[lan access from remote] van eigen ip? - Windows clients

zondag 20 januari 2019 12:09

Acties:

0 Henk 'm!

Topicstarter

Beste tweakers,

De laatste tijd is mijn internet vreemd aan het doen. Het lijk slechts ietsjes trager dan normaal op een hoop websites maar er zijn een aantal websites die echt heel traag worden met het opladen of ze laden helemaal niet. Voorbeelden van websites die meestal niet werken: tomshardware, marktplaats

Ik besloot te kijken naar mijn router instellingen en daar vond ik dit in de logs:

2019-01-20 01:49:32 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62128 -> 192.168.0.1:8888
2019-01-20 01:49:29 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62127 -> 192.168.0.1:8888
2019-01-20 01:49:28 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62126 -> 192.168.0.1:8888
2019-01-20 01:49:27 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62125 -> 192.168.0.1:8888
2019-01-20 01:49:22 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62124 -> 192.168.0.1:8888
2019-01-20 01:49:17 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62123 -> 192.168.0.1:8888
2019-01-20 01:49:10 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62121 -> 192.168.0.1:8888
2019-01-20 01:49:05 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62120 -> 192.168.0.1:8888
2019-01-20 01:48:56 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62119 -> 192.168.0.1:8888
2019-01-20 01:48:51 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62118 -> 192.168.0.1:8888
2019-01-20 01:48:42 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62117 -> 192.168.0.1:8888
2019-01-20 01:48:37 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62116 -> 192.168.0.1:8888

Dit gaat zo constant door en ik weet niet wat het is. Ik heb geen keiharde kennis van dit soort dingen dus ik weet niet zo goed wat ik hier tegen kan doen.

Ik las dat het te maken kan hebben met peer-2-peer netwerken en hoewel ik wel bittorrent gebruik, staat deze eigenlijk altijd uit.
Ik heb een aantal andere services uitgeschakeld (riskante zet?) die ik er verdacht uit vond zien. UPnP staat bijvoorbeeld uitgeschakeld in mijn netwerkinstellingen maar nu zag ik wel een service die ten behoeve van UPnP aan het draaien was. Meteen uitgeschakeld. Het hielp helaas niet.

Ik zag een programma lopen dat WebHelp heet in task manager. Het blijkt gekoppeld te zijn aan bittorrent en is blijkbaar een reclamevirus? MalwareBytes heeft echter niks gevonden

Weet iemand wat ik hier tegen kan doen?

Ik hoop dat iemand hier raad mee weet.

Vriendelijke groet,
Martial

Achtergrondinfo:
Desktop pc (zelfgeknutseld)
Windows 8.1 PRO
Internet via LAN-verbinding
Malwarebytes Anti-Malware Premium
AVG (free)
avast antivirus (free)

zondag 20 januari 2019 12:11

Acties:

+1 Henk 'm!

HKLM_

Wel device zit er op 192.168.0.100 Is dat je pc? 192.168.0.1 zat je router zijn verwacht ik.

Verwijder bittorent dan eens is daarmee je webhelp ook weg?

[ Voor 75% gewijzigd door HKLM_ op 20-01-2019 12:14 ]

Cloud ☁️

zondag 20 januari 2019 12:14

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

HKLM_ schreef op zondag 20 januari 2019 @ 12:11:
Wel device zit er op 192.168.0.100 Is dat je pc? 192.168.0.1 zat je router zijn verwacht ik.

Dat is het gekke. Dat is dus de pc waarvan ik nu gebruik maak.

zondag 20 januari 2019 12:14

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

HKLM_ schreef op zondag 20 januari 2019 @ 12:11:
Wel device zit er op 192.168.0.100

Waarschijnlijk z'n PC en op dat 192.168.0.1 adres zal z'n router wel uithangen

Ziet er uit als een torrent client welke middels DCOM (high ports) connect naar buiten over TCP port 8888 van de router

Boldly going forward, 'cause we can't find reverse

zondag 20 januari 2019 12:15

Acties:

+1 Henk 'm!

Nicap

Tsssk....

Lijkt wel een soort poortscanner. Wellicht wat malware binnengehaald?

PVoutput 3.4 kWp Solar Frontier SF-170 + Omnik 4.0 TLII

zondag 20 januari 2019 12:19

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

wimmel_1 schreef op zondag 20 januari 2019 @ 12:14:
[...]

