Wie kann ich herausfinden welches Gerät auf diese IP zugreifen will?

[bart1983]

Hallo,

ich habe in meiner Fritzbox folgende Meldungen gesehen:

Ein Gerät bei mir im Netz versucht also immer diese 151.139.83er und 151.139.87er IP direkt aufzurufen, wird aber vin der Fritzbox geblockt.

Wie kann ich herausfinden welches Gerät das ist? Leider zeigt mir die Fritzbox nicht die Source-IP an?

----------------------------------------------

edit: Lösung

Die Meldung kam, weil in der Fritzbox "Internetseite sperren" ausgewählt war & dann automatisch auch Aufrufe via IP-Adressen gesperrt sind.

Der IP-Aufruf kam von WIndows 11 Rechnern, deren Defender/Antimalware Removal Tool sich bei jedem Start des Gerätes via IP verbinden wollte.

 

[cartridge_case]

Hast du ein Gastnetz aktiv? Dort könnte man die Geräte einzeln eintragen.

 

[tollertyp]

Wie ist denn die Konfiguration der FB (der Filter für Internetseiten) konfiguriert, dass diese IPs blockiert werden?

 

[JennyCB]

Paketmitschnitt aktivieren und mit Wireshark auswerten.
https://lost-in-it.de/fritzbox-netzwerkverkehr-mitschneiden-und-auswerten/

 

[bart1983]

Gastzugang habe ich nicht aktiviert. Weder LAN oder WLAN.

So sieht mein Heim-Netzwerk aus.

Habe eine Fritzbox, dann einen OpenWRT Router via Kabel angeschlossen.

Der OpenWRT hat 2 Netze. Einmal ein (LAN-) Netz für virtuelle Maschinen (die aber zu dem Zeitpunkt nicht laufen) und ein IOT-WLAN auf dem Steckdosen & Kameras laufen.
Beide Netze sind voneinander getrennt und beide OpenWRT-Netze sind natürlich auch vom Fritzbox-Netz getrennt.

Habe nun mal im OpenWRT die besagten IPs gesperrt, mal schauen ob es aufhört.

 

[tollertyp]

Aber halt für die richtige Schnittstelle.
Und eventuelle Leute im Netzwerk darauf hinweisen, dass mitgeschnitten wird.

 

[BFF]

Das sind IP von Stackpath.com, einem Hoster von u.A. Cloudservices. @bart1983

Vermutlich eine Deiner IoT welche dahin will.
Solltest eigentlich mit openwrt auch sehen können wer wohin will.

 

[bart1983]

Also es kommt offensichtlich nicht von IOT-Geräten am OpenWRT Router.
Da eben wieder eine IP in der FB aufgetaucht ist, die ich im OpenWRT Router mit dieser Regel deaktiviert habe:

Ein Traceroute von der IP-Adresse auf einem virtuellen Rechner der über den OpenWRT ins Internet geht kommt auch nicht über den Openwrt hinaus. Die Regel wirkt also

Also kann es nur ein Gerät im Fritzboxnetz sein.
Und da sind gerade dieser Laptop (an dem ich gerade tippe), mein Smartphone, der OpenWRT Router an sich als Client, der Pihole-Raspberry und ein WLAN-Drucker (bei dem ich aber den Internetzugriff schon immer verboten habe).

Muss also von eines dieser Geräte kommen. Cloudservice nutze ich eigentlich nicht.
Bin gerade mit der Fritzbox am Capturen, da ich aber nicht weiß welches Gerät es auslöst/wann, muss ich wohl warten.

Weil @tollertyp nach den Filterlisten fragte:
Ich habe keine Filterlisten in der Fritzbox eingerichtet. Nutze dafür piHole, der dazu noch auf spezielle verschlüsselte DNS-Server von Quad9 und CLoudflare, die von sich aus Malware-Domains herausfiltern.

Das einzige was ich in der Fritzbox eingestellt habe ist, dass die jugendgefährdeten Inhalte blockiert werden:

Mehr aber auch nicht.

Die IPs landete automatisch in der erlaubten IP Liste. Habe da Nichts selbst eingetragen :

 

[BFF]

mein Smartphone

Kann auch irgendeine App sein.

Pihole-Raspberry

Woher holt der seine Aktualisierungen?

 

[bart1983]

Kann auch irgendeine App sein.

Möglich. Aber habe leider keine App auf dem Schirm was das auslösen kann., habe auch keine neuen (weder Apps noch Spiele) installiert. Das Handy habe ich schon >2 Jahre und war vor einem Jahr noch kein Problem.
Ich versuche das Event gerade auszulösen indem ich Smartphone durch WLAN an/abmelde, aber bisher trat es nur einmal auf, Und das bevor ich das logging gestartet und mit dem Phone herumteste

Woher holt der seine Aktualisierungen?

