16
doppelte IP auf nicht vorhandener MAC-Adresse
kurzeitige doppelte IP, 2. MAC ist aber nicht auffindbar
HI!
Ich habe vor kurzem ein Problem wegen sporadischem Netzwerkabbrüchen gepostet.
Habe jetzt mit Wireshark etwas weitergesucht und bin auf folgendes Problem gestoßen:
15:42:10.361976 Dell_bb:04:b8 Broadcast ARP Who has 192.168.0.6? Tell 192.168.0.150 (duplicate use of 192.168.0.150 detected!)
Im Paket dann dieser Eintrag:
Duplicate IP address detected for 192.168.0.150 (xx:xx:xx:xx:04:b8) - also in use by xx:xx:xx:xx:04:bc (frame 24)
Ich vermute dass durch diese Problem unser Server zeitweise nicht erreichbar ist. xx:xx:xx:xx:04:b8 ist die MAC Adresse von unserem Server anschluss, (er hat auch einen 2. mit xx:xx:xx:xx:04:bA, ist aber kein kabel drann und deaktiviert).
xx:xx:xx:xx:04:bc kann ich aber bei keinem Gerät in unserm Netzwerk finden.
Woher kann diese Problem? Hat da jemand eine Idee?
Zwischen Server und Client hängt ein Dell Powerconnect 2716 im unmannaged Mode.
btw. wie zuverlässig sollte ein LAN sein? Zu Hause fällt mir das nicht so auf. Wir haben 6 Clients, einen Server, ist es da normal dass ab und zu mal das LAn nicht verfügbar ist (also einzelne Zugriffe, max 10sekunden)
lg Dirm
Ich habe vor kurzem ein Problem wegen sporadischem Netzwerkabbrüchen gepostet.
Habe jetzt mit Wireshark etwas weitergesucht und bin auf folgendes Problem gestoßen:
15:42:10.361976 Dell_bb:04:b8 Broadcast ARP Who has 192.168.0.6? Tell 192.168.0.150 (duplicate use of 192.168.0.150 detected!)
Im Paket dann dieser Eintrag:
Duplicate IP address detected for 192.168.0.150 (xx:xx:xx:xx:04:b8) - also in use by xx:xx:xx:xx:04:bc (frame 24)
Ich vermute dass durch diese Problem unser Server zeitweise nicht erreichbar ist. xx:xx:xx:xx:04:b8 ist die MAC Adresse von unserem Server anschluss, (er hat auch einen 2. mit xx:xx:xx:xx:04:bA, ist aber kein kabel drann und deaktiviert).
xx:xx:xx:xx:04:bc kann ich aber bei keinem Gerät in unserm Netzwerk finden.
Woher kann diese Problem? Hat da jemand eine Idee?
Zwischen Server und Client hängt ein Dell Powerconnect 2716 im unmannaged Mode.
btw. wie zuverlässig sollte ein LAN sein? Zu Hause fällt mir das nicht so auf. Wir haben 6 Clients, einen Server, ist es da normal dass ab und zu mal das LAn nicht verfügbar ist (also einzelne Zugriffe, max 10sekunden)
lg Dirm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86121
Url: https://administrator.de/contentid/86121
Printed on: April 19, 2024 at 11:04 o'clock
16 Comments
Latest comment
Auch mit 100 Clients im Netz darf ein netz niemals einen Ausfall haben...!!! Du hast aber oben de facto ja eine doppelte IP Adresse im netz. Das ist natürlich tödlich für ein netzwerk und kann den Zusammenbruch bedeuten, wenn diese IP Adresse eine wichtige Adresse ist wie die eines Servers oder Routers.
Normalerweise bekommst du sejr schnell raus wo dieses Endgerät dran ist indem du dir die MAC Forwarding Tabelle des Switches ansiehst. Dort steht genau der Port drin wo das schwarze Schaf angeschlossen ist !!