Waarschijnlijk z'n PC en op dat 192.168.0.1 adres zal z'n router wel uithangen

Ziet er uit als een torrent client welke middels DCOM (high ports) connect naar buiten over TCP port 8888 van de router

Is het probleem opgelost als ik mijn bittorrent verwijder?

Ik zit ook op de Tomshardware forum en daar zegt iemand:
Then I would recommend changing the Router DNS to the following:

208.67.220.220
208.67.222.222 then save and exit your router.

zondag 20 januari 2019 12:23

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

Waarom zou het omzetten van de DNS server settings van je router naar de "Open DNS" servers dit probleem op gaan lossen? Al je clients gaan dan gewoon de OpenDNS "Home" servers gebruiken om een DNS request te kunnen doen op UDP port 53 (als die het nu tenminste automatisch aan je router vragen).

[ Voor 3% gewijzigd door Will_M op 20-01-2019 12:27 ]

Boldly going forward, 'cause we can't find reverse

zondag 20 januari 2019 12:28

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

wimmel_1 schreef op zondag 20 januari 2019 @ 12:23:
Waarom zou het omzetten van de DNS server settings van je router naar de "Open DNS" servers dit probleem op gaan lossen?

Dit zegt hij er ook nog achter:
Next go to OpenDNS.com and sign up for a free account, then use the settings from the following page for the OpenDNS settings. Block - list 25...

Maar ik bedacht me net dat dit bij mij niet zal helpen aangezien de 'aanvallen' vanuit mijn eigen pc lijken te komen.

zondag 20 januari 2019 12:38

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

Ik heb gekeken naar mijn firewall settings en de outbound rules. Ik heb bitTorrent even uitgezet maar daarnaast zie ik ook staan: CheckPoint.VPN
Voor zover ik weet heb ik geen VPN software.. Ik las dat windows 8.1 wel van bepaalde vpn software gebruik maakt en daar hoort f5.vpn.client (staat ook in de lijst) bij. Maar deze CheckPoint.VPN ken ik echt niet. Is dit de dader?

zondag 20 januari 2019 12:38

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

Ik denk dat je beter eens even met bijvoorbeeld iets als Wireshark kunt gaan kijken wát er nou eigenlijk allemaal voor een verkeer van je PC naar de router en alles daarachter plaats wil gaan vinden.

Monitoren van 't verkeer is overigens pas deel één... Het juist interpreteren ván dat verkeer is / wordt dan vervolgens een ander "dingetje" ....

En aangaande die "Checkpoint VPN Client": Is dit toevallig een zakelijke PC / Laptop van je werkgever? Ik ken persoonlijk maar weinig mensen welke privé een Checkpint firewall draaien en daar dan ook nog eens de VPN Endpoint module van gebruiken (en dan dus die client moeten installeren). Zelfde geldt ook voor dat "F5" speelgoed... Ook dat zie ik niet snel in privé omgevingen terugkomen

[ Voor 36% gewijzigd door Will_M op 20-01-2019 12:51 ]

Boldly going forward, 'cause we can't find reverse

zondag 20 januari 2019 13:01

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

wimmel_1 schreef op zondag 20 januari 2019 @ 12:38:
Ik denk dat je beter eens even met bijvoorbeeld iets als Wireshark kunt gaan kijken wát er nou eigenlijk allemaal voor een verkeer van je PC naar de router en alles daarachter plaats wil gaan vinden.

Monitoren van 't verkeer is overigens pas deel één... Het juist interpreteren ván dat verkeer is / wordt dan vervolgens een ander "dingetje" ....

En aangaande die "Checkpoint VPN Client": Is dit toevallig een zakelijke PC / Laptop van je werkgever? Ik ken persoonlijk maar weinig mensen welke privé een Checkpint firewall draaien en daar dan ook nog eens de VPN Endpoint module van gebruiken (en dan dus die client moeten installeren). Zelfde geldt ook voor dat "F5" speelgoed... Ook dat zie ik niet snel in privé omgevingen terugkomen

Ik heb wireshark geïntalleerd. Probeer het nu aan de praat te krijgen..

zondag 20 januari 2019 15:09

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

Ik heb WireShark voor een tijdje laten lopen en daar zie ik een aantal ip-adressen heel vaak terugkomen. Ik heb ze via IP Checker geprobeerd te traceren en dan krijg ik het volgende:

88.221.254.211 - van Akamai Internation BV
2696 239.206882 88.221.254.211 192.168.0.100 TCP 66 [TCP Keep-Alive ACK] 80 → 49929 [ACK] Seq=1 Ack=320 Win=6912 Len=0 SLE=319 SRE=320
Dit komt heel veel terug met elke keer een andere port.

