Ungewöhnliche Aktionen

[StefanSonke]

Moin
Ich wende mich an euch da mir seit ein paar Tagen HA ungewöhnliche Aktionen durchgeführt.
Aufgefallen ist mir das in PiHole.
HA verursacht jede Stunde einen Peak und ich weiß nicht warum und was dahinter steckt.



Ich bin das Log Protokoll von HA durchgegangen und die einzigen Auffälligkeiten sind mir im Bereich DNS aufgefallen.


Mit Whois habe ich die IP 172.30.32.xx gecheckt.
Hat etwas mit Wetter zu tun, glaube ich.
Ungewöhnliche sind die eigenen IP Adressen.
In der Fritzbox habe ich den IP Bereich von 0 bis 100 eingetragen.
Aber HA versucht auf Bereiche außerhalb des Bereichs etwas.
(PTR IN 211.114.168.192.in-addr.arpa. udp 46 false 512" NXDOMAIN qr,rd,ra 46)
Ich kann mit diesem Ausdruck leider nichts anfangen.
Warum greift HA stündlich auf einen IP Bereich zu (bis 255) der außerhalb des vergebenen Bereich (bis 100) liegt.?

Vielleicht kann mir da jemand helfen.

 

[blurrrr]

Hi,

(PTR IN 211.114.168.192.in-addr.arpa. udp 46 false 512" NXDOMAIN qr,rd,ra 46)
Ich kann mit diesem Ausdruck leider nichts anfangen.

Wenn Du die in-addr.arpa-Adresse mal "andersrum" liest, steht dort: 192.168.114.211. PTR (IP zu FQDN) ist quasi das Gegenstück zu einem A-Record (FQDN zu IP). Es wird also versucht die IP 192.168.114.211 zu einem Namen aufzulösen.

Mit Whois habe ich die IP 172.30.32.xx gecheckt.

Da brauchst Du nichts prüfen, diese IP ist eine Adresse aus dem "privaten" IP-Segment (172.16-31.0.0/12). Alles was Dir ein "whois" ausspuckt - von wem auch immer - dürfte ziemlicher Blödsinn sein, ebenso wie eine whois-Abfrage auf 192.168.0.0/16. Ich gehe aber mal aufgrund Deiner Reaktion davon aus, dass Du dieses Netz nicht "bewusst" einsetzt. Nun ist es allerdings so, dass sich Docker mitunter solcher Netze bedient. HomeAssistant setzt auch auf Docker (z.B. bei HAOS als Unterbau), vielleicht kommt es von HAOS, oder irgendwas anderem, was Du ggf. noch laufen hast.

Warum greift HA stündlich auf einen IP Bereich zu (bis 255) der außerhalb des vergebenen Bereich (bis 100) liegt.?

Das kommt wohl darauf an, was Du da so gemacht hast Es könnte z.B. noch etwas älteres sein, vielleicht hattest Du irgendwann mal etwas laufen, es dann doch anders gemacht, aber niemand hat HomeAssistant gesagt, dass die Dinger nicht mehr so sind, wie sie einmal waren und nun schaut HA halt jede Stunde nach div. Dingen, die ggf. aber garnicht mehr vorhanden sind. Ebenso wäre eine Funktion in Richtung Autodiscover denkbar, dass irgendeine Integration/ein Addon halt stündlich das Netz nach neuen Dingen durchforstet... Letzteres würde ich sogar primär in Betracht ziehen.

 

[mkonline]

172.30.32.x sind die internen Docker Adressen von HA

 

[StefanSonke]

Erstmal vielen Dank für die Antworten.
Tatsächlich hatte ich vor einiger Zeit mein Android Autoradio mit eingebunden und eine Zone erstellt damit ich benachrichtigt wurde wenn der Wagen ohne Erlaubnis bewegt wird.
Das hatte soweit ganz gut funktioniert.
Trotzdem hatte ich es wieder rausgenommen.

Jetzt bin ich HA systematisch durchgegangen und habe alle Geräte, Entitäten, Zonen und Benutzer überprüft und musste auch ein paar Sachen entgültig löschen.

Insgesamt ist das ursprüngliche Problem nicht behoben.

Wie kann ich herausfinden welcher Docker die IP Adresse 172.30.32.xx hat.
Aber ich bin mir sicher keinen Docker Container installiert zu haben.
Docker info und registries zeigt auch nichts an.

Installiert sind nur MariaDB, Mosquitto Broker und Nginx Proxy Manager. File Editor ist deaktiviert.

 

[mkonline]

Das installierst auch nicht du, sondern HA selber. Und in dem IP Bereich prüft HA z.B. die Add-ons (--> Watchdog usw.) Kannst Du einfach mal in der Suchmaschine deiner Wahl suchen. Oder im HA Forum

 

[StefanSonke]

Leider bin ich mit meinem Problem viel weiter gekommen.
Die IP 172.30.32.1 ist hassio
Und ich frage mich warum nun stündlich mein Heimnetz (192.168.178.1 bis 192.168.178.253) abgefragt wird.?
Wie kann ich herausfinden was gesucht wird oder wo die entsprechende Routine ist die stündlich sucht.

Zusätzlich habe ich im Log von Mosquitto Broker jede Sekunde dieses.

2025-05-02 13:56:42: New connection from 172.30.32.2:57614 on port 1883.
2025-05-02 13:56:42: Client <unknown> closed its connection.

Ebenfalls habe ich im DNS Log noch folgende Einträge. Auch alle paar Sekunden.

[INFO] 172.30.32.1:57586 - 10876 "PTR IN 180.114.168.192.in-addr.arpa. udp 46 false 512" NXDOMAIN qr,rd,ra 46 0.031229214s


Ich habe keine Ahnung mehr wonach ich noch suchen soll.
Docker stats zeigt zum entsprechenden Zeitpunkt kurz hassio_supervisior höhere Aktivitäten an.

Wenn noch jemand eine Idee hat wäre ich sehr dankbar.
Entweder habe ich den Wurm im System oder, soweit gehen meine Befürchtungen, das System ist korrumpiert.

 

[mkonline]

Du liest aber schon was andere schreiben, oder?

Natürlich scannt HA das Netzwerk, z.B. Device Tracker oder halt nach neuen Geräten.
172.30.32.2 ist der Supervisor

https://github.com/home-assistant/core/issues/51603#issuecomment-856523532

 

[StefanSonke]

Okay.
Dann nehme ich das so hin "Ist normal".
Ganz zufrieden bin ich damit zwar nicht.
Seit Jahren habe ich HA und Pihole so laufen und erst seit ein paar Tagen sind diese Auffälligkeiten da.
Wenn die schon immer da gewesen wären hätte ich mich hier nicht gemeldet.
Trotzdem Danke

 

[blurrrr]

und erst seit ein paar Tagen sind diese Auffälligkeiten da.

Irgendwelche Updates gefahren? Mal die Release-Notes von HomeAssistant gelesen (und ggf. von installierten Integrationen/Addons)?