Problematisch ist das wenn du nicht mangebare Billigswitches hast. Dann wird dir leider nichts anderes übrig bleiben als Client für Client zu kontrollieren und herauszufinden wer diese MAC Adresse hat (..und damit die doppelte IP)
In jedem Fall musst dud as Problem schleunigst lösen, denn eine doppelt IP Adresse gehört nicht in ein Netz. TCP/IP hat keinen Mechanismus das zu beheben, da ist manuelles Eingreifen erforderlich !!
Und...die MAC ist ganz sicher vorhanden bei dir !!! Der Wireshark zeigt dir mit Sicherheit keine gewürfelten Daten oder solche aus der Kristallkugel an !!! Du hast nur schlicht und einfach die MAC nicht gefunden... !
Normalerweise bekommst du sejr schnell raus wo dieses Endgerät dran ist indem du dir die MAC Forwarding Tabelle des Switches ansiehst. Dort steht genau der Port drin wo das schwarze Schaf angeschlossen ist !!
Problematisch ist das wenn du nicht mangebare Billigswitches hast. Dann wird dir leider nichts anderes übrig bleiben als Client für Client zu kontrollieren und herauszufinden wer diese MAC Adresse hat (..und damit die doppelte IP)
In jedem Fall musst dud as Problem schleunigst lösen, denn eine doppelt IP Adresse gehört nicht in ein Netz. TCP/IP hat keinen Mechanismus das zu beheben, da ist manuelles Eingreifen erforderlich !!
Und...die MAC ist ganz sicher vorhanden bei dir !!! Der Wireshark zeigt dir mit Sicherheit keine gewürfelten Daten oder solche aus der Kristallkugel an !!! Du hast nur schlicht und einfach die MAC nicht gefunden... !
Und...die MAC ist ganz sicher vorhanden bei
dir !!! Der Wireshark zeigt dir mit
Sicherheit keine gewürfelten Daten oder
solche aus der Kristallkugel an !!! Du hast
nur schlicht und einfach die MAC nicht
gefunden... !
dir !!! Der Wireshark zeigt dir mit
Sicherheit keine gewürfelten Daten oder
solche aus der Kristallkugel an !!! Du hast
nur schlicht und einfach die MAC nicht
gefunden... !
Yupp dito - wenn du die Mac nicht verixt hättest, könnte man dir auch sagen, was es für ein Gerät sein müsste...
http://www.coffer.com/mac_find/
ok, danke für die Info
kann ich erkennen ab wann die IP wieder freigegeben wurde?
Aber das komische ist halt, dass dieses Problem nur sporadisch auftritt. Kann eine Software eine MAC adresse "simulieren" ? oder muss das eine physikalische Karte/Gerät sein?
Kann die MAC einer netzwerkkarte per softwar kurzzeitig geändert werden?
ok, den switch kann ich einmal in den managed Mode schalten, vll finde ich dort etwas.
lg Dirm
kann ich erkennen ab wann die IP wieder freigegeben wurde?
Aber das komische ist halt, dass dieses Problem nur sporadisch auftritt. Kann eine Software eine MAC adresse "simulieren" ? oder muss das eine physikalische Karte/Gerät sein?
Kann die MAC einer netzwerkkarte per softwar kurzzeitig geändert werden?
ok, den switch kann ich einmal in den managed Mode schalten, vll finde ich dort etwas.
lg Dirm
hm dachte bei MACs ist es auch besser wenn sie nicht in Foren stehen.
Die MAC ist von Dell, das sagt mir auch Wireshark.
Und die MAC unterscheidet sich nicht von den Server MACs bis auf die letzte Stelle. Server 8 und A, die doppelte hat ein C am ende.
Das habe ich oben vergessen, sorry.
Hilft das weiter?
lg Dirm
Die MAC ist von Dell, das sagt mir auch Wireshark.
Und die MAC unterscheidet sich nicht von den Server MACs bis auf die letzte Stelle. Server 8 und A, die doppelte hat ein C am ende.
Das habe ich oben vergessen, sorry.
