DIGI + Fantom gépek LAN-on

Hálózatok egyéb

Sziasztok!

Tegnapi nap tapasztaltam először, hogy megjelent két tök idegen PC a WORKGROUP-ban. (Én nem a WORKGROUP-ot használom).Az egyik gépről kiderült, hogy biztosan win7 van rajta. Megnéztem a megosztásaikat, az egyik jelszót kért, míg a másikon voltak publikus megosztások, viszont szétfertőzve ransomware-el.

A legfurább az egészben, hogy az én dhcp szerverem adott ki nekik IP-t, az én névszerveremet kezdték el használni (persze tiltva vannak azóta).

Igazából, nem is tudom hová tenni a dolgot, már kerestem a DIGI-t emiatt, akik azt mondták, rakjam "blacklist"-re ( :) ) a gépeket, és hogy "ők nem felelősek azért, ami a lakáson belül van" :) és tök jól működik az internetkapcsolatom.

Egyszer találkoztam hasonlóval, de ott konkrétan egy városnyi előfizető megosztásait lehetett nézegetni, de az egy kisváros és 10 éve volt kb. Ott jeleztük és elhárították a dolgot pár órán belül.

A DIGI-hez PPoE csatlakozás van. Lehet-e az, hogy a DIGI átjárója 10.0.0.1, és azon keresztül a DHCP szerverem valahogy meghirdette volna magát, és ezzel a környéken lévőkből páran tőlem kaptak IP címet a DIGI átjárója helyett?

Azóta nem látom a gépeket, ma délelőtt még próbálkozott az egyik, amelyiknek a megosztását nem tudtam megnézni, a másik késő este már eltűnt.

  • 4016 megtekintés

( blackluck v | 2018. 01. 10., sze – 18:20 )

Nem ismerem a digi halozatat, igy elkepzelhetonek tartom hogy nem szurik (vagy csak konfig hiba miatt ott nem szurik/szurtek) a dhcp forgalmat ami okozhat ilyesmit.
Amit kevesbe ertek, hogy te miert engeded wan iranyba a dhcp-t?

Azt kifelejtettem, hogy ma délelőttig egy PFsense volt a router, és még "ismerkedtem" vele.
Igazából nekem a szabályokból nem jött le, hogy wan-on is kimegy-e a dhcp. Azt nem tudom most így hirtelen már, hogy a wan iface-en lógott-e a dnsmasq, de be volt kapcsolva, hogy csak a kijelölt iface-eken hirdesse magát. Azt nem tudom, hogy WAN ki volt-e jelölve.

Most visszaálltam zentyal-ra, de ott is megjelent az egyik PC. Ott viszont alapból WAN-ra nem megy ki a dhcp.
----------------------------------------
o.-

( mauzi v | 2018. 01. 10., sze – 18:24 )

No, de a DIGI ethernet kábele fizikailag a te LAN subnetedbe van bedugva??

A DIGI FTTB esetén egy kutyaközönséges, nem menedzselhető switchre teszi az épületen belüli előfizetőket. Az általad leírt szituáció teljesen arra utal, hogy Te is, és még valaki más is a házban a LAN subnetjére rákötötte a DIGI kanócát.

Akkor nem értem, hogy tudna bármi is megjelenni a Te LAN subneteden, mint SMB workgroupban. A netbios discovery alapból csak egy ethernet broadcast domainen belül működik.

Nekem erősen gyanús, hogy valami el van fuserálva ott a bridge konfigoknál, és véletlenül össze van bridge-elve a LAN és a WAN.

ARP táblában nincsenek benne az idegen gépek?

Benne voltak, tőlem kapták az IP-t, az én DNS szerverem volt a DNS szerverük, úgy mint normálisan ahogy lennie kell.

Ez van a proxmoxon:

bridge name bridge id STP enabled interfaces
vmbr0 8000.98ded0031201 no enp7s0
tap102i0
veth104i0
vmbr1 8000.000000000000 no
vmbr666 8000.42d6a7353b61 no tap102i2
wlp6s0
vmbr999 8000.8416f902af85 no enp2s0
tap102i1

Ahol a vmbr0 a LAN (veth104i0), vmbr1 nincs használva, vmbr666 (wlp6s0) az a wifi, vmbr999 (enp2s0) az DIGI-s iface.

