Autor Tema: Router wifi cambia de mac y tira todas las conexiones  (Leído 4119 veces)

0 Usuarios y 1 Visitante están viendo este tema.

rematado

  • Visitante
Router wifi cambia de mac y tira todas las conexiones
« en: 26-03-2008, 11:54 (Miércoles) »
Buenos días a todos

Tengo un router inalámbrico de Orange. El modelo exacto lo podéis encontrar aquí:

http://es.wikipedia.org/wiki/Livebox

La dirección IP interna del router es 192.168.1.1, y la LAN está formada tan solo por el router y mi equipo, que se conecta a través de una tarjeta con chip atheros.

Hace unos días que observo que por el syslog de mi máquina aparecen estos mensajes:

Mar 17 13:59:00 ******* kernel: arp: 192.168.1.1 moved from 00:1d:09:c4:15:10 to 00:18:f6:cd:7f:02 on ath0

La dirección IP de mi máquina no es 192.168.1.1, así que no soy yo quien está "robando" la IP al router.

¿Alguien sabe a qué se pueden deber estos mensajes? La seguridad que tengo establecida es WPA, con filtrado MAC y una contraseña larga, y me resulta extraño pensar que alguien pueda estar intentando conectarse al router con la dirección IP 192.168.1.1 con alguna intención malévola. ¿Qué opináis vosotros? ¿Porqué el router de repente cambia la mac de su interfaz wireless? Cada vez que me salen estas alertas me desconecta totalmente, y no puedo siquiera hacer un ping a 192.168.1.1. Tengo que tirar la interfaz ath0 y volver a levantarla de nuevo.

Agradezco de antemano cualquier sugerencia. Si necesitan más datos del hardware, no tienen más que pedirlos.

Saludos cordiales



MMRX

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #1 en: 26-03-2008, 20:17 (Miércoles) »
No se, quizas lo este haciendo por seguridad, si se va cambiando de MAC quizas sea más dificil pillarlo o algo por el estilo.
Prueba a cambiar tu pass del router de la WPA, para verificar que no hay nadie conectado.
Puedes tambien usar programas muy simples que te dicen quienes estan asociados en ese momento quizas puedas ver si hay alguien.

Ya nos comentas. 8)

unbas

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #2 en: 26-03-2008, 21:24 (Miércoles) »
haz un scaneo del rango de ip por ejemplo con look at lan ..... y sabras si hay alguien conectado :)

Manbostar

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #3 en: 26-03-2008, 22:31 (Miércoles) »
Buenas

En principio eso parece un ARP Gratuito:
Citar
ARP Gratuito: Mediante el envío de peticiones ARP preguntando por la dirección IP propia, una máquina puede detectar conflictos con otros nodos con su misma dirección IP (en caso de recibir respuesta), e informar al resto de su presencia durante el arranque, induciendo la actualización de sus cachés.

La MAC 00:1D:09:XX:XX:XX es de un Dell y 00:18:F6:XX:XX:XX es de un Thomson-Livebox (¿Made in Belgica?)

Para excluir intrusiones ¿tu máquina es un Dell con esa MAC? y si es así, un tiro a ciegas, ¿tienes vmware instalado?

Saludos

rematado

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #4 en: 27-03-2008, 18:36 (Jueves) »
Hola a todos de nuevo

Lo primero, agradecer las 3 respuestas que me habéis dado. He estado indagando más sobre el problema, y realmente no tiene ninguna relación con la capacidad wireless del router, así que pido disculpas por desviar la temática del foro. En un principio supuse que alguien se estaba intentando conectar a mi router wifi falseando su ip para recopilar datos o estadísticas; por eso envié la pregunta aquí. Ya que estoy en faena, expongo la problemática, que como digo, no tiene mucho que ver con las redes wifi.

Actualmente, estoy conectado por medio de OpenVPN a una red 192.168.57.0/24, mientras que mi LAN interna es 192.168.1.0/24 (siendo 192.168.1.1 la puerta de enlace a internet, la dirección del Livebox). La interfaz inalámbrica es ath0, que está en el lado de la LAN interna, y luego tengo la interfaz tap0, que está en el lado de 192.168.57.0/24. Ambas interfaces están puenteadas (bridge); de otro modo no podría usar la vpn. Por tanto, todo el tráfico que provenga de la VPN puede verlo mi LAN interna de modo transparente.

