W920V hält Verbindung in unbekanntes VPN/LAN !

[OSJF]

Hi,

Mein W920V läuft im default Subnet (192.168.2.0/24). Ich erreiche aber auch noch ein weiteres Subnet (192.168.1.0/24) von meinem lokalem PC aus.

PS C:\Users\TheLizardKing> pathping 192.168.1.1

Tracing route to 192.168.1.1 over a maximum of 30 hops

  0  TheLizardKingPC [192.168.2.100]
  1  speedport.ip [192.168.2.1]
  2  192.168.1.1

Computing statistics for 50 seconds...
            Source to Here   This Node/Link
Hop  RTT    Lost/Sent = Pct  Lost/Sent = Pct  Address
  0                                           TheLizardKingPC [192.168.2.100]
                                0/ 100 =  0%   |
  1    2ms     0/ 100 =  0%     0/ 100 =  0%  speedport.ip [192.168.2.1]
                                0/ 100 =  0%   |
  2   20ms     0/ 100 =  0%     0/ 100 =  0%  192.168.1.1

Trace complete.

Einige von euch werden die Firmware sicher von innen kennen, hat einer von euch eine Erklärung warum mein W920V mit diesem Subnet verbunden ist?
Es handelt sich defintiv um ein "fremdes" Netz, sobald ich das Kabel vom Splitter nehme, ist es nicht mehr zu erreichen.

Ich hoffe ihr könnt mir weiter Helfen

für eure Meinungen bin ich sehr Dankbar
OSJF

 

[OSJF]

Weitere Infos zu diesem Fall.

Am W920V sind zwei Geräte angeschlossen, ein Media Receiver 300 und eine Windows 7 Installation.

Um sicher zu gehen das die Win7 Install keine VPN Verbindung in das uminöse Subnetz hat. Habe ich eine http://grml.org/ CD gebootet. Das Subnetz ist auch aus grml heraus erreichbar.

Das W920V hatte NIE WLAN aktiviert, nie Remote Management geöffnet und ist relativ neu (4 Monate).

Nach 30min, und etlichen "Fachbereichen" wurde mir ein Ticket geöffnet, "bei den Jungs die da ganz andere möglichkeiten haben".

Mir sind die Hände gebunden, da das W920V wirklich keinerlei Informationen her gibt, keine Routing Tabellen, ARP Caches etc.....

Fakt ist für mich nur, es handelt sich um ein VPN das sich das W920V aufgebaut hat. Und zwar eines was in mein lokales Netz routet!

 

[skyteddy]

Welche Firmware hast Du denn überhaupt drauf? Ist das auch so, wenn der MediaReceiver aus ist? Was passiert denn, wenn Du deine Einstellungen sicherst und die Werkseinstellungen lädst?

Na da bin ich ja gespannt, was die "bei den Jungs die da ganz andere Möglichkeiten haben" rauskommt

Happy computing!
R@iner

 

[OSJF]

Welche Firmware hast Du denn überhaupt drauf? Ist das auch so, wenn der MediaReceiver aus ist? Was passiert denn, wenn Du deine Einstellungen sicherst und die Werkseinstellungen lädst?

Na da bin ich ja gespannt, was die "bei den Jungs die da ganz andere Möglichkeiten haben" rauskommt

Firmware ist: 65.04.74

Ja, auch wenn der MediaReceiver aus ist. Wobei es auch nicht zu erklären wäre das der Media Receiver 11 verschiedene Netzwerk IP's emulieren würde.

Die Werkseinstellungen will ich nicht laden, das Gerät muss so bleiben wie es ist. Falls es sich um Sicherheitsproblem handelt könnte das Laden der Werkseinstellungen wichtige Informationen vernichten.

 

[skyteddy]

Die Werkseinstellungen will ich nicht laden, das Gerät muss so bleiben wie es ist. Falls es sich um Sicherheitsproblem handelt könnte das Laden der Werkseinstellungen wichtige Informationen vernichten.

Daher sollst du ja vorher deine Einstellungen sichern!

Ich hab schon lange keine T-Com-Firmware drauf, kann es daher auf die Schnelle nicht nachstellen.

Happy computing!
R@iner

PS: Ansonsten würde ich dir die Firmware 75.04.72 und mein ruKernelTool zum Flashen empfehlen.

 

[OSJF]

Ich habe die Einstellungen gesichert, dann auf Werkseinstellungen zurück gesetzt.

Nach dem Reboot hat sich das W920V sofort die neue Firmware geholt und wieder rebootet. Ohne das ich dem Modem die Einwahldaten gegeben habe.

Sobald ich dem Modem die Einwahldaten gegeben habe war das 192.168.1.0/24 Netz wieder da!

ping 192.168.1.1
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
Reply from 192.168.2.1: Destination net unreachable
AN DIESEM PUNKT HABE ICH DIE T-ONLINE DATEN INS MODEM EINGETRAGEN
Reply from 192.168.1.1: bytes=32 time=19ms TTL=254
Reply from 192.168.1.1: bytes=32 time=19ms TTL=254
Reply from 192.168.1.1: bytes=32 time=19ms TTL=254

 

[skyteddy]

Neue Firmware geholt? Kann ich mir kaum vorstellen, denn Du hast die neueste mit der 65.04.74 bereits drauf. Welche haste denn jetzt drauf?

