Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Peter68 on May 03, 2023, 09:29:24 PM

Title: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 03, 2023, 09:29:24 PM
Hab einen Mobotix IP Türstation welche alle 10 Minuten ca. 500-700 PTR-Anfragen (62.138.94.167.in-addr.arpa) sendet. Von den Türstationen (MobotixT25) habe ich 2 stück im Haus, aber nur die eine spielt verrückt. Die meisten Anfragen gehen auf externe Adressen.

Quote67.176.236.87.in-addr.arpa
svc90.main.px.t-online.de
scanner-07.ch1.censys-scanner.com
scanner-26.ch1.censys-scanner.com
ch1.censys-scanner.com
novel.monitoring.internet-measurement.com
monitoring.internet-measurement.com
gorgeous.monitoring.internet-measurement.com
lustrous.monitoring.internet-measurement.com
p54a9dfdb.dip0.t-ipconnect.de
dip0.t-ipconnect.de
dynamic-046-114-000-151.46.114.pool.telefonica.de
pool.telefonica.de
322ff827.tidalcoinage.internet-measurement.com
mx221.collegegem.com
tor-exit-74.cccs.de

Kann man diese ignorieren? Falls nicht, welche Möglichkeit hätte ich diese zu reduzieren oder gar ganz zu Blocken?

In Adguard sperren Funktioniert nicht richtig, ein paar werden geblockt, es kommen aber immer wieder andere Nr. dazu. Hab in Unbound versucht die Domains zu Blocken, aber auch da, kann ich nicht alles Blocken, die anfragen hören nicht auf, habe das Gefühl es werden immer mehr.

Wenn ich Port 53 Blocke ist zwar ruhe, aber ich bekomme keine Klingelbenachrichtigung mehr auf mein Handy. Intern Funktioniert das Klingeln am iPad und iPhone.

Adguard DNS Einstellung:

Upstream-DNS-Server opnsense 53053

Bootstrap DNS-Server opnsense 53053

Private inverse DNS-Server opnsense 53053

DHCP Server ist die OPNsense DNS Cloudflare 1.1.1.1

Client bekommt IP und DNS von der OPNsense (DHCP Server)

Fritz!Box ist hinter der OPNsense und macht WLAN und DECT

https://ibb.co/CngqqMW
https://ibb.co/7r6vKBN
Title: Re: Client sendet jede menge DNS Anfragen
Post by: JeGr on May 04, 2023, 12:13:38 PM
Moin,

* von was sind denn die Screenshots? Adguard?
* sind die Türdinger von extern erreichbar? Es würde mich sehr wundern, wenn die einfach aus Jux und Dollerei irgendwelchen Random IP DynDNS Namen versuchen aufzulösen (pool.telefonica ist der DynDNS Adressbereich von Tel/O2, dito mit t-ipconnect und der Telekom) denn da wird kein Service/Server stehen.
* aus Versehen ggf. einen davon per Port Forwarding o.ä. erreichbar gemacht?

für mich sieht das aus, als würde jemand (wer sieht man im Screenshot ja nicht) einfach versuchen die PTR Records zu anfragenden IP Adressen aufzulösen. Und deine Liste sieht nach dem typischen Netzgrundrauschen/Scannen aus. Die Censys Dinger sind bspw. Scan-Services die gern mal den ganzen IP Space abgrasen für Shodan und Co um IP/Ports zu sammeln, wo Dinge offen im Netz stehen. Und dass da auch dynamic IP Ranges mit dabei sind würde heißen, dass die Firewall oder dein Türgerät irgendwelche Anfragen bekommt die sie via Adguard auflösen lassen.

Sicher dass es das Türgerät ist, dass die DNS Anfragen stellt? Dann würde ich mal nachforschen ob das nicht versehentlich offen im Netz steht über einen Port und dadurch Anfragen bekommt und diese dann einfach versucht, reverse DNS aufzulösen.

Cheers
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 04, 2023, 04:24:26 PM
Quote* von was sind denn die Screenshots? Adguard?

Ja die sind von Adguard!

Quotesind die Türdinger von extern erreichbar?

Ja sind von extern erreichbar, sind aber nicht offen. O2 ist mein Anbieter für Handy

Quoteaus Versehen ggf. einen davon per Port Forwarding o.ä. erreichbar gemacht?