Bien, analizando mis logs más detenidamente (no lo he dicho, pero mi sistema operativo es FreeBSD 7.0) observo que las alertas arp vienen por parejas, en este orden:

Mar 17 13:58:31 ******* kernel: arp: 192.168.1.1 moved from 00:18:f6:cd:7f:02 to 00:1d:09:c4:15:10 on tap0
Mar 17 13:59:00 ******* kernel: arp: 192.168.1.1 moved from 00:1d:09:c4:15:10 to 00:18:f6:cd:7f:02 on ath0

Es decir, quien primero alerta sobre el cambio de mac de la ip 192.168.1.1 es la interfaz VPN (tap0). Por acción del bridge, este cambio se propaga a la interfaz ath0 y a mi router wifi, el cual detecta que alguien por ahí se está identificando con la ip 192.168.1.1 y decide cambiarse de mac para protegerse. Esto resulta catastrófico para mi conexión, que se cae de inmediato, y me impide hacer un ping a 192.168.1.1 (quizá porque la tabla arp ya esté envenenada).

Por lo tanto, sospecho con fuerza que el paquete maldito lo estoy recibiendo por la interfaz tap0. Automáticamente leo la documentación de FreeBSD sobre bridges

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html

y veo que puedo impedir que las mac de la LAN interna se propaguen a la otra LAN y viceversa. Es justo lo que se consigue con el comando sticky (apartado Sticky Interfaces). De modo que creo el bridge como ahí se menciona:

ifconfig bridge0 addm ath0 sticky addm tap0 sticky up

Hoy levanto la vpn con esta configuración y ya no se me cae la conexión más veces. Además, en el syslog veo alertas relacionadas con la ip 192.168.1.1, pero en este caso mucho más amables:

Mar 27 13:03:35 ****** kernel: arp: 192.168.1.1 is on ath0 but got reply from 00:1d:09:c4:15:10 on tap0

¡Bingo! Efectivamente, estoy recibiendo un paquete por la interfaz tap0, como suponía, y el sistema me alerta de ello. Como ese paquete no se propaga a mi LAN interna, el router wifi no se entera, y mi conexión sigue arriba.

Esto es en esencia el problema y la solución. Disculpen por lo extenso de la explicación, pero quizá le pueda servir a alguien que tenga problemas parecidos, aunque no tienen nada que ver con la temática del foro. Respondiendo a cada persona que ha tenido la amabilidad de contestar a mi post inicial:

Estimado MMRX: La password del ruoter la había modificado ya (es un número hexadecimal de un montón de cifras), y siempre que me quedaba sin conexión acudía al interfaz web del router para inspeccionar las MAC que estaban asociadas, y nunca encontré otra que no fuera la mía.

Estimado unbAs: ¿cuál es la sintaxis del comando que mencionas? ¿o es un comando de windows? ¿Con eso podría saber si hay alguien conectado al router wifi?

Estimado Mambostar: con la sugerencia que me has dado preguntando si tenía vmware instalado hubiera dado con la solución, casi seguro, me hubieras encendido la luz. Porque con el wmware se crea otra subred por bridge que me puede dar conflicto con la IP del router wifi. Así que no, no tengo vmware instalado, pero ciertamente tenía otra interfaz por donde entraban los paquetes que me rompían la conexión. La mac 00:18:F6:XX:XX:XX  efectivamente es ser la mi LiveBox, y la otra dices que es de un DELL, lo cual me indica que ese paquete, que viene de la VPN, lo está emitiendo una máquina que está dentro de la empresa a la que me conecto (que usan DELL como proveedor oficial). Por lo tanto, preguntaré a los administradores de la red a ver si localizan esa máquina y el motivo de que me llegue a mí un paquete de ese tipo.

Bueno, pues eso es todo. Muchas gracias a todos por vuestra colaboración.

Saludos

MMRX

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #5 en: 27-03-2008, 19:59 (Jueves) »
Fantástica explicación, felicidades por la resolución y gracias por comentarlo.
Salu2

Manbostar

  • Visitante
Re: Router wifi cambia de mac y tira todas las conexiones
« Respuesta #6 en: 27-03-2008, 20:15 (Jueves) »
Buenas

Si señor, por ahi iban los tiros, otra interfaz en modo bridge que te estuviera fastidiando con J,  ;D ;D

LLegas a decir lo de la VPN en el primer post y hacemos blanco a la primera.

Todo una señora explicación para enmarcar,  :-'  :-'  :-'

Gracias y un saludo

//FINAL Y MÁS DOS RESPUESTAS