Een ander apart iets is dit:
60 15.630583 Giga-Byt_9a:13:66 SitecomE_4e:01:67 ARP 42 192.168.0.100 is at fc:aa:14:9a:13:66
59 15.630547 SitecomE_4e:01:67 Giga-Byt_9a:13:66 ARP 60 Who has 192.168.0.100? Tell 192.168.0.1
71 17.574659 SitecomE_4e:01:67 Broadcast ARP 60 Who has 192.168.0.101? Tell 192.168.0.1
293 58.974529 SitecomE_4e:01:67 Giga-Byt_9a:13:66 ARP 60 Who has 192.168.0.100? Tell 192.168.0.1
1822 179.002515 SitecomE_4e:01:67 Broadcast ARP 60 Who has 192.168.0.101? Tell 192.168.0.1
4873 362.514361 SitecomE_4e:01:67 Broadcast ARP 60 Who has 192.168.0.101? Tell 192.168.0.1

Wat ook heel veel terugkomt is dit:
13 1.524080 fe80::6863:bbff:fe8c:4ac3 ff02::1 ICMPv6 78 Router Advertisement from 64:d1:a3:4e:01:67
18720 647.744377 fe80::6863:bbff:fe8c:4ac3 ff02::1 ICMPv6 78 Router Advertisement from 64:d1:a3:4e:01:67
11024 502.035720 fe80::6863:bbff:fe8c:4ac3 ff02::1 ICMPv6 78 Router Advertisement from 64:d1:a3:4e:01:67

Het leeuwendeel van de communicatie heeft te maken met "Application Data"
Het ip-adres hoort blijkbaar bij Google:
9266 463.388523 216.58.212.164 192.168.0.100 TLSv1.2 1484 Application Data
8643 460.344166 216.58.212.164 192.168.0.100 TCP 60 443 → 49911 [ACK] Seq=1624322 Ack=76151 Win=322560 Len=0
8977 461.769078 216.58.212.164 192.168.0.100 TLSv1.2 207 Application Data, Application Data
8275 457.410632 216.58.212.164 192.168.0.100 TLSv1.2 1484 Application Data

Het is natuurlijk een fractie van de data maar ziet iemand iets eigenaardigs?
Zelf vond ik Application Data verdacht. Zou het een app kunnen zijn die op hol is geslagen?
Daarnaast word ik een beetje bang van die router Broadcast maar geen idee wat dit betekent: "who has 192.168.0.101? Tell 192.168.0.1"

Is het een idee om IP-deny tool te gebruiken om een aantal van deze ip-adressen te blokkeren?

zondag 20 januari 2019 15:13

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

wimmel_1 schreef op zondag 20 januari 2019 @ 12:38:
Ik denk dat je beter eens even met bijvoorbeeld iets als Wireshark kunt gaan kijken wát er nou eigenlijk allemaal voor een verkeer van je PC naar de router en alles daarachter plaats wil gaan vinden.

Monitoren van 't verkeer is overigens pas deel één... Het juist interpreteren ván dat verkeer is / wordt dan vervolgens een ander "dingetje" ....

En aangaande die "Checkpoint VPN Client": Is dit toevallig een zakelijke PC / Laptop van je werkgever? Ik ken persoonlijk maar weinig mensen welke privé een Checkpint firewall draaien en daar dan ook nog eens de VPN Endpoint module van gebruiken (en dan dus die client moeten installeren). Zelfde geldt ook voor dat "F5" speelgoed... Ook dat zie ik niet snel in privé omgevingen terugkomen

Het is mijn privé PC.. Ik herken het totaal niet. Ik heb ooit eens een gratis VPN geïnstalleerd om een te kijken hoe dat werkt maar ik draai op dit moment geen VPN's?

zondag 20 januari 2019 15:17

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

HKLM_ schreef op zondag 20 januari 2019 @ 12:11:
Wel device zit er op 192.168.0.100 Is dat je pc? 192.168.0.1 zat je router zijn verwacht ik.