Zentyal-ban van bridge szintén, de ott a LAN iface van egyedül egy bridge-ben.

----------------------------------------
o.-

+1, nekem is az a gyanúm, hogy L2-n szépen össze van engedve a Digis ethernet meg a dhcp-t osztó eszköz azon lába, amin fogad dhcp-kéréseket...
Az, hogy a szolgáltatói uplinket L3-on fogadjuk (nem bridge/switch, hanem router), az nagyjából olyan alap, mint az eszkimóknál a "nem készítünk teát az iglu mögötti sárga hóból". :-D

Zentyal-ban nem is volt, pfsense-ben openvpn volt, de azt akkor lelőttem.

Proxmox-ban nincs vpn.

Azokat a tap ifaceket szerintem a proxmox hozza létre és adja hozzá a bridge-khez, és (hiába kerestem wiki-n) nem tudom mi célból.

----------------------------------------
o.-

A ProxMox azért hozza létre azokat az interface-ket, mert a virtuális gépben megjelenő eth interface-nek valahol kell legyen egy másik vége.
A brctl show kimenete alapján (és amit korábban mondtál), a következőket tudom mondani:
A 102-es VM a pfSense, amely három interface-t használ és belát mind a három hálózatba - ez tűzfalként mondjuk logikus. Az első interface - tap102i0 - van a belső háló felé a vmbr0 bridge-ben, ez a bridge egyébként tartalmaz még egy hálózati kártyát - enp7s0 -, ez gondolom megy a belső háló felé és itt van még valami, ami a neve alapján a 104-es VM hálózata lehet (veth104i0). A pfSense (VM102) 2. lába - tap102i1 - van a WAN felé néző bridge-ben - vmbr999 -, ahol az alapgép másik hálózati kártyája van - enp2s0 - és ha nem csalódom, akkor a vmbr999-en nincs is IP cím a ProxMox felől. A pfSense 3. lába - tap102i2 - van a vmbr666 bridgeben, amelyhez szintén tartozik egy hálózati kártya is - wlp6s0 -, ami a neve alapján (de a te elmondásod szerint is) egy WiFi kártya. Ha mindent jól csinálsz, akkor ezen az interface-n sincs IP cím a ProxMox felől.

A vmbr1 használaton kívüli bridge - ha nincs rá szükség, szerintem törölhető.

Ha a sejtésem jó, akkor a bridge definíciók jók, viszont a ProxMox beállítások nem feltétlenül.
- ProxMox oldalon csak a vmbr0 lábon van IP cím, ugye?
- a ProxMox hajlamos alapból bekapcsolni a forwardingot - viszont mivel te felhegesztettél egy pfSense guestet, ami minden hálóba bele lóg és intézi a továbbításokat, ezért a ProxMox esetén erre nincs szükség, ebben a felállásban azt is nyugodtan kikapcsolhatod

Azt se felejtsük el, hogy ha mindezeket jól beállítod, a pfSense is megviccelhet. Tehát akkor fog jól működni a hálózatod, ha mindkét eszközön jól van beállítva a hálózat.

Szamomra kicsit zavaros ez, ha jol ertem van egy geped amiben van 2 halokartya (enp7s0 es enp2s0) meg egy wifi kartya (wlp6s0), fut rajta egy proxmox, amin van (vagy volt es mostmar csak egy maradt?) 2 vm (pfsense es zentyal). A pfsense kerdest most hagyjuk ha jol feltetelezem azt lekapcsoltad es zentyal fut most csak, aminek van a veth104i0 virtualis interface-e ami igy vmbr0-s bridge-ben van a wan portoddal, mikozben lan-ra lenne a wifi. A zentyal-on belul (is van valami bridge?) van a pppoe kapcsolat terminalva ami valahogy megiscsak ossze van kotven a lannal (wifi?) kulonben az hogy zentyal terminal egy pppoe-t arra eleg hogy neki van nete, de lan iranyba ettol meg nem forwardolodik a forgalom ala natur hisz nincs is a vm-nek masodik interface-e. Akkor pedig host oldalon forward szabaly/rosszul felvett subnet stb. miatt atlatnak.
Vagy mit ertek felre a kiepitesben?