Was passieren sein kann ist, daß die AutoConfig aktiviert ist und der Provider deine Box einstellt. Das kannste aber auch abstellen.

Happy computing!
R@iner

 

[OSJF]

Neue Firmware geholt? Kann ich mir kaum vorstellen, denn Du hast die neueste mit der 65.04.74 bereits drauf. Welche haste denn jetzt drauf?

Sorry, mein Fehler, die Box hat zwei mal rebootet nach dem zurück setzen. Ich dachte in dem moment sie habe sich eine neue Firmware geholt.

Was passieren sein kann ist, daß die AutoConfig aktiviert ist und der Provider deine Box einstellt. Das kannste aber auch abstellen.

AutoConfig inwiefern? (Ich bin bei T-Home)

EDIT: Falls du: "EasySupport" meintest, das habe ich jetzt mal ausgestellt. Aber das erklärt nicht warum da dieses entfernte Klasse C-Netz ist

 

[skyteddy]

Wenn deine anderen Jungs nichts finden, dann spiel ich morgen oder übermorgen mal die T-Com-Firmware drauf.

Erzähl mir aber mal, wo Du was wie siehst bzw nicht siehst.

happy computing!
R@iner

PS: Ansonsten kann ich Dir nur nochmal die 75.04.72-Firmware für deinen W920V empfehlen

 

[OSJF]

Zunächst mal ein großes Dankeschön für deine Unterstützung! Ich bin zwar nicht ganz unbewandert, aber mit diesen Kisten bin ich doch relativ Hilflos.

Wenn deine anderen Jungs nichts finden, dann spiel ich morgen oder übermorgen mal die T-Com-Firmware drauf.

"die Jungs mit den ganz anderen möglichkeiten? " das damit die T-Com Technik gemeint war hattest du verstanden oder? Ich glaube nicht das da irgend etwas bei raus kommt.

Erzähl mir aber mal, wo Du was wie siehst bzw nicht siehst.

Du meinst wie ich das "fremde" Subnetz sehe?

Ich sehe das ich nicht nur das lokale (default) Netzwerk 192.168.2.0/24 erreiche, sondern auch 192.168.1.0/24. Das dieses Netz erreichbar ist, ist mir per Zufall aufgefallen als ich versehentlich einen ICMP request auf die falsche IP abgefeuert habe und eine Antwort bekam wo keine hätte keine kommen sollen.

Ich habe sofort das ganze 192.168.1.0/24 mit ICMP requests abgefragt, die ersten 11 IP's haben geantwortet, danach habe ich über diese 11 IP'S einen NMAP Intensiv-Scan laufen lassen, aber keine offenen Ports oder sonstige Anhaltspunkte gefunden.

Wie ich oben bereits in die CODE Blöcke gepostet habe, kann ich aus meinem lokalen 192.168.2.0/24 Netzwerk, 11 IP's aus dem Netzwerk 192.168.1.0/24 per ICMP ansprechen. Und das darf ja nun mal einfach nicht sein. Dennoch... das W920V routet zwischen diesen beiden Netzen.

PS: Ansonsten kann ich Dir nur nochmal die 75.04.72-Firmware für deinen W920V empfehlen

Ja.. das würde ich gerne, leider ist mein W920V nur gemietet. Zum Glück, den die T-Com hat mir nur VDSL25 angeschlossen. Das W920V hatte ich eigentlich nur angeschafft weil es VDSL50 werden sollte. Hätte ich es gekauft ich mich jetzt riesig geärgert. Für VDSL25 hätte auch ein W7xxV gereicht.

 

[skyteddy]

Du arbeitest mit DHCP, oder? Dann bekommst Du am PC die 192.168.2.100 zugewiesen. Du machst jetzt einen ping auf 192.168.1.50 und der antwortet? Oder geht es ausschließlich um ICMP?

Thema Mietgerät. Mach Dir da keine Sorgen. Mit meinem ruKernelTool kannst im handumdrehen wieder die Original-Firmware drauf spielen. Wenn Du eh in Linux fit bist, würde ich sogar noch nen Schritt weiter gehen und Du baust Dir selber ne Firmware. Links siehe mein Footer.

happy computing!
R@iner

 

[OSJF]

Du arbeitest mit DHCP, oder? Dann bekommst Du am PC die 192.168.2.100 zugewiesen. Du machst jetzt einen ping auf 192.168.1.50 und der antwortet? Oder geht es ausschließlich um ICMP?

Korrekt, mein PC bekommt per DHCP seine IP, 192.168.2.100.
Dann mache ich einen Ping (ICMP-Echo-Request) auf 192.168.1.1 und bekomme eine Antwort (ICMP-Echo-Reply) zurück. Was natürlich nicht sein kann, es sei den mein PC hat einen VPN tunnel über den ich 192.168.1.1 erreiche. Was ich ausschliessen kann (siehe weiter oben, auch grml erreicht 192.168.1.1). Oder es sei den, mein Gateway, in diesem Fall das W920V, routet mich zum 192.168.1.1, und das ist hier der Fall obwohl es auf keinen Fall sein dürfte.