Verwijder bittorent dan eens is daarmee je webhelp ook weg?

Bittorrent verwijderd maar het probleem houdt aan..

zondag 20 januari 2019 22:26

Acties:

+1 Henk 'm!

Thralas

Martial Emperor schreef op zondag 20 januari 2019 @ 15:09:
Zelf vond ik Application Data verdacht. Zou het een app kunnen zijn die op hol is geslagen?

Nee. Dat is payload van een TLS-verbinding. Niets vreemds aan, net als de rest van je post.

Wireshark is ontzettend handig gereedschap, maar het heeft weinig zin om conclusies aan allerlei zaken te verbinden als je niet zeker weet wat er gaande is.

Martial Emperor schreef op zondag 20 januari 2019 @ 12:09:
Dit gaat zo constant door en ik weet niet wat het is. Ik heb geen keiharde kennis van dit soort dingen dus ik weet niet zo goed wat ik hier tegen kan doen.

Regel één van een SOHO-router: kijk nooit naar de firewall logs, het staat altijd bol van de achterhaalde 'attacks' (LAND attack!!1!) en false positives, de kans dat je er daadwerkelijk wat nuttigs uithaalt is zeer gering. En dan moet je héél goed kunnen inschatten wat er precies bedoeld wordt.

2019-01-20 01:48:37 [4] kernel: [DNAT] LAN access from remote, proto:tcp, 192.168.0.100:62116 -> 192.168.0.1:8888[/i]

Dit gaat zo constant door en ik weet niet wat het is. Ik heb geen keiharde kennis van dit soort dingen dus ik weet niet zo goed wat ik hier tegen kan doen.

Antwoord: niets, vergeet dat het bestaat.

Dit is absoluut een false positive (zoals eigenlijk altijd). Je provider zal je in ieder geval nooit verkeer vanaf 'remote' komende vanaf 192.168.0.0/24 sturen. Wat is er dan wel aan de hand?

Ik vermoed dat je router een NAT rule bevat om WAN:8888 naar 192.168.0.1:8888 te herschrijven (het wáárom is een tweede).

Als je vervolgens vanaf je LAN je externe IP benadert dan is dat technisch gezien remote access (omdat het externe IP op je 'remote'/WAN interface thuishoort), maar het is compleet zinloos om daarop te alerten. Zoals ik al zei: SOHO-firewalls zijn waardeloos. Forget about it.

Browse zelf maar eens naar http://<extern ip>:8888 (aangenomen dat het HTTP is), dan vermoed ik dat je er nog véél meer regels bijkrijgt.

zondag 20 januari 2019 23:50

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

Thralas schreef op zondag 20 januari 2019 @ 22:26:
[...]

Nee. Dat is payload van een TLS-verbinding. Niets vreemds aan, net als de rest van je post.

Wireshark is ontzettend handig gereedschap, maar het heeft weinig zin om conclusies aan allerlei zaken te verbinden als je niet zeker weet wat er gaande is.

[...]

Regel één van een SOHO-router: kijk nooit naar de firewall logs, het staat altijd bol van de achterhaalde 'attacks' (LAND attack!!1!) en false positives, de kans dat je er daadwerkelijk wat nuttigs uithaalt is zeer gering. En dan moet je héél goed kunnen inschatten wat er precies bedoeld wordt.

[...]

Antwoord: niets, vergeet dat het bestaat.

Dit is absoluut een false positive (zoals eigenlijk altijd). Je provider zal je in ieder geval nooit verkeer vanaf 'remote' komende vanaf 192.168.0.0/24 sturen. Wat is er dan wel aan de hand?

Ik vermoed dat je router een NAT rule bevat om WAN:8888 naar 192.168.0.1:8888 te herschrijven (het wáárom is een tweede).

Als je vervolgens vanaf je LAN je externe IP benadert dan is dat technisch gezien remote access (omdat het externe IP op je 'remote'/WAN interface thuishoort), maar het is compleet zinloos om daarop te alerten. Zoals ik al zei: SOHO-firewalls zijn waardeloos. Forget about it.

Browse zelf maar eens naar http://<extern ip>:8888 (aangenomen dat het HTTP is), dan vermoed ik dat je er nog véél meer regels bijkrijgt.

