bigbud594
Goto Top

Router IPv6 Präfix unterscheidet sich von IPv6-Adresse

Hallo,
Ich weiss, das mein Heimnetzwerk in der Vergangenheit infiltriert gewesen ist, es gab verschiedene Anzeichen und auch verschiedene "Angriffe", egal was ich getan habe, es kam etwas neues oder anderes hinzu.
Mein Router ist ein mietgerät von Vodafone die Fritzbox 6660 Cable(ich weiss, mietgeräte sind fragwürdig).
Folgende Dinge sind mir in der Vergangenheit aufgefallen:
- Evil Twin Accesspoint
- Sniffing
- bei Router reset, hat sich ein Gerät, mit dem Standard passwort, ins WLAN eingeloggt, was es da getan hat, weiss ich nicht.
- Bis vor dem Update von der OS Version 7.29 auf 7.5X, habe ich mehrfach den Router zurückgesetzt, aus Vorsicht sogar nur über LAN, einen Linux Live System und nicht verbundenen Kabel, wo ich dann erst einmal ein paar grundlegende Dinge geändert habe(WLAN SSID/Passwort, Benutzer Passwort,DNSoverTLS), mir ist aufgefallen das sich nach einem Werksreset die Benutzeroberfläche nach dem verbinden mit dem Internet, verändert,IPv6 Einstellungen für das "WAN" also eigentlich den Internet Zugang verschwinden dann.
Seit Version 7.5X ist das nicht mehr so.
- Da ich schon einen Verdacht hatte, habe ich mich Mal testweise über WLAN in die Benutzeroberfläche "eingeloggt" bewusst mit falschen Passwort und zwar habe ich bewusst in etwa sowas benutzt "ImGanzenHausSindKameras" die Folge war das zwei gäste des nachbarns von oben, komplett nervös, Alibimäßig vor die Tür gingen um unnötigerweise etwas an deren Fahrrädern zumachen,ich konnte beobachten wie sie aber das ganze Gelände, alle Wände und Mauern musterten, da hat wohl jemand was gesucht damit sollte klar sein das hier etwas nicht stimmt.

Ich habe alles versucht, Passwörter auf maximale Länge & so weiter, jetzt komme ich zu dem eigentlichen Anliegen, die Fritzbox bekommt seit ein paar Monaten komischerweise eine IPv6-Adresse zugeteilt die Teile der Wlan-Gast BSSID also die Gast MAC Adresse beinhaltet, wo ja eigentlich die MAC des Gerätes sein sollte.
Darüber hinaus, unterscheidet sich der IPv6 Standort-Präfix der Router IPv6-Adresse und dem Router IPv6-Präfix. Dürfte ja eigentlich nicht sein.

Meine Fritzbox ist mit MyFritz verbunden und dort steht unter dem Gerät "Lan-Verbindung", ich habe eigentlich keine Ahnung aber ich gehe davon aus das dort eigentlich "Kabel" stehen sollte.

Meine Vermutung ist das sich da jemand zwischen den Router und dem Provider hängt, entweder direkt, über spoofing,es ist vieles möglich, ich halte es auch für möglich das der Router ausgetauscht wurde eventuell sogar bevor ich den bekommen habe.

Mir ist bewusst das es eine Möglichkeit wäre eine Anzeige gegen unbekannt zu erstatten, sobald ich aber Mal etwas gefunden habe, es ausspreche oder nur ansatzweise irgendwie darauf schließen lässt das ich etwas nachweisen kann verlässt jemand direkt mit einem großen Rucksack das Haus und im Falle des "Evil Twins" war dieser dann auch jedes Mal weg. Mir wäre das Risiko zu Groß das der jenige davon kommt.

Vodafone kann mir da nicht helfen, der Techniker war hier, kann nichts machen, er bemerkte aber das der kabelweg schon sehr auffällig oder zumindest sehr ungewöhnlich und ungünstig gewählt wäre und aber eine Leitung legen Brauch in unserem Haus eine Genehmigung "Denkmalschutz".


