Synology Un port Ethernet d'un DS220+ se voit attribuer un bail alors qu'il n'est pas branché

[CyberFR]

Bonjour,

Sur mon, DS220+ seule une prise Ethernet est branchée sur le port 1, l'autre prise ne comporte aucun câble. Et pourtant celle-ci apparaît dans la listes des périphériques connectés à la Freebox avec une adresse MAC différente de la première. Son IP (192.168.1.200) est la première disponible dans la plage des DHCP sans IP fixe.

Synology Assistant le voit aussi comme une IP attribuée au DS220+ et quand je clique sur Connect j'accède bien à DSM.

J'avoue ne pas comprendre, toute explication sera la bienvenue.

 

[morgyann]

Sur Syno (comme autre OS) tous les ports réseau sont "identifiés" par le système.
As-tu déjà branché / utilisé ce port à un moment ou un autre (resté en cache) ?
As tu fait une config particulière par exemple via l'exécution d'une VM ?

Qu'en est-il de ton panneau de conf "réseau" de DSM ?

 

[CyberFR]

As-tu déjà branché / utilisé ce port à un moment ou un autre (resté en cache) ?
As tu fait une config particulière par exemple via l'exécution d'une VM ?

Je n'ai jamais utilisé ce port. Je précise par rapport aux copies d'écran que l'IPV6 est désactivé



Édition
Ajout d'une copié d'écran

 

[CyberFR]

Je note que l'adresse IP du LAN 2 dans DSM n'est pas sur le réseau local, elle est différente de celle que trouve Synology Assistant

 

[morgyann]

Ajout d'une copié d'écran

Oui c'est bizarre ton truc (?) On dirait que :
ton IP 192.168.1.2 est fixée par le DHCP de la Box (donc normal)
et que ton IP 192.168.1.200 a été fixée sur ton NAS (as-tu fait cette manip à un moment ou un autre ?)

As-tu essayé de redémarrer ton Nas + ta Box et voir si tu as toujours 2IP d'indiquées ?

 

[CyberFR]

et que ton IP 192.168.1.200 a été fixée sur ton NAS (as-tu fait cette manip à un moment ou un autre ?)

Non, jamais. Cette adresse est la première disponible pour les IP qui ne sont pas fixes dans le DHCP de la box.

As-tu essayé de redémarrer ton Nas + ta Box et voir si tu as toujours 2IP d'indiquées ?

Cela dure depuis un certain temps et dans l'intervalle j'ai redémarré le NAS et la box. Pire, le choix "Oublier ce périphérique" au niveau de la box n'est pas disponible alors qu'il l'est pour d'autres périphériques connectés.

 

[François38]

Qu'est ce qui se passe si tu "pathping" (cette commande couple plus ou moins ping et tracert) l'adresse en question ?

As tu le couple mac/ip dans les entrées retournées via la commande arp -a ? (la lancer avec élévation de privilèges sur un des PC connecté au réseau).

 

[morgyann]

au niveau de la box n'est pas disponible

Tu peux joindre en local via les 2 adresses (en 2 et en 200) ?

 

[CHurCH]

Hello !

Vraiment bizarre ton truc. Ce qui interpelle c'est de surcroit le format de l'adresse mac remontée par ds assistant : aa:bb:cc:dd:15. Normalement les adresses mac des interfaces réseau physiques d'un même périphérique auront la même racine...

Là comme ça je vois 3 explications plus ou moins rationnelles :

- ton NAS est branché sur un routeur/switch manageable sur lequel tu as configuré du mirroring entre 2 ports.
Ce 2e port en mirroir est peut-être physiquement utilisé ou connecté à autre autre chose (par inadvertance) qui remonte via le DHCP de la Freebox. Ou alors c'est la Freebox qui reconnaît ainsi une sorte d'interface virtuelle générée par le switch pour activer le mirroring ?

- tu héberges une VM ou un conteneur et un paquet générant une interface réseau virtuelle réclamant un adressage d'IP au DHCP ?

- ton NAS est infecté/hacké et cette 2e interface est spoofée afin d'être exploitée.

Dans le doute, un soft reset pour réinitialiser la couche réseau du NAS et une suppression des réservations ip / mac pour le NAS, dans l'interface de la Freebox ?
Si le phénomène réapparaît c'est qu'il sera plutôt lié à un autre niveau d'administration que celui de ton NAS...

J'avoue qu'une anomalie comme celle là m'aurait bien intriguée aussi ! Cela me conforte dans ma démarche de systématiquement faire de la réservation d'ip/mac et même du filtrage par adresse mac sur mon réseau domestique...en plus des VLAN. C'est relou mais plus sécurisant.

Ton histoire d'adresse mac et ip inconnue là, ça m'aurait rendu fou avant de trouver une explication

 

[CyberFR]

Tu peux joindre en local via les 2 adresses (en 2 et en 200) ?

Oui, en utilisant Synology Assistant.

Normalement les adresses mac des interfaces réseau physiques d'un même périphérique auront la même racine...

Il y a peut-être deux cartes réseau, je n'ai pas vérifié.

ton NAS est infecté/hacké et cette 2e interface est spoofée afin d'être exploitée.

Aucune condition n'est remplie par les suggestions précédentes. Tu penses que c'est efficace de spoofer une adresse non, routable puisque sur le LAN ?

 

[CHurCH]

Aucune condition n'est remplie par les suggestions précédentes. Tu penses que c'est efficace de spoofer une adresse non, routable puisque sur le LAN ?