Ok, noted maar het blijft wel verdacht dat ik sinds een week of twee aanzienlijk trager internet heb. Bepaalde websites laden soms helemaal niet. Het kan toeval zijn, wie weet, maar ik wil eerst alles nagaan voordat ik zeg: er is niks aan de hand.

Wat die NAT regels betreft waar je het over had, al deze NAT gerelateerde 'applicaties'(?) hieronder staan in de router configuratie aan. Ligt het antwoord misschien hier?

H323 Support for H323/netmeeting.
TFTP Support for TFTP.
IRC Allows DCC to work though NAT and connection tracking.
Amanda Support for Amanda backup tool protocol.
FTP Support for FTP.
IPSEC Support for IPsec passthrough
PPTP Support for PPTP passthrough
L2TP Support for L2TP passthrough

[ Voor 5% gewijzigd door Martial Emperor op 20-01-2019 23:56 ]

maandag 21 januari 2019 00:04

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

Martial Emperor schreef op zondag 20 januari 2019 @ 23:50:
[...]

Ok, noted maar het blijft wel verdacht dat ik sinds een week of twee aanzienlijk trager internet heb. Bepaalde websites laden soms helemaal niet. Het kan toeval zijn, wie weet, maar ik wil eerst alles nagaan voordat ik zeg: er is niks aan de hand.

Wat die NAT regels betreft waar je het over had, al deze NAT gerelateerde 'applicaties'(?) hieronder staan in de router configuratie aan. Ligt het antwoord misschien hier?

H323 Support for H323/netmeeting.
TFTP Support for TFTP.
IRC Allows DCC to work though NAT and connection tracking.
Amanda Support for Amanda backup tool protocol.
FTP Support for FTP.
IPSEC Support for IPsec passthrough
PPTP Support for PPTP passthrough
L2TP Support for L2TP passthrough

Ik ben stiekem inmiddels wel een beetje nieuwsgierig geworden naar de sites welke je probeert te benaderen en je naar je ISP

Boldly going forward, 'cause we can't find reverse

maandag 21 januari 2019 00:33

Acties:

+1 Henk 'm!

alex3305

Ik neem aan dat je ook een smartphone hebt. Misschien kun je proberen of sites ook langzamer zijn op je smartphone, natuurlijk met de PC uit. Als je echt zeker wilt zijn, nadat je de PC uit hebt staan ook even je modem herstarten, zodat alles weer fris is.

Als de problemen dan weg zijn, ligt het waarschijnlijk aan je PC en heb je iets geïnstalleerd wat niet hoort. Zijn de problemen nog steeds aanwezig, kun je zeer waarschijnlijk de computer uitsluiten en heeft het misschien gewoon met de ISP te maken.

maandag 21 januari 2019 00:43

Acties:

+1 Henk 'm!

johnkeates

Hoe ziet je netwerk er uit, en waarom heb je nog een Sitecom apparaat op je netwerk?

maandag 21 januari 2019 00:47

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

johnkeates schreef op maandag 21 januari 2019 @ 00:43:
Hoe ziet je netwerk er uit, en waarom heb je nog een Sitecom apparaat op je netwerk?

Dat Sitcom ding staat gezien de ARP request's waarschijnlijk als goedkoop en dom "AP" te werken, althans zo zal 't bedoeld zijn

Boldly going forward, 'cause we can't find reverse

maandag 21 januari 2019 12:48

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

wimmel_1 schreef op maandag 21 januari 2019 @ 00:04:
[...]

Ik ben stiekem inmiddels wel een beetje nieuwsgierig geworden naar de sites welke je probeert te benaderen en je naar je ISP

johnkeates schreef op maandag 21 januari 2019 @ 00:43:
Hoe ziet je netwerk er uit, en waarom heb je nog een Sitecom apparaat op je netwerk?

wimmel_1 schreef op maandag 21 januari 2019 @ 00:47:
[...]

Dat Sitcom ding staat gezien de ARP request's waarschijnlijk als goedkoop en dom "AP" te werken, althans zo zal 't bedoeld zijn

De sites waar ik problemen mee had waren outlook (hotmail) van microsoft, marktplaats, ookla en tomshardware. Of het duurt heel lang of ik kom er helemaal niet meer bij.
(Ik ben nu wel nieuwsgierig wat jij in gedachten had

)
Maar het gaat nu toevallig wél goed terwijl de remote access gewoon doorgaat. Het lijkt dus geen effect te hebben op internetsnelheden.