Portweiterleitung benötige ich ja und auf der WAN ist ein Geo-Filter nur für D Adressen.
Also: WAN   TCP   Deutsch_Geo_Filter   *   WAN Adresse   12345   Mobotix     443 (HTTPS)
12345 ist nicht der richtige Port

Die Liste ist von Adguard.
Intern die Geräte sind auch betroffen, aber nicht so oft wie extern
||119.2.1.192.in-addr.arpa^$client='Mobotix Hof'

So sperre ich in Adguard
Quote||34.101.220.185.in-addr.arpa^$important
||31.176.236.87.in-addr.arpa^$important
||251.176.236.87.in-addr.arpa^$important
||73.176.236.87.in-addr.arpa^$important
||49.92.101.46.in-addr.arpa^$important
||213.63.170.18.in-addr.arpa^$important
||80.193.25.171.in-addr.arpa^$important
||40.176.236.87.in-addr.arpa^$important
||82.176.236.87.in-addr.arpa^$important
||141.101.220.185.in-addr.arpa^$important
||164.101.220.185.in-addr.arpa^$important
||99.176.236.87.in-addr.arpa^$important
||4.61.129.185.in-addr.arpa^$important
||41.75.254.185.in-addr.arpa^$important
||163.81.187.80.in-addr.arpa^$important
||45.138.94.167.in-addr.arpa^$important
||123.204.74.109.in-addr.arpa^$important
||4.95.89.159.in-addr.arpa^$important
||9.192.142.45.in-addr.arpa^$important
||129.31.210.205.in-addr.arpa^$important
||60.133.248.167.in-addr.arpa^$important
||119.138.94.167.in-addr.arpa^$important
||109.176.236.87.in-addr.arpa^$important
||8.176.236.87.in-addr.arpa^$important
||144.176.236.87.in-addr.arpa^$important
||241.102.220.185.in-addr.arpa^$important
||243.102.220.185.in-addr.arpa^$important
||167.111.127.209.in-addr.arpa^$important
||221.125.142.162.in-addr.arpa^$important
||44.133.248.167.in-addr.arpa^$important
||78.176.236.87.in-addr.arpa^$important
||62.62.129.185.in-addr.arpa^$important

Und hier die Domains in Unbound
Quote67.176.236.87.in-addr.arpa
svc90.main.px.t-online.de
scanner-07.ch1.censys-scanner.com
scanner-26.ch1.censys-scanner.com
ch1.censys-scanner.com
novel.monitoring.internet-measurement.com
monitoring.internet-measurement.com
gorgeous.monitoring.internet-measurement.com
lustrous.monitoring.internet-measurement.com
p54a9dfdb.dip0.t-ipconnect.de
dip0.t-ipconnect.de
dynamic-046-114-000-151.46.114.pool.telefonica.de
pool.telefonica.de
322ff827.tidalcoinage.internet-measurement.com
mx221.collegegem.com
tor-exit-74.cccs.de

QuoteSicher dass es das Türgerät ist, dass die DNS Anfragen stellt?

Wenn ich DNS Sperre für diese IP, ist Ruhe im Netzwerk. Gehe mal davon aus, dass es die Türstation ist.

Danke für die Hilfe

Gruß
Title: Re: Client sendet jede menge DNS Anfragen
Post by: JeGr on May 04, 2023, 04:59:41 PM
> Ja sind von extern erreichbar, sind aber nicht offen. O2 ist mein Anbieter für Handy

Den Satz verstehe ich nicht ganz ;) Also sind sie erreichbar von extern. Eben nur aus DE (je nach GeoIP blah aber egal). Heißt dass jede IP in DE auf das Türdingsi drauf kommt. IPv4 Adressraum ist klein, der wird mit Tools heut sehr schnell abgescannt und wenn da diverse Scanner einfach mal stumpf alle Ports durchgrasen gibts hinterher ne Liste an der die sehen "aha da war was auf Port 23456". Port Obscurity ist heute eine Sache von Minuten bis Stunden, kein Versteck mehr. Daher vermute ich stark, dass eben die Zugriffe auf das Gerät, was die DNS Anfragen macht, irgendwas versucht zu triggern oder zu loggen und beim Log dann ggf. sowas wie DNS Auflösung an ist - also versucht wird mitzuloggen, welcher DNS Name zur IP vorliegt und deshalb die ganzen Anfragen an den AdGuard gestellt werden.

