Kleine UPDATE: het kan zijn dat de engineers op afstand willen inloggen op het Zyxel modem om zaken na te kijken. Zou je voorlopig niks willen aanpassen aan het modem/de setup, alsjeblieft? Thanks voor je medewerking! @marvpp
@marvpp UPDATE 2: mag ik je verzoeken om het probleem van het wijzigen van de devicenamen en de foutmelding te reproduceren en een Chrome har file te maken voor Zyxel: https://support.google.com/admanager/answer/10358597?hl=en, alsjeblieft? Dan kunnen de engineers het eenvoudiger oplossen.
Vraag vanuit Zyxel: I cannot see the problem with the error message or changing the devices. Can the customer see it from another web browser and what browser does he use? Or from another computer?
Kun je een andere browser gebruiken en welke browser gebruik je momenteel? Of zou je het vanaf een andere PC/laptop kunnen proberen?
@Jason ok dank. Nog een update:
1) Het valt mij op dat een van mijn wireless devices, waar eerder als naam een jQuery command stond en niet aanpasbaar is deze nu wel aangepast is, en ik deze nu ook wel weer kan aanpassen.
2) Ik kan de security log (nog) niet inzien, maar nu wel weer exporteren, weliswaar met wat beperkte entries volgens mij.
Hieronder twee maal op de zelfde datum : Feb 10 23:34:57 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=<MijnHomeIP> LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0
Waar komt deze .42 van daan?
Ook staan er (maar) 2 entries van 18 feb, maar nu gelogd in de range van 10 feb en deze staan dubbel gemeld . Hoe kan dit?
Bvd
@marvpp Je updates worden direct aangeleverd bij Zyxel, dankjewel en chapeau voor je snelle interacties en medewerking!
@marvpp Kan het zijn dat jij toevallig een Adblocker of Adblocker Plus gebruikt als Chrome extensie (bijvoorbeeld)? Die kan het logboek als ad zien en daardoor verwijderen/blokkeren. Dat zou ook de blokkade bij toegang verklaren.
Zou je nog antwoord kunnen geven op de vragen vanuit Zyxel, alsjeblieft?
Alle credits aan @Timo78 trouwens, bij Timo lag de situatie wellicht ietwat anders, maar evengoed een slimme check om uit te sluiten:
Hoi @Jason . Ik heb bovenstaande niet goed gelezen dus hier mijn update: Ik heb inderdaad ook AdBlocker geinstalleerd om werking te bezien. Deze nu verwijderd en ik zie inderdaad mijn “Logjes” weer. Super dat je dit hieraan kon relateren! Bedankt! @Timo78
(Ps blijft nog wel vreemd wat de add blocker te doen heeft met jQuery die in ene in mijn beschrijving van Wireless device stond) .
@Jason Nog wel een resterende vraag mbt mijn log die ik nu weer in kan zien:
Feb 21 09:07:40 kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.200 DST=<MijnHomeIP> LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=41942 PROTO=TCP SPT=4784 DPT=23 WINDOW=9344 RES=0x00 SYN URGP=0
Of wel om 09:07 vanochtend heeft iemand op “een” device met adress .200 Telnet gestart naar mijn modem. Is dit vanuit jullie support komen? Ik zou verwachten dat dit op een 10.x.x.x. adres gaat. Of moet ik mij zorgen maken? Ik wil dit graag weten. Bvd
Hoi @marvpp, dat is super om te horen, fijn dat dit het issue was!
Op 21 februari hebben onze engineers inderdaad nog ingelogd om te controleren of er een andere bug aanwezig was en dit bleek niet zo te zijn. Sorry voor mijn veel te late reactie: ik was een paar dagen met verlof!
@Jason Dank voor de update! Het verbaast mij dan wel dat ik geen log entry zie in de vorm van: “zHttpd: Account: User 'supervisor' login from the host(10.1.3.213)“. Kan dit logging level nog terug gezet zodat dit wel gelogd wordt. Mij ook onduidelijk dat sessie gestart is vanaf 192.x ipv 10.x (zoals bovenstaand. Kan engineer dit nog aangeven? Bvd Mar
Hoi @marvpp, ik vraag het na bij de experts en kom er dan hopelijk vandaag nog op terug!
Hallo @Jason . Nog even een vraag nav bovenstaande. Naast de “supervisor” login vanuit T-mobile die niet gelogd wordt, zie nu ook mijn eigen “admin” logins ook niet meer in de log. Deze wil ik wel zien . Is er nog expert nieuws om dit weer te activeren? logging level?
Goedemorgen @marvpp, ik vraag dit ook meteen na. Hopelijk heb ik snel meer nieuws voor je!
