Question

Connexion appareil inconnu


Niveau d'utilisateur 2
Badge
  • Bonjour,
    depuis quelques temps ( je ne me souviens pas exactement de la date de la première constatation), j’ai remarqué sur la page web de la Bbox, la présence d’un appareil inconnu dans la liste des appareils “déconnectés”. Celui-ci ayant pour adresse mac : 7a:96:74:08:11:b7

    Jusqu’à hier, je n’y avais pas vraiment prêté attention pour deux raisons. D’une part, du fait qu’il y a pas mal d’appareils connectés sur mon réseau selon les moments et jours (entre les portables, consoles des enfants et amis de passage).
    Et d’autre part, étant sur ligne VDSL + Tessares, j’avais pensé à une modification de ce dernier qui faisait apparaitre le modem LTE différemment par rapport aux débuts.

    Toutefois après un soucis de conflit d’ip hier, je me suis décidé à vérifier plus en profondeur. Et là, plusieurs interrogations sont apparues :
    1 - L’adresse mac référencée ne correspond à aucun des appareils légitimes recensés
    2 - L’adresse mac toujours, ne se rapporte sur les différents sites de “reverse-mac” à aucun constructeur en dehors de celui-ci : https://www.cleancss.com/mac-lookup/74-86-7A qui renvoie du matériel Dell (et nous n’avons aucun matériel Dell ici, ni routeur, ni ordinateur)
    3 - La MAC est totalement différente de celle du modem LTE d’origine en 38-35-FB (Sagemcom)
    3b - Contrairement au modem LTE qui reçoit une addresse IP en 169.254 (hors réseau), ce matériel inconnu effectue une requête sur le DHCP pour obtenir une adresse en 192.168 dans le réseau.
    4 - En vérifiant le syslog du routeur derrière la box et qui sert de serveur DHCP, ce matériel se connecte et effectue une requête IP de manière régulière toutes les heures 36 minutes (à 1 ou 2 secondes près) mais il ne semble jamais rester connecté plus de quelques secondes/minutes.
    5 - Ce matériel n’apparait sur aucun log wifi et continue d’apparaître même wifi coupé, donc il doit s’agir d’une connexion fillaire quelconque.
    6 - Même en débranchant les raccords ethernet (décodeur, modem LTE, routeur wifi et 1 ordi), cet appareil apparait toujours

    Au vu de ces derniers éléments, les seules conclusions auxquels je peux aboutir sont une connexion d’un appareil Proximus externe en direct (via la ligne dsl ??) sur la Box.

    Donc, mes questions sont :
    S’agit-il bien d’un matériel de chez Proximus ?
    Si oui, quel en est le but et pourquoi cet “invasion” régulière sur mon réseau privé ?

    Si non, suis-je le seul dans le cas et qu’est-ce que cela peut-être ?
    Etant donné que la connexion se fait en amont de mon routeur privé (donc pas de possibilité de le bloquer avec ce dernier), comment faire pour le bloquer via la bbox vu la limitation de configuration de ce dernier ?

    Merci de m’aider à éclaircir ce mystère et éventuellement trouver des solutions pour le bloquer si ce matériel s’avère illégitime.

    Gouna M.


     

25 commentaires

Bonjour,

Si vous voulez être sûr que cela provient bien de la connexion VDSL (ce dont je doute) pourquoi ne pas la déconnecter pendant 2 heures et voir si l’adresse fantôme apparaît encore ?

 

Niveau d'utilisateur 2
Badge

Bonjour,

Si vous voulez être sûr que cela provient bien de la connexion VDSL (ce dont je doute) pourquoi ne pas la déconnecter pendant 2 heures et voir si l’adresse fantôme apparaît encore ?

 

Effectivement, vu l’utilisation quasi permanente de l’internet, je n’avais pas testé cette approche, mais j’essayerai cette nuit pour réduire les pistes.
Mais dans ce cas alors, je ne vois pas du tout d’où cela proviendrait.
En attendant je vais revérifier tous les appareils en débranchant tout et en ne laissant que le dhcp à l’heure “habituelle”

Niveau d'utilisateur 2
Badge

Bon, après de nouveaux tests dans des ordres différents et cette fois en vérifiant les demandes DHCP simultanées, il semble que ce soit bien lié au modem LTE.
Toutefois les états connecté/déconnecté affichés sur la page d’accueil entre les 2 “appareils” modem LTE ne sont pas synchronisées.

