Unbekannte IP im Netzwerk

[Gabberfan84]

Hallo Community,

ich muss auch um Rat fragen weil ich in meinem privaten LAN eine mir unbekannte IP habe. Ich bin wie folgt drauf gekommen:

Ich habe eine TP Link Router TL-WR1043NDv2 mit OpenWRT

NetzID im Netz 192.168.0.x/24

DISTRIB_RELEASE='Bleeding Edge'
DISTRIB_REVISION='r44470'
DISTRIB_CODENAME='chaos_calmer'

br-lan    Link encap:Ethernet  HWaddr C0:4A:00:40:B1:7A  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fdd9:d5a8:2df1::1/60 Scope:Global
          inet6 addr: fe80::c24a:ff:fe40:b17a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4971735 errors:0 dropped:297 overruns:0 frame:0
          TX packets:11332490 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:348585087 (332.4 MiB)  TX bytes:16043863602 (14.9 GiB)

eth0      Link encap:Ethernet  HWaddr C0:4A:00:40:B1:7B  
          inet addr:öffentliche IP  Bcast:149.172.241.255  Mask:255.255.254.0
          inet6 addr: fe80::c24a:ff:fe40:b17b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14251789 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4840220 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3397141898 (3.1 GiB)  TX bytes:406015971 (387.2 MiB)
          Interrupt:4 

eth1      Link encap:Ethernet  HWaddr C0:4A:00:40:B1:7A  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4884705 errors:0 dropped:30 overruns:3 frame:0
          TX packets:11016683 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:419549809 (400.1 MiB)  TX bytes:2720638724 (2.5 GiB)
          Interrupt:5 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:4218 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4218 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:359908 (351.4 KiB)  TX bytes:359908 (351.4 KiB)

wlan0     Link encap:Ethernet  HWaddr C0:4A:00:40:B1:7A  
          inet6 addr: fe80::c24a:ff:fe40:b17a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:184001 errors:0 dropped:0 overruns:0 frame:0
          TX packets:372672 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:19229429 (18.3 MiB)  TX bytes:456532262 (435.3 MiB)

Wenn ich jetzt unter Status --> Echtzeit-Diagramme --> Verbindungen gehe wird mir folgende IP folgendes angezeigt

Quelle: 10.108.0.1:67 Ziel: 255.255.255.255:68


Ich finde es komisch, die mir unbekannte Adresse ist eine aus dem privaten Bereich, wo ich garnicht benutze und wenn ich nach den Portnumern gehe ist 67/68 der Dienst DHCP dahinter.

 

[sayer]

Wenn ich jetzt unter Status --> Echtzeit-Diagramme --> Verbindungen gehe wird mir folgende IP folgendes angezeigt
Quelle: 10.108.0.1:67 Ziel: 255.255.255.255:68

Ich finde es komisch, die mir unbekannte Adresse ist eine aus dem privaten Bereich, wo ich garnicht benutze und wenn ich nach den Portnumern gehe ist 67/68 der Dienst DHCP dahinter.

Das ist eine klassische Antwort vom DHCP Server an einen Client der eine IP Adresse in deinem Netzwerk angefragt hat. Jedes Mal wenn sich eine Gerät in dein Netz verbindet fragt dieses eine IP beim DHCP "Server", welcher in deinem Router integriert ist, ab und sendet dann eine entsprechende Antwort. Diese Antwort ist die genannte Verbindung. Also das muss alles so sein und ist nichts schlimmes

 

[hominidae]

...über welchen Port (WAN oder LAN) kam der Request rein?..da Du dieses Netz garnicht nutzt, kann es mMn nur über WAN gekonmmen sein.
Was hast Du für einen Anschluss? Kabel-Modem?..was nutzt der DHCP-Server dort drin für ein internen Netz?...kann es ein "Schluckauf" während eines Restarts des Modems sein?
Edit: siehe auch: [Kerio 2.x] Question on BZ's 10.x rule - Kerio - Tiny Support | DSLReports Forums

 

[Gabberfan84]

@sayer

Mir ist schon klar das Port 67/68 für DHCP stehen, mich wunder es aber nur das es eine 10ner IP ist und keine 192 IP

Config vom DHCP Service

config dnsmasq
	option domainneeded '1'
	option boguspriv '1'
	option filterwin2k '0'
	option localise_queries '1'
	option rebind_protection '1'
	option rebind_localhost '1'
	option local '/lan/'
	option domain 'lan'
	option expandhosts '1'
	option nonegcache '0'
	option authoritative '1'
	option readethers '1'
	option leasefile '/tmp/dhcp.leases'
	option resolvfile '/tmp/resolv.conf.auto'
	option localservice '1'

config dhcp 'lan'
	option interface 'lan'
	option start '100'
	option limit '150'
	option leasetime '12h'

config dhcp 'wan'
	option interface 'wan'
	option ignore '1'

config odhcpd 'odhcpd'
	option maindhcp '0'
	option leasefile '/tmp/hosts/odhcpd'
	option leasetrigger '/usr/sbin/odhcpd-update'

@hominidae

über welchen Port (WAN oder LAN) kam der Request rein?..da Du dieses Netz garnicht nutzt, kann es mMn nur über WAN gekonmmen sein.

Das kann ich dir nicht sagen wo es rein kam, in der Anzeige der Echtzeit-Diagramme wird der Anschluss WAN lder LAN nicht angezeigt.

Was hast Du für einen Anschluss? Kabel-Modem?

KabelBW Anschluss mit Kabelmodem | Router --> Kabelmodem --> Internet
Die Verbindung ins Internet wird via erfolgt per DHCP auf dem WAN Port des Routers

Wird dann wohl der DHCP Relay vom ISP sein?!