Ich hoffe ihr könnt mir helfen,ich bin echt ratlos und fühle mich hier so ziemlich ausgeliefert, das geht jetzt schon mehrere Jahre so.

Danke im voraus und freundliche Grüße

Content-ID: 4157158181

Url: https://administrator.de/contentid/4157158181

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

7907292512
7907292512 10.09.2023 aktualisiert um 12:55:05 Uhr
Goto Top
Router IPv6 Präfix unterscheidet sich von IPv6-Adresse. Dürfte ja eigentlich nicht sein.
Doch natürlich darf es das. Das ist normal und gängige Praxis. Der Prefix der per Prefix Delegation beim Provider bezogen wird hat nichts mit der IPv6 Adresse zu tun die der Router selbst per DHCPv6 vom Provider bekommt, das sind zwei ganz unterschiedliche paar Schuhe, das die globale IPv6 des Routers nicht zwingend aus dem Prefix stammt ist also normal . Also ist diesbezüglich alles im Lot.

Lesenswert wie immer die Grundlagen zum Thema ...
https://danrl.com/ipv6/

Gruß sid
mayho33
mayho33 10.09.2023 um 13:00:21 Uhr
Goto Top
Zitat von @Bigbud594:

Hallo,
Ich weiss, das mein Heimnetzwerk in der Vergangenheit infiltriert gewesen ist, es gab verschiedene Anzeichen und auch verschiedene "Angriffe", egal was ich getan habe, es kam etwas neues oder anderes hinzu.
Was genau meinst du damit?

Mein Router ist ein mietgerät von Vodafone die Fritzbox 6660 Cable(ich weiss, mietgeräte sind fragwürdig).
Also eigentlich nicht. So wie ich das sehe ist das eher die Ausnahme. Was aber viele machen ist, das Mietgerät nur als AP zu nutzen in einem eigenen Netzwerk.

Folgende Dinge sind mir in der Vergangenheit aufgefallen:
- Evil Twin Accesspoint
- Sniffing
Wie hast du das festgestellt?

- bei Router reset, hat sich ein Gerät, mit dem Standard passwort, ins WLAN eingeloggt, was es da getan hat, weiss ich nicht.
- Bis vor dem Update von der OS Version 7.29 auf 7.5X, habe ich mehrfach den Router zurückgesetzt, aus Vorsicht sogar nur über LAN, einen Linux Live System und nicht verbundenen Kabel, wo ich dann erst einmal ein paar grundlegende Dinge geändert habe(WLAN SSID/Passwort, Benutzer Passwort,DNSoverTLS)...
Äh... Darum ändert man auch die SID und PW des WLAN 😉

...mir ist aufgefallen das sich nach einem Werksreset die Benutzeroberfläche nach dem verbinden mit dem Internet, verändert,IPv6 Einstellungen für das "WAN" also eigentlich den Internet Zugang verschwinden dann.
Je nachdem was dein ISP so vorgibt. Der hat natürlich Zugriff auf das Gerät

Seit Version 7.5X ist das nicht mehr so.
- Da ich schon einen Verdacht hatte, habe ich mich Mal testweise über WLAN in die Benutzeroberfläche "eingeloggt" bewusst mit falschen Passwort und zwar habe ich bewusst in etwa sowas benutzt "ImGanzenHausSindKameras" die Folge war das zwei gäste des nachbarns von oben, komplett nervös, Alibimäßig vor die Tür gingen um unnötigerweise etwas an deren Fahrrädern zumachen,ich konnte beobachten wie sie aber das ganze Gelände, alle Wände und Mauern musterten, da hat wohl jemand was gesucht damit sollte klar sein das hier etwas nicht stimmt.
Sorry, aber da kann ich nur 😜😜🤔🤔🤦‍♂️. Wenn das der Fall wäre, dann würde explizit jemand in dein Netzwerk einbrechen. Sowas kann man melden. Infos gibts hier

Ich habe alles versucht, Passwörter auf maximale Länge & so weiter
Was ist das "& so weiter" ? die maximale Länge von lauter Einsen ist genauso nutzlos als würdest du nur 4 Stellen Einsen vergeben. Ein sicheres Passwort enthält das gesamte Spektrum aller lesbaren Zeichen. Siehe hier

jetzt komme ich zu dem eigentlichen Anliegen, die Fritzbox bekommt seit ein paar Monaten komischerweise eine IPv6-Adresse zugeteilt die Teile der Wlan-Gast BSSID also die Gast MAC Adresse beinhaltet, wo ja eigentlich die MAC des Gerätes sein sollte.
Darüber hinaus, unterscheidet sich der IPv6 Standort-Präfix der Router IPv6-Adresse und dem Router IPv6-Präfix. Dürfte ja eigentlich nicht sein.