Goedemorgen @Jason , wanneer kan ik een update/ aanpassing verwachten mbt bovenstaande? Kan niet zijn dat logins niet gelogd worden. Bvd
Die update kun je vandaag verwachten! De logging voor accounts stond uit, de engineers hebben dit weer aangezet. Omdat zij nog in overleg zijn met Zyxel over het opslaan van de logging als de stroom ineens onderbroken wordt, kan het zijn dat de definitieve fix/workaround daarop nog op zich laat wachten. Daar zal ik je vanzelf over informeren, thanks voor je geduld en medewerking!
Hoi @marvpp, onze specialisten zijn nog druk in conclaaf met Zyxel. Zodra er een update te geven is, zal ik die direct delen met je. Bedankt voor je geduld!
Goedemorgen all, er is nog geen sluitende conclusie vanuit Zyxel gekomen. We houden het wederom in de gaten en zitten er bovenop. Ik wil alvast voorzichtig stellen dat het niet op de absolute voorgrond ligt qua prioriteiten en dat het daardoor ietwat langer zou kunnen duren - feit is dat het bekend is en onderzocht wordt. Bedankt voor jullie geduld!
Goedemorgen all, de gesprekken zijn nog steeds gaande. Ik wil met jullie afspreken dat ik pas weer een bericht achterlaat zodra ik nieuws heb, dat is ook een stuk aangenamer voor jullie!
Hi @Jason , weet niet precies welk antwoord ik nu moet krijgen, maar ik wacht nog op antwoord mbt eren mogelijke support sessie die gestart wordt vanuit 192.x ipv 10.x (zie eerdere update in dit issue).
Ik heb nu weer een zelfde telnet sessie port 23 (Log entry: Mar 31 14:40:18 kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.200 DST=<Home IP adres> LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=53833 PROTO=TCP SPT=37858 DPT=23 WINDOW=47370 RES=0x00 SYN URGP=0 )
Waarom is dit 192.x en niet 10.y vanuit support? Is dit van support die vervolgens inlogt met Supervisor?
Ik zou ook graag de supervisor logins willen zien in mij securitylog.
Bvd alvast. Mar.
Goedemorgen @marvpp, sorry dit hebben we dan per ongeluk gemist denk ik! Ik heb navraag gedaan bij één van onze experts en ben nu in afwachting van een terugkoppeling.
Hi @marvpp, wanneer wij inloggen is het inderdaad vanuit een 10.x.x.x. adres; de melding die aangeeft dat het om 192.168.1.200 is, zijn wij niet en we gebruiken geen telnet. Je kunt de logging van het supervisoraccount ook weer zien, dit stond uit in de settings - zo kun je direct zien dat we een 10-adres gebruiken!
Hi @Jason
Dank voor de update! Modem is blijkbaar reset want mijn eerdere PWs werkten niet meer en logboek is leefg. Op zich geen probleem voor nu.
Je antwoord mbt 192.x/10.y vanuit T-mobile management gebruik bevestigt mijn concern. Het eerder vermelde interne LAN IP 192.168.1.200 is mij ook onbekend. Heb nu voor zekerheid PWs weer aangepast omdat mij onduidelijk is wat deze DPT=23 entry vanuit .200 is/zijn. MAC filtering ben ik aan het overwegen.
Vreemde is echter dat ik nu in geheel geen “Type attack” log entries meer zie in de securitylog.
Ook niet van mijzelf als ik vanuit 192.x.x.250 ping of telnet start naar mijn externe WAN home IP. Ook niet vanuit Iphone (Wifi uit) met ping, of zelfs niet vanuit met ping.eu online tool.
Eerder zag ik dit met andere scans dus dagelijks.
Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?
Bvd Mar.
Hoi @marvpp, graag gedaan! Ik zou je niet zo snel durven zeggen waar dat interne IP-adres vandaan komt. Kan het zijn dat er een apparaat gekoppeld is geweest of geprobeerd heeft te linken waardoor deze melding voorbij kwam?
Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”
Thanks alvast voor je hulp!
Hi @Jason en @marvpp,
Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”
Als ik een portscan doe naar mijn eigen modem, komen de entries eigenlijk meteen in de in log.
@marvpp kan je het eens testen met; ipfingerprints.com/portscan.php
Betreft de ping en telnet, die triggeren alleen een entry als je het heeeeel vaak doet.
Hi @TechRacing93 , @Jason , Thanks!
Als ik de ipfingerprints portscan doe naar mijn externe 85.x IP met default 80 -> 88 en separaat port TCP 23 443 en 445 ook met advanced “SYN Stealth”, dan krijg ik als response als eerste naast de andere ports b.v. “80/tcp filtered http”.
Er komen echter geen entries in mijn security loglog (ververst en en geen filters dus inclusief “attack”). Inmiddels heb ik van vanochtend wel weer een connect/scan op een high port vanuit een mij onbekend extern adres in de seclog. Dat logt wel, maar deze van mijzelf niet.
Mogelijk toch iets met logging settings?