dommel - ongekend ip adres 192.168.3.200

glenndm · 19 jul 2009, 21:59

hallo,

dit is mogelijk niet de juiste plaats om deze vraag te stellen, maar ik weet geen betere. Dommel/schedom kan me niet helpen.

ik heb een dommel homeconnect abonnement en een siemens gigaset sx762. de verbinding werkt naar behoren.
Sinds een tijdje meldt de siemens router op het inlogscherm:
Er is mogelijk een risico voor uw apparaat en uw netwerk:

* Eén of meer van uw lokale clients hebben een directe verbinding met het Internet

Wat dit juist betekent, begrijp ik niet helemaal. Al mijn computers moeten de router als gateway gebruiken indien ze internet willen bereiken. wat die directe verbinding dan wel zou zijn ?! < dommel weet dit ook niet.

Verder zoeken: op een linux toestel laat ik nmap de totale zone 192.168.x.x controleren. ik gebruik een welbepaalde subrange 192.168.154.x

tot mijn verbazing wordt, naast mijn subrange, een adres 192.168.3.200 getoond.
dit adres - mij totaal onbekend - reageert op pings, maar op geen andere scan.

Traceroute leert: tracert 192.168.3.200

Tracing route to 192.168.3.200 over a maximum of 30 hops

1 1 ms <1 ms 1 ms router [192.168.154.1]
2 26 ms 6 ms 55 ms gateway.dyn1.linthout.schedom-europe.net [83.101.7.129]
3 8 ms 57 ms 57 ms 192.168.3.200

Trace complete.

Dit geeft mijn inziens aan dat 192.168.3.200 niet een lokaal toestel is, maar zich voor mij op het internet bevindt (een dommel computer is een mogelijk verdachte)

Verder dacht ik te begrijpen dat 192.168.x.x adressen niet routeerbaar waren, dus niet door de router het internet zouden bereiken. De traceroute suggeert anders.

Zet ik op de router de internet verbinding uit, mislukt de traceroute. Nog een bewijs dat het geen lokaal toestel is.

Dit alles meldde ik aan Dommel/Schedom. Zij kunnen dit niet verklaren:
"192.168.3.200 moet lokaal zijn wat 192.168.x.x is niet routeerbaar."

Heeft iemand hier een zelfde spook en mogelijk een verklaring?

glenn

Goendi · 19 jul 2009, 22:44

Die adressen zijn wel routeerbaar. het is gewoon niet de bedoeling dat dit gebeurd omdat het lokale IP space is. Ik zou toch een ticket opnieuw aanmaken met die traceroute. Aangezien je buitengaat op hun gateway, betekend dat alvast dat het niet op jouw netwerk zit...

Nog een tip, op je edge kun je best alle niet-routeerbare IP space blokkeren. Over het algemeen is dit een goede beveiliging.

gr4vity · 20 jul 2009, 06:57

Zeer straffe zaak, ze moeten bij dommel wel degelijk weten wat die 192.168.3.200 is want het is op hun netwerk. Ik kan hem ook pingen en tracerouten, dus hij zit wel degelijk bij dommel. De host zit zelfs voor de ATM-switch, dus geen idee wat het is.

Mogelijke verklaringen;

Een update server voor homeconnect.
Nieuwe VOiP server
remote assistance?
Gerelateerd aan een nog te lanceren product
Interne netwerk monitoring
...

Kortweg, teveel mogelijkheden om op te noemen.

Mensen die een error krijgen over onveiligheid, switchen naar een ander subnet (255.255.255.0 lijkt mij het meest eenvoudige in dit geval).

crapiecorn · 20 jul 2009, 07:23

Met cityconnect kom ik er zelfs rechtstreeks

Code: Selecteer alles

Tracing route to 192.168.3.200 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     7 ms     7 ms     7 ms  192.168.3.200

Trace complete.

Open poort is ftp

Tomsworld · 20 jul 2009, 11:29

Firmware update server voor de modems ?

gr4vity · 21 jul 2009, 03:18

crapiecorn schreef:Open poort is ftp

Dan toch niet op 21.

D3bian · 21 jul 2009, 15:03

gr4vity schreef:
crapiecorn schreef:Open poort is ftp
Dan toch niet op 21.

TFTP waarschijnlijk

crapiecorn · 21 jul 2009, 16:49

gr4vity schreef:
crapiecorn schreef:Open poort is ftp
Dan toch niet op 21.

Was met een oudere scanner die ftp groen kleurde, met nmap krijg ik ook niets terug.

gr4vity · 21 jul 2009, 18:37

die_ene schreef:TFTP waarschijnlijk

Inderdaad, TFTP lijkt mij veel aannemelijker. Maar volgens nmap staat er momenteel niets open.