Meine Fritzbox ist mit MyFritz verbunden und dort steht unter dem Gerät "Lan-Verbindung", ich habe eigentlich keine Ahnung aber ich gehe davon aus das dort eigentlich "Kabel" stehen sollte.
LAN = Local Area Network = Kabel 😉
WLAN = Wireless Local Area Network = Ohne Kabel
Das ist seit Jahrzehnten so im ISO-Standard ISO/IEC 11801 zusammengefasst.

Meine Vermutung ist das sich da jemand zwischen den Router und dem Provider hängt, entweder direkt, über spoofing,es ist vieles möglich, ich halte es auch für möglich das der Router ausgetauscht wurde eventuell sogar bevor ich den bekommen habe.
Du musst ja ein extrem gutes Ziel abgeben, wenn jemand deine ISP-Box abfängt und austauscht... Dann bestelle doch eine neue unter dem Vorwand, dass diese immer die Verbindung verliert und gib an, dass du diese im Shop abholen willst.

Vodafone kann mir da nicht helfen, der Techniker war hier, kann nichts machen, er bemerkte aber das der kabelweg schon sehr auffällig oder zumindest sehr ungewöhnlich und ungünstig gewählt wäre und aber eine Leitung legen Brauch in unserem Haus eine Genehmigung "Denkmalschutz".
Eine Leitung legen braucht eine Genehmigung wegen Denkmalschutz?? Sind denn keine Kabelschläuche vorhanden wo sich ein Kabel durchziehen lässt? Das glaube ich jetzt ja fast nicht...

Ich hoffe ihr könnt mir helfen,ich bin echt ratlos und fühle mich hier so ziemlich ausgeliefert, das geht jetzt schon mehrere Jahre so.
Wie gesagt: Einfach melden (Adresse weiter oben). Lieber falsch liegen als leiden...
Bigbud594
Bigbud594 10.09.2023 um 13:06:21 Uhr
Goto Top
Okay aber was ist mit dem Mac Adressenteil, ich weiss ja das ein dhcpv6 Server den Schnittstellen ID Teil aus der Geräte mac bildet, es ist doch dann nicht normal, das es aus der Mac Adresse des gast-wlans benutzt.
Also Beispiel Fritzbox Mac: "A1:B2:D3:E4:F5:G6 "
Private WLAN mac: "A1:B2:D3:E4:F5:G7"
Gast WLAN mac: "A2:B2:D3:E4:F5:G8"

Dabei müsste die IPv6-Adresse des Routers ja ungefähr so aussehen:
"2001:0db8:85a3:08d3:A1B2:D3E4:F5G6"
Sieht aber dann beispielsweise so aus:
"2001:0db8:85a3:08d3:A2B2:D3E4:F5G8"

Das ist doch richtig oder sehe ich das falsch ?

Gruß bud
7907292512
7907292512 10.09.2023 aktualisiert um 13:27:46 Uhr
Goto Top
Zitat von @Bigbud594:

