• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Vodafone DNS Server leak?

Diskutiere Vodafone DNS Server leak? im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Seit Tagen beobachte ich im Sekundentakt geblockte Anfrage auf mein WAN Interface mit Source IP 2a02:908:2:b::1. Ziel sind Adressen in meinem...

rv112

Beiträge
4.420
Reaktionen
208
Seit Tagen beobachte ich im Sekundentakt geblockte Anfrage auf mein WAN Interface mit Source IP 2a02:908:2:b::1. Ziel sind Adressen in meinem Prefix, die es allerdings nicht gibt. Wie es scheint muss es sich dabei um einen DNS Server von Vodafone/Unitymedia handeln. UDP Port 53 passt ebenfalls dazu.
Nicht nur dass es nervt, frage ich mich ob hier nicht etwas völlig im Argen ist?

Zur Info: ich nutze einen eigenen Resolver und überhaupt keine public DNS Server.

Unbenannt.JPG
 

rv112

Beiträge
4.420
Reaktionen
208
Das sind Antworten. Irgendwer nutzt jedenfalls sehr gerne iTunes und Microsoft Azure. Ich bin mir aber nicht sicher ob er die IP gespooft hat. Eher scheint im LGI Netz etwas falsch zu sein. Besagte Person scheint aus Polen zu kommen.
 

tq1199

Beiträge
2.362
Reaktionen
8
Das sind Antworten. ... Ich bin mir aber nicht sicher ob er die IP gespooft hat. ... Besagte Person scheint aus Polen zu kommen.
Wenn es Antworten an deinen Prefix sind, dann muss die IP gespooft sein. Wenn das nicht der Fall wäre, müsste die Antwort ja an die (nicht gespoofte) IP gehen, die die Anfrage generiert/initiiert hat.
BTW: Wie hast Du festgestellt, dass die Person aus Polen kommt?

EDIT:

Wie blockt deine FW diese unerwünschten Antworten? Werden diese verworfen oder wird der Initiator/Veranlasser informiert?
 
Zuletzt bearbeitet:

addicted

Beiträge
4.745
Reaktionen
98
Wie lange hast Du das Präfix schon?
 

rv112

Beiträge
4.420
Reaktionen
208
Puh das Prefix habe ich schon ewig. Bestimmt ein Jahr.
Die Anfragen werden gedroppt. Ich habe die IP gegoogled und bin auf ein polnisches Forum gestoßen wo jemand diese IP nutzt. Kann sich inzwischen natürlich auch geändert haben, klar.
 

rv112

Beiträge
4.420
Reaktionen
208
Die Ziel IP die jedoch nicht in meinem Netzwerk liegt. Ebenfalls zur DNS Server IP findet man etwas im Netz.
 

tq1199

Beiträge
2.362
Reaktionen
8
Die Ziel IP die jedoch nicht in meinem Netzwerk liegt.
Das verstehe ich jetzt nicht. Wenn die Ziel IP nicht in deinem "Netzwerk" liegt, wie konnten die Datenpakete dann deine Firewall erreichen?

EDIT:

Oder meinst Du die Interface-ID dieser IPv6-Adresse? Die ist in diesem Fall aber nur "Schall und Rauch", denn das Präfix der IPv6-Adresse ist hier ausschlaggebend, so dass deine Firewall erreicht werden kann.
 
Zuletzt bearbeitet:

rv112

Beiträge
4.420
Reaktionen
208
Das Prefix ist gleich und schlägt daher auf meinem WAN auf. Hier wird es dann verworfen weil es von dieser Adresse keine Anfrage gibt. Es ist ja nicht nur DNS, auch TCP. Diese sind dann mit SA und SAE geflagt.
Es muss also jemanden mit meinem Prefix geben.
 

rv112

Beiträge
4.420
Reaktionen
208
Kann ich nicht sagen. So lange die DUID gleich bleibt, bleibt der Prefix. Ändere ich sie für einige Tage erhalte ich einen Andere. Ändere ich sie wieder zurück, erhalte ich wieder den Alten.
 

rv112

Beiträge
4.420
Reaktionen
208
Vielleicht auch ein Konfigurationsfehler?
 

addicted

Beiträge
4.745
Reaktionen
98
Das Gerät würde mit den gespooften Adressen ja nicht funktionieren.