D3bian · 22 jul 2009, 00:28

Starting Nmap 4.53 ( http://insecure.org ) at 2009-07-22 00:18 CEST

All 1714 scanned ports on 192.168.3.200 are filtered

Nmap done: 1 IP address (1 host up) scanned in 345.516 seconds

Maw, is kl*tefirewall, of hij had niks mogen antwoorden

gr4vity · 22 jul 2009, 00:58

Ik heb een vermoeden van wat de bak doet... maar ik ga eerst eens wat rond horen

glenndm · 22 jul 2009, 01:13

bedankt voor jullie reacties ( en sorry voor laattijdig antwoord )

ik ben blij dat ik toch geen spoken zie.

@Goendi:
weer iets bijgeleerd: ik dacht echt dat lokale IP space geblokkeerd werden, niet dus.
die blokkering had ik er al opstaan, is inderdaad geen slecht idee

@gr4vity: een dommel-medewerker belde mij terug. Samengevat kwam zijn antwoord erop neer dat die host bij mij zat. Wat aangeeft dat hij het niet wist (of wou/mocht zeggen)
Mijn suggesties (voip, router update) werden afgedaan als niet mogelijk

wachtend op je vermoeden - als er echelo.. inkomt, run

glenn

gr4vity · 22 jul 2009, 02:54

glenndm schreef:wachtend op je vermoeden - als er echelo.. inkomt, run

Dat beest zit niet voor de ATM hoor...

Maar euhm... waarom staat de ICMP niet af??? Dan kwamen dergelijke dingen niet eens aan het licht

Goendi · 22 jul 2009, 07:09

gr4vity schreef:
glenndm schreef:wachtend op je vermoeden - als er echelo.. inkomt, run
Dat beest zit niet voor de ATM hoor...
Maar euhm... waarom staat de ICMP niet af??? Dan kwamen dergelijke dingen niet eens aan het licht

Err... Ze blokkeren al ICMP denk ik op hun boarders. Vind dat al voldoende, want vind dat eigenlijk niet zo fijn. Mocht ICMP overigens afstaan kun je niet meer zien waar die trace uitkomt, maar dat IP hoort niet bereikbaar te zijn. Scarlet doet ook zoiets met non-routable IP space... Probeer maar eens een trace te doen op 10.10.10.10 vanop een Scarlet node. Het is echt niet de bedoeling dat dat bereikbaar is van buitenaf. Als het opduikt op een hop in je interne netwerk, zelfs van buitenuit, is het andere koek, zolang dat IP zelf van buitenuit maar niet bereikbaar is. Dat is nu net de bedoeling van die IP space.

gr4vity · 22 jul 2009, 07:21

Mja, als ze niet willen vertellen wat het is kunnen ze het beter unpingable maken he... Kwestie van ff instellen op de bak...

Goendi · 22 jul 2009, 07:43

Dan kunnen ze het beter afschermen bedoel je? Unpingable maken betekend niet dat het daarom niet meer bereikbaar is. Is echt niet hetzelfde... Unpingable maken is verstoppertje spelen en u verder geen zak aantrekken van RIPE policy's, onbereikbaar maken is zoals het veronderstelt is te zijn.

gr4vity · 22 jul 2009, 08:41

Inderdaad, sorry voor de verwarring

Maar ik ben nog steeds benieuwd wat het ding doet.

PumbaaH · 22 jul 2009, 16:54

Na een serieus en lang gesprek lijkt het erop dat 192.168.3.200 enkel en alleen de pusher is voor de gegevens van de siemens sx 762 bij dommel. Meer hoeft er niet achter gezocht te worden. (ik weet niet of de sagem daar ook onder valt... heb namelijk nog een paar andere kleine probleempjes)

Goendi · 23 jul 2009, 08:37

Err... Daarvoor hebben ze dacht ik een RIPE /21 beginnend met 194 om hun servers op te draaien. Ik volg nog altijd niet waarom er persé een interne range voor gebruikt moet worden...

glenndm · 23 jul 2009, 14:41

PumbaaH schreef:Na een serieus en lang gesprek lijkt het erop dat 192.168.3.200 enkel en alleen de pusher is voor de gegevens van de siemens sx 762 bij dommel. Meer hoeft er niet achter gezocht te worden. (ik weet niet of de sagem daar ook onder valt... heb namelijk nog een paar andere kleine probleempjes)

Dommel mag dit dan wel duidelijk zeggen.
zoals hierboven aangeraden, had ik op de router een internetblokkering gezet voor range 192.168.x.x behalve mijn computers.
192.168.3.200 wordt dus ook tegengehouden maw de router krijgt die bijwerkingen niet. (Tenzij als de router die regel zou negeren (en waar zijn we dan mee bezig?)

glenn