Ich würde mir dazu mal den Traffic auf das Gerät anschauen, da müssten die IPs zu den DNS Namen auftauchen (und einige kann man ja ganz gut im Klartext aus dem DNS ableiten wie 87.236.176.67 bspw.)

Warum muss das eigentlich via Port Forwarding immer im Netz hängen und nicht simpel einfach via VPN erreichbar?

Cheers
\jens
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 04, 2023, 05:37:35 PM
> Ja sind von extern erreichbar, sind aber nicht offen. O2 ist mein Anbieter für Handy

Haben ein Passwort  :) das meinte ich damit und jede DE Adresse hat Zugang :)

Ich werde die Türstationen, per VPN erreichbar machen  :-\

Danke für die Hilfe und die Erklärung

Gruß

Title: Re: Client sendet jede menge DNS Anfragen
Post by: Patrick M. Hausen on May 04, 2023, 06:15:39 PM
Quote from: Peter68 on May 04, 2023, 05:37:35 PM
Haben ein Passwort  :) das meinte ich damit und jede DE Adresse hat Zugang :)
Das bedeutet, dass 24x7 darauf rumgetrommelt wird.

Quote from: Peter68 on May 04, 2023, 05:37:35 PM
Ich werde die Türstationen, per VPN erreichbar machen  :-\
Besser is das ;)
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 04, 2023, 06:38:28 PM
Hab jetzt die Portweiterleitung Deaktiviert (Ist aus dem Netz nicht mehr erreichbar), DNS wieder frei gegeben und die Anfragen gehen weiter.
Jetzt fällt mir auch wieder ein, warum ich VPN nicht nutze mit den Kameras  ;) Meine IOS App funktioniert nicht über OPNVPN und auch nicht über WireGuard. Anfragen kommen rein und werden auch verarbeitet, bekomme aber kein Bild. Deshalb habe ich es mit Portweiterleitung gemacht. So ein Schei..

Gruß
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 07, 2023, 09:52:05 AM
QuoteIch würde mir dazu mal den Traffic auf das Gerät anschauen, da müssten die IPs zu den DNS Namen auftauchen (und einige kann man ja ganz gut im Klartext aus dem DNS ableiten wie 87.236.176.67 bspw

Es gibt keinen Traffic auf das Gerät, es sei den, ich greife darauf zu.
Title: Re: Client sendet jede menge DNS Anfragen
Post by: JeGr on May 08, 2023, 03:56:44 PM
> Es gibt keinen Traffic auf das Gerät, es sei den, ich greife darauf zu.

Weißt du oder behauptest du? Ich behaupte, wenn ein Device lang genug mit einem Webserver im Netz hängt, egal welcher Port, dann gibt es DEFINITIV Zugriffe darauf. Egal ob da ein PW Prompt dahinter hängt, allein was an Scannern durchs Netz wackeln, lösen trotzdem Zugriffsversuche aus.

> Meine IOS App funktioniert nicht über OPNVPN und auch nicht über WireGuard. Anfragen kommen rein und werden auch verarbeitet, bekomme aber kein Bild. Deshalb habe ich es mit Portweiterleitung gemacht. So ein Schei..

Eventuell mal nachhaken/-forschen, warum da kein Bild kommt? Macht ja keinen Sinn, dass das über ne stumpfe Portweiterleitung geht, aber per VPN wo es technisch nicht mal gefiltert ist nicht gehen sollte?

Cheers
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 08, 2023, 10:38:49 PM
QuoteWeißt du oder behauptest du? Ich behaupte, wenn ein Device lang genug mit einem Webserver im Netz hängt, egal welcher Port, dann gibt es DEFINITIV Zugriffe darauf. Egal ob da ein PW Prompt dahinter hängt, allein was an Scannern durchs Netz wackeln, lösen trotzdem Zugriffsversuche aus.
Seit Wochen schau ich drauf, ich konnte nichts erkennen.

QuoteEventuell mal nachhaken/-forschen, warum da kein Bild kommt? Macht ja keinen Sinn, dass das über ne stumpfe Portweiterleitung geht, aber per VPN wo es technisch nicht mal gefiltert ist nicht gehen sollte?
Arbeite dran, komme aber nicht weiter, andere Apps gehen  ;)

Hab jetzt alles in Adguard geblockt (sehr lange liste), es geht anscheinend nix mehr raus.