Hilft das weiter?
lg Dirm
Hi,
machs doch ganz banal und damit auch "richtig" - der Server bekommt eine Feste IP und die 192.168.0.150 wird aus dem Adresspool rausgenommen.
Fertich ist der Lack, ohne lange suchen.
Wenn natürlich irgendein Client auch die 192.168.0.150 fest eingetragen hat.....
machs doch ganz banal und damit auch "richtig" - der Server bekommt eine Feste IP und die 192.168.0.150 wird aus dem Adresspool rausgenommen.
Fertich ist der Lack, ohne lange suchen.
Wenn natürlich irgendein Client auch die 192.168.0.150 fest eingetragen hat.....
naja dass man 2 IPs nicht vergeben darf das weiß ich eh 
bis jetzt wars so, dass die Server und der Drucker statische IPs hatten. Außerhalb das DHCP bereiches.
Heute haben wir es geändert und den DHCP bereich erweitert. Die Server IP ist immer noch statisch vergeben, aber am Router für die Server MAC reserviert.
Das Problem trat davor und danach auf, egal ob in oder außerhalb der DHCP Range.
ist es besser einem Server eine statische IP zu geben? außerhalb des DHCP?
Grade eben ist es wieder passiert. Alle Clients verlieren die Verbindung und haben dann die falsche MAC für die 150er IP eingetragen. Mit der Zeit (diesmal etwa 1 min) löschen sie ihren arp cache und haben wieder die alte drinnen.
Am Server habe ich keine Meldung gefunden.
Der Ping dauert ziemlich lange 40ms im vergleich zu <1ms.
Kann es sein dass das ein externer rechner ist? im Internet? durch unseren Router? ein FR114P Firewall von Netgear. Aber das würde ja mit der IP nicht funktionieren, oder?
lg Dirm
bis jetzt wars so, dass die Server und der Drucker statische IPs hatten. Außerhalb das DHCP bereiches.
Heute haben wir es geändert und den DHCP bereich erweitert. Die Server IP ist immer noch statisch vergeben, aber am Router für die Server MAC reserviert.
Das Problem trat davor und danach auf, egal ob in oder außerhalb der DHCP Range.
ist es besser einem Server eine statische IP zu geben? außerhalb des DHCP?
Grade eben ist es wieder passiert. Alle Clients verlieren die Verbindung und haben dann die falsche MAC für die 150er IP eingetragen. Mit der Zeit (diesmal etwa 1 min) löschen sie ihren arp cache und haben wieder die alte drinnen.
Am Server habe ich keine Meldung gefunden.
Der Ping dauert ziemlich lange 40ms im vergleich zu <1ms.
Kann es sein dass das ein externer rechner ist? im Internet? durch unseren Router? ein FR114P Firewall von Netgear. Aber das würde ja mit der IP nicht funktionieren, oder?
lg Dirm
Wie weiter oben schon geschrieben, eine doppelte IP verursacht extreme fehlverhalten in einem IPv4 Netzwerk und do MUSST auf jeden Fall herausfinden welcher PC diese IP zeitweise belegt.
Es ist möglich, eine IP bzw. MAC-Adrese im Netzwerk per Software zu "Simulieren", also zu Faken um den Betrieb zu stören.
So könnte es passiert sein das "jemand" eine virtuelle oder Simulierte Netzwerkkarte in deinem Netzwerk mit der IP des Servers versehen hat um den Betrieb zu stören. Falls das tatsächlich der Fall sein sollte, müsstest du dir gedanken über dein Netzwerkdesign machen. Würde der Server in einem getrenntem Ethernet-Segment stehen, das nur über einen Router oder Layer3 Switch erreichbar ist, währen solche Fehlfunktionen nicht mehr möglich. Alternativ einen Switch verwenden, der das IP/MAC Paar fest auf einen Port bindet und alle anderen Versuche, diese einträge zu ändern ignoriert.
Bevor du aber Panik machst, sucher zuerst einmal die Quelle der gefakten IP. Vieleicht ist ja auch eine Fehlkonfiguration im DHCP oder am Server selbst die Ursache des Problems.
