oder reinläßt. Du köntnest natürlich auch 192.168.0.0/24 "kurzschließen", indem Du im TP-Link eine nicht existente Route einträgst.
Im Router selber kann ich keine Informationen zu diesen IPs finden. Der interne DHCP-Server im Router vergibt ja ganz andere
Adressen.
Adressen.
Die sind ja auch nciht in Deinem Netz, sondern "außen".
3. Kann es sein das irgendwer meinen Router "gehackt" hat und diesen dann manipuliert hat um das einzurichten ?
Nicht aufgrund der Tatsache, daß diese IPs auftauchen. Aber die Plaste-Router haben so viele Macken, das es keinen verwundert, wenn die mal offen sind.
4. Gibt es einen weg herauszufinden was da für Daten drüber laufen ?
Ja.
(Ohne extra Hardware wie einen extra Router anschaffen zu müssen, den ich dann Zwischen Internet & derzeitgen Router schalte.)
Nein.
Update: Wenn Dein Router Open- oder DDWRT packt, könntest Du den neu flashen und die sniffing-Toolss von xWRT zu nutzen.
Bzw wozui diese IPs überhaupt gut sind ?
Frag Deinen Provider, wofür er die benutzt.
Dazu muss ich noch anmerken das ich einen Kompletten Portscan (TCP & UDP) via nmap habe durchlaufen lassen. Gefunden wurde
nur :
" Used port: 68/udp (closed) "
Und die Info das wohl das Betriebssystem Junos OS am anderen Ende sitzt.
nur :
" Used port: 68/udp (closed) "
Und die Info das wohl das Betriebssystem Junos OS am anderen Ende sitzt.
Das ist nur der Juniper von Deinem Provider, der falsch konfiguriert ist.
lks
Edit: Typo & Update.
Hallo Iks,
danke für die Schnelle Antwort. Ist ja heftig, das mein Provider da schlampt.
Und auch Heftig das der Router so schlampig Programmiert wurde.
Vielen vielen Dank.
Carsten
danke für die Schnelle Antwort. Ist ja heftig, das mein Provider da schlampt.
Und auch Heftig das der Router so schlampig Programmiert wurde.
Vielen vielen Dank.
Carsten
Hi!
Leider können bei vielen Modemroutern (DSL oder VDSL) nach einer Umstellung auf Open- oder DD-WRT die Modems (oftmals closed source firmware) nicht mehr genutzt werden, daher wäre es besser einen reinen (WLAN-) Router dafür zu kaufen (ist auch günstiger) und ein externes Modem anzuklemmen bzw. den Router des Providers (als Modem) davorzuhängen ausserdem hätte sich der TO vorher schlau machen müssen welcher Router schon längere Zeit unterstützt wird, denn ich habe hier auch so ein Plaste-Teil dieses Herstellers und der läuft mittlerweile sehr gut und stabil mit DD-WRT.
mrtux
Zitat von @Lochkartenstanzer:
Update: Wenn Dein Router Open- oder DDWRT packt, könntest Du den neu flashen
und die sniffing-Toolss von xWRT zu nutzen.
Update: Wenn Dein Router Open- oder DDWRT packt, könntest Du den neu flashen
und die sniffing-Toolss von xWRT zu nutzen.
Leider können bei vielen Modemroutern (DSL oder VDSL) nach einer Umstellung auf Open- oder DD-WRT die Modems (oftmals closed source firmware) nicht mehr genutzt werden, daher wäre es besser einen reinen (WLAN-) Router dafür zu kaufen (ist auch günstiger) und ein externes Modem anzuklemmen bzw. den Router des Providers (als Modem) davorzuhängen ausserdem hätte sich der TO vorher schlau machen müssen welcher Router schon längere Zeit unterstützt wird, denn ich habe hier auch so ein Plaste-Teil dieses Herstellers und der läuft mittlerweile sehr gut und stabil mit DD-WRT.
mrtux
War ja auch nur ein Hinweis, wie man den Plaste-Router ggf sinnvoll "aufwerten" könnte. Nach einem unerfreulichen Erlebnis mit dem TP_Link-Gedöns vor vielen Jahren mache ich um die eine großen Bogen.
lks
lks
Ist ja heftig, das mein Provider da schlampt.
Na ja... da arbeiten ja Menschen und wo die Arbeiten passieren Fehler... (Bei dem Provider sehr spezielle...)Das der Provider allerdings Private RFC 1918 IP Adressen in sein Netzwerk lässt ist höchst bedenklich und kann man schon nicht mehr als Schlamperei bezeichnen !!
Verglichen mit einer Autowerkstatt ist das das gleiche als wenn man vergisst am Auto alle Radmuttern festzuziehen. Sowas darf da einfach nicht passieren. Du solltest das ggf. deren Hotline melden !!
Und auch Heftig das der Router so schlampig Programmiert wurde.
Das ist deine eigene Naivität (oder Dummheit ?). Sorry, aber WAS hast du erwartet das du bekommst wenn du allerbilligsten China Schrott der alleruntersten Kategorie kaufst ?! Fass dich da also bitte an die eigene Nase.Abgesehen davon ist der Routerkauf vollkommen überflüssig gewesen, denn ein kleiner, simpler 5 Port 10 Euro Gigabit Switch vom Blödmarkt Grabbeltisch für dein lokales Netzwerk hätte es allemal auch getan um GigE zu bekommen und an den hättest du deinen alten und bewährten Router angeschlossen.
Aber warum einfach und preiswert machen wenn es umständlich und teuer auch geht ?!
Wenns das denn nun war bitte
How can I mark a post as solved?
nicht vergessen.
Leider hab ich die aktuellste Firmware vorinstaliert gehabt. Die kann leider nicht mehr auf OpenWRT ändern. Aber die Modemfunktionen würde eh nicht mehr Klappen da Annex B nicht unterstütz wird. 
DD-WRT wird zumindest nicht "aus dem Stand" unterstütz.
Carsten
DD-WRT wird zumindest nicht "aus dem Stand" unterstütz.
Carsten
Hi!
War ja auch nur als Ergänzung zu deinem Beitrag für den TO gedacht und nicht als Kritik an deinem Kommentar. Und natürlich habe ich auch schon schlechte Erfahrungen mit Billigheimern gemacht, keine Frage...
mrtux
Zitat von @Lochkartenstanzer:
War ja auch nur ein Hinweis, wie man den Plaste-Router ggf sinnvoll "aufwerten" könnte. Nach einem unerfreulichen
War ja auch nur ein Hinweis, wie man den Plaste-Router ggf sinnvoll "aufwerten" könnte. Nach einem unerfreulichen
War ja auch nur als Ergänzung zu deinem Beitrag für den TO gedacht und nicht als Kritik an deinem Kommentar. Und natürlich habe ich auch schon schlechte Erfahrungen mit Billigheimern gemacht, keine Frage...
mrtux