(https://i.ibb.co/N9tvN4B/Bildschirmfoto-2023-05-08-um-22-19-12.png) (https://ibb.co/N9tvN4B) (https://i.ibb.co/rxz40GN/Bildschirmfoto-2023-05-08-um-22-20-05.png) (https://ibb.co/rxz40GN) (https://i.ibb.co/T28KGxP/Bildschirmfoto-2023-05-08-um-22-21-29.png) (https://ibb.co/T28KGxP)
Title: Re: Client sendet jede menge DNS Anfragen
Post by: JeGr on May 10, 2023, 12:56:20 PM
> Seit Wochen schau ich drauf, ich konnte nichts erkennen.

Kein Problem, darum frag ich nach :)

> Hab jetzt alles in Adguard geblockt (sehr lange liste), es geht anscheinend nix mehr raus.

Will dich nicht enttäuschen ;) aber das war vergebene Liebesmühe und unnötig. Das wäre eh nicht rausgegangen (der Großteil zumindest) da der Großteil im Screenshot einfach nur simple Abfragen für Reverse IP sind und das noch gegen 192.168er IPs - was eh nicht raus gegeben wird. Und die anderen Anfragen sind alles in-addr.arpa (reverse) Anfragen zu irgendwelchen dynamic IP Ranges - genau daher würde ich nachhaken/-forschen wo die herkommen. Den DNS zu verbieten ist die Auswirkung zu eliminieren aber nicht das Problem zu finden :)

Wenn deine Kiste bspw. nen DNS von 222.0.114.46.in-addr.arpa verlangt versucht er nur 46.114.0.222 Rückwärts aufzulösen (also Hostnamen rauszufinden). Also will irgendwas auf der Kiste den Hostnamen zu der IP wissen - wahrscheinlich deshalb weil es entweder ne Anfrage gab oder die Kiste dahin reden will (warum auch immer). Und dann würde ich das mal versuchen durch die Logs zu stiefeln und schauen, ob die IP mal irgendwann über die Firewall reinkam oder auf der Kiste irgendwo ne Anfrage gestellt hat.

Aber joa, wenn man auf dem Gerät selbst das nicht findet, wird das schwierig zu analysieren. Da kann man dann nur Logging für die IP anmachen, filterlog etc. und dann mal sehen wann irgendwelche seltsamen Reverse Abfragen von der Kiste wieder kommen und dann zeitnah die Logs durchkrempeln ob man was findet.

Cheers :)
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 10, 2023, 06:31:26 PM
Erstmal ein großes Danke, für deine Zeit  :)

QuoteAber joa, wenn man auf dem Gerät selbst das nicht findet, wird das schwierig zu analysieren. Da kann man dann nur Logging für die IP anmachen, filterlog etc. und dann mal sehen wann irgendwelche seltsamen Reverse Abfragen von der Kiste wieder kommen und dann zeitnah die Logs durchkrempeln ob man was findet.

Dann werde ich das mal machen, vielleicht finde ich ja was. Gut zu Wissen, dass es ungefährlich ist, solange die IP nicht versucht, auf die OPNsense zu kommen.

Als ich umgestellt hatte auf OPNsense, hatte mein Denon AV auch ständig solche DNS abfragen gestellt. Da war der fehler die falsche DNS Adresse, es war noch die die FritzBox drin. Seit ich das geändert habe, ist ruhe.

Vielleicht vergebe ich der Mobotix mal eine ander IP, schaden kann es ja nicht. An VPN bin ich noch dran  ;)

