AP-Zugriff auf externe IPs / Calling home

Es gibt 11 Antworten in diesem Thema, welches 3.325 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo,


    ich hab grad festgestellt, dass meine APs (verschiedene Modelle, aktuelle Firmware) immer mal auf irgendwelche IPs zugreifen wollen. Was wollen die da?

    Einige Zugriffe scheinen auf den ersten Blick DoH zu sein. Wozu braucht man/der/das/*Innen das...?

    Ich hab jedenfalls den Zugriff der APs auf den Controller beschränkt, alles andere ist demnach gesperrt.


    Hat jemand Erklärungen?


    Grüße


    --------------


    Code
    ec2-54-148-216-64.us-west-2.compute.amazonaws.com:443
ec2-44-242-16-48.us-west-2.compute.amazonaws.com:443
ec2-44-241-10-242.us-west-2.compute.amazonaws.com:443
ec2-44-236-42-104.us-west-2.compute.amazonaws.com:443
ec2-44-235-141-179.us-west-2.compute.amazonaws.com:443
ec2-44-232-106-230.us-west-2.compute.amazonaws.com:443
ec2-44-231-32-99.us-west-2.compute.amazonaws.com:443
ec2-44-231-32-99.us-west-2.compute.amazonaws.com:443
ec2-35-166-136-72.us-west-2.compute.amazonaws.com:443
ec2-35-166-136-72.us-west-2.compute.amazonaws.com:443
    Zitat von bic

    Lös die IPs doch mal in Whois auf, dann wirst Du schon schlauer :smiling_face:

    Wieso denn mit whois? Da steht auch bloß Amazon... Ich hab doch schon die DNS-Namen aufgelöst, bzw. umgekehrt. Fast alles geht auf Amazon EC2. D.h. keine Socke (also ich) weiß, was die da "computen".

    Es waren aber auch ein paar Einträge dns.google:443 dabei - deshalb die Vermutung DoH.

    bei den unteren Adressen steht ja sogar dabei was es ist: Amazon AWS (Amazon Web Service) . Amazon ist, so nebenbei bemerkt, neben einem Onlinehändler, auch einer der größten Web&Datenhoster, wo sehr viele Firmen riesen Datenmengen und hoch verfügbare Seiten hosten. Oben sind auch Amazon und Cloudflare IP Adressen. selbes Spiel.

    Das könnte n Web Interface, oder Firmware Update,..... sein

    35.166.136.72 und 52.42.90.111 sind keine DNS Server

    223.5.5.5 is aliens.com der DNS Service von Alibaba (und Alibaba ist genau wie Amazon einer der größten Handels Plattformen und einer der größeren Cloud Anbieter im Land)


    Den rest habe ich nicht getestet.

    Aber das die Unifi AP direkt DNS machen und dann noch via DoH wäre neu.

    Und schon garnicht zu irgendwelchen Adressen...


    Bist du sicher das der Traffic von den APs kommt ?

    Und wenn er von den AP kommt könnt das traffic aus einem Guest Hotspot Setup„ kommen ?

    Beim Guest Hotspot arbeiten die APs halb als router, Leiten traffic erstmal um auf die Landing Page und so weiter.


    Mein Verdacht, Smarter Saug Roboter oder ähnliches Cloud Gedöns, der mit seinen Servern verhandelt.




    Die Erste IP: 35.166.136.72 hat im TLS Heider die „trace.svc.ui.com als CN...




    Die Addy hat dann ein paar mehr IP zur Auswahl....


    hier ein paar infos dazu...

    UniFi - Analytics Data Collection FAQ
    Overview This article describes the data collected by our analytics framework for UniFi products. Click on the question that interests you to expand and…
    help.ui.com


    oder hier zum TEILWEISE deaktivieren...

    https://community.ui.com/questions/Where-do-I-put-the-config-properties-file-to-opt-out-analytics-100percent/3192f835-8ec0-4d1d-a09c-5c75ee8e15dc


    Hatte ich garnicht auf den Schirm das die Burschen das machen...




    Einen Habe ich noch. Keine Ahnung wie es auf bei dem Standanlone Controller aussieht, aber UDM und UCK haben hier

    eine „Ja Analytics sind fine“ Schalter, der ist wohl schon immer aus bei keine Ahnung was da „default ist"

    3 Mal editiert, zuletzt von razor () aus folgendem Grund: 2 Beiträge von gierig mit diesem Beitrag zusammengefügt.

    Hab ich´s mir doch gedacht, dass hier nach Hause telefoniert wird... :thumbs_down:


    Noch schnell zur IST-Situation:

    neue Site, mit neuem Management-VLAN für die AP´s (momentan nur 1), noch keine Clients an den frisch konfigurierten WLANs (jeweils eigene VLANs) - also niegelnagelneu alles...


