Seltsame Zugriffe

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Seltsame Zugriffe

Beitrag von scientific » 01.10.2018 19:14:41

Hi Leute!

Ich habe mich heute im ÖBB-WLAN im Zug eingeloggt und an meinen Servern gearbeitet. Konkret am openvpn-Server.

Jetzt bin ich per Mobilfunk über mein Smartphone im Netz, mit dem selben Laptop mit dem Hostnamen "mylaptop".

Im Log am openvpn-Server bekomme ich nun diese Fehlermeldungen:

Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop1/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 18:57:38 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:57:38 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 18:58:53 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:58:53 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 19:00:09 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 19:00:09 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 19:01:24 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 19:01:24 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed


Ich hab meine IP gechecked. Die ist definitiv eine andere.
Eine Suche nach dieser seltsamen IP, brachte mich zu dieser Seite:
http://nomad-digital.com/

Also ein Unternehmen, die Partner der ÖBB sind, welche das WLAN im zuvor von mir benutzen Zug betreiben.

nomad-digital.com betreibt möglicherweise das WLAN (die Technik dahinter ist nicht ganz trivial... in jedem Speisewagen sind für alle relevanten Mobilfunker aus Österreich, Deutschlan, Schweiz, Ungarn... Mobilfunkmodems eingebaut, die dann das Zugseigene WLAN mit Internet versorgen. Am Zug selber ist ein "Railnet", also ein Intranet mit Infos über den Zug, die Anschlüsse, News usw.) oder die Webangebote. Ich weiß es nicht genau. Jedenfalls ist dieses Unternehmen Partner der ÖBB und hat irgendwas mit Netzwerk/Internet zu tun.

Hat sich dort im Netz nun jemand meine VPN-Adresse geholt und versucht sich nun einzuloggen? Ist es ein Skript-Kiddie, welches nun nach einem Sniffen versucht in mein VPN einzudringen? Oder hängt dort im Netz irgend ein Dienst fest, der nach wie vor versucht die Verbindung (erfolglos) herzustellen?

Wie kann ich das rausfinden?

sehr verwirrt

scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Seltsame Zugriffe

Beitrag von wanne » 01.10.2018 19:55:54

Ist es ein Skript-Kiddie, welches nun nach einem Sniffen versucht in mein VPN einzudringen?
Ich würde mal stark tippen das Skript-Kiddie heißt Deutsche Bahn – oder einer deren Dienstleister.
rot: Moderator wanne spricht, default: User wanne spricht.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Seltsame Zugriffe

Beitrag von scientific » 01.10.2018 23:22:49

Die Deutsche Bahn eher weniger... es war ein ÖBB-Zug... Aber warum versucht der Dienstleister in private VPNs einzudringen???
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Seltsame Zugriffe

Beitrag von mat6937 » 01.10.2018 23:35:04

scientific hat geschrieben: ↑ zum Beitrag ↑
01.10.2018 19:14:41

Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed


Ich hab meine IP gechecked. Die ist definitiv eine andere.
War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Seltsame Zugriffe

Beitrag von MSfree » 02.10.2018 08:28:14

mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.10.2018 23:35:04
scientific hat geschrieben: ↑ zum Beitrag ↑
01.10.2018 19:14:41
Ich hab meine IP gechecked. Die ist definitiv eine andere.
War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?
In den Zügen befindet sich ein NAT-Router. Du bekommst also eine IP-Adresse typischerweise aus dem 192.168.x.x oder 10.x.x.x Bereich. Die IP, die man dann auf dem Server sieht, ist die des NAT-Routers.

Daß da mehrere Verbindungsversuche stattgefunden haben, ist nicht weiter verwunderlich. Der Zug fährt schließlich von einer Mobilfunkzelle zur nächsten, wobei er sämtliche bestehende Netzwerkverbindungen auf die nächste Funkzelle übertragen muß, Stichwort Roaming. Dabei kommt es regelmässig zu Verbindungsabbrüchen und Neuaufbau. Mobilfunknetze sind nunmal nicht absolut zuverlässig.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Seltsame Zugriffe

Beitrag von uname » 02.10.2018 08:31:34

Kannst du etwas mehr Daten liefern?

Wie spät warst du in der Bahn? Poste davon einige am besten den letzten erfolgreichen Zugriff.
Wie spät hast du geprüft? Poste auch davon einen erfolgreichen Zugriff.
Stimmen die angezeigten Uhrzeiten überhaupt?

