Rätselhafter Protokolleintrag des WLAN-Routers

[CPU0]

Nach einem Firmware-Update meines NETGEAR-Routers sind mir folgende zwei Einträge im Protokoll aufgefallen:

[UPnP set event: del_nat_rule] from source 10.133.19.59, Thursday, July 16,2015 21:37:41
[UPnP set event: add_nat_rule] from source 10.133.19.59, Thursday, July 16,2015 21:37:38
[Initialized, firmware version: V1.0.1.88] Thursday, July 16,2015 21:35:33

Ich frage mich, warum eine NAT-rule für drei Sekunden hinzugefügt wurde und woher diese Befehle gekommen sind. Wie soll ich diese source-IP verstehen?

Bin dankbar für jede Hilfe.

 

[HominiLupus]

Du hast UPNP an, und sowas ist was UPNP macht. Irgendein Programm "Ich will von aussen erreichbar sein" und der Router macht das sofort.
Welche IPs hast du denn bei deinem Heimnetzwerk vergeben? Welche IP hat dein Handy daheim? Welche IP hat dein PC?

 

[wertzuiop123]

Hast du den Router so eingerichtet, sodassman von außerhalb auch drauf zugreifen kann?

 

[inciter]

Die Löschen und Eintragen einer Route wird mit nahezu absoluter Sicherheit durch ein Programm auf einem der Rechner des lokalen Netzes ausgelöst. Anhand der IP (Source-IP) solltest du festmachen können, um welchen Rechner es sich handelt. Mehr Aufschluss würde sich bieten, wenn die Route auch das Ziel und den Port hergeben würde. Gibt der Router darüber Aufschluss?

 

[cb-user-25]

So 10er IP-Adressen habe ich mal bei installiertem "VirtualBox" als Adressen des virt. Netzwerkadapters gesehen, glaub ich.

 

[CPU0]

Du hast UPNP an, und sowas ist was UPNP macht. Irgendein Programm "Ich will von aussen erreichbar sein" und der Router macht das sofort.
Welche IPs hast du denn bei deinem Heimnetzwerk vergeben? Welche IP hat dein Handy daheim? Welche IP hat dein PC?

UPnP war damals noch aktiviert. Intern sollten nur standard-IPs vergeben werden. Merkwürdigerweise scheint die IP im Protokoll externen Ursprungs. Ist es möglich herauszufinden, welches Programm die UPnP-Regel veranlasste?

Hast du den Router so eingerichtet, sodassman von außerhalb auch drauf zugreifen kann?

Nein. Alle Optionen diesbezüglich sind deaktiviert.

 

[inciter]

So 10er IP-Adressen habe ich mal bei installiertem "VirtualBox" als Adressen des virt. Netzwerkadapters gesehen, glaub ich.

10er (Class A), 172 (Class B) und 192 (Class C) werden als IP-Adressen lokaler Netzwerke verwendet und sind alle legitim und nichts besonderes. Home-Router werden für gewöhnlich mit eine Class C 192er vorkonfiguriert. Dennoch ist eine 10 für lokales Netzwerkes nichts Ungewöhnliches.

 

[xxMuahdibxx]

Wie wurde denn das Update gemacht ... wenn es aus dem "Internet" kommt so scheint der Eintrag ja "normal" zu sein.

Wobei es auch richtig ist das 10.x.x.x eine Locale Adresse ist.

Also kann es auch sein wenn das Update über Software kommt das es einfach die IP Simuliert.

 

[CPU0]

Die Löschen und Eintragen einer Route wird mit nahezu absoluter Sicherheit durch ein Programm auf einem der Rechner des lokalen Netzes ausgelöst. Anhand der IP (Source-IP) solltest du festmachen können, um welchen Rechner es sich handelt. Mehr Aufschluss würde sich bieten, wenn die Route auch das Ziel und den Port hergeben würde. Gibt der Router darüber Aufschluss?

Leider nein.

So 10er IP-Adressen habe ich mal bei installiertem "VirtualBox" als Adressen des virt. Netzwerkadapters gesehen, glaub ich.

Also ist es eine interne IP? Verwenden iOS-Geräte solche 10er IPs?

