this post was submitted on 15 Jan 2024
35 points (100.0% liked)

de_EDV

3805 readers
1 users here now

Ableger von r/de_EDV auf Lemmy.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Weitere IT Communitys:

!informationstechnik@feddit.de

!informatik@feddit.de

!edv_sicherheit@feddit.de

!computerhilfe@feddit.de

founded 2 years ago
MODERATORS
 

Ich habe seit Monaten eine Kuriosität bei der mir weder mein Telefonanbieter noch der Hersteller meines Routers helfen konnte / wollte.

Ich habe eine FRITZ!Box 7490, die mir regelmässig unter Internet > Filter > Listen > Erlaubte IP-Adressen selbstständig Adressen hinzufügt. Entgegen dem Namen des Menüeintrags sind diese Adresse gesperrt sofern man dort kein Häkchen bei jedem einzelnen Eintrag setzt. Dieses ist mir nur deshalb aufgefallen, weil ich meine Box so konfiguriert habe, dass ich wöchentliche Auswertungen per Mail bekomme (siehe Screenshot).

Ich bin der einzige Admin für das Gerät, das Passwort habe ich bereits mehrfach geändert und dennoch füllt sich die Liste bei jedem Leeren nach einiger Zeit selbstständig mit den gleichen Adressen. Laut whois.com handelt es sich um AliBabaCloud IPs, was alles und nichts sein kann.

Ich habe keine Nachteile durch die Sperrung, mein Browsing-Verhalten ist davon ungestört. Nichts desto trotz würde ich gerne Verstehen, was da passiert.

Das einzige was mir vielleicht noch dazu in den Sinn kommen kann: Ich habe meinem Netzwerk-Drucker auf der Box den Zugang zum Internet gesperrt. Kann es sein, dass der nach Hause telefoniert, die FritzBox das sperrt und mit den IPs die Liste füllt? Ich würde ungern den Drucker Zugriff gewähren nur um das testen.

EDIT

IndigoAmber hat die Lösung geliefert: der Gastzugang war Schuld. Standardmässig ist dort die Einstellung "Internetseiten filtern" aktiv. Selbst wenn wie bei mir die Filterlisten leer sind, werden direkt aufgerufene IPs (im Gegensatz zu URLs) kategorisch gesperrt. Diese werden in die Liste "Erlaubte IP-Adressen" aufgenommen, wo sie auf eine manuelle Freigabe warten bevor sie tatsächlich erlaubt sind. Irgendwie schade, dass die AVM Mitarbeiter das scheinbar nicht wussten.

top 11 comments
sorted by: hot top controversial new old
[–] elvith@feddit.de 11 points 11 months ago (1 children)

Du könntest schauen, ob du UPnP aktiviert hast, oder Geräte das erlaubt haben in der Fritzbox. Ich kenne das zwar nur für Portfreigaben, aber da man die darüber automatisch machen kann wäre das mein erster Verdacht, ob man darüber auch noch mehr anfordern kann?

Bei mir ist die Liste der erlaubten IPs leer, sollte also kein Automatismus der Fritzbox selbst sein.

[–] ISOmorph@feddit.de 12 points 11 months ago

"Statusinformationen über UPnP übertragen" war in der Tat aktiviert. Bei der Formulierung der Einstellung wäre ich nicht auf die Idee gekommen, dass damit externe Anwendungen Einstellungen an der FritzBox vornehmen könnten. Ich habe es nun deaktiviert und werde die liste erneut leeren. Danke, mal schauen ob es was bringt.

[–] taladar@feddit.de 6 points 11 months ago (1 children)

Ich würde einfach mal mit Wireshark im internen Netz in dem die Fritzbox ist auf diese Adressen lauschen, dann siehst du zumindest von welchem Gerät aus die Zugriffe erfolgen.

[–] ISOmorph@feddit.de 1 points 11 months ago (1 children)

Das ist eine gute Idee, Danke. Selbst wenn die FritzBox ohne die UPnP Einstellung Frieden geben sollte, weiss ich deshalb noch nicht wer hier klamheimlich IP Listen pflegen möchte.

[–] indigoamber@social.tchncs.de 5 points 11 months ago (2 children)

Das ist einfach wie diese Funktion der FritzBox arbeitet. Wenn man in einem Zugangsprofil die Option "Internetseiten filtern" aktiviert hat werden alle Verbindungsversuche aus dem lokalen Netz an IP-Adressen im Internet standardmäßig geblockt und in der Erlaubte-IP-Adressen Liste eingetragen (aber nicht frei gegeben). Dort kann man dann für lokale Geräte bei Bedarf den Zugriff auf globale IP-Adressen erlauben zu denen schon mal ein Verbindungsversuch protokolliert wurde.

[–] indigoamber@social.tchncs.de 4 points 11 months ago

Ob das dein Drucker oder ein anderes Gerät ist das bei der FritzBox diese Liste füllt kannst du übrigens auch mit der Paketmitschnitt-Funktion der FritzBox herausfinden… zu finden über (unten links) Inhalt > (unten) FRITZ!Box Support > (mittig) Paketmitschnitt. Die Mitschnitte kann man dann mit Wireshark untersuchen.

[–] ISOmorph@feddit.de 2 points 11 months ago (1 children)

Mit dem Beitrag hast du wahrscheinlich das Rätsel gelöst. Ich habe einen Gast-Zugang bei dem "Internetseiten filtern" aktiv ist. Da steht auch "Aufrufe über IP-Adressen sind ebenfalls gesperrt."

Ich weiss, dass meine Frau den Zugang regelmässig nutzt weil der nicht hinter meinem Pi-Hole ist und sie sich gerne Werbung gibt. Anscheinend ruft ihr Lappy / Handy hin und wieder IP-Adressen direkt auf, die halt Werbebedingt oft bei AliBaba landen.

[–] indigoamber@social.tchncs.de 1 points 11 months ago

Mein Verdacht ist, dass es ein IoT-Gerät oder anderes WiFi-Gadget ist, die haben manchmal recht primitive Netzwerkfunktionalität und können kein DNS. Falls du das Protokollieren von An- und Abmelde-Ereignissen fürs WLAN in der FB aktiviert hast kannst du die Zeiten im Ereignisbericht ja mal mit ihren Laptop/Handy-Nutzungszeiten abgleichen. Wenn das nicht passt muss es ein anderes Gerät sein.

[–] aaaaaaaaargh@feddit.de 5 points 11 months ago

Die IPs gehören nach meiner kurzen Recherche alle zur Alibaba group. Das kann jetzt alles mögliche sein, aber ich hab jedenfalls gesehen, dass es sich bei den Adressen um HTTP-Dienste handelt. Es wäre für mich denkbar, dass eines deiner Geräte zum Beispiel nach Update-Paketen schaut, welche auf einem von Alibaba betriebenen CDN liegen.

[–] Contend6248@feddit.de 2 points 11 months ago* (last edited 11 months ago) (1 children)

Aus der Alibaba Wolke scannt zurzeit jemand wie wild, aus asiatischen Ländern sowie aus Deutschland.

Zudem kamen funky DNS Anfragen, wodurch es erst aufgefallen ist.

Gut das sie bei dir schon auf der Blocklist waren, sind meine Neuankömmlingen.

[–] aaaaaaaaargh@feddit.de 1 points 11 months ago

Ich glaube, hier geht es um outbound traffic, nicht um Scanner im Netz. Zumindest hab ich es so verstanden.