    So richtig versteh ich´s dennoch grad nicht, hab entsprechend der Tips geschaut:



    Und warum werden dennoch Daten versendet???


    So, nochmal den Link https://community.ui.com/quest…c0-4d1d-a09c-5c75ee8e15dc gelesen...

    Ich soll jetzt noch im Controller in den Konfigurationsdateien rumfriemeln? :confused_face:

    Ich probiere es mal, melde mich später wieder...


    Btw., wie sieht das bei euch aus? Lasst ihr eure Geräte nach Hause zu UI telefonieren?

    Ich hab auf dem Controller folgendes getan:

    Code
    # cd /var/lib/unifi/sites/default
# echo config.system_cfg.1=system.analytics.anonymous=disabled >>config.properties    # diese Datei gabs noch nicht
# cp config.properties ../0xkq7zm8/                                                   # und hier auch noch nicht
# reboot

    Anschließend auf dem AP:

    Code
    # reboot
# grep analytics /tmp/system.cfg
system.analytics.status=disabled

    d.h. diese Zeile fehlt:


    Code
    system.analytics.anonymous=disabled

    Das OpnSense-FW-Log blieb sauber, bis ich

    Code
    # nslookup adac.de

    ausführte.

    Dann hatte ich diese tollen Einträge:

    Die ersten 3 Zeilen (also die untersten) sind okay - das ist die Abfrage.

    Dann kommt wohl "Calling Home". Warum der AP jetzt auch noch nen icmp zum Google-DNS-Server macht ist auch fraglich.

    Als letztes (oberste Zeile) will der AP noch was vom Controller - das ist wohl okay...


    Kann jemand aufklären und/oder helfen?


    Ich möchte nicht, dass alles mitgeloggt wird...!!! :pouting_face:


    Okay, ich hab ja zum Glück meine Opnsense! :smiling_face_with_heart_eyes:


    ------------------

    Ergänzung nach gierig´s Tip in #10

    Code
    # set-inform http://<addressofnewcontroller>:8080/inform # sicherheitshalber nochmal den Conroller mitgeben
# save    # Sicherheitskopie (wohin weiß ich nicht)
# set-default # ??? mit anschließendem Neustart
# set-inform http://<addressofnewcontroller>:8080/inform  # force provision - dann eben nochmal...

    wenn jemand weiß, wie "force provision" besser geht (außer über web-UI) - bitte mitteilen!


    ------------------

    Ich ziehe meine Ergänzung zurück! Das ist Mist...


    Also bleibt nur "force provision" übers web-UI.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von effemmess mit diesem Beitrag zusammengefügt.

    Hattes du die config auf dem AP erneuert (force provision)


    die „config.properties“ in den beiden Verzeichnissen ist der richtige Owner und 644 ?

    (auf meinen system unifi:unifi, kann bei dir variieren, orientiere Dich am directory)

    Code
    MargeGarage-BZ.6.2.35# grep ana /tmp/system.cfg 
system.analytics.status=disabled
system.analytics.anonymous=disabled

    auf meinen AP sind danach auch beide Zeilen drinnen. Das ganze sogar ohne reboot vom Controller

    (config.properties war bei mir root:root hat er erst nicht gelesen auch mit 644)

    Zitat von gierig

    Hattes du die config auf dem AP erneuert (force provision)

    natürlich nicht... :kissing_face:

    ...ma gucke...

    Code
    7# grep ana /tmp/system.cfg
system.analytics.status=disabled
system.analytics.anonymous=disabled

    sehr schön...!


    auf der FW im Log ist jetzt auch Ruhe - super!!! :smiling_face:


    Danke für eure Hilfe - insbesondere an gierig ! :thumbs_up:

    Zitat von iTweek

    Ich habe bei mir nichts verändert.

    Habe nichts zu verbergen.

    Mit dem Aussehen wie auf deinem Avatar würde ich auch nichts verbergen! :grinning_face_with_smiling_eyes:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von effemmess mit diesem Beitrag zusammengefügt.

    Gefällt mir 1
    Zitat von effemmess

    Hab ich's mir doch gedacht, dass hier nach Hause telefoniert wird... :thumbs_down:

    Ja, leider: https://www.reddit.com/r/Ubiqu…to_disclose_why_they_are/