Es ist möglich, eine IP bzw. MAC-Adrese im Netzwerk per Software zu "Simulieren", also zu Faken um den Betrieb zu stören.
So könnte es passiert sein das "jemand" eine virtuelle oder Simulierte Netzwerkkarte in deinem Netzwerk mit der IP des Servers versehen hat um den Betrieb zu stören. Falls das tatsächlich der Fall sein sollte, müsstest du dir gedanken über dein Netzwerkdesign machen. Würde der Server in einem getrenntem Ethernet-Segment stehen, das nur über einen Router oder Layer3 Switch erreichbar ist, währen solche Fehlfunktionen nicht mehr möglich. Alternativ einen Switch verwenden, der das IP/MAC Paar fest auf einen Port bindet und alle anderen Versuche, diese einträge zu ändern ignoriert.
Bevor du aber Panik machst, sucher zuerst einmal die Quelle der gefakten IP. Vieleicht ist ja auch eine Fehlkonfiguration im DHCP oder am Server selbst die Ursache des Problems.
meinst du ARP poisoning mit "Panik" *gg*
hm naja DHCP kommt vom Router FR114P Netgear, der macht das seit 3 Jahren ohne Probleme.
am Server, konnte ich keine Physische oder virtuelle Netzwerkkarte mit der MAC finden. AdAware findet nichts. (Hat aber vor 3 wochen IE.Hacking (oder so) in einem Backup von einem andern Rechner gefunden)
Die anderen Rechner im Netz werden leider nicht so oft überprüft...
Was könnte den noch am Server falsch eingestellt sein?
ahja wenn man die Einstellung der Netzwerkkarte schließt (IP-Vergabe, Gateway...)
Kommt eine Meldung das Gateways redundant angegeben sind (bei beiden karten ist aber nur eins und da das gleich angegeben) und dies kann zu Problemen führen.
Hab gesucht aber im Internet stand dass diese Meldung nur mal und zu ignorieren ist...
lg Dirm
hm naja DHCP kommt vom Router FR114P Netgear, der macht das seit 3 Jahren ohne Probleme.
am Server, konnte ich keine Physische oder virtuelle Netzwerkkarte mit der MAC finden. AdAware findet nichts. (Hat aber vor 3 wochen IE.Hacking (oder so) in einem Backup von einem andern Rechner gefunden)
Die anderen Rechner im Netz werden leider nicht so oft überprüft...
Was könnte den noch am Server falsch eingestellt sein?
ahja wenn man die Einstellung der Netzwerkkarte schließt (IP-Vergabe, Gateway...)
Kommt eine Meldung das Gateways redundant angegeben sind (bei beiden karten ist aber nur eins und da das gleich angegeben) und dies kann zu Problemen führen.
Hab gesucht aber im Internet stand dass diese Meldung nur mal und zu ignorieren ist...
lg Dirm
Hm, seltsam. Du hast 2 Netzwerkkarten wovon eine deaktiviert ist. auf dieser ist ganz sicher ein Standartgateway eingetragen das die Meldung verursacht. Hat aber nichts mit dem Problem zu tun. Das hast du richtig erkannt. Kannst du wegbekommen indem du die 2. Karte mal kurz aktivierst, die IP-einstellungen löschst (also den default-GW löschen) und anschließend die Karte wieder deaktivierst.
Zum Problem: Es klingt fast als ob da jemand per backdoor auf einem der anderen Rechner hängt und per SW die IP des Servers auf sich selbst umleitet. Das ist ein theoretischen Angriffsszenario, bei dem mal alle Authentifizierungs und Serveranfragen auf einmal abfangen kann. Da es sich um eine kritische Situaltion handelt, trenne das Netzwerk vom Internet und, falls das verhalten dann weg sein sollte weil der "externe User" nicht mehr auf die Backdoor kommt, scanne JEDEN Rechner nach backdoors aller Art. Was du auch machen kannst, ersetze den Router durch einen normalen PC, gib ihm die Adresse des Routers und schneide den Traffic der versucht ins Internet zu kommen komplett mit.Falls es eine backdoor gibt, muss diese ja irgendwann mal verbinden. Damit siehst du es auf jeden Fall.