Raspbian-Aktualsierung und pihole -up macht er 1x in der Woche in der Nacht von Samstag auf Sonntag mit einem cronjob.

Seine DNS-Einträge holt er sich über die Fritzbox

so sind die DNS-Anfragen mit DoT dank der Fritzbox im Internet verschlüsselt.

Bei allen Clients (inkl. dem OpenWrt-Router) ist dann der pihole als DNS-Server angegeben.

 

[bart1983]

Okay Erfolg. Naja, teilweise.

Das wurde dank des Fritzbox-Captures mitgeschnitten:

Als Source aber leider aber nur meine public Internetadresse, sehe jedoch nicht die lokale IP
Naja, sniffe jetzt die Ethernetanschlüsse und Wlan mit. Hoffe dann sehe ich die lokale IP des Gerätes ^^

 

[Pete11]

Hast Du ein Handy mit einer SIM-Karte von Telefonica? Oder von irgendeinem Provider, der das Netz von Telefonica verwendet?

 

[bart1983]

@Pete11
Ja tatsächlich. Habe eine Aldi-Talk Sim in dem mit dem WLAN verbundenen Handy.

Mobilfunk-Daten sind deaktiviert, wenn es im WLAN ist.
Habe nur die AldiTalk App installiert, keine nativen Telefonica-Apps

Mein Internetanbieter Zuhause ist Vodafone.

Wenn ich fragen darf, wie kommst du auf Telefonica?

 

[Pete11]

Ich habe nach "whois 151.139.83.34" gegoogelt - eine der Antworten verwies auf Spanien Telefonica. Das ist die Muttergesellschaft von Telefonica Deutschland. Was da abgefragt wird ist mir unbekannt.

 

[cartridge_case]

Dann bleibt ja fast du nur die Frage, wieso die Fritz!Box das blockieren will?!

 

[bart1983]

Okay, habe es rausgefunden was für ein Gerät es ist. Musste dafür andere Schnittstellen mitsniffen.

Nun kann ich sehen, welches Gerät die Anfrage stellt:

Es ist mein Laptop an dem ich gerade tippe (natürlich O.o).
Immer wenn ich den Laptop neustarte, versucht irgendein Dienst diese Verbindung aufzubauen, die dann von der Fritte automatisch geblockt wird.

Habe es nicht gemerkt, weil ich beim Rumprobieren/Neustart des Laptops gleich (also so ca. 2mins Verzögerung) in das Log schaute, aber der Eintrag bei meiner Fritzbox erst >5mins aufgelistet wird

Danke euch Allen für diese interessante Detektivarbeit. Jetzt muss ich beim Laptop schauen was da los ist.


Edit:
Sieht aber irgendwas mit Microsoft aus: siehe 4. Zeile mit der msdownload url.

Die Datei selbst scheint aber legit zu sein, Zertifikat stimmt und zumindest gibt es diese Datei

und das Datum & Uhrzeit dieser Datei stimmt 1:1 mit der Warnung in der Fritzbox überein:

Gerade mit meinem anderen Win11-Laptop getestet:
Gleiches Verhalten. Wenn Win11 hochfährt, dann updatet er dieses Tool und die Fritte wirft einen Fehler.

Ist wohl normal....

 

[BFF]

Es koennten/duerften die Anfragen nach WindowsDefenderUpdates bei Systemstart sein. @bart1983
Diese werden auch ausgeloest durch geplante Task.

"AM_Delta stands for Microsoft Anti-Malware Signature Delta Update Package"

Die IP da oben sind zwar auf diese Stackpath LLC ausgewiesen. Allerdings hat diese Firma ihr CDN an Akamai abgegeben. Und Microsoft benutzt durchaus Akamai um Contentanfragen regional zu verteilen.

 

[bart1983]

Ja, sieht echt danach aus.
Interessant, dann dürften diese Meldungen bei vielen FB+Windows-Usern ebenso auftreten.

 

[BFF]

Fuer mich ist eher die Frage warum die Fritte da ueberhaupt was macht. @bart1983

Das ist blocken von Verkehr innen nach aussen.
Ich hab keine Fritte, kann also nix helfen was da eingestellt ist oder drin steht.

Und abgesehen davon werden 99% aller FB Nutzer garnicht da rein schauen. 😁

 

[bart1983]

Lösung: Siehe erster Post