vmbr0 (LAN)
-ezen belül a enp7s0 a hálókártya, ami be van dugva a fizikai switchbe (a switchben vannak a többi gépem). Ezt a vmbr0-át kapja a zentyal most, eth0-ként látja. Az eth0-át beraktam zentyal-ban a br0-ba, de csak ez az egy eszköz van zentyal-ben a br0-ban. A br0-n figyel a dhcp. 192.168.1.100 - 192.168.1.150-es IP tartományt osztja szét Zentyal

vmbr666 (WIFI)
-ezen belül van a wlp6s0 fizikai hálókártya, ami egy PCI-E wifi kártya. A vmbr666-ot a Zentyal kapja meg, eth2 néven, ez ott statikus IP címet kapott, dhcp-n osztja ki a 192.168.5.100-192.168.5.200 -as tartományt.

vmbr999 (PPTP)
-ezen belül van az enp2s0 fizikai eszköz, ebbe megy a digi kábele. Ezt a zentyal megkapja eth1-ként, ezen keresztül hozza létre a ppoe eszközt

A Zentyal eredetileg domain controller volt csak, mellé raktam még egy pfsense-t, az csatlakozott digi-hez és az szórta a dhcp-t is, meg a wifi kártyát passthrought-al kapta meg. Ma délelőtt, a nagy ijedtségben lelőttem a pfsense-t és Zentyal-t állítottam be 'router' -nek.

Proxmoxban nincsen semmi, csak a bridge-k (meg most ott fut a hostapd is a vmbr666-t használja, a wifi-s eszközök a zentyal-tól kapják az IP-t)

----------------------------------------
o.-

Eleg fura megkozelites hogy bridge interface-t kapja a vm es nem egy virtualis interface-t ami a bridge-ben van, bar lehet csak szamomra, nem hasznaltam meg proxmox-ot.
Tap interface-eket nem ertem mire van ha nem te hoztad letre, szinten mivel nem ismerem proxmox-ot igy feltetlezem normalis az es nem az kot ossze dolgokat.

Viszont attol meg valahol osszelatnak, tippre bridge-ek megse jok vagy letrehozott a proxmox valami macvtap vagy hasonlo megoldast amit a brctl-el nem latsz, avagy rosszak a subnetek.
Tudsz mutatni ip addr show es ip link show kimeneteket (zentyal vm-bol es proxmox host-rol), meg akkor a zentyal-ban levo bridge allapotot is (mondjuk azt tovabbra se ertem minek ott)?

ip addr show @proxmox
ip addr show @zentyal
brctl show @proxmox
brctl show @zentyal

"meg akkor a zentyal-ban levo bridge allapotot is (mondjuk azt tovabbra se ertem minek ott)?"

Igazából nem is kell. Eredetileg több iface-t akartam összerakni, amik a LAN-on lógtak volna, de ez már a múlté és a bridge feleslegesen van.

----------------------------------------
o.-

Ami a tap interface-eket ugy tippelem arra hozza letre ha capture-olni akarnal adott interface-en akkor azt hasznalja erre, mert promisc-ban vannak, igy affele virtualis network tap szerepet eljatszhatnak.

Egyebkent a vmbr1-et szerintem nem artana lekonfiguralni, mert a 192.168.2.1/16 lefedi az osszes tobbi 192.168-as cimet is es bar statusz down, de routingban meg bekavarhat, egyebkent se szep igy egymast atfedo halozatokat csinalni, bar gondolom csak el lett irva a prefix es ugymaradt.

Esetleg routing tabla, tuzfal forward szabalyok lehetnek talan erdekesek hatha letrehozott proxmox vagy zentyal valamit ami bekavar, netan csak ottmaradt korabbi konfigolasbol (pfsense utan).
Mas otletem igy hirtelen nincs.

Proxmoxszon le van nullázva az FW, a routing is csak alap, a default megy a router felé, ezt mindig átírom kézzel ha változik a router. Proxmoxnak static IP van megadva, hogyha leszakad a router, akkor elérjem azért másik gépről is, és ne kelljen monitorral rohangálnom.

Azon filóztam, hogy a pfsense-t visszaállítom, de csak kamu és üres bridge-ekkel, és megnézem az ottani beállításokat. Erős a gyanúm, hogy ott qrtam el valamit a bridge-ekkel.