Das ist ca. die hälfte von dem, was ich Blocke auf Adguard

Quote||156.122.57.2.in-addr.arpa^$important
||136.170.189.206.in-addr.arpa^$important
||174.11.71.167.in-addr.arpa^$important
||170.31.210.205.in-addr.arpa^$important
||46.133.248.167.in-addr.arpa^$important
||45.133.248.167.in-addr.arpa^$important
||211.125.142.162.in-addr.arpa^$important
||117.157.206.189.in-addr.arpa^$important
||201.159.43.179.in-addr.arpa^$important
||16.116.42.192.in-addr.arpa^$important
||60.176.236.87.in-addr.arpa^$important
||41.176.236.87.in-addr.arpa^$important
||39.176.236.87.in-addr.arpa^$important
||145.157.65.159.in-addr.arpa^$important
||1.94.183.68.in-addr.arpa^$important
||249.159.227.165.in-addr.arpa^$important
||8.137.96.195.in-addr.arpa^$important
||9.31.210.205.in-addr.arpa^$important
||31.24.235.198.in-addr.arpa^$important
||231.42.1.128.in-addr.arpa^$important
||13.248.128.23.in-addr.arpa^$important
||112.153.89.51.in-addr.arpa^$important
||95.5.114.46.in-addr.arpa^$important
||107.201.32.152.in-addr.arpa^$important
||44.31.210.205.in-addr.arpa^$important
||67.188.246.185.in-addr.arpa^$important
||80.139.9.3.in-addr.arpa^$important
||46.24.235.198.in-addr.arpa^$important
||35.67.63.75.in-addr.arpa^$important
||128.176.236.87.in-addr.arpa^$important
||49.176.236.87.in-addr.arpa^$important
||143.68.199.128.in-addr.arpa^$important
||156.5.71.167.in-addr.arpa^$important
||77.101.220.185.in-addr.arpa^$important
||63.176.236.87.in-addr.arpa^$important
||248.176.236.87.in-addr.arpa^$important
||91.75.216.86.in-addr.arpa^$important
||236.104.217.199.in-addr.arpa^$important
||175.101.220.185.in-addr.arpa^$important
||104.176.236.87.in-addr.arpa^$important
||4.225.152.23.in-addr.arpa^$important
||73.188.246.185.in-addr.arpa^$important
||224.176.236.87.in-addr.arpa^$important
||113.176.236.87.in-addr.arpa^$important
||120.112.227.64.in-addr.arpa^$important
||70.225.75.94.in-addr.arpa^$important
||245.176.236.87.in-addr.arpa^$important
||167.176.236.87.in-addr.arpa^$important
||64.188.61.45.in-addr.arpa^$important
||15.84.126.209.in-addr.arpa^$important
||235.198.65.159.in-addr.arpa^$important
||91.188.227.64.in-addr.arpa^$important
||8.122.57.2.in-addr.arpa^$important
||18.152.10.3.in-addr.arpa^$important
||227.1.168.192.in-addr.arpa^$important
||74.101.220.185.in-addr.arpa^$important
||173.176.236.87.in-addr.arpa^$important
||36.176.236.87.in-addr.arpa^$important
||212.125.142.162.in-addr.arpa^$important
||26.67.83.45.in-addr.arpa^$important
||146.65.83.45.in-addr.arpa^$important
||119.133.248.167.in-addr.arpa^$important
||130.64.129.23.in-addr.arpa^$important
||83.83.56.185.in-addr.arpa^$important
||64.39.22.165.in-addr.arpa^$important
||230.176.236.87.in-addr.arpa^$important
||42.176.236.87.in-addr.arpa^$important
||187.176.236.87.in-addr.arpa^$important
||212.158.166.188.in-addr.arpa^$important
||129.60.75.106.in-addr.arpa^$important
||231.36.141.209.in-addr.arpa^$important
||69.121.185.205.in-addr.arpa^$important
||25.31.210.205.in-addr.arpa^$important
||160.1.168.192.in-addr.arpa^$important
||38.236.142.185.in-addr.arpa^$important
||33.67.63.75.in-addr.arpa^$important
||98.191.93.142.in-addr.arpa^$important
||127.176.236.87.in-addr.arpa^$important
||28.176.236.87.in-addr.arpa^$important
||228.176.236.87.in-addr.arpa^$important
||180.31.210.205.in-addr.arpa^$important
||63.138.94.167.in-addr.arpa^$important
||147.46.227.64.in-addr.arpa^$important
||114.225.10.3.in-addr.arpa^$important
||54.246.192.212.in-addr.arpa^$important
||63.62.129.185.in-addr.arpa^$important
||233.176.236.87.in-addr.arpa^$important
||126.176.236.87.in-addr.arpa^$important
||15.176.236.87.in-addr.arpa^$important
||155.34.141.209.in-addr.arpa^$important
||121.124.185.205.in-addr.arpa^$important
||112.161.90.45.in-addr.arpa^$important
||106.111.147.89.in-addr.arpa^$important
||153.176.236.87.in-addr.arpa^$important
||229.176.236.87.in-addr.arpa^$important
