[BETA] Diskuzní fórum Elektro Bastlírny

Dnes jsem potřeboval cosi upravit v regulaci jednoho inteligentního domu (přidání ovládání rolet). Lezl jsem do ní kabelem přes domácí síť LAN ze svýho noťasu. Na internet mě to pustilo, to znamená, že DHCP byla správně. Po zadání IP adresy regulace v noťasu naběhlo prostředí regulace s dotazem na jméno a heslo. Po jejich zadání to ale skončilo na Login error.
Když jsem to samý udělal z noťasu majitele domu, po zdání jména a hesla jsem se do regulace domu dostal.
Co to může dělat? Myslel jsem na filtrování MAC adresy ale kdyby bylo v routeru nastavený, tak bych se asi nedostal ani na internet.
Stejně se to chovalo i pokud jsem chtěl do regulace ze svyho mobilu. Z majitelova mobilu to šlo.
Nevím, co je to za dílo. Bratr majitele je místní poskytovatel WiFi připojení. Nebyl k sehnání a nevím, co za kouzla v routeru nastavil.
Netušíte prosím někdo, po čem jít?
Díky.

Tipnul bych si že to blokování na určitou MAC bude přímo v té regulaci ne na routeru.

Zkus:
•manuální nastavení adresy
•ping (klasický ping), případně cryping (ping na port)
•trasování (ale asi tu bude napřímo)
•připojení přímo k regulaci (bez routeru)

Pokud se "dopingáš", nebude problém s fyzickou sítí.

Petr

Nejjednodušší by bylo přepsat svojí MAC na tu majitele. To jde přímo v nastavení síťovky. Pokud to pak poběží, bude to na MAC zabezpečeno přímo v té regulaci. Taky to může být zabezpečeno jen na přístup z určité IP, kterou přes DHCP díky nastavení routeru dostává právě majitel, ostatní zařízení dostanou jinou.

Nojo, ale v tý regulaci žádný filtrování není. Lze nastavit jen to co je v příloze.

xsc píše:Nejjednodušší by bylo přepsat svojí MAC na tu majitele. To jde přímo v nastavení síťovky.

A kde to je? Prolezl jsem všechno ve vlastnostech Realtecu a nikde jsem nic kolem MAC nenašel. Dosud jsem si myslel, že jedinečná MAC je natvrdo přidělená každýmu ve světě vyrobenýmu síťovýmu zařízení.

Je to ve vlastnostech síťového adaptéru. Za normálních okolností je políčko nevyplněno a driver použije HW MAC adresu, která je unikátní. Jde ji ale přepsat a to už snad od dob W2k. V dobách dávných jsem to používal u UPC, kde původně byla registrace právě na kartu. Mám pocit, že se to zadává bez pomlček.

Jo, našel jsem, díky.

Celeron píše:Po zadání IP adresy regulace v noťasu naběhlo prostředí regulace s dotazem na jméno a heslo. Po jejich zadání to ale skončilo na Login error.

Ak by bola filtrovaná MAC adresa, alebo IP adresa, tak nepôjde ani úvodná obrazovka, ani zadávanie hesla, ani chybové hlásenie Login Error. A práve na základe toho hlásenia to skôr tipujem na nesprávne zadané meno alebo heslo kvôli napríklad inému nastaveniu klávesnice EN/CZ alebo rozloženiu kláves (prehodené Y-Z). Prípadne je rozdiel v kódovaní unicode vs niečo iné. Alebo ešte môže byť problém v https bez platného certifikátu, alebo v prihlasovaní cez nezabezpečené http s tým, že majiteľ už má tento problém na svojich zariadeniach nejako ošetrený. Zadávali ste login a heslo aj na majiteľových zariadeniach, či už ich mal pre jednoduchosť zapamätané?

Já jsem si to myslel, že blokovaná MAC by mě nikam nepustila.
S tím jménem a heslem je to takhle. Do tý regulace se lze dostat na internetu přes zadání IP adresy. To je pro běžný uživatelský řízení. Pro servisní nastavení se nainstaluje do NTB servisní program, který může přistupovat do regulace přes USB a nebo LAN. Pro každou nainstalovanou regulaci mám uloženej 🤐 včetně jména a hesla. A před dvěma měsíci to na kříženej kabel z NTB do regulace napřímo bez routeru chodilo ale pak v baráku zprovoznili síť a nyní to nejde.
Navíc jméno a heslo zůstalo stále default admin a 1234. Při zadávání se navíc znak zobrazí a teprve po zadáná dalšího znaku c pořadí je z něj *, takže překlep není možnej a prohoz Z a Y taky ne.
Z majitelova NTB jsme jméno a heslo zadávali. Bohužel jsem doma zapoměl kříženej LAN kabel i USB, takže napřímo z NTB do regulace jsem se píchnout nemohl.

To co píše samec je správně, jakákoliv filtrace dle IP nebo MAC by znamenala, že se do nastavení té regulace vůbec nedostaneš. V té regulaci běží nějaký HTTP server, aby zobrazil webové stránky, ale záleží jaký? Např. v .htaccess jdou povolit nebo zakázat jen určité IP adresy pro přístup, ale do toho taky asi nikdo nelezl.
Ale proč ti to nejde, je otázkou? Snad testnout jiný NB, nebo na tvém odchytit komunikaci (pokud ty stránky nejsou šifrované HTTPS), co z něho vůbec odchází. Také snad v NB nemáš nainstalované něco, co by tu komunikaci ovlivnilo.

Dneska jsem tam byl ještě jednou a pokud připojím NTB do regulace napřímo kříženým LAN kabelem a lezu do toho servisním programem, tak se bez problému připojím. Heslo mám správný. Když to připojím přes domovní síť, tak to stále nejde. Těch regulací mám několik desítek a nikde jinde tenhle problém není. Ten jeho brácha, místní poskytovatel internetu přes WiFi tam má kdovíco kde nastavenýho. Mě to co potřebuju udělat šlo, domácímu uživatelskej přístup taky jde, tak si s tím nebudu lámat hlavu. Akorát je blbý, že se mu v případě problémů nepodívám dálkovým přístupem do regulace. Ale je to jen 10 km, taže to není tak hrozný.

Podobně jsem doma válčil s modulem WIFLY RN-171, všechno správně nastavený, pevná veřejná IP, dokonce povolený DMZ, a z venku ani ťuk. U otce to chodilo bez problémů. ISP to nedokázal vyřešit.

Taky by mě zajímalo, čím to je.

@Celeron: Předpokládám, že HTTPS ta regulace neumí, takže by se průchodem přes router mohly 'schválně' změnit (z nepovolených adres) přihlašovací údaje. Tohle by mohlo jít přes 'MITM' + nějakou injektáž.

Nema ten router nejakou formu IPS (Intrusion prevention)? Tam byva bezna praxe NEpovolit odesilani prihlasovacich udaju pres nezabezpecene pripojeni (HTTP)