Ungefähr seit ich das N1 habe fühlte ich mich in meinem Netzwerk "verfolgt". Ich habe die FB7270 als DHCP-Server mit mittlerweile über 20 Clients im Netzwerk. Den WLAN-Zugang mache ich über Netgearrouter, WLAN an der FB ist aus.

Mein Adreßraum ist im 192.168er Bereich, das funktioniert alles seit Jahr und Tag hervorragend. Mein Netz ist auch gut abgeschottet - bislang keine Attacken, die erfolgreich waren.

So, seit einigen Wochen sehe ich täglich eine oder sogar mehrere IP-Adressen im Netzwerkmonitor der FB, mit einer 10er Adresse, z.B. 10.213.11.213. Diese Adresse kann also keinesfalls von der FB vergeben worden sein.
Das N1 bekommt nachprüfbar in den WLAN-Einstellungen eine IP-Adresse aus dem FB-Bereich, also mit 192.168.xxx.xxx.

Ich hatte immer einen "Angreifer" im Verdacht. Heute jedoch konnte ich endlich "live" eine 10er-IP capturen mit einem Scanner und auch die Mac-Adresse dazu filtern. Zu meinem großen Erstaunen ist der in der Mac-Adresse verborgene Hersteller HTC und die Mac-Adresse die meines N1.

Hammer! Ich war ganz baff.

Jetzt, liebe Gemeinde, interessiert mich brennend, wieso das N1 täglich wechselnde 10er-IP-Adressen generiert????

Also, meine Konfig ist ganz ähnlich:
FB7270, div. Clients (teils mit fester IP und teils über DHCP), N1 immer über DHCP, Wlan über FB oder Access Point. Der gleiche Adressraum wie bei Dir.

Aber das N1 hat sich bei mir noch NIE mit einer IP aus dem 10er Adressraum eingeloggt.

Hast Du irgendwo noch einen Proxy dazwischen? Was steht denn bei Dir unter Wlan/Erweiterte Einstellungen (über die Menü Taste)? Dort ist ja auch die MAC Adresse, Gateway und DNS hinterlegt.

__________________
LG, Deanna

Wenn Gott weiblich wäre, wäre nach dem 'Es werde Licht' erstmal ein 'Wie sieht's denn hier aus!?' gekommen.

Mein N1 loggt sich ja auch nicht ein!!! Es ist nachweislich über die 192er-Nummer im Netzwerk! Dennoch generiert das N1, aus welchem Grund auch immer, eine 10er-IP, die dann im Netzwerkmonitor der FB erscheint.

Das WARUM interessiert mich!

Nein.

Das steht natürlich nichts, weil ich ich dynamisch einlogge, und nicht mit statischer IP.
Die Mac-Adresse ist eben exakt die, die ich mit dem Netzwerkscanner gecaptured habe - also eindeutig HTC und eindeutig mein N1.

__________________
- SGNexus - MCR, always latest, franco.kernel
- SGTab7500 - CM9 / pershoot, always latest
History: div. Nokia, div. Blackberry, Pulse, N1, LG2X, Archos 101, Asus TF 101, SGS2
**Falls mir jemand zu mehr Cloud-Speicher verhelfen will...**

Hallo,

kann ich bestätigen. Auch ich habe im Netzwerkmonitor der Fritzbox Einträge aus dem 10er IP Bereich, die vom Nexus stammen.

Passiert das bei bestimmten Events (Aktivieren von Wlan, Reboot, 24h Intervall) oder einfach nur random?

Würde erstmal versuchen den "Fehler" zu reproduzieren.

Ich konnte es nicht eingrenzen. Mittlerweile habe ich die betreffenden Einträge aus der Box gelöscht, um eine Eingrenzung zu ermöglichen und habe nun seit 2 Tagen keine neuen IPs aus der Range in der Zusammenfassung.

Solche Adressen bauen manche Provider im mobilen Bereich ein, um Bilder über Proxys zu schicken, was den Traffic vermindern soll.

Einfach mal die Adressen bei Google eingeben, ich bin mir fast sicher dass du dann dazu näheres erfahren wirst.

Diese IPs sind aber eben nicht eindeutig. Es handelt sich dabei um einen privaten Adressbereich (nach RFC1918 http://tools.ietf.org/rfc/rfc1918.txt). Diese Adressen können *nicht* im Internet geroutet werden, nur innerhalb eines Netzes.


Um auch mal ins blaue zu tippen:
In Deutschland ist es üblich, dass man bei Residential-Verträgen für Netzzugang über Mobile-Carrier eine genattete IP erhält - das können eben auch solche "10er"-Adressen sein (die im übrigen nichts anderes sind als die "192.168er"-Adressen - es gibt ingesamt drei solcher Netze, einmal 10.0.0.0/8 (also alle IPs von 10.0.0.0 bis 10.255.255.255), 172.16.0.0/12 (dieses Netz umfasst alle Adressen von 172.16.0.0 bis 172.31.255.255) und eben 192.168.0.0/16 (192.168.0.0 bis 192.168.255.255)).

Es wäre folgendes Szenario denkbar:
Der IP-Stack des N1 hatte kurz vor dem "Vorfall" noch eine solche "10er"-Adresse (weil irgendwann vorher noch eine Netzverbindung via GSM bestand), und irgendeine App hat diese -wie auch immer- abgegriffen und nutzt diese als Source-Adresse.
Das Standardverhalten des Linux TCP/IP-Stacks ist es, dass alles (für das keine explizite Route gesetzt ist) ins Standardgateway gekippt wird (auch wenn Antworten darauf mit destination unreachable verworfen werden müssten - solch ein Verhalten schaut auf den ersten Blick zwar sinnfrei aus, ist aber in machen Szenarien durchaus erwünscht). Das Standardgateway wird in dem hier skizzierten Fall die Fritz!Box sein (entweder statisch vergeben, oder eben per DHCP gesetzt; anders könnte man keine Adressen außerhalb des LANs erreichen), ergo landen diese Pakete auch dort, und die Fritz!Box selbst verwirft dieses Paket höchstwahscheinlich als martian (was martian packets sind ist zB hier erklärt TCP/IP Stack Hardening). Denn anders als bei lokal generierten Paketen akzeptiert der Linux TCP/IP-Stack *eingehende* Pakete, die auf "dem Rückweg unzustellbar" wären (die -im iptables-Kontext- also nicht die Chain OUTPUT sondern FORWARD durchlaufen) per default nicht; nur deshalb werden diese wahrscheinlich in dem Szenario geloggt.


Insgesamt ist es aber so oder so ein absolut unkritisches Verhalten, zumindest sicherheitstechnisch.
RFC1918-Adressen können im Internet nicht geroutet werden, diese werden spätestens am Eingangsrouter des ISPs als ungültig verworfen.

tolle Antwort, danke!