||87.176.236.87.in-addr.arpa^$important
||69.208.93.142.in-addr.arpa^$important
||132.31.210.205.in-addr.arpa^$important
||170.165.59.139.in-addr.arpa^$important
||117.138.94.167.in-addr.arpa^$important
||175.99.150.107.in-addr.arpa^$important
||77.53.183.68.in-addr.arpa^$important
||35.176.236.87.in-addr.arpa^$important
||12.176.236.87.in-addr.arpa^$important
||156.176.236.87.in-addr.arpa^$important
||109.164.110.143.in-addr.arpa^$important
||117.133.248.167.in-addr.arpa^$important
||47.133.248.167.in-addr.arpa^$important
||134.64.129.23.in-addr.arpa^$important
||102.116.43.64.in-addr.arpa^$important
||192.252.127.209.in-addr.arpa^$important
||92.176.236.87.in-addr.arpa^$important
||131.4.114.46.in-addr.arpa^$important
||165.24.235.198.in-addr.arpa^$important
||61.138.94.167.in-addr.arpa^$important
||183.4.114.46.in-addr.arpa^$important
||222.109.127.209.in-addr.arpa^$important
||36.101.220.185.in-addr.arpa^$important
||54.109.127.209.in-addr.arpa^$important
||54.6.98.141.in-addr.arpa^$important
||51.176.236.87.in-addr.arpa^$important
||148.176.236.87.in-addr.arpa^$important
||137.176.236.87.in-addr.arpa^$important
||53.61.102.94.in-addr.arpa^$important
||103.117.150.107.in-addr.arpa^$important
||220.125.142.162.in-addr.arpa^$important
||140.24.235.198.in-addr.arpa^$important
||46.138.94.167.in-addr.arpa^$important
||180.140.165.46.in-addr.arpa^$important
||58.145.94.167.in-addr.arpa^$important
||252.113.227.165.in-addr.arpa^$important
||174.89.189.206.in-addr.arpa^$important
||45.31.210.205.in-addr.arpa^$important
||59.146.94.167.in-addr.arpa^$important
||118.138.94.167.in-addr.arpa^$important
||59.35.199.128.in-addr.arpa^$important
||56.235.92.164.in-addr.arpa^$important
||2.105.127.209.in-addr.arpa^$important
||225.64.129.23.in-addr.arpa^$important
||249.102.220.185.in-addr.arpa^$important
||65.33.141.209.in-addr.arpa^$important
||187.34.141.209.in-addr.arpa^$important
||89.116.185.205.in-addr.arpa^$important
||184.122.185.205.in-addr.arpa^$important
||128.35.141.209.in-addr.arpa^$important
||169.49.141.209.in-addr.arpa^$important
||193.41.141.209.in-addr.arpa^$important
||120.219.168.144.in-addr.arpa^$important
||253.102.220.185.in-addr.arpa^$important
||84.171.165.185.in-addr.arpa^$important
||23.176.236.87.in-addr.arpa^$important
||108.176.236.87.in-addr.arpa^$important
||237.176.236.87.in-addr.arpa^$important
||222.125.142.162.in-addr.arpa^$important
||171.31.210.205.in-addr.arpa^$important
||58.146.94.167.in-addr.arpa^$important
||44.138.94.167.in-addr.arpa^$important
||192.2.114.46.in-addr.arpa^$important
||3.189.20.198.in-addr.arpa^$important
||77.218.168.144.in-addr.arpa^$important
||245.100.220.185.in-addr.arpa^$important
||43.187.43.179.in-addr.arpa^$important
||135.176.236.87.in-addr.arpa^$important
||182.176.236.87.in-addr.arpa^$important
||186.176.236.87.in-addr.arpa^$important
||219.125.142.162.in-addr.arpa^$important
||128.24.235.198.in-addr.arpa^$important
||120.138.94.167.in-addr.arpa^$important
||61.133.248.167.in-addr.arpa^$important
||47.163.32.152.in-addr.arpa^$important
||35.125.191.60.in-addr.arpa^$important
||154.252.127.209.in-addr.arpa^$important
||195.159.43.179.in-addr.arpa^$important
||99.158.168.144.in-addr.arpa^$important
||56.101.220.185.in-addr.arpa^$important
||216.176.236.87.in-addr.arpa^$important
||236.176.236.87.in-addr.arpa^$important
||24.176.236.87.in-addr.arpa^$important
||60.145.94.167.in-addr.arpa^$important
||6.233.227.165.in-addr.arpa^$important
||226.73.75.106.in-addr.arpa^$important
||57.146.94.167.in-addr.arpa^$important
||4.7.189.107.in-addr.arpa^$important
||13.218.61.61.in-addr.arpa^$important
||141.1.168.192.in-addr.arpa^$important
||47.251.110.143.in-addr.arpa^$important
||33.229.190.146.in-addr.arpa^$important
||63.133.248.167.in-addr.arpa^$important
||34.31.210.205.in-addr.arpa^$important
||8.192.142.45.in-addr.arpa^$important
||7.192.142.45.in-addr.arpa^$important