Okay aber was ist mit dem Mac Adressenteil, ich weiss ja das ein dhcpv6 Server den Schnittstellen ID Teil aus der Geräte mac bildet, es ist doch dann nicht normal, das es aus der Mac Adresse des gast-wlans benutzt.
Das spielt in den Fall keine Rolle, hier schnappt sich die Fritte irgendein Interface für die Bildung der EUI64 (wenn das aktiviert ist ansonsten wird per privacy Extension eine generiert), bei dir halt gerade das die des Gast-Interfaces.
Normalerweise ist es natürlich korrekt das die MAC des jeweiligen Interfaces welches die DHCPv6 Meldung rausschickt zur Bildung einer EUI64 Adresse herangezogen wird (wenn EUI64 aktiviert ist), in dem Fall gibt es aber kein direktes "physisches Interface" wenn die Adresse per virtuellem PPPoE-Interface gezogen wird, da schnappt sich die Fritze einfach irgendeine der vorhandenen MACs zur Bildung der Adresse, das macht also nichts, da die Adresse ja eh einmalig ist und auch nicht aus dem Prefix stammt.
Wie immer gibt es bei IPv6 mehrere Adressen , die globale am WAN, die zugewiesenen globalen LAN Prefixes zu den Interfaces, und die LinkLocals.
Das was du wahrscheinlich siehst ist das Interface Prefix für das Gastnetz.
Bigbud594
Bigbud594 10.09.2023 um 13:27:40 Uhr
Goto Top
Den Evil Twin habe ich festgestellt, weil ich das doppelte WLAN gesehen habe, die App WiFi Analyse zeigte mir im Schlafzimmer (der am weitesten entfernte Raum unserer Wohnung von der Fritzbox weg wo das WLAN ab und an mal Schwierigkeiten macht.)
Es war alles doppelt, 2,4Ghz und 5Ghz. Als ich dann raus ging ins Treppenhaus, verschwand dieser, Screenshots von dem Ergebnis, waren am nächsten Tag verschwunden.nach dem reseten ich mein handy weil es ja ziemlich wahrscheinlich ist das es gehackt war.
Mit der App "Messgerät für elektromagnetische Wellen" könnte ich auch schon zwischen durch ein außergewöhnlich starkes Signal von oben fest stellen, ich weiß nicht wie genau diese App zu nehmen ist aber die Werte übersteigen in unserer Wohnung eigentlich nicht 1-2microtesla, teilweise waren die Signale dann aber so 100-200microtesla stark was laut dieser App schon gesundheitsschädlich ist(glaube ab 60 wird die Anzeige rot was gesundheitsschädlich bedeutet) direkt am Router ergeben sich Werte um 10-15microtesla)
Komisch ist auch das die WiFi Analyse App, eigentlich solange keine Wand da zwischen ist relativ genaue Entfernungen misst, zwischen durch steht dort dann 50cm obwohl es um die 3m oder mehr sind.
7907292512
7907292512 10.09.2023 aktualisiert um 13:32:11 Uhr
Goto Top
Es war alles doppelt, 2,4Ghz und 5Ghz
Ist doch vollkommen normal wenn man die selbe SSID für 5 und 2,4 GHz aktiviert.
Das das 5GHz Netz dann plötzlich verschwindet ist ebenso normal weil hier die Dämpfung bei 5GHz wesentlich stärker von den Wänden etc. beinflusst wird.
Höhere Frequenz = Signal geht in Richtung Licht und das durchdringt nunmal Hindernisse schlechter als niederfrequentes WLAN auf dem 2,4GHz Band.
Bigbud594
Bigbud594 10.09.2023 um 13:30:41 Uhr
Goto Top
Maximales Passwort mit keepass erstellt(Benutzerpasswort 31 Zeichen mit allen möglichen Zeichen ausgewählt generiert, WiFi Passwort ebenso aber mit 63 zeichen).

Zum Teil mit der Mac, die Frage ist doch eigentlich woher kennt der dhcpv6 Server diese Mac Adresse?
Bigbud594
Bigbud594 10.09.2023 um 13:33:08 Uhr
Goto Top
Zitat von @7907292512:

Es war alles doppelt, 2,4Ghz und 5Ghz
Ist doch vollkommen normal wenn man die selbe SSID für 5 und 2,4 GHz aktiviert.
Das das 5GHz Netz dann verschwindet ist ebenso normal weil hier die Dämpfung bei 5GHz wesentlich stärker von den Wänden etc. Beinflusst wird.