C'est bien l'adresse mac qui serait spoofée pour justement obtenir un adressage d'IP par ta box (cf le format assez surprenant de cette adresse mac dans ton screenshot). L'idee ne serait pas d'accéder à ton NAS puisque ce serait déjà fait si l'intrus en est déjà à ce stade...mais bien d'exfiltrer des infos de ton réseau : il a une ip locale fournie par ta box et très certainement accès au net, en l'absence de blocage du trafic sortant...

Ne sombrons pas dans la pire des paranoïa non plus : je fournissais juste des pistes qui me semblaient techniquement plausibles, hein !

As tu au moins tenté les manips suggérées :? Cela aurait permis de définir un périmètre plus précis pour investiguer...

 

[CHurCH]

Note : je viens de vérifier. J'ai d'anciens ds414 et un ds415+. Ils ont chacun 2 ports Gigabit : les adresses mac de chaque interface disposent de la même racine (il permettent notamment d'idenfier la marque propriétaire des blocs d'adresses mac)..

Liste OUI - FRAMEIP.COM

www.frameip.com

 

[CyberFR]

L'idee ne serait pas d'accéder à ton NAS puisque ce serait déjà fait si l'intrus en est déjà à ce stade...mais bien d'exfiltrer des infos de ton réseau

Le NAS n'est pas connecté à Internet, on ne peut joindre DSM que sur le réseau local ou au travers d'un VPN. Un intrus aurait donc du mal à faire du spoofing.

As tu au moins tenté les manips suggérées :? Cela aurait permis de définir un périmètre plus précis pour investiguer...

Je suis sur Mac où c'est du pur UNIX. Les manœuvres proposées par @François38 ne passent pas. De plus je ne comprends pas en quoi ce qu'il suggère aurait fait avancer les choses. Mais je veux bien le faire si on m'explique quel en est l'intérêt.

J'ai éteint le NAS puis j'ai accédé à Freebox OS. Le NAS étant éteint j'ai pu désactiver le port Ethernet n° 2 qui a donc disparu de la liste des périphériques connectés en DHCP mais après avoir rallumé le NAS il est réapparu !

Effectivement, l'adresse MAC n'est pas très catholique. Le constructeur est inconnu tant au niveau de Freebox OS que du lien que tu as donné.

 

[morgyann]

après avoir rallumé le NAS il est réapparu !

 

[CHurCH]

Je n'avais pas conscience que le NAS n'était pas connecté à Internet (je ne crois pas que tu l'aies précisé plus haut) : le risque est effectivement plus limité. Pour les manips, je pensais surtout au soft reset du NAS afin de réinitialiser la couche reseau.

Concernant l'adresse mac, il n'y a aucune chance que cela soit celle attribuée par un constructeur, considérant sa structure (aa:bb:cc:dd:xx). C'est pour cela que je pense vraiment à la manifestation d'un paramètre spécifique...

Comment réinitialiser mon Synology NAS ? (Pour DSM 6.2.3 ou antérieur) - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.

kb.synology.com

 

[PackTu]

hello,

À mon avis, si un réseau Macvlan a été créé pour des conteneurs docker, et qu'une tache lance un script de création d'un bridge sur port 1 au démarrage.

Spoiler: script

sleep 60
# Script de ré-démarrage Routage de l'adresse IP
ip link add macvlan1-br0 link eth2 type macvlan mode bridge
ip addr add 192.168.3.249/32 dev macvlan1-br0
#
ip link set dev macvlan1-br0 address f2:1:2:3:4:7
ip link set macvlan1-br0 up
#
ip route add 192.168.3.248/29 dev macvlan1-br0

C'est normal qu'elle apparaisse et que peut ce connecté dessus. C'est le but du bridge…




Rien à voir avec le port 2 surtout si aucun câble n'y est connecté.

 

[morgyann]

si un réseau Macvlan a été créé

C'est effectivement une piste - @CyberFR nous dira si il a créé une pile en Macvlan ?

 

[CyberFR]

À mon avis, si un réseau Macvlan a été créé pour des conteneurs docker, et qu'une tache lance un script de création d'un bridge sur port 1 au démarrage.

Bingo !

J'ai créé un réseau Macvlan et comme il tombe à l'extinction du NAS j'ai aussi créé un script qui s'exécute au redémarrage. Et que vois-je dans les paramètres du script ?

# Création de l'interface macvlan
ip link add mac0 link eth0 type macvlan mode bridge

# Configuration de l'interface avec l'adresse réservée
ip addr add 192.168.1.200/32 dev mac0
ip link set dev mac0 address AA:BB:CCD:11:45
ip link set mac0 up

# Route entre les IPv4 du reseau mac0 et l'interface
ip route add 192.168.1.144/29 dev mac0

Tout est là, l'adresse MAC (le CC-DD affiche un smiley, ce n'est pas moi) et l'IP réservée.

@PackTu, tu as mis fin au mystère de la chambre jaune et ce n'était pas trivial. Chapeau !

 

[morgyann]

J'ai créé un réseau Macvlan

Tu l'as créé pour une app docker ?

Tout est là, l'adresse MAC et l'IP réservée.

Heureusement que tu ne l'as pas "bannie" sinon plus d'app

Message automatiquement fusionné : Dimanche à 15:46

As tu fait une config particulière par exemple via l'exécution d'une VM ?

ça aurait pu te mettre la puce à l'oreille

 

[CyberFR]

Tu l'as créé pour une app docker ?

Au départ c'était pour une application docker que finalement je n'ai pas installée mais j'ai gardé la config Macvlan qui pourrait me servir plus tard.

As tu fait une config particulière par exemple via l'exécution d'une VM ? ça aurait pu te mettre la puce à l'oreille

J'avais complètement oublié cette config Macvlan, à tel point que même le couteau sous la gorge j'aurais nié