Je vais donc, pour le moment, tenter de le pousser sur une adresse IP hors de la plage des appareils domestiques, en espérant que cela ne cause pas d’interférences ou de dérangements plus tard :/

Mais ce serait bien d’avoir une confirmation par un collaborateur PX (@GeoffreyD peut-être ?) de ce nouveau “fonctionnement” du Tessares, ne fusse que par curiosité personnelle et surtout être sûr de ne pas faire de mauvaise configuration par rapport à celui-ci :p

Merci déjà à @titi70 pour sa participation


 

Niveau d'utilisateur 4
Badge +2

Bonsoir,

Wireless Network Watcher de chez nirsoft.net pourrait vous aider, il scanne le réseau sur lequel vous êtes connecté, vous pouvez choisir le délai entre 2 scan et peut même émettre un beep lorsqu’il découvre un nouvel appareil.

 

Jean-Luc

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

L’adresse IP locale avec laquelle 7a:96:74:08:11:b7 est connectée suggère que c’est un appareil local qui est connecté à la bbox.

Le DHCP de la bbox garde les IP 192.168.1.au-delà de 64 jusqu’à 128 pour les décodeurs proximus mais ne donne pas d’IP au dessus (normalement)

La marque du modem LTE est écrite à l’arrière ainsi que sa MAC adresse (qui peut avoir le dernier caractère différent) mais il reçoit une adresse hors DHCP 192.X.X.X mais bien 169.X.X.X d’ailleurs il est bien renseigné dans votre liste : MODEM LTE ? comme vous le dites bien.

Ce n’est donc pas lui, et ce n’est pas nous.

Pour vous rassurer, nous n’utilisons pas de matériel Dell.

Je ne sais donc pas vous expliquer ce que ça fait dans la liste de vos appareils connectés, peut-être que c’est un appareil qui a été connecté et dont son image reste, il faudrait voir si il se reconnecte… C’est peut-être un ami qui est venu chez vous il y a un certain temps avec un PC configuré en manuel pour le réseau.

Je viens de faire une analyse et je ne le vois pas….

Voici donc l’avis de Proximus. Mais si cet appareil se connecte à nouveau et que vous êtes certain que ça ne vient pas de chez vous alors nous investiguerons plus en profondeur.

Niveau d'utilisateur 2
Badge

Bonjour @David W ,

Tout d’abord, quelques corrections sur certains points :

  • Comme je l’ai indiqué plus haut, je n’utilise pas le DHCP de la BBox car trop limité et bugué pour mes besoins. J’utilise pour cela un second routeur TP-LINK connecté derrière la box qui officie entre autres comme serveur DHCP.
    Raison pour laquelle l’appareil “fantôme” reçoit une IP locale hors de la plage habituelle de Proximus. Ainsi, seul le décodeur est configuré volontairement en 192.168.1.64 et mes deux autres routeurs en 192.168.1.2 et 3. Tous les autres appareils sont dans une plage supérieure à 130.
  • Effectivement la MAC adresse du Modem LTE correspondant à l’IP 169.x.x.x est bien celle indiquée sur l’étiquette.
    A noter toutefois, que ce dernier n’apparaissait pas du tout à l’origine (au début des phases tests) dans la liste des appareils connectés à la box. C’est pourquoi je me pose la question d’une éventuelle modification du fonctionnement.
  • Je n’ai pas affirmé qu’il s’agissait avec certitude d’un matériel DELL.
    Simplement que sur les 5 ou 6 sites de “Mac-reverse” que j’ai essayé, un seul a a trouvé une correspondance avec DELL, pour tous les autres, ils ne trouvent carrément aucune correspondance.
  • Enfin, depuis mon premier message et les premiers tests, l’appareil inconnu apparait connecté pratiquement en permanence (du moins chaque fois que je vérifie la page).
    Je vais laisser tourner un scan auto comme suggéré par @Jean Luc G pour confirmation.

D’autre part, même si je n’ai pu, pour des raisons pratiques, effectuer le test suggéré par @titi70, j’ai pu effectuer d’autres essais et vérifications qui me confortent dans l’idée que c’est lié d’une manière ou d’une autre au système Tessares :

  • Lorsque j’éteins et rallume le modem LTE manuellement, l’appareil “fantôme” passe quasi instantanément en statut connecté/déconnecté sur la page de la BOX. Contrairement au “vrai” modem LTE sur l’ip 169.xxx qui lui ne change pas du tout de statut (?)
  • Dès le rallumage du modem, le DHCP reçoit une demande d’IP du “fantôme”
  • Enfin, et un peu plus étrange, lorsque je bloque l’accès au “fantôme” via le contrôle parental de la BOX, je ne dispose plus de la connexion internet sur aucun des appareils et ce jusqu’à ce que je débloque le contrôle parental sur l’appareil inconnu.