||8.125.142.162.in-addr.arpa^$important
||118.133.248.167.in-addr.arpa^$important
||36.65.83.45.in-addr.arpa^$important
||92.64.83.45.in-addr.arpa^$important
||62.138.94.167.in-addr.arpa^$important
||71.132.165.46.in-addr.arpa^$important
||129.197.62.64.in-addr.arpa^$important
||171.54.210.188.in-addr.arpa^$important
||64.2.114.46.in-addr.arpa^$important
||229.149.165.46.in-addr.arpa^$important
||206.137.165.46.in-addr.arpa^$important
||182.1.168.192.in-addr.arpa^$important
||173.3.114.46.in-addr.arpa^$important
||83.130.100.5.in-addr.arpa^$important
||182.139.100.5.in-addr.arpa^$important
||99.135.165.46.in-addr.arpa^$important
||206.5.114.46.in-addr.arpa^$important
||46.53.210.188.in-addr.arpa^$important
||209.6.114.46.in-addr.arpa^$important
||238.5.114.46.in-addr.arpa^$important
||49.3.114.46.in-addr.arpa^$important
||232.150.165.46.in-addr.arpa^$important
||159.1.114.46.in-addr.arpa^$important
||25.5.114.46.in-addr.arpa^$important
||222.0.114.46.in-addr.arpa^$important
||6.192.142.45.in-addr.arpa^$important
||52.108.43.64.in-addr.arpa^$important
||112.36.141.209.in-addr.arpa^$important
||56.110.127.209.in-addr.arpa^$important
||4.192.142.45.in-addr.arpa^$important
||71.139.8.3.in-addr.arpa^$important
||213.125.142.162.in-addr.arpa^$important
||252.39.118.92.in-addr.arpa^$important
||7.125.142.162.in-addr.arpa^$important
||52.92.94.80.in-addr.arpa^$important
||202.176.236.87.in-addr.arpa^$important
||171.176.236.87.in-addr.arpa^$important
||210.176.236.87.in-addr.arpa^$important
||178.7.189.206.in-addr.arpa^$important
||55.101.220.185.in-addr.arpa^$important
||248.152.97.209.in-addr.arpa^$important
||122.111.43.64.in-addr.arpa^$important
||16.73.172.144.in-addr.arpa^$important
||245.219.168.144.in-addr.arpa^$important
||176.24.235.198.in-addr.arpa^$important
||251.122.57.2.in-addr.arpa^$important
||187.137.244.143.in-addr.arpa^$important
||60.138.94.167.in-addr.arpa^$important
||120.133.248.167.in-addr.arpa^$important
||60.146.94.167.in-addr.arpa^$important
||57.145.94.167.in-addr.arpa^$important
||71.176.236.87.in-addr.arpa^$important
||150.176.236.87.in-addr.arpa^$important
||152.176.236.87.in-addr.arpa^$important
||191.203.248.104.in-addr.arpa^$important
||249.100.220.185.in-addr.arpa^$important
||241.100.220.185.in-addr.arpa^$important
||212.117.43.64.in-addr.arpa^$important
||3.192.142.45.in-addr.arpa^$important
||228.5.114.46.in-addr.arpa^$important
||74.0.114.46.in-addr.arpa^$important
||83.176.165.46.in-addr.arpa^$important
||163.24.235.198.in-addr.arpa^$important
||226.64.83.45.in-addr.arpa^$important
||51.67.83.45.in-addr.arpa^$important
||238.253.42.84.in-addr.arpa^$important
||147.31.210.205.in-addr.arpa^$important
||67.187.165.46.in-addr.arpa^$important
||2.244.90.207.in-addr.arpa^$important
||71.203.10.3.in-addr.arpa^$important
||29.224.92.164.in-addr.arpa^$important
||47.138.94.167.in-addr.arpa^$important
||210.125.142.162.in-addr.arpa^$important
||151.56.102.94.in-addr.arpa^$important
||84.176.236.87.in-addr.arpa^$important
||54.176.236.87.in-addr.arpa^$important
||154.176.236.87.in-addr.arpa^$important
||88.26.166.188.in-addr.arpa^$important
||253.100.220.185.in-addr.arpa^$important
||203.216.245.157.in-addr.arpa^$important
||63.198.209.134.in-addr.arpa^$important
||176.31.210.205.in-addr.arpa^$important
||88.122.57.2.in-addr.arpa^$important
||62.133.248.167.in-addr.arpa^$important
||167.186.130.18.in-addr.arpa^$important
||184.176.236.87.in-addr.arpa^$important
||44.176.236.87.in-addr.arpa^$important
||160.176.236.87.in-addr.arpa^$important
||195.204.248.104.in-addr.arpa^$important
||239.184.61.45.in-addr.arpa^$important
||50.101.220.185.in-addr.arpa^$important
||249.176.236.87.in-addr.arpa^$important
||234.176.236.87.in-addr.arpa^$important
||184.209.99.167.in-addr.arpa^$important
||41.101.220.185.in-addr.arpa^$important
||88.179.103.190.in-addr.arpa^$important
||2.192.142.45.in-addr.arpa^$important