Ergänzung (20. Juli 2015)

10er (Class A), 172 (Class B) und 192 (Class C) werden als IP-Adressen lokaler Netzwerke verwendet und sind alle legitim und nichts besonderes. Home-Router werden für gewöhnlich mit eine Class C 192er vorkonfiguriert. Dennoch ist eine 10 für lokales Netzwerkes nichts Ungewöhnliches.

Der Router ist allerdings nur für Class C konfiguriert mit Endungen von .6 bis .256. Kann es dennoch Abweichungen davon geben?

 

[arvan]

Wir wissen ja nicht was für eine Regel in Kraft tritt, nur das eine erstellt wurde von dem Gerät von 10.x.x.x
uPnP ist trotzdem ein Sicherheitsrisiko, da es auch ausgenutzt werden kann. Braucht eigentlich auch kaum ein Spiel, daher schalte es aus und vergib wenn noch notwendig, manuelle Portfreigaben.

 

[inciter]

Also ist es eine interne IP? Verwenden iOS-Geräte solche 10er IPs?

Nimm es mir nicht übel, aber sowohl cb-user-25s Beitrag, als auch deine dazugehörige Frage sind fachlich absolute daneben. Alle Clients, egal welcher Art (PCs, Smartphones, Kühlschränke) liegen im gleichen Netzbereich. Eine VM kann in einem eigenen Bereich liegen, wobei der Adapter hier natten muss, aber damit kommen wir schon Thema ab... eine abweichende IP kann sonst nur durch Manipulation zustande kommen.

Schau mal in deine Router-Einstellungen und teile uns die IP und den DHCP-Bereich deines Routers mit. Das würde der Runde hier schon viel mehr Klarheit bieten.

 

[CPU0]

Die Gewissheit, dass es eine interne IP war ist schon beruhigend. Danke für alle Beiträge.

Wir wissen ja nicht was für eine Regel in Kraft tritt, nur das eine erstellt wurde von dem Gerät von 10.x.x.x
uPnP ist trotzdem ein Sicherheitsrisiko, da es auch ausgenutzt werden kann. Braucht eigentlich auch kaum ein Spiel, daher schalte es aus und vergib wenn noch notwendig, manuelle Portfreigaben.

Ja, darum hab ich es jetzt auch deaktiviert.

 

[HominiLupus]

UPnP war damals noch aktiviert. Intern sollten nur standard-IPs vergeben werden. Merkwürdigerweise scheint die IP im Protokoll externen Ursprungs. Ist es möglich herauszufinden, welches Programm die UPnP-Regel veranlasste?

Nein die IP ist internen Ursprungs. 10.0.0.0/8 ist wie 192.168.0.0/16 eine nicht routbare "private" IP range. Da kommt nix von aussen oder dein ISP hat massiv Mist gebaut.

 

[CPU0]

Nimm es mir nicht übel, aber sowohl cb-user-25s Beitrag, als auch deine dazugehörige Frage sind fachlich absolute daneben. Alle Clients, egal welcher Art (PCs, Smartphones, Kühlschränke) liegen im gleichen Netzbereich. Eine VM kann in einem eigenen Bereich liegen, wobei der Adapter hier natten muss, aber damit kommen wir schon Thema ab... eine abweichende IP kann sonst nur durch Manipulation zustande kommen.

Schau mal in deine Router-Einstellungen und teile uns die IP und den DHCP-Bereich deines Routers mit. Das würde der Runde hier schon viel mehr Klarheit bieten.

Interessant. Wie geschrieben, sollten nur Class C, also 192.168.1.2 bis 192.168.1.254, vergeben werden.

 

[inciter]

Interessant. Wie geschrieben, sollten nur Class C, also 192.X.X.X, vergeben werden.

Dann prüfe mal, ob dein Router eine Routing-Tabelle parat hat, bzw. ob man sie beim Netgear einsehen kann. Dann durchsuch diese mal, indem du sie in eine Text-Datei kopierst. Dort prüfst du, ob einer MAC-Adresse, zwei IP-Adressen zugeordnet werden.

 

[CPU0]

Dann prüfe mal, ob dein Router eine Routing-Tabelle parat hat, bzw. ob man sie beim Netgear einsehen kann. Dann durchsuch diese mal, indem du sie in eine Text-Datei kopierst. Dort prüfst du, ob einer MAC-Adresse, zwei IP-Adressen zugeordnet werden.

Okay, danke.