Internet is van Ziggo. Ik ben student en woon in een studentencomplex waar internet door de beheerder wordt geregeld maar iedereen moet een eigen router in zijn/haar kamer hebben staan.

Zo had ik een router nodig en zo bood iemand een sitecom router aan! Wat is er overigens mis met sitecom?

Ik denk dat je mijn kennis van dit soort zaken sterk overschat als je denkt dat ik weet wat ARP en AP zijn

alex3305 schreef op maandag 21 januari 2019 @ 00:33:
Ik neem aan dat je ook een smartphone hebt. Misschien kun je proberen of sites ook langzamer zijn op je smartphone, natuurlijk met de PC uit. Als je echt zeker wilt zijn, nadat je de PC uit hebt staan ook even je modem herstarten, zodat alles weer fris is.

Als de problemen dan weg zijn, ligt het waarschijnlijk aan je PC en heb je iets geïnstalleerd wat niet hoort. Zijn de problemen nog steeds aanwezig, kun je zeer waarschijnlijk de computer uitsluiten en heeft het misschien gewoon met de ISP te maken.

Dit heb ik dus ook eerder geprobeerd en op mijn telefoon heb ik geen problemen gehad op het moment dat het op mijn pc niet lukte.
Wat ik wél weer heb met mijn telefoon is dat het telkens geen wifi meer heeft na een tijdje. Het wifi icoontje staat aan maar met een uitroepteken erbij. Het probleem ligt bij de router want als ik mijn telefoon herstart doet het niks maar het probleem is wel tijdelijk opgelost als ik mijn router herstart.

Zou de router het probleem kunnen zijn?
Ik heb al een aantal keer een factory reset geprobeerd te doen. met de 30 30 30 regel en een aantal andere methoden.

maandag 21 januari 2019 13:52

Acties:

+1 Henk 'm!

johnkeates

Het is geen 'remote access'. Het wordt misschien met die woorden gelogd, maar de NAT engine zegt feitelijk niks anders dan 'je ging van een poortje naar een enter poortje op twee adressen'. Je kan dus ook naar jezelf NAT doen als je zou willen. Als het echt remote was had je een adres gezien buiten je 192.168.0.0/24 range.

Met Sitecom is van alles mis, het is meestal langzaam en onbetrouwbaar, maar het grootste probleem is dat de software de slechtste ooit is. Als de NAT tabelletjes vollopen wordt zo'n ding steeds langzamer totdat het crasht. Welk specifieke model is het? Welke kabels heb je op welke poortjes aangesloten?

[ Voor 11% gewijzigd door johnkeates op 21-01-2019 13:53 ]

maandag 21 januari 2019 14:16

Acties:

0 Henk 'm!

D_el_p

Martial Emperor schreef op maandag 21 januari 2019 @ 12:48:
[...]
Internet is van Ziggo. Ik ben student en woon in een studentencomplex waar internet door de beheerder wordt geregeld maar iedereen moet een eigen router in zijn/haar kamer hebben staan.
[...]

Is de beheerder toevallig ITTDesk? Ik weet toevallig dat er in ons (studenten)complex ook problemen zijn met specifiek Sitecom routers. (Ook ziggo, en dan beheerd door ITTDesk).

maandag 21 januari 2019 15:15

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

johnkeates schreef op maandag 21 januari 2019 @ 13:52:
Het is geen 'remote access'. Het wordt misschien met die woorden gelogd, maar de NAT engine zegt feitelijk niks anders dan 'je ging van een poortje naar een enter poortje op twee adressen'. Je kan dus ook naar jezelf NAT doen als je zou willen. Als het echt remote was had je een adres gezien buiten je 192.168.0.0/24 range.

Met Sitecom is van alles mis, het is meestal langzaam en onbetrouwbaar, maar het grootste probleem is dat de software de slechtste ooit is. Als de NAT tabelletjes vollopen wordt zo'n ding steeds langzamer totdat het crasht. Welk specifieke model is het? Welke kabels heb je op welke poortjes aangesloten?

Ja ik besef me dat het geen echte remote access is. Maar een aantal mensen suggereerden dat ik misschien malware heb opgevangen die poorten aan het scannen is of dat het een torrentprogramma is. De torrentprogramma is inmiddels eruit gegooid dus dat was het niet.