Az egész úgy állna össze, hogy valóban az történt, hogy pfsense-ben össze bridgel-tem valamit, és olyanok, akik tényleg LAN-ba dugták a ppoe-t, sikeresen kaptak tőlem IP-t. Ez lefedné az alap jelenséget. Azt még viszont nem, hogy a Zentyal-ba hogy került be a delikvens, miután pfsense-t lelőttem. Ott is konkrétan kapott egy IP-t. Viszont azóta nem is látom próbálkozni se, egyik fantom gépet sem.

192.168.2.1/16 -os tartományt már töröltem, pendingben van proxmoxban, csak az alkalmat várja egy kiadós reboot-ra, hogy érvénybe lépjen.

----------------------------------------
o.-

annak a megszüntetése, hogy más hálózat(ok)ba adatok szivárogjanak, nem paranoia
- szerintem:) -

és a vmbr999 bridget meg kell szüntetni, mert hiába raksz rá pppoet v. pptpt a bridgen keresztül ethernet csomagok tudnak közlekedni, és ha még a STP is be van kapcsolva rajta, az külön veszélyforrás..
a enp2s0 pedig közvetlenül oda kell adni a guestnak/zentialnak.

- szerintem -

ha pedig nem tudod mire van az a 2 tun/tap interface, azt is törölni kell.
vagy legalábbis utánanézni mire használja a rendszer, monitorozásra? ..

- szerintem -

( apostroph3 | 2018. 01. 10., sze – 18:34 )

most nem értem.

lokális ip-t kapsz a digitől?

Nem!

Én rendesen kapom az IP-t a DIGI-től.

Az én hálózatomon jelent meg két olyan gép, amely fizikailag nincs nálam bedugva, és mégis az én IP tartományomból kaptak IP-t, mintha a switchembe lennének bedugva kábelen.

----------------------------------------
o.-

( scineram | 2018. 01. 10., sze – 23:16 )

Digis társasházban Chaos Calmeren egyszer baszakodtam a tűzfalszabályokkal. Transmission is futott a routeren. Idő után random arcok torrentjei kezdtek megjelenni benne. AGYFASZt kaptam nyilván azonnal, és reseteltem az egészet. Azóta minden szolgáltatást (Transmission, Samba) jelszóval védek, talán feleslegesen.

( wpeople v | 2018. 01. 11., cs – 11:55 )

Csak én gondolom úgy, hogy - rezes hálózatnál - a végpontok port izolációval vannak "védve" egymástól, és adott port csak uplink-el tud kommunikálni?

Ez FTTH-n nincs?

Nem biztos hogy egyre gondolunk port izolacio alatt, de ha igen akkor annak mi koze lenne ahhoz hogy rezes vagy optika, illetve miert lenne trivialis hogy egyiken van masikon nincs?

Amugy meg miert kellene hogy legyen, ha kapsz egy normal publikus ip-t meg a szomszedod is elofizeto es o is kap egy masikat akkor nem szeretned hogy el tudd erni kozvetlenul es mondjuk emiatt ne tudj vele jatszani az online jatekban amit karacsonyra megkaptal te is?

Port izoláció alatt ebben a terminusban arra gondoltam, hogy adott switch-nél (a butáknál pl manuális kapcsolóval) állítható, hogy a portok egymással NE csak az Uplink-el tudjanak komunnikálni. ezzel ki van szűrve, hogy két szomszéd egymás gépét direkt lássa akaratlanul (samba browse)

MIvel az Ügyfelek PPPoE logint használnak, így senki mással nem akarnak L2 szinten kommunikálni csakis a PPPoE szerverrel.
Ezen keresztül pedig biztosított az átjárás a két szomszéd között.

így elégedett vagy?

( gH0StArthour v | 2018. 04. 09., h – 08:46 )

UPDATE:
Zentyal alatt összekvertem az interface-eket (véletlenül, de tesztnek jó volt), és amin a pptp lenne, be bridgel-tem LAN-ba, ekkor ismét megjelent egy router és két PC :)

Szóval valaki rossz lyukba dugott.
----------------------------------------
o.-

( Szab | 2018. 04. 09., h – 16:00 )

Velem is előfordult már ez a szituáció, amikor nat-olt ip-t kaptam. Felhívtam őket, hogy az úgy nekem nem jó. Fél órával később publikus ip-m lett, és a "vendég" gépek is eltűntek.