Lass mal hören wie das ausgeht. Falls du hilfe benötigst, ich würde mir den Traffic auch mal anschauen falls du nicht weiter kommst (VORSICHT, der Sniff sollte nicht öffentlich ins Netz gestellt werden).
Zum Problem: Es klingt fast als ob da jemand per backdoor auf einem der anderen Rechner hängt und per SW die IP des Servers auf sich selbst umleitet. Das ist ein theoretischen Angriffsszenario, bei dem mal alle Authentifizierungs und Serveranfragen auf einmal abfangen kann. Da es sich um eine kritische Situaltion handelt, trenne das Netzwerk vom Internet und, falls das verhalten dann weg sein sollte weil der "externe User" nicht mehr auf die Backdoor kommt, scanne JEDEN Rechner nach backdoors aller Art. Was du auch machen kannst, ersetze den Router durch einen normalen PC, gib ihm die Adresse des Routers und schneide den Traffic der versucht ins Internet zu kommen komplett mit.Falls es eine backdoor gibt, muss diese ja irgendwann mal verbinden. Damit siehst du es auf jeden Fall.
Lass mal hören wie das ausgeht. Falls du hilfe benötigst, ich würde mir den Traffic auch mal anschauen falls du nicht weiter kommst (VORSICHT, der Sniff sollte nicht öffentlich ins Netz gestellt werden).
Hi,
Durch deine Aussage, daß der Server statisch die 150 bekommt und die Adresse nicht per DHCP vergeben werden kann, schliesse ich, jemand bringt ein Dell Notebook mit und hat dort die 150 eingetragen, oder einer hat eine Bart CD / Live CD mit dieser Adresse.
Was es natürlich auch sein könnte - eventuell...
Der Server hat zwei Netzwerkkarten (Broadcom)?
Sind die zu einem Team verbunden - generiert sich eine Ähnliche MAc Adresse, wie Karte A und B haben. Hast du das ausgeschlossen? Treiber akuell?
Ja sehr einfach sogar....
Durch deine Aussage, daß der Server statisch die 150 bekommt und die Adresse nicht per DHCP vergeben werden kann, schliesse ich, jemand bringt ein Dell Notebook mit und hat dort die 150 eingetragen, oder einer hat eine Bart CD / Live CD mit dieser Adresse.
Was es natürlich auch sein könnte - eventuell...
Der Server hat zwei Netzwerkkarten (Broadcom)?
Sind die zu einem Team verbunden - generiert sich eine Ähnliche MAc Adresse, wie Karte A und B haben. Hast du das ausgeschlossen? Treiber akuell?
Kann die MAC einer netzwerkkarte per software kurzzeitig geändert werden?
Ja sehr einfach sogar....
Das Verhalten im Netzwerk und der extem hohe Ping deuten ehr auf eine Backdoor im Netzwerk als einen internen benutzer hin. Allerdings kann man das nicht absolut ausschließen. Ich vermute ehr eine Backdoor da er in der Datensicherung eines PC's auch einen über webseiten verbreiteten Trojaner gefunden hat. Traffic am gateway mitschneiden ist die einzige Möglichkeit um sicher festzustellen ob im Netzwerk etwas "nach außen kommuniziert" oder nicht.
hmm diese Threadform ist gewöhnungs bedürftig...
Werde mal alles hier anhängen:
@gateway-redundanz:
Ok, danke für den Tip.
@broadcom-team
Ja, sind Broadcom Net-II Extrem (oä.) das Teamen habe ich jetzt erst gesehen. Werde ich mir wenn alles funktioniert einmal anschauen. Ist dereit aber nicht aktiviert. (Es ist auch kein Kabel an der 2.)