Het gaat om de Sitecom WLR-3100 - N300 X3
Ik heb een CAT poort in de muur zitten waar ik een CAT6 kabel in heb zitten die verbonden is aan de WAN-poort van mijn router. PC is middels LAN-poort 1 verbonden.

Hij heeft het in ieder geval ruim een jaar volledig probleemloos gedaan dus ik heb hoop voor het beestje

. Zou een factory reset die NAT regels verwijderen? Ik heb dus al wat dingen geprobeerd om het te resetten maar ik wist nooit of het ook echt was gelukt.

D_el_p schreef op maandag 21 januari 2019 @ 14:16:
[...]

Is de beheerder toevallig ITTDesk? Ik weet toevallig dat er in ons (studenten)complex ook problemen zijn met specifiek Sitecom routers. (Ook ziggo, en dan beheerd door ITTDesk).

Zo loopt het inderdaad ook hier.

maandag 21 januari 2019 18:09

Acties:

+1 Henk 'm!

johnkeates

Dat is een model dat sowieso problemen heeft qua performance; normaal pas als je Gnutella/LimeWire of Torrents met veel connecties start.

Het is ook wel weer een apparaat van ~7 jaar oud dus zo gek is het niet dat het niet helemaal lekker werkt

De eerdere revisies hadden problemen met condensatoren die snel uitdrogen maar dat gaf vooral ethernet problemen.

De logs die je ziet zijn geen portscan, maar iets wat vaak probeert te verbinden met poort 8888. Ergens op je PC is iets ingesteld om te zoeken naar een apparaat op 192.168.0.1:8888. Op die poort draait kennelijk niets want de verbinding werkt gewoon niet, en dan probeert je PC weer opnieuw verbinding te maken. Dat is waarom de source port verandert maar de destination niet.

Op je PC moet je dus opzoek naar een programma dat denkt verbinding te moeten maken met 8888 op de default gateway.

maandag 21 januari 2019 18:19

Acties:

+1 Henk 'm!

Thralas

johnkeates schreef op maandag 21 januari 2019 @ 18:09:
De logs die je ziet zijn geen portscan, maar iets wat vaak probeert te verbinden met poort 8888. Ergens op je PC is iets ingesteld om te zoeken naar een apparaat op 192.168.0.1:8888.

[...]

Op je PC moet je dus opzoek naar een programma dat denkt verbinding te moeten maken met 8888 op de default gateway.

Juist op het WAN-IP, anders zou er geen DNAT plaatsvinden.

Zou me niet verbazen als het een stale UPnP mapping is.

maandag 21 januari 2019 19:09

Acties:

0 Henk 'm!

NLKornolio

BF3/BF4: NLKornolio

2e hands netwerk apparatuur skip ik toch echt. Kleine kans maar je weet nooit wat erop is gezet.

dinsdag 22 januari 2019 20:18

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

johnkeates schreef op maandag 21 januari 2019 @ 18:09:
Dat is een model dat sowieso problemen heeft qua performance; normaal pas als je Gnutella/LimeWire of Torrents met veel connecties start.

Ik gebruik torrents maar toch echt niet veel. Staat uit op start-up en wordt maar eens in de zoveel tijd aan het werk gezet.

Het is ook wel weer een apparaat van ~7 jaar oud dus zo gek is het niet dat het niet helemaal lekker werkt De eerdere revisies hadden problemen met condensatoren die snel uitdrogen maar dat gaf vooral ethernet problemen.

De logs die je ziet zijn geen portscan, maar iets wat vaak probeert te verbinden met poort 8888. Ergens op je PC is iets ingesteld om te zoeken naar een apparaat op 192.168.0.1:8888. Op die poort draait kennelijk niets want de verbinding werkt gewoon niet, en dan probeert je PC weer opnieuw verbinding te maken. Dat is waarom de source port verandert maar de destination niet.

Op je PC moet je dus opzoek naar een programma dat denkt verbinding te moeten maken met 8888 op de default gateway.

Héél verhelderend! Dank je!
Kan je me een tip geven hoe ik hiermee aan de slag kan? Eénmaal in de juiste richting gewezen, kom ik er misschien wel uit

Thralas schreef op maandag 21 januari 2019 @ 18:19:
[...]

Juist op het WAN-IP, anders zou er geen DNAT plaatsvinden.