Wichtig wäre mir vor allen der zeitliche Abstand zwischen deiner letzmaligen (erfolgreichen) Verwendung des ÖBB-WLAN als VPN und dem Auftreten der Fehlversuche.
Vielleicht werden ja TCP-Verbindungen zwischengespeichert, wenn das Internet nicht funktioniert (z. B. Tunnel) ;-)
Wenn die aber z. B. erst eine Stunde später abgearbeitet werden braucht man sich über die miese WLAN-Qualität im Zug auch nicht mehr wundern, da Anfragen beantwortet werden, die niemanden mehr interessieren ;-)

Vielleicht kannst du noch mal mit der Bahn fahren und zeitgleich auf deinen Server Debianwireshark oder einen anderen Paketsniffer laufen lassen.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Seltsame Zugriffe

Beitrag von mat6937 » 02.10.2018 09:11:52

MSfree hat geschrieben: ↑ zum Beitrag ↑
02.10.2018 08:28:14
mat6937 hat geschrieben: ↑ zum Beitrag ↑
01.10.2018 23:35:04
scientific hat geschrieben: ↑ zum Beitrag ↑
01.10.2018 19:14:41
Ich hab meine IP gechecked. Die ist definitiv eine andere.
War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?
In den Zügen befindet sich ein NAT-Router. Du bekommst also eine IP-Adresse typischerweise aus dem 192.168.x.x oder 10.x.x.x Bereich. Die IP, die man dann auf dem Server sieht, ist die des NAT-Routers.
Ja, das ist schon klar, aber während der Verbindung aus dem Zug kann man trotzdem (wenn man will) die externe/öffentliche IP-Adresse des Routers anzeigen (oder loggen) lassen, mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222
oder gleichwertig.

Wenn man dann nicht mehr im Zug ist, kann man diese IP-Adresse (mit der lt. Serverlog eine Verbindung hergestellt werden soll) mit der oder den geloggten IP-Adresse(n) vergleichen.

Benutzeravatar
king-crash
Beiträge: 720
Registriert: 08.08.2006 12:07:56
Lizenz eigener Beiträge: MIT Lizenz

Re: Seltsame Zugriffe

Beitrag von king-crash » 02.10.2018 09:45:30

Hat das Zugnetz eventuell mehrere öffentliche IPs und mäßig funktionierendes Load Balancing?

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Seltsame Zugriffe

Beitrag von uname » 02.10.2018 09:50:21

Die IP-Adresse kann man auch wie folgt ermitteln:
https://www.showmyipaddress.eu

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Seltsame Zugriffe

Beitrag von scientific » 02.10.2018 10:39:42

Ich habe keine Ahnung, was meine public IP im Zug war. Da hab ich nicht darauf geachtet.

Und ja, auf der Strecke sind viele Tunnels, der Zug fährt mit bis zu 230km/h und sowohl das WLAN im Zug als auch die Verbindung nach draußen ist im Zug sehr wackelig...

Ich habe die seltsamen Verbindungsversuche mit einem falschen TLS-Key aber dem richtigen Hostnamen knappe 30-45Minuten nach dem Verlassen des Zuges festgestellt. Also genau zu dem Zeitpunkt, als ich es hier im Forum schrieb.

Was ich eben seltsam finde ist der Umstand, dass ein Prozess mit dem Hostnamen des Rechners, mit dem ich mich zuvor erfolgreich im Zug mit dem VPN-Server verbunden habe, nun mit falschen oder fehlenden TLS-Certifikaten aber dem selben Hostnamen versucht alle ~15 Sekunden eine Verbindung aufzubauen. Und das über eine Stunde lang
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Seltsame Zugriffe

Beitrag von uname » 02.10.2018 12:19:57

Schau mal ob bei deinen erfolgreichen Zugriff aus der Bahn der gleiche Source-TCP-Port 41860 verwendet wurde.
Wenn ja wäre es sehr wahrscheinlich, dass die Pakete tatsächlich von deiner VPN-Verbindung aus den Zug stammen, da der Source-TCP-Port (>1023) wahrscheinlich zufällig vergeben wird. Vergleiche ihn evtl. mit anderen erfolgreichen VPN-Verbindungen.

Du könntest auch mal den ÖBB oder den Provider kontaktieren.

Antworten