Compte tenu donc de ces réactions et de la demande d’adressage IP, il ne s’agit donc pas d’une image restante d’un ancien appareil.

Voilà les investigations et vérifications auxquelles j’ai pensé et que j’ai pu effectuées de mon côté.
Il est possible que ce soit un truc tout bête auquel je n’ai pas songé, mais là, j’avoue être en panne d’idées pour expliquer ce phénomène, donc si vous avez d’autres pistes à me suggérer, je suis preneur.

Toutefois, au vu des dernières informations, je pense que des investigations plus en profondeur de votre côté également pourraient être utiles.

D’ici là, je vous souhaite un bon réveillon et une bonne année.

Gouna M

Niveau d'utilisateur 7
Badge +6

Quand je scanne votre réseau, je ne vois pas d’appareil avec cette MAC address. Avez vous peut être essayé de “bannir” cette mac address de votre réseau ?

Niveau d'utilisateur 2
Badge

@AurélienK, pourtant comme vous pouvez le voir, il est toujours bel et bien là.

 


Et les rapports de WnetWatcher lancés depuis hier, confirment également sa présence tout au long de la journée


Présence constante pratiquement confirmée par le fait que le serveur DHCP n’a plus reçu depuis hier de nouvelle demande d’IP de cet appareil. En d’autres termes, le matériel était connecté non stop et n’a pas eu besoin de renouveler son IP locale.


Quant à le “bannir”, je ne vois pas trop comment je pourrais faire.
Mon propre routeur, en aval de la BBox, ne me permet de bloquer que le trafic passant par celui-ci.
Or l’appareil fantôme semble, à priori, être connecté directement au niveau de la BBox.

Et cette dernière, si je ne me trompe pas, n’offre plus que l’option de contrôle parental pour limiter les accès d’un périphérique.
Ce que j’ai bien expliqué dans mon précédent post, avoir essayé, avec les conséquences résultantes, à savoir plus d’internet sur aucun appareil.

PS : Afin, de comparer avec vos propres “scans”, je peux, si vous le désirez, vous fournir en MP, une capture d’écran des périphériques connectés/déconnectés, telle qu’elle apparait chez moi.

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

Avant d’aller chercher plus loin ou de vous faire faire des manipulations inutiles, je vais me renseigner pour voir de notre côté quelle machine pourrait laisser cette signature.

Ce n’est pas quelque-chose qui m’inquiète, par contre, je ne comprends pas pourquoi lorsque je teste au labo avec la même configuration je ne vois pas d’appareil fantôme.

Je regarde à ça et je vous dit quoi :slight_smile:

Niveau d'utilisateur 2
Badge

Bonjour @David W ,

Suite à votre message, j‘ai voulu voir ce qu’il en était après quelques jours sans y avoir regardé.
Et je ne sais pas si les faits sont liés, mais je pense qu’il y a clairement un problème avec le modem LTE en lui-même.

Bien qu’il paraisse toujours “fonctionner” à peu près normalement (la connexion LTE semble toujours bien active), il ne réagit plus correctement aux actions extérieures :

  -  Les 3 Leds du signal restent maintenant allumées en permanence (ce à quoi je n’avais pas fait attention mais qui m’a été confirmé par les autres membres de la famille). Plus aucune fluctuation du signal depuis des jours voire semaines, que ce soit lors de la fermeture des volets, le mauvais temps, ou autre élement pouvant influencer, rien, signal parfait non stop. Ce qui, quelque part, semble trop beau pour être normal je trouve, connaissant la sensibilité de cet appareil :/

  -  Lorsque j’ai débranché le câble ethernet, il n’a pas non plus tiqué. La LED Lan est restée allumée comme si de rien n’était. D’un autre côté, la LED Wan de la box s’éteint parfois sans raison mais sans que cela semble interférer avec la connexion LTE

   -  Enfin, lorsque j’ai voulu le redémarrer avec le bouton power à l’arrière,… rien, il est resté allumé ! Je sais depuis son installation, qu’il faut un certain temps avec qu’il ne s’éteigne complètement, mais après 5 min, j’ai du carrément le débrancher pour qu’il réagisse à nouveau.

 

Maintenant, est-ce que ces nouvelles “bizarreries” découlent du premier problème ou inversément, ou même si les deux sont liés, ça c’est une autre question…
Une chose est sûre, l’appareil fantôme est toujours bel et bien présent.
En espérant que vous puissiez trouver une éventuelle explication de votre côté :/

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

Est-ce que vous aviez effectué un reset complet du LTE ?