Title: Re: Client sendet jede menge DNS Anfragen
Post by: Patrick M. Hausen on May 10, 2023, 08:02:29 PM
Die berechtigte Vermutung ist, dass alle diese Adressen versuchen, dein Tür-Dingsi zu kontaktieren. Um dazu etwas in Firewall-Logs zu finden, musst du die DNS-Abfragen rumdrehen.

Eine DNS-Abfrage nach 4.3.2.1.in-addr.arpa bedeutet, dein Gerät möchte wissen, welcher Name zur IP-Adresse 1.2.3.4 gehört.
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 10, 2023, 09:03:19 PM
QuoteEine DNS-Abfrage nach 4.3.2.1.in-addr.arpa bedeutet, dein Gerät möchte wissen, welcher Name zur IP-Adresse 1.2.3.4 gehört.

Frag mich nur für was?

Ich hatte die Adressen ja schonmal gedreht. Anfragen werde ich weiterhin auf WAN beobachen. Ich stell die IP der Türdings mal auf die alte Adresse um, mal sehen was passiert.

Danke.

Quotescanner-06.ch1.censys-scanner.com
erudite.monitoring.internet-measurement.com
tantalizing.monitoring.internet-measurement.com
scanner-25.ch1.censys-scanner.com
elite.monitoring.internet-measurement.com
tor-exit-relay-7.anonymizing-proxy.digitalcourage.de
programs.housewebnew.com
balance.nici.io
uslv-1.easyinfinite.com
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Patrick M. Hausen on May 10, 2023, 09:28:00 PM
Mach doch einfach mal ein tcpdump auf dem Interface, an dem dieses Gerät hängt, dann siehst du doch, ob vor jedem DNS-Request irgendwas von außen rein kommt ...
Title: Re: Client sendet jede menge DNS Anfragen
Post by: Peter68 on May 10, 2023, 10:14:46 PM
Ok, werde mal etwas Lesen  :)
Title: Re: Client sendet jede menge DNS Anfragen
Post by: JeGr on May 11, 2023, 11:03:55 AM
> Frag mich nur für was?

Also die ARPA Requests gehen wahrscheinlich von deinem Türdingsi aus. Bei dem wird die Firmware wahrscheinlich zu Log Zwecken o.ä. nen Schalter haben (oder es automatisch machen), dass zu IP Anfragen eben der passende Hostname gesucht wird. Ergo Zugriff von 1.2.3.4 -> Request von Tür auf 4.3.2.1.in-addr.arpa um rauszufinden, wer 1.2.3.4 Namenstechnisch ist.

Warum er das macht - wahrscheinlich Logging. Evtl. kann mans ausmachen in der Oberfläche/Setup des Türdings? Weiß ich nicht, kenne das Gerät nicht.

Ansonsten sind in-addr.arpas erstmal nichts weiter als Informationsbeschaffung eines Geräts das einfach gern den Namen zur IP möchte. Mehr nicht, aber das würde eben heißen dass die Adressen auch requests stellen ans Gerät - ansonsten wärs ja merkwürdig wenn er die einfach so aus der Luft gegriffen haben möchte :)
Text only | Text with Images