Zou me niet verbazen als het een stale UPnP mapping is.

'Che.. ck.. WAN.. IP.. mis..schi-en.. UP.. n.. P map..ping.. punt!'
Staat genoteerd!

NLKornolio schreef op maandag 21 januari 2019 @ 19:09:
2e hands netwerk apparatuur skip ik toch echt. Kleine kans maar je weet nooit wat erop is gezet.

Nooit daar bij stilgestaan, om eerlijk te zijn, maar destijds had ik die luxe ook niet. Als het echt riskant is dan ik het overwegen maar het liefst tweedehands als tweedehands kan.

Ik zag deze router staan, hij is niet belachelijk duur en de vier reviews zijn er over het algemeen heel positief over. Ik vermoed dat ie prima zou voldoen aan mijn eisen maar ik hoor ook graag wat jullie vinden:

TP-Link TL-WR802N

dinsdag 22 januari 2019 20:39

Acties:

+1 Henk 'm!

firebird_1979

Hier staat welke software oa poort 8888 gebruikt, misschien herken je iets...

http://www.adminsub.net/tcp-udp-port-finder/8888

dinsdag 22 januari 2019 23:38

Acties:

+1 Henk 'm!

johnkeates

firebird_1979 schreef op dinsdag 22 januari 2019 @ 20:39:
Hier staat welke software oa poort 8888 gebruikt, misschien herken je iets...

http://www.adminsub.net/tcp-udp-port-finder/8888

Dat zegt niks, er zijn een setje poorten dat veel volgens IANA spec gebruikt wordt maar diverse poorten worden gewoon door random shit gebruikt om dat het makkelijk is en vaak niet botst met bestaande systemen. 8888 wordt bijv. bijna altijd voor HTTP(S) of proxy verkeer gebruikt; het is de makkelijkste opvolger van 80 (HTTP) en 8080 (HTTP alt).

Op je PC kijken welk programma met 8888 probeert te verbinden is al genoeg. Er zit in wireshark of de sysinternals suite vast wel eens stukje software dat dat op windows kan.

woensdag 13 februari 2019 09:59

Acties:

0 Henk 'm!

Martial Emperor

Topicstarter

Update:

Hallo allemaal,

Inmiddels heb ik mijn sitecom router vervangen met een TP-Link TL WR841N300 en dat heeft inderdaad ietsjes geholpen! Bepaalde websites die voorheen niet laadden doen dat nu wel weer en bovendien disconnect de wifi ook niet meer na een uur of twee. Heel chill!
Maar het probleem blijft bestaan: Mijn LAN-internet op de pc is aanzienlijk trager dan mijn wifi-internet op mijn mobiel.

Ik moest ineens aan drivers denken en dat ik die misschien moest updaten. Destijds heb ik dit geïnstalleerd: mb_driver_lan_realtek_8111_amd9series_w8
Als ik de device manager bekijk dan zie ik ook iets van realtek terug maar daarboven staat ook Microsoft hyper-v network switch default miniport met een uitroepteken erop. De status is:

Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

{Unable to Load Device Driver}
%hs device driver could not be loaded.
Error Status was 0x%x

Klinkt dit als iets wat een probleem kan veroorzaken?
Ik las ook iets over trage LAN-snelheden als je computer geen Gigabit ethernet adapter heeft.

Bedankt voor alle hulp tot nog toe! Ik hoop dat jullie nog even geduld hebben

woensdag 6 maart 2019 09:58

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Martial Emperor schreef op woensdag 13 februari 2019 @ 09:59:
Als ik de device manager bekijk dan zie ik ook iets van realtek terug maar daarboven staat ook Microsoft hyper-v network switch default miniport met een uitroepteken erop. De status is:

Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)

{Unable to Load Device Driver}
%hs device driver could not be loaded.
Error Status was 0x%x

Klinkt dit als iets wat een probleem kan veroorzaken?
Ik las ook iets over trage LAN-snelheden als je computer geen Gigabit ethernet adapter heeft.

Bedankt voor alle hulp tot nog toe! Ik hoop dat jullie nog even geduld hebben

Dit heeft inmiddels niets meer te maken met privacy of beveiliging. Als je advies zoekt over Windows drivers dan lijkt dit topic me beter op zijn plaats in Windows Clients, bij deze verplaatst.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1

Reageer