Treiber ganz aktuell kann ich jetzt nicht garantieren - aber der hat sich nicht geändert.
@böser Mensch im Büro
Wir sind nur zu 6, davon ist grad einer auf Urlaub. Und es reicht allen wenn Windows läuft, und sie ihre Arbeit machen können. Mehr interesse am Computer gibts da ned
Alle Dell Geräte haben bei uns andere IPs und MAC adressen.
@problem
Mit was scann ich da denn am besten. Antivir? läuft bei allen (mehr oder weniger regelmäßig und aktuell /-)
Sonst benutze ich halt ad-Aware. Das läuft aber nicht bei allen. (Wie gesagt kenn mich da noch nicht so aus, und da wirken so "Security-Predigten" noch weniger.)
Habt ihr mehr infos zu dem Trojaner? welche Prozesse können da laufen/werden befallen?
@sniffen
Wir haben ein:
Modem daran ein kleiner-switch
an dem hängt VoIP-->normaltelefon converter und ein Router/firewall
an der Firewall hängt dann der große-Switch und an dem alle Clients und Server
wenn ich mich zwischen router und groß switch mit einem hub hänge, sollte ich doch alles mitbekommen ohne, dass das ich raus-sniffe.
Wegen Auswertung, ja wäre nett.
@arp poisoning
habe ich das richtig verstanden, dass man erst das ende des Angriffes erkennt? Durch die duplicated IP meldung.
Oder ist der Angriff immer nur in der kurzen Zeit wenn wir den server nicht erreichen.?
Danke schon mal für die vielen Infos.
Bin eigentlich erst wieder am Montag dort, aber werd schaun, dass ich ehute noch reinfahren kann...
lg Dirm
Werde mal alles hier anhängen:
@gateway-redundanz:
Ok, danke für den Tip.
@broadcom-team
Ja, sind Broadcom Net-II Extrem (oä.) das Teamen habe ich jetzt erst gesehen. Werde ich mir wenn alles funktioniert einmal anschauen. Ist dereit aber nicht aktiviert. (Es ist auch kein Kabel an der 2.)
Treiber ganz aktuell kann ich jetzt nicht garantieren - aber der hat sich nicht geändert.
@böser Mensch im Büro
Wir sind nur zu 6, davon ist grad einer auf Urlaub. Und es reicht allen wenn Windows läuft, und sie ihre Arbeit machen können. Mehr interesse am Computer gibts da ned
Alle Dell Geräte haben bei uns andere IPs und MAC adressen.
@problem
Mit was scann ich da denn am besten. Antivir? läuft bei allen (mehr oder weniger regelmäßig und aktuell /-)
Sonst benutze ich halt ad-Aware. Das läuft aber nicht bei allen. (Wie gesagt kenn mich da noch nicht so aus, und da wirken so "Security-Predigten" noch weniger.)
Habt ihr mehr infos zu dem Trojaner? welche Prozesse können da laufen/werden befallen?
@sniffen
Wir haben ein:
Modem daran ein kleiner-switch
an dem hängt VoIP-->normaltelefon converter und ein Router/firewall
an der Firewall hängt dann der große-Switch und an dem alle Clients und Server
wenn ich mich zwischen router und groß switch mit einem hub hänge, sollte ich doch alles mitbekommen ohne, dass das ich raus-sniffe.
Wegen Auswertung, ja wäre nett.
@arp poisoning
habe ich das richtig verstanden, dass man erst das ende des Angriffes erkennt? Durch die duplicated IP meldung.
Oder ist der Angriff immer nur in der kurzen Zeit wenn wir den server nicht erreichen.?
Danke schon mal für die vielen Infos.
Bin eigentlich erst wieder am Montag dort, aber werd schaun, dass ich ehute noch reinfahren kann...
lg Dirm
Hi,
wenn das Teamen aus ist - dann vergiß meine Frage.
An einen Hack glaub ich ehrlich nicht so ganz - du schreibst "Firewall" die sollte auch Protokolle liefern, