N510 IP Pro verbindet beim Login immer nach externem Server (per HTTP)?

svg

Neuer User
Mitglied seit
5 Mrz 2008
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

weis jemand warum die N510 IP Pro immer beim Login per HTTP nach einer externen IP verbindet?

Feb 24 21:34:35 192.168.241.3 svg-ssg5: NetScreen device_id=svg-ssg5 [Root]system-notification-00257(traffic): start_time="2020-02-24 21:34:35" duration=0 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Deny sent=0 rcvd=24 src=192.168.241.23 dst=148.251.91.48 src_port=60929 dst_port=80 session_id=0 reason=Traffic Denied
Feb 24 21:34:37 192.168.241.3 svg-ssg5: NetScreen device_id=svg-ssg5 [Root]system-notification-00257(traffic): start_time="2020-02-24 21:34:37" duration=0 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Deny sent=0 rcvd=24 src=192.168.241.23 dst=148.251.91.48 src_port=60929 dst_port=80 session_id=0 reason=Traffic Denied
Feb 24 21:34:41 192.168.241.3 svg-ssg5: NetScreen device_id=svg-ssg5 [Root]system-notification-00257(traffic): start_time="2020-02-24 21:34:41" duration=0 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Deny sent=0 rcvd=24 src=192.168.241.23 dst=148.251.91.48 src_port=60929 dst_port=80 session_id=0 reason=Traffic Denied
Feb 24 21:35:16 192.168.241.3 svg-ssg5: NetScreen device_id=svg-ssg5 [Root]system-notification-00257(traffic): start_time="2020-02-24 21:35:15" duration=0 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Deny sent=0 rcvd=24 src=192.168.241.23 dst=148.251.243.133 src_port=60930 dst_port=80 session_id=0 reason=Traffic Denied
Feb 24 21:35:20 192.168.241.3 svg-ssg5: NetScreen device_id=svg-ssg5 [Root]system-notification-00257(traffic): start_time="2020-02-24 21:35:19" duration=0 policy_id=1 service=http proto=6 src zone=Trust dst zone=Untrust action=Deny sent=0 rcvd=24 src=192.168.241.23 dst=148.251.243.133 src_port=60930 dst_port=80 session_id=0 reason=Traffic Denied

148.251.243.133
148.251.91.48


Laut RIP gehört die range "Hetzner in Gunzenhausen"
NetRange: 148.251.0.0 - 148.253.255.255
CIDR: 148.251.0.0/16, 148.252.0.0/15
NetName: RIPE-ERX-148-251-0-0

und die Subrang der Gigaset GmbH in München:
inetnum: 148.251.243.128 - 148.251.243.159
netname: GIGASET-COMMUNICATIONS-GMBH
descr: Gigaset Communications GmbH
person: Hans-Juergen Huber
address: Gigaset Communications GmbH
address: Hofmannstra�e 61
address: 81379 M�nchen
address: GERMANY
phone: +4989444456905


Weis jemand was damit bezweckt werden soll? (habe mir den Traffic noch nicht angeschaut) - vielleicht spare ich mir ja ein bisserl suchen... :cool:

Grüsse & Danke
Stephan
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,008
Punkte für Reaktionen
271
Punkte
83
Moinsen


Ein "nslookup" liefert als Antwort jede Menge Nameserver...
Code:
#nslookup 148.251.91.48
Server:         192.168.188.1
Address:        192.168.188.1#53

Non-authoritative answer:
48.91.251.148.in-addr.arpa      name = static.48.91.251.148.clients.your-server.de.

Authoritative answers can be found from:
91.251.148.in-addr.arpa nameserver = ns1.your-server.de.
91.251.148.in-addr.arpa nameserver = ns3.second-ns.de.
91.251.148.in-addr.arpa nameserver = ns.second-ns.com.
ns.second-ns.com        internet address = 213.239.204.242
ns1.your-server.de      internet address = 213.133.106.251
ns3.second-ns.de        internet address = 193.47.99.4
ns.second-ns.com        has AAAA address 2a01:4f8:0:a101::b:1
ns1.your-server.de      has AAAA address 2a01:4f8:d0a:2006::2
ns3.second-ns.de        has AAAA address 2001:67c:192c::add:b3
 

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,679
Punkte für Reaktionen
41
Punkte
48
Kling nach einer Update-Suche oder eine Verbindung nach dem "GIGA-VoIP (oder wie das heißt ;-)), also Telefonie über die von Gigaset bereitgestellten VoIP-Systeme.
 

svg

Neuer User
Mitglied seit
5 Mrz 2008
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hi Theo,
hm, dachte ich auch. die Box macht das aber auch wenn die Updatefunktionen ausgeschaltet sind.
interessant finde ich auch, das wenn ich auf eine der IPs gehe von eben diesen Systemen umgeleitet werde auf meine interne N510. Da findet ein Redirect statt auf die IPs mit der sich meine N510 in meinem LAN gemeldet hatte als ich den HTTP Traffic noch nicht sperrte.
Grüsse
Stephan
 

LastRaven

Mitglied
Mitglied seit
3 Jul 2012
Beiträge
378
Punkte für Reaktionen
37
Punkte
28
weis jemand warum die N510 IP Pro immer beim Login per HTTP nach einer externen IP verbindet?
ich glaub, die N510 (wie auch die GO-Boxen) versuchen, beim Login die verfügbaren Sprachen für das Web-IF von extern zu laden. Wenn die Dinger keine Internetverbindung haben kannst du die Sprache in der Anmeldemaske nicht ändern.
 