Nein ich meinte zb:
Privates WLAN:
2,4Ghz-SSID = Router_24
5Ghz SSID = Router_5
GAST-SSID = Router_Gast

Ergebnis der App war aber:
2x Router_24
2x Router_5
2x Router_Gast

Das ist nicht normal. Dann wäre es ja immer so,ist es aber nicht.
7907292512
7907292512 10.09.2023 aktualisiert um 13:39:49 Uhr
Goto Top
Zitat von @Bigbud594:
Zum Teil mit der Mac, die Frage ist doch eigentlich woher kennt der dhcpv6 Server diese Mac Adresse?
Die gibt der DHCPv6 Client beim solicit mit an und bildet daraus dann die IP, sagt der DHCP Server OK die ist frei, die darfst du dann auch nehmen.
Schau dir oben einfach mal die Grundlagen an und sniffer auf der Leitung mit dann sieht's du es Schwarz auf weiß.

Mir scheint du bist ein echter krasser Verschwörungstheoretiker 😂.

Ergebnis der App war aber:
2x Router_24
2x Router_5
2x Router_Gast
Bei sowas nie auf irgendwelche Handy-Apps verlassen ...
Repeater im Einsatz?
Bigbud594
Bigbud594 10.09.2023 um 13:47:08 Uhr
Goto Top
Zitat von @7907292512:

Es war alles doppelt, 2,4Ghz und 5Ghz
Ist doch vollkommen normal wenn man die selbe SSID für 5 und 2,4 GHz aktiviert.
Das das 5GHz Netz dann verschwindet ist ebenso normal weil hier die Dämpfung bei 5GHz wesentlich stärker von den Wänden etc. Beinflusst wird.

Nein ich meinte zb:
Privates WLAN:
2,4Ghz-SSID = Router_24
5Ghz SSID = Router_5
GAST-SSID = Router_Gast

Ergebnis der App war aber:
2x Router_24
2x Router_5
2x Router_Gast

Das ist nicht normal. Dann wäre es ja immer so,ist es aber nicht.
Zitat von @7907292512:

Zitat von @Bigbud594:
Zum Teil mit der Mac, die Frage ist doch eigentlich woher kennt der dhcpv6 Server diese Mac Adresse?
Die gibt der DHCPv6 Client beim solicit mit an und bildet daraus dann die IP, sagt der DHCP Server OK die ist frei, die darfst du dann auch nehmen.
Schau dir oben einfach mal die Grundlagen an und sniffer auf der Leitung mit dann sieht's du es Schwarz auf weiß.

Mir scheint du bist ein echter krasser Verschwörungstheoretiker 😂.

Ich verstehe warum du das denkst oder warum es so scheint,leider ist es aber nicht so, ich habs mehrfach getestet, WLAN Kamera in "Wohnungstür-Kamera" umbenannt, sobald jemand von oben an der Tür vorbei geht, startet das Ding neu(war nur testweise um zu sehen was passiert, die Kamera war eine esp32-cam wo die Firmware noch nicht richtig konfiguriert war und die Pin Belegung falsch war weshalb die Kamera nicht funktioniert aber das Ding definitiv nicht einfach abstürzt. Es gibt so viele Dinge die ich aufzählen könnte bringt aber nicht viel, beweisen lässt sich damit nämlich nichts, ein paar Screenshots die ich jetzt habe, beweisen das etwas ist aber natürlich nicht von wo.

Ergebnis der App war aber:
2x Router_24
2x Router_5
2x Router_Gast
Bei sowas nie auf irgendwelche Handy-Apps verlassen ...
Repeater im Einsatz?

Kein repeater, die App funktioniert bei mir zuverlässig, zumindest die Scans,wenn es nichts gewesen wäre, hätte sich kaum jemand die Mühe gemacht diese zu löschen.
Bigbud594
Bigbud594 10.09.2023 um 18:58:22 Uhr
Goto Top
Ich habe gerade mal, die IPv6-Adresse und dem IPv6 Präfix, auf einer IP Standort Ermittlung eingegeben, Ergebnis ist, das die IPv6-Adresse über Telefonica läuft, der Präfix aber Vodafone.
Nur zur Erinnerung ich habe einen Vodafone Anschluss.
mayho33
mayho33 10.09.2023 um 19:11:17 Uhr
Goto Top
Zitat von @Bigbud594:

Ich habe gerade mal, die IPv6-Adresse und dem IPv6 Präfix, auf einer IP Standort Ermittlung eingegeben, Ergebnis ist, das die IPv6-Adresse über Telefonica läuft, der Präfix aber Vodafone.
Nur zur Erinnerung ich habe einen Vodafone Anschluss.