Hast Du mal in die DNS-Antworten reingeschaut?
 

rv112

Beiträge
4.420
Reaktionen
208
Ja, es werden ganz normal Hosts aufgelöst, die ich aber nicht kenne.
 

sch4kal

Beiträge
986
Reaktionen
43
Ja, es wird jemand geben, der deinen Prefix für die (seine) source-IPv6-Adresse benutzt (spooft).
Er muss die Adressen noch nichtmal spoofen, kann ja sein das der Kunde in Polen das Präfix vor rv112 hatte und es irgendwo statisch eingetragen hat, weil er sich dachte "ach, das ändert sich sowieso nie". Ich weiß nicht, ob die DHCP-Server von UM/LGI DHCP-Snooping/IP Source Guard einsetzen, um genau sowas zu verhindern.
 

addicted

Beiträge
4.745
Reaktionen
98
Schon der Router darf keine Pakete annehmen, die nicht sein können.
 
Thema:

Vodafone DNS Server leak?

Vodafone DNS Server leak? - Ähnliche Themen

  • Vodafone Station: neue Firmware AR01.02.037.03.13_032020_711.SIP.10

    Vodafone Station: neue Firmware AR01.02.037.03.13_032020_711.SIP.10: Hallo Leute, habe soeben mehr durch Zufall gesehen, dass meine Vodafone Station auf eine neue Firmware gegangen ist...
  • OpenVPN Site-to-Site langsam im Upstream

    OpenVPN Site-to-Site langsam im Upstream: Hallo! Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit...
  • Vodafone Station: unregelmäßige Abstürze

    Vodafone Station: unregelmäßige Abstürze: Hi, ich habe kürzlich nach wochenlanger Lieferzeit meine Vodafone Station erhalten, womit ich nun auch CableMax 1000 habe. Die Geschwindigkeit...
  • Neuer Vodafone Router oder alten lassen ?

    Neuer Vodafone Router oder alten lassen ?: Bietet der VOdafone Router vorteile gegenüber der alten Connectbox von UM ? Danke
  • Unitymedia Bestandskunden IPv4 jetzt Vodafone mit DS Lite

    Unitymedia Bestandskunden IPv4 jetzt Vodafone mit DS Lite: Ich bin Bestandskunde von ehemals Unitymedia seit April 2013 und nun gab es den Wechsel zu Vodafone und deren DS Lite macht bei mir übelste...
  • Ähnliche Themen
  • Vodafone Station: neue Firmware AR01.02.037.03.13_032020_711.SIP.10

    Vodafone Station: neue Firmware AR01.02.037.03.13_032020_711.SIP.10: Hallo Leute, habe soeben mehr durch Zufall gesehen, dass meine Vodafone Station auf eine neue Firmware gegangen ist...
  • OpenVPN Site-to-Site langsam im Upstream

    OpenVPN Site-to-Site langsam im Upstream: Hallo! Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit...
  • Vodafone Station: unregelmäßige Abstürze

    Vodafone Station: unregelmäßige Abstürze: Hi, ich habe kürzlich nach wochenlanger Lieferzeit meine Vodafone Station erhalten, womit ich nun auch CableMax 1000 habe. Die Geschwindigkeit...
  • Neuer Vodafone Router oder alten lassen ?

    Neuer Vodafone Router oder alten lassen ?: Bietet der VOdafone Router vorteile gegenüber der alten Connectbox von UM ? Danke
  • Unitymedia Bestandskunden IPv4 jetzt Vodafone mit DS Lite

    Unitymedia Bestandskunden IPv4 jetzt Vodafone mit DS Lite: Ich bin Bestandskunde von ehemals Unitymedia seit April 2013 und nun gab es den Wechsel zu Vodafone und deren DS Lite macht bei mir übelste...