MAC-Filter identifizieren

[g3rax]

Hallo zusammen,

ich habe folgendes Probelem:

kurz gesagt: ich schaffe es nicht per browser auf einen Router zuzugreifen.

Jetzt etwas ausführlicher:

Ich habe mir letztens einen Router auf ebay gekauft (5,8€ incl. VSK), um ein bisschen mit der WLAN-Verschlüsselung rumzuspielen und diese zu knacken. Jedoch bin ich soweit noch nicht gekommen, da dieses deaktiviert ist und ich nicht per browser auf das Konfigurationsmenü zugreifen kann. Das habe ich mit mehreren Browsern unter verschiedenen Windows und Linux und vom Laptop und Desktop-PC aus probiert.
Es handelt sich um einen Allnet 1681. Leider bietet er keine Reset-Funktion, um die Werkseinstellungen wiederherzustellen.
Die Verbindung richte ich also per Lan ein, DHCP funktioniert nicht, ich bergebe also manuell eine Adresse. Die gewählte Adresse stimmt mit dem vom Handbuch empfohlenen Adressraum überein. Ich kann den Router auch erfolgreich anpingen. Außerdem funktioniert er problemlos als 4-Port-Switch (oder Hub, das hab ich nicht näher untersucht)

Ich vermute jetzt, dass ein MAC-Filter aktiviert ist, doch wie kann ich herausfinden, ob das tatsächlich der Fall ist?

Welche Möglichkeiten, außer dass das Gerät defekt ist, gibt es noch, die den Zugang blockieren könnten?

Der E-mail Kontakt mit dem Privatverkäufer hat ergeben, dass dieser keine Ahnung von Technik hat und das Gerät nie selbst benutzt hat, was ich aber auch wegen der Artikelbeschreibung vermutet habe. Sollte wirklich ein MAC-Filter aktiv sein, habe ich vor eine passende MAC-Adresse mit einem Brute Force Angriff herauszufinden. Ich hab dazu auch schon ein paar interessante Sachen gefunden, aber erstmal will ich herausfinden, ob das ganze überhaupt Erfolg haben kann (Also wirklich ein MAC-Filter den Zugang blockiert).

Mit nmap (ohne Parameter) habe ich keine offenen Ports finden können, aber vielleicht ist das auch der völlig falsche Weg.


Ich würde mich also sehr um hilfreiche Tips freuen.

MfG g3rax

[fancy]

Wenn Du die IP des APs weißt, versuch doch mal, dich mit dem Browser zu verbinden.
Ich würde es jedoch mit einer Ethernet Verbindung (Patchkabel) versuchen.
Port 80 oder 443, und wenn Du da keine Verbindung (immer noch per LAN) bekommst, wäre nmap ein gangbarer Weg, nach dem Adminport zu suchen.
Normalerweise bekommst Du dann bei erfolgreichem Connect ein Login, wo du dann eine User/Passwort Kombinationen ausprobieren kannst, wie z.B. admin/admin, admin/leeres Passwort, etc.

[hardez]

Also laut Google hat der auf der Rückseite einen Resetknopf.
Falls nicht, probier mal folgendes:
- Strom abziehen
- LAN-Kabel von Port 1 auf Port 4 verbinden
- Strom anstecken
- 10 Sek warten
- Ausschalten
- Rechner anschließen
- Versuchen mittels Browser auf den Router zu verbinden

Weiß nicht ob es geht, aber ich hatte mal nen Router oder nen Switch (weiß nich mehr) inder Hand den man so Resettet hat.

Ansonsten zu der MAC-Bruteforce wünsche ich dir viel Spass, denke nich das sich der Aufwand lohnt!

[g3rax]

danke für die antworten, aber weitergeholfen haben die auch nicht, vielleicht habe ich mich auch ungünsig ausgedrückt

@Fancy:

Ich verbinde mich bereits per Patchkabel mit dem Router, da WLAN deaktiviert ist. Die IP habe ich, sonst könnte ich ihn ja schlecht anpingen oder portscannen
Habe auch im Browser versucht explizit über die Ports 80 und 443 zuzugreifen, gleiches Ergebnis: Der Browser versucht eine Zeit lang die Seite anzuzeigen, bis er schließlich abbricht.
Die Zugangsdaten zum Router-Menü habe ich übrigens, nur kann ich dieses nicht aufrufen

@hardez

Der Router hat einen Reset-Knopf, das ist richtig, allerdings bewirkt er nur einen Neustart, ebenso die von dir beschriebene Methode. Was ich bräuchte ist die Wiederherstellung der Werkseinstellungen.


Was ich suche ist ein Befehl/tool, mit dem ich testen kann, ob ich wegen meiner MAC Adresse abgewiesen werde.
(Das ist dann auch für den späteren Bruteforce nötig)

[cleguevara]

1. Drück den reset-Knopf bitte 1min (einmal mit und einmal ohne Netzteil).

2. Um genau zu verfolgen, was in dem Fall auf Layer 2 passiert, wären wireshark oder (etwas spartanischer) tshark die geeigneten Programme.

@hardez: was soll den der Broadcast Storm??

[hardez]

@cleguevara Wie beschrieben habe ich bereits Geräte in der Hand gehabt die NUR und sogar laut Hersteller diese Methode verwenden um einen Factory Reset zu erzwingen.

@g3rax Wie cleguevara bereits sagte mach bitte folgendes:
- Strom abziehen
- Reset knopf drücken (und gedrückt halten)
- Strom bei gedrücktem Reset Knopf anstecken und gedrückt halten
- Bis 10 Zählen (langsam)
- Knopf los lassen
- 1 Minute warten
- Reset Knopf wieder 10 Sekunden drücken, diesmal aber ohne vorher den Stromabzuziehen!

Solltest der Router dann immer noch keinen Reset gemacht haben denke ich nicht das dich dein Mac-Bruteforce weiter bringt, denn dann denke ich ehr, dass das Teil defekt is!

[g3rax]

so, habe jetzt nach allen beschreibungen und ein paar eigenen Variationen versucht den Router zu resetten, aber keine chance.

Habe mir Wireshark mal angeschaut, also wenn ich versuche per Browser zuzugreifen, wird nur der ausgehende Versuch angezeigt, mit folgender Info: 40072 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=3799986 TSER=0 WS=7
Hab jetzt aber keine Ahnung was das bedeuten könnte.

Sendet ein Router prinzipiell irgendetwas (etwa eine Ablehnung) zurück, wenn es aufgrund der MAC-Adresse den Zugang blockiert oder nicht?
Aber ich vermute mal, das unterscheidet sich von Router zu Router...

[reeth]

Hmm ganz andere Idee hast du schon versucht, einen anderen Browser zu benützen ?. Ein MAC Filter dürfte dich nicht daran hindern, auf die Oberfläche zu connecten, jedenfalls tut das meiner mal nicht.

Also du bekommst eine IP Addresse ? Dann sollte doch ein Nmap Scan kein Problem sein. Mal auf gut glück Telnet oder ssh versucht ?

mfg reeth