Dann bitte mal schsuen ob Vodafone und Telefonica nicht über Ecken zudammen gehören. Ich glaube dass das so ist.
Bigbud594
Bigbud594 10.09.2023 um 19:19:41 Uhr
Goto Top
Telefonica und Vodafone sind definitiv zwei paar Schuhe.
mayho33
mayho33 10.09.2023 um 19:35:54 Uhr
Goto Top
Zitat von @Bigbud594:

Telefonica und Vodafone sind definitiv zwei paar Schuhe.

Na, es könnte auch eine Kooperation wegen der Netzabdeckung sein oder sonst was. Telefonica und O2 vertreiben jedenfalls gemeinsam über die Telefonica Deutschland Holding.
7907292512
7907292512 10.09.2023 aktualisiert um 19:47:32 Uhr
Goto Top
Tja das gehört eher in die Kategorie Recht als IT. Ich könnte dir hier jetzt Methoden zeigen wie du die Jungs mit Honeypots in ihre eigene Falle locken kannst aber das hier zu schildern wäre wohl auch gegen geltendes Recht und gegen Forenregeln. Daher kann ich dir nur Raten, ziehe einen spezialisierten Anwalt und oder einen Privatdetektiv hinzu oder wechsele den Anschluss weg von Kabel auf Mobilfunk oder Starlink und einen eigens gekauften Router wenn du nicht sicherstellen kannst das der Router ausgetauscht wurde oder am Kabelanschluß ein MitM eingeschleift wurde.
Ein klärendes Gespräch mit dem Hinweis auf umfangreich gesichertes Beweismaterial und der Androhung einer Klage die richtig weh tut hat dem ein oder anderem Kiddie auch schon Feuer und dem Hintern gemacht .
Der Anwalt kennt die Tricks und die Gesetzestexte für sowas.

Ach ja, der Bundesnetzagentur vielleicht mal einen Tipp auf einen WLAN Störer geben, dann kommt Iin der Regel irgendwann ein mal ein Bully vorgefahren und die sehen dann genau wo die Rogue APs sitzen.
Vision2015
Vision2015 10.09.2023 um 22:04:11 Uhr
Goto Top
moin..

Mir ist bewusst das es eine Möglichkeit wäre eine Anzeige gegen unbekannt zu erstatten, sobald ich aber Mal etwas gefunden habe, es ausspreche oder nur ansatzweise irgendwie darauf schließen lässt das ich etwas nachweisen kann verlässt jemand direkt mit einem großen Rucksack das Haus und im Falle des "Evil Twins" war dieser dann auch jedes Mal weg. Mir wäre das Risiko zu Groß das der jenige davon kommt.
hat nach dem schreiben, deines Romans bei Administrator.de jemand das Haus mit großen Rucksack und Sonnenbrille verlassen?
da du ja offensichtlich Geheimnisträger bist, frage ich mich warum du eine fritte nutzt, und nicht eine ordentliche Firewall?

Mit der App "Messgerät für elektromagnetische Wellen" könnte ich auch schon zwischen durch ein außergewöhnlich starkes Signal von oben fest stellen, ich weiß nicht wie genau diese App zu nehmen ist aber die Werte übersteigen in unserer Wohnung eigentlich nicht 1-2microtesla, teilweise waren die Signale dann aber so 100-200microtesla stark was laut dieser App schon gesundheitsschädlich ist(glaube ab 60 wird die Anzeige rot was gesundheitsschädlich bedeutet) direkt am Router ergeben sich Werte um 10-15microtesla)

oha... du bist also völlig verstrahlt face-smile
ernsthaft, mit der APP haben sie dir einen Bären aufgeunden!
Frank