Seltsame Zugriffe

[scientific]

Hi Leute!

Ich habe mich heute im ÖBB-WLAN im Zug eingeloggt und an meinen Servern gearbeitet. Konkret am openvpn-Server.

Jetzt bin ich per Mobilfunk über mein Smartphone im Netz, mit dem selben Laptop mit dem Hostnamen "mylaptop".

Im Log am openvpn-Server bekomme ich nun diese Fehlermeldungen:

Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop1/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 18:57:38 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:57:38 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 18:58:53 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 18:58:53 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 19:00:09 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 19:00:09 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed
Oct 01 19:01:24 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Oct 01 19:01:24 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed

Ich hab meine IP gechecked. Die ist definitiv eine andere.
Eine Suche nach dieser seltsamen IP, brachte mich zu dieser Seite:
http://nomad-digital.com/

Also ein Unternehmen, die Partner der ÖBB sind, welche das WLAN im zuvor von mir benutzen Zug betreiben.

nomad-digital.com betreibt möglicherweise das WLAN (die Technik dahinter ist nicht ganz trivial... in jedem Speisewagen sind für alle relevanten Mobilfunker aus Österreich, Deutschlan, Schweiz, Ungarn... Mobilfunkmodems eingebaut, die dann das Zugseigene WLAN mit Internet versorgen. Am Zug selber ist ein "Railnet", also ein Intranet mit Infos über den Zug, die Anschlüsse, News usw.) oder die Webangebote. Ich weiß es nicht genau. Jedenfalls ist dieses Unternehmen Partner der ÖBB und hat irgendwas mit Netzwerk/Internet zu tun.

Hat sich dort im Netz nun jemand meine VPN-Adresse geholt und versucht sich nun einzuloggen? Ist es ein Skript-Kiddie, welches nun nach einem Sniffen versucht in mein VPN einzudringen? Oder hängt dort im Netz irgend ein Dienst fest, der nach wie vor versucht die Verbindung (erfolglos) herzustellen?

Wie kann ich das rausfinden?

sehr verwirrt

scientific

[wanne]

Ist es ein Skript-Kiddie, welches nun nach einem Sniffen versucht in mein VPN einzudringen?

Ich würde mal stark tippen das Skript-Kiddie heißt Deutsche Bahn – oder einer deren Dienstleister.

[scientific]

Die Deutsche Bahn eher weniger... es war ein ÖBB-Zug... Aber warum versucht der Dienstleister in private VPNs einzudringen???

[mat6937]

Oct 01 18:56:21 vpn ovpn-vpn.example.at[9364]: mylaptop/213.208.157.38:41860 TLS Error: TLS handshake failed


Ich hab meine IP gechecked. Die ist definitiv eine andere.

War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?

[MSfree]

Ich hab meine IP gechecked. Die ist definitiv eine andere.

War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?

In den Zügen befindet sich ein NAT-Router. Du bekommst also eine IP-Adresse typischerweise aus dem 192.168.x.x oder 10.x.x.x Bereich. Die IP, die man dann auf dem Server sieht, ist die des NAT-Routers.

Daß da mehrere Verbindungsversuche stattgefunden haben, ist nicht weiter verwunderlich. Der Zug fährt schließlich von einer Mobilfunkzelle zur nächsten, wobei er sämtliche bestehende Netzwerkverbindungen auf die nächste Funkzelle übertragen muß, Stichwort Roaming. Dabei kommt es regelmässig zu Verbindungsabbrüchen und Neuaufbau. Mobilfunknetze sind nunmal nicht absolut zuverlässig.

[uname]

Kannst du etwas mehr Daten liefern?

Wie spät warst du in der Bahn? Poste davon einige am besten den letzten erfolgreichen Zugriff.
Wie spät hast du geprüft? Poste auch davon einen erfolgreichen Zugriff.
Stimmen die angezeigten Uhrzeiten überhaupt?

Wichtig wäre mir vor allen der zeitliche Abstand zwischen deiner letzmaligen (erfolgreichen) Verwendung des ÖBB-WLAN als VPN und dem Auftreten der Fehlversuche.
Vielleicht werden ja TCP-Verbindungen zwischengespeichert, wenn das Internet nicht funktioniert (z. B. Tunnel)
Wenn die aber z. B. erst eine Stunde später abgearbeitet werden braucht man sich über die miese WLAN-Qualität im Zug auch nicht mehr wundern, da Anfragen beantwortet werden, die niemanden mehr interessieren

Vielleicht kannst du noch mal mit der Bahn fahren und zeitgleich auf deinen Server wireshark oder einen anderen Paketsniffer laufen lassen.

[mat6937]

Ich hab meine IP gechecked. Die ist definitiv eine andere.

War deine externe IP-Adresse, zum Zeitpunkt als Du noch im ÖBB-WLAN im Zug eingeloggt warst, die 213.208.157.38?

In den Zügen befindet sich ein NAT-Router. Du bekommst also eine IP-Adresse typischerweise aus dem 192.168.x.x oder 10.x.x.x Bereich. Die IP, die man dann auf dem Server sieht, ist die des NAT-Routers.

Ja, das ist schon klar, aber während der Verbindung aus dem Zug kann man trotzdem (wenn man will) die externe/öffentliche IP-Adresse des Routers anzeigen (oder loggen) lassen, mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222

oder gleichwertig.

Wenn man dann nicht mehr im Zug ist, kann man diese IP-Adresse (mit der lt. Serverlog eine Verbindung hergestellt werden soll) mit der oder den geloggten IP-Adresse(n) vergleichen.

[king-crash]

Hat das Zugnetz eventuell mehrere öffentliche IPs und mäßig funktionierendes Load Balancing?

[uname]

Die IP-Adresse kann man auch wie folgt ermitteln:
https://www.showmyipaddress.eu

[scientific]

Ich habe keine Ahnung, was meine public IP im Zug war. Da hab ich nicht darauf geachtet.

Und ja, auf der Strecke sind viele Tunnels, der Zug fährt mit bis zu 230km/h und sowohl das WLAN im Zug als auch die Verbindung nach draußen ist im Zug sehr wackelig...

Ich habe die seltsamen Verbindungsversuche mit einem falschen TLS-Key aber dem richtigen Hostnamen knappe 30-45Minuten nach dem Verlassen des Zuges festgestellt. Also genau zu dem Zeitpunkt, als ich es hier im Forum schrieb.

Was ich eben seltsam finde ist der Umstand, dass ein Prozess mit dem Hostnamen des Rechners, mit dem ich mich zuvor erfolgreich im Zug mit dem VPN-Server verbunden habe, nun mit falschen oder fehlenden TLS-Certifikaten aber dem selben Hostnamen versucht alle ~15 Sekunden eine Verbindung aufzubauen. Und das über eine Stunde lang

[uname]

Schau mal ob bei deinen erfolgreichen Zugriff aus der Bahn der gleiche Source-TCP-Port 41860 verwendet wurde.
Wenn ja wäre es sehr wahrscheinlich, dass die Pakete tatsächlich von deiner VPN-Verbindung aus den Zug stammen, da der Source-TCP-Port (>1023) wahrscheinlich zufällig vergeben wird. Vergleiche ihn evtl. mit anderen erfolgreichen VPN-Verbindungen.

Du könntest auch mal den ÖBB oder den Provider kontaktieren.