Ich habe seit Monaten eine Kuriosität bei der mir weder mein Telefonanbieter noch der Hersteller meines Routers helfen konnte / wollte.

Ich habe eine FRITZ!Box 7490, die mir regelmässig unter Internet > Filter > Listen > Erlaubte IP-Adressen selbstständig Adressen hinzufügt. Entgegen dem Namen des Menüeintrags sind diese Adresse gesperrt sofern man dort kein Häkchen bei jedem einzelnen Eintrag setzt. Dieses ist mir nur deshalb aufgefallen, weil ich meine Box so konfiguriert habe, dass ich wöchentliche Auswertungen per Mail bekomme (siehe Screenshot).

Ich bin der einzige Admin für das Gerät, das Passwort habe ich bereits mehrfach geändert und dennoch füllt sich die Liste bei jedem Leeren nach einiger Zeit selbstständig mit den gleichen Adressen. Laut whois.com handelt es sich um AliBabaCloud IPs, was alles und nichts sein kann.

Ich habe keine Nachteile durch die Sperrung, mein Browsing-Verhalten ist davon ungestört. Nichts desto trotz würde ich gerne Verstehen, was da passiert.

Das einzige was mir vielleicht noch dazu in den Sinn kommen kann: Ich habe meinem Netzwerk-Drucker auf der Box den Zugang zum Internet gesperrt. Kann es sein, dass der nach Hause telefoniert, die FritzBox das sperrt und mit den IPs die Liste füllt? Ich würde ungern den Drucker Zugriff gewähren nur um das testen.

EDIT

IndigoAmber hat die Lösung geliefert: der Gastzugang war Schuld. Standardmässig ist dort die Einstellung “Internetseiten filtern” aktiv. Selbst wenn wie bei mir die Filterlisten leer sind, werden direkt aufgerufene IPs (im Gegensatz zu URLs) kategorisch gesperrt. Diese werden in die Liste “Erlaubte IP-Adressen” aufgenommen, wo sie auf eine manuelle Freigabe warten bevor sie tatsächlich erlaubt sind. Irgendwie schade, dass die AVM Mitarbeiter das scheinbar nicht wussten.

  • elvith@feddit.de
    link
    fedilink
    arrow-up
    11
    ·
    11 months ago

    Du könntest schauen, ob du UPnP aktiviert hast, oder Geräte das erlaubt haben in der Fritzbox. Ich kenne das zwar nur für Portfreigaben, aber da man die darüber automatisch machen kann wäre das mein erster Verdacht, ob man darüber auch noch mehr anfordern kann?

    Bei mir ist die Liste der erlaubten IPs leer, sollte also kein Automatismus der Fritzbox selbst sein.

    • ISOmorph@feddit.deOP
      link
      fedilink
      arrow-up
      12
      ·
      11 months ago

      “Statusinformationen über UPnP übertragen” war in der Tat aktiviert. Bei der Formulierung der Einstellung wäre ich nicht auf die Idee gekommen, dass damit externe Anwendungen Einstellungen an der FritzBox vornehmen könnten. Ich habe es nun deaktiviert und werde die liste erneut leeren. Danke, mal schauen ob es was bringt.

  • taladar@feddit.de
    link
    fedilink
    arrow-up
    6
    ·
    11 months ago

    Ich würde einfach mal mit Wireshark im internen Netz in dem die Fritzbox ist auf diese Adressen lauschen, dann siehst du zumindest von welchem Gerät aus die Zugriffe erfolgen.

    • ISOmorph@feddit.deOP
      link
      fedilink
      arrow-up
      1
      ·
      11 months ago

      Das ist eine gute Idee, Danke. Selbst wenn die FritzBox ohne die UPnP Einstellung Frieden geben sollte, weiss ich deshalb noch nicht wer hier klamheimlich IP Listen pflegen möchte.

      • IndigoAmber@social.tchncs.de
        link
        fedilink
        arrow-up
        5
        ·
        11 months ago

        Das ist einfach wie diese Funktion der FritzBox arbeitet. Wenn man in einem Zugangsprofil die Option “Internetseiten filtern” aktiviert hat werden alle Verbindungsversuche aus dem lokalen Netz an IP-Adressen im Internet standardmäßig geblockt und in der Erlaubte-IP-Adressen Liste eingetragen (aber nicht frei gegeben). Dort kann man dann für lokale Geräte bei Bedarf den Zugriff auf globale IP-Adressen erlauben zu denen schon mal ein Verbindungsversuch protokolliert wurde.

        • IndigoAmber@social.tchncs.de
          link
          fedilink
          arrow-up
          4
          ·
          11 months ago

          Ob das dein Drucker oder ein anderes Gerät ist das bei der FritzBox diese Liste füllt kannst du übrigens auch mit der Paketmitschnitt-Funktion der FritzBox herausfinden… zu finden über (unten links) Inhalt > (unten) FRITZ!Box Support > (mittig) Paketmitschnitt. Die Mitschnitte kann man dann mit Wireshark untersuchen.

        • ISOmorph@feddit.deOP
          link
          fedilink
          arrow-up
          2
          ·
          11 months ago

          Mit dem Beitrag hast du wahrscheinlich das Rätsel gelöst. Ich habe einen Gast-Zugang bei dem “Internetseiten filtern” aktiv ist. Da steht auch “Aufrufe über IP-Adressen sind ebenfalls gesperrt.”

          Ich weiss, dass meine Frau den Zugang regelmässig nutzt weil der nicht hinter meinem Pi-Hole ist und sie sich gerne Werbung gibt. Anscheinend ruft ihr Lappy / Handy hin und wieder IP-Adressen direkt auf, die halt Werbebedingt oft bei AliBaba landen.

          • IndigoAmber@social.tchncs.de
            link
            fedilink
            arrow-up
            1
            ·
            11 months ago

            Mein Verdacht ist, dass es ein IoT-Gerät oder anderes WiFi-Gadget ist, die haben manchmal recht primitive Netzwerkfunktionalität und können kein DNS. Falls du das Protokollieren von An- und Abmelde-Ereignissen fürs WLAN in der FB aktiviert hast kannst du die Zeiten im Ereignisbericht ja mal mit ihren Laptop/Handy-Nutzungszeiten abgleichen. Wenn das nicht passt muss es ein anderes Gerät sein.

  • aaaaaaaaargh@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    11 months ago

    Die IPs gehören nach meiner kurzen Recherche alle zur Alibaba group. Das kann jetzt alles mögliche sein, aber ich hab jedenfalls gesehen, dass es sich bei den Adressen um HTTP-Dienste handelt. Es wäre für mich denkbar, dass eines deiner Geräte zum Beispiel nach Update-Paketen schaut, welche auf einem von Alibaba betriebenen CDN liegen.

  • Contend6248@feddit.de
    link
    fedilink
    arrow-up
    2
    ·
    edit-2
    11 months ago

    Aus der Alibaba Wolke scannt zurzeit jemand wie wild, aus asiatischen Ländern sowie aus Deutschland.

    Zudem kamen funky DNS Anfragen, wodurch es erst aufgefallen ist.

    Gut das sie bei dir schon auf der Blocklist waren, sind meine Neuankömmlingen.

    • aaaaaaaaargh@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      11 months ago

      Ich glaube, hier geht es um outbound traffic, nicht um Scanner im Netz. Zumindest hab ich es so verstanden.