Si oui et si ça ne règle pas le problème, on va le remplacer et on fera le point ensuite

Niveau d'utilisateur 2
Badge

Bonjour @David W ,

Je n’avais pas vu votre message hier, et je n’avais pas “osé” effectuer un reset par moi-même auparavant, n’étant pas sûr de la reconfiguration automatique ou non de l’appareil.
Toutefois, je viens d’effectuer un reset du modem LTE.
ET… les frontières de l’irréel se sont encore plus élargies !

Après le premier reset, je vérifie et constate dans un premier temps la disparition de l’appareil fantôme.
Puis après quelques minutes, je vois apparaître un NOUVEL appareil inconnu !
Pour en avoir le coeur net, j’ai effectué 2 nouveaux reset et à chaque fois, un appareil avec une MAC différente est apparu.

10 Unknown 9A-6C-4E-61-59-0B 192.168.1.135 01:51:34
11 Unknown E6-C4-F0-F7-CE-44 192.168.1.140 01:54:03
12 Unknown 1E-7B-A5-64-23-9D 192.168.1.141 02:00:00

 

Le dernier (et donc actuel) étant 1E-7B-A5-64-23-9D.

Je ne suis pas un technicien IT mais cela me pousserait à penser à un random MAC envoyé par le soft du routeur. Ce qui pourrait éventuellement expliquer le fait que vous ne le voyez pas de votre côté ?:thinking:

Maintenant le pourquoi du comment, c’est une autre histoire à voir peut-être avec sagemcom.

Quoi qu’il en soit, je ne pense pas que ce soit un comportement prévu en utilisation normale du modem.

Niveau d'utilisateur 2
Badge

PS :

  • pour éviter la remise en cause du dhcp de mon routeur TP-link ( comme j’ai pu le voir sur certains forums étrangers à propos de périphériques “fantômes”), j’ai testé en le désactivant et en utilisant celui de la BBox, toutefois le problème reste identique.
  • chose que je n’avais pas non plus essayé auparavant, un ping sur l’IP de l’appareil ne renvoi rien non plus.

D’autre part, lors de ce test, j’ai remarqué que le décodeur (Sagem également), renvoi dans un premier temps une adresse APIPA 169.254.14 avant de récupérer une adresse sur le réseau par le biais du DHCP. Du coup, je me posais la question de savoir pourquoi si le modem LTE restait sur APIPA, apparaissait-il (contrairement au début des tests) dans la liste des appareils connectés ?

 

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M.

Je viens d’encoder l’échange d’un nouvel LTE. Celui-ci vous sera livré par un technicien Proximus. Il vous contactera avant son passage :-)

Niveau d'utilisateur 2
Badge

Bonjour @Sophie A ,

Pourriez-vous m’indiquer où en est la demande d’intervention, car je n’ai toujours pas eu de nouvelle après une semaine.

Je conçois qu’il ne s’agit pas d’une urgence puisque la connexion semble toujours fonctionner.

Mais j’aimerais pouvoir enfin clôturer ce problème qui peut encore poser parfois quelques petits désagréments (en effet, j’avais zappé de réattribuer une adresse ip manuellement après le changement de MAC, et je m’étais de nouveau retrouvé avec un petit conflit d’IP sur la partie “privée” du réseau)

Merci d’avance de votre suivi

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

Je regarde à ça et je vous dit quoi au plus vite.

Niveau d'utilisateur 2
Badge

Bonjour @Sophie A  et @David W ,

J’ai bien vu et reçu mardi 21/01 à midi la “nouvelle” demande de remplacement d’appareil.
Toutefois, n’ayant toujours reçu aucun appel ou information sur le passage du technicien, et pour éviter un autre délai d’une semaine (le week-end arrivant), je me permets de vous relancer pour avoir un suivi de la demande.

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

Un système a mal fonctionné dans la chaine. J’envoie manuellement un technicien samedi entre 10h et 12h30.

Si ce rendez-vous ne vous convient pas, pourriez-vous svp m’indiquer vos disponibilités et je ferai les adaptations :slight_smile:

Niveau d'utilisateur 2
Badge

Bonjour @David W ,

C’est ok pour moi demain matin.
Merci

Niveau d'utilisateur 7
Badge +5

Parfait @Gouna M. 

N’hésitez pas à nous tenir au courant !

Niveau d'utilisateur 2
Badge

Bonjour @David W ,

J’ai vu sur un autre post que vous attendiez un retour de ma part.
Le technicien avec qui j’ai été en contact par téléphone suite au changement de modem devaient se mettre en relation avec vous (support forum) pour avoir plus d’infos sur le dossier.
Raison pour laquelle je n’ai pas fait de suivi directement ici.