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
1,679
Punkte für Reaktionen
41
Punkte
48
Da findet ein Redirect statt auf die IPs mit der sich meine N510 in meinem LAN gemeldet hatte als ich den HTTP Traffic noch nicht sperrte.
Reagiert die N510 auf ihren Default-Namen?
Denn wenn auf der Seite ein Redirect auf den Systemnamen erfolgt, so als wenn man auf einer beliebigen Seite im Internet ein Redirekt auf "https://frittz.box" machen würde, dann ist das einfach eine Methode, die einige Anbieten, um dem Kunden das Konfigurieren zu vereinfachen. (gehen sie mit ihrem Browser auf Drucker.example.com um die weitere Konfiguration vorzunehmen.)

Interessant wäre zu erfahren, was sie abrufen. Also mal erlauben und mitschneiden.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
837
Punkte für Reaktionen
67
Punkte
28
148.251.091.048 ist profile.gigaset.net bzw. update.gigaset.net
148.251.243.133
ist dynreg.gigaset.net
Beide Server werden (nicht gesichert über HTTPs sondern) über HTTP angesteuert.

profile.gigaset.net konnte ich nur abschalten indem ich „Web-Oberfläche → (Reiter) Einstellungen → Geräte-Management → Firmware-Aktualisierung → Datenserver“ leerte. Auf der selben Seite die beiden Firmware-Suchen und auch unter „Telefonie“ die Profil-Suche abzuwählen, hat bei nicht ausgereicht. Daher vermute ich einen Software-Bug.

dynreg.gigaset.net macht mir mehr Kummer. Zum Einen konnte ich dies bisher nirgends ausschalten. Zum Anderen werden darüber nicht nur meine Firmware-Version, MAC und interne IP-Addresse sondern auch die DECT-IPUI und die Namen (meine vergebene und die Modell-Bezeichnung) aller meiner DECT-Mobilteile (wegen HTTP) im Klartext über das Internet verschickt. Selbst wenn der Datenverkehr mittels HTTPs verschlüsselt wäre, wüsste ich nicht was Gigaset das angeht; ganz besonders die DECT-Bezeichnung, die ich intern vergeben habe.

Außerdem sehe ich eine Kontaktaufnahme zu europe.pool.ntp.org obwohl ich eingestellt habe, dass ich die Uhrzeit manuell einstellen möchte. Auch wenn ich als Zeitserver eine nicht erreichbare Adresse angebe, fällt Gigaset immer wieder auf europe.pool.ntp.org zurück. Das kann ich also nur in den Griff bekommen, wenn ich selbst einen Zeitserver anbiete.

In der GO-Box 100 sehe ich außerdem eine Kontaktaufnahme zu stun.gigaset.net = 148.251.243.162, obwohl unter Telefonie die Verbindung „Gigaset.net“ deaktiviert ist. Auch jene Verbindung zu bearbeiten und dort STUN abzuschalten, half nicht.
Habe mir den Traffic noch nicht angeschaut … vielleicht spare ich mir ja ein bisserl suchen.
Bitte kaufe Dir einen Managed-Switch (mit Port-Mirroring). Dann kannst Du solche Dinge dank Wireshark in wenigen Sekunden selbst beantworten (und dann das Ergebnis im Forum teilen).
 

svg

Neuer User
Mitglied seit
5 Mrz 2008
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Moin zusammen!
... ich kann bestätigen was SonyKatze schreibt.
meine N510 macht die von SonyKatze schon angeführten Datenverbindungen.

was bei mir nicht passiert: NTP nach extern. Dies da ich einen internen NTP per DHCP verteile.

was bei mir zusätzlich passiert:
- Syslog message: KERN.ERR: 1 2020-02-26T21:37:00.00Z 192.168.241.23 - - - - MAC:589EC610EB72 #000D WebUI Text download: Transmission error
...das sind wohl die Übersetzungen vom GUI. jedoch kann ich zwischen ENG und DEU umschalten auch wenn die N510 nicht ins Internet kommt.

- alle paar minuten verbindet die box auf diese URI: GET /device/42/2/master.bin HTTP/1.1\r\n auf 148.251.91.48
... Weiterleitung auf ... Ziel: http://profile.gigaset.net/device/42/2/../webuil/250/version.bin]
dann: HTTP/1.1 404 Not Found

- versucht immer wieder die Dateien l_1301201252.bin, sifsroot.bin, baselines.bin zu laden.
... schlägt aber fehl und syslog message wird abgesetz: 1 2020-02-26T21:37:00.00Z 192.168.241.23 - - - - MAC:589EC610EB72 #0013 Smart Help Text download: Transmission error

SonyKatze: ja, ich habe einen solchen Switch :) , musste mir erstmal WS usw installieren um den Traffic zu sniffen... ist nicht immer alles aktiviert.

Für mich ist das nun erstmal erledigt, denn meine N510 darf nur für SIP in den Garten, ansonsten "Stubenarrest"

viele Grüsse und Danke für Euer Feedback.
Stephan
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
234,409
Beiträge
2,046,162
Mitglieder
354,137
Neuestes Mitglied
Networker_23