Antworten auf Ping (ICMP-Echo-Request) bekomme ich von:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
192.168.1.5
192.168.1.6
192.168.1.7
192.168.1.8
192.168.1.9
192.168.1.10
192.168.1.11

Das mit der Firmware werde ich auf jedenfall machen, aber erst wenn ich dieses Mysterium geklärt habe

 

[rannseier]

Mach doch mal einen Scan auf die verfügbaren Dienste.

 

[OSJF]

Hi,

Ich habe bereits alle IP's mit NMAP "Intensiv" gescant. Keine offene Ports.
Das einzige was ich sehen kann ist: ICMP Pakete werden ab einer größe von ca. 1488 bytes "gedropped" bzw. nicht mehr beantwortet.

Der Rückruf der Telekom hat wie erwartet nichts ergeben, "ich sollte das dann doch Privat klären". Bedeutet, ich muss mir jetzt überlegen wie ich weiter vorgehe, Strafanzeige?

 

[rannseier]

Stelle mal einen Fileserver mit eindeuten Inhalten (und wenns vom Namen her ist) ins lokale Netz (FTP, was weiss ich) und beobachte die Zugriffe.

- Überlege wieso BKA/LKA zugriff zu deinem Netz haben wollen
- Werfe mal Truecrypt an

Irgendwelche Tunnel-Tools wie Hamachi benutzt du aber nicht?

 

[OSJF]

Hi,

Es gibt keine Gründe für das BKA in mein LAN zu wollen, und wenn dann wäre das BKA icht so blöd, sich mit meinem Modem zu Tunneln, und ihre Rechner dabei "sichtbar" zu lassen

Jaein, zwar kein Hamachi aber andere VPN Software. Aber wie gesagt, das Netz Antwortet auch wenn ich in eine Linux CD boote. Truecrypt bringt mich keinen Stück weiter, ich möchte meine Daten nicht verschlüsseln.

Nachdem die T-Com Abteilung nochmal zurück gerufen hat, und meinte das sie im Labor das ganze nachvollzogen hätten, es hätte bei ihnen 192.168.0.1 geantwortet, bin ich zu folgendem Schluss gekommen: Es handelt sich gar nicht um ein VPN.....

Meine neue Theorie:
Mein W920V routet ICMP requests, die für 192.168.1.0/24 bestimmt sind, an das ISP Gateway weiter. Und von dort kommen auch die Antworten zurück! Anders kann ich es mir nicht erklären....... würde bedeuten, das ISP Gateway (T-Com) ist vermurkst.

 

[ktw2003]

Wir hatten doch dieses Thema schon ein paar mal, wo aufgrund einer Fehlkonfiguration beim Provider, dass Subnetz des "Nachbarn" erreichbar war. Meist bei Alice. Vielleicht hast Du ja auch dieses Problem...

 

[rannseier]

Ich halte die Verbindung mit einem anderen Kunden für unwahrscheinlich, dann wärst du nicht immer mit dem gleichen Netz verbunden, das würde wechseln.

Und: Ich habe genügend Anschlüsse für Überwachungszwecke bei staatlichen Stellen eingerichtet, ich kenne die "Profis" dort. Die bekommen an den Arbeitsplatz einen DSL-Anschluss geschaltet, einen Speedport+PC und das wars. Selbst die Zugangsdaten muss man denen noch vorkauen, weil die nicht wissen wo man das einträgt. Dann gibts noch eine Anleitung wie der Ziel-ISP angemailt/angerufen werden muss und wie das gegnerische Modem/Router via TR069 provisioniert werden muss, das wars. Im übrigen ist erwiesen: Jeder macht sich in seinem Leben irgendwann strafbar, wenn du ihn lang genug beobachtest erwischt du ihn sogar dabei.

Kannst du mal den Router oder die Zugangsdaten wechseln und schauen ob sich da was verändert?

 

[OSJF]

Hmh... leider nicht, es sei den ein ADSL Modem läuft an nem VDSL Anschluss

Ich könnte höchstens einen Kollegen bitten das er sich mit meinen Daten an "seinem" Anschluss einwählt.
Aber wie gesagt, ich bin nur inzwischen zu 99% sicher das das T-Com Gateway spinnt. Ich wäre früher drauf gekommen habe es aber einfach nicht für möglich gehalten.

Ich bin zwar auch ein Freund von Verschwörungstheorien, aber das "staatliche Stellen" an meinem Modem hängen ist schon mehr als Abteuerlich

EDIT: Ich überflute jetzt den gesamten 192.168.*.* Raum mit ICMP requests, mal sehen was dabei raus kommt.

 

[merkur1964]

Hallo

Mal ne ganz dumme Annahme, ich kenn mich mit VLANs ja nciht so 100% aus, aber könnte es damit zusammenhängen das der Router im Entertain Zielnetz zwei Verbindungen aufbaut? Internet über VLAN7 und IPTV über VLAN 8?