En effet, même après changement du LTE, le problème d’appareil fantôme est toujours bien présent, ce qu’apparemment ils n’arrivent pas non plus à expliquer.


J’en profite d’ailleurs pour infirmer un point qu’il a soulevé, que peut-être le problème proviendrait d’un software quelconque sur un de mes appareils qui enverrait des informations erronées sur le réseau.

Pour en avoir le cœur net et définitivement écarter cette piste, j’ai effectué hier un test après le reset de la box en déconnectant la totalité de mes appareils du réseau, hormis un ancien portable rarement connecté pour avoir l’accès au panel de la BBOX.
 


Connection du LTE

 

 

Donc on voit bien dans un premier temps que seul mon ordinateur est connecté, le Wan n’étant pas activé non plus
Et, dès que le modem LTE est rebranché et rallumé, l’appareil apparait. La MAC 38:35 sur réseau APIPA et l’appareil fantôme sur le réseau normal.

Niveau d'utilisateur 7
Badge +5

Bonjour @Gouna M. 

Merci pour le feedback, ici avec la MAC adress on voit bien qu’il s’agit d’un Sagemcomm. Donc avec votre analyse et la mienne on peut dire à 100% que c’est le LTE qui provoque ce lien mais il ne devrait pas être affiché et là je rejoins l’autre post avec un équipement afiché dans le wifi-5.0 qui ne devrait pas non-plus être affiché, c’est une erreur d’affichage de la bbox et toutes ne font pas ça.

Pour résumer, c’est normal :slight_smile:

Niveau d'utilisateur 2
Badge

Bonjour @David W  et @Sophie A ,

Je reviens vers vous aujourd’hui suite à un problème administratif mais je pense en relation avec les interventions de ce post.

En effet, j’ai reçu ce jour par mail un “Rappel de restitution d’appareil Proximus”.
J’avais déjà reçu fin mai une première demande de restitution pour laquelle le support téléphonique m’avait dit de ne pas tenir compte étant donné que le technicien avait récupéré tout le matériel sur place et qu’il était possible que ce soit une erreur avec les mesures de prolongation due au Covid-19.

Toutefois cette fois-ci, étant donné qu’on me menace de facturer le prix de l’appareil si il n’est pas retourné avant le 24/08/2020, je préfèrerai avoir la certitude que l’erreur est bien corrigée.
Je précise que je ne n’ai évidemment plus aucun appareil Proximus en dehors de ceux installés par les techniciens, et que d’ailleurs dans MyProximus aucun appareil supplémentaire ni même les fameuses étiquettes de renvoi ne sont indiqués.

Pourriez-vous vérifier et faire le nécessaire pour corriger le problème et m’assurer qu’aucune facturation erronée supplémentaire ne sera faites.

En vous remerciant de votre aide et de votre suivi, je vous souhaite une bonne journée.

Gouna M.

 

Niveau d'utilisateur 7
Badge +4

Bonjour @Gouna M. , je viens de clôturer toutes les interventions restantes en attente et je vous confirme également la restitution du matériel : modem LTE depuis janvier .

Tout est en ordre . On ne vous embêtera plus avec ces mails de rappels !  Et pas de facture non plus ! :wink:

Bonjour,

Je remarque une adresse IP 192.168.1.121 sur mon réseau interne qui ne correspond à aucun équipement connu. Les Wi-Fi de la b-box sont désactivés ainsi que le Hot Spot.
Toutes les connexions filaires ont été retirées à l’exception d’une connexion point à point avec un PC portable. Cette adresse reprise ci-dessus continue de répondre aux ping.
Un scan des ports ouverts avec la commande ‘nmap -A -T4 192.168.1.121’ me donne les informations suivantes :

Starting Nmap 7.93 ( https://nmap.org ) at 2024-01-13 11:35 CET
Nmap scan report for TG589BvacXtream-AP-CC14F2.lan (192.168.1.121)
Host is up (0.018s latency).
Not shown: 999 closed tcp ports (reset)
PORT      STATE SERVICE VERSION
49152/tcp open  upnp    Cisco-Linksys E4200 WAP upnpd (UPnP 1.0)
MAC Address: 32:91:8F:CC:14:F1 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.17 - 2.6.36
Network Distance: 1 hop
Service Info: CPE: cpe:/h:cisco:e4200

TRACEROUTE
HOP RTT      ADDRESS
1   17.63 ms TG589BvacXtream-AP-CC14F2.lan (192.168.1.121)

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 87.26 seconds

Pouvez-vous me dire à quoi correspond cette adresse IP dont la persistance est permanente malgré un redémarrage du modem ? A quoi sert-elle ?

Merci d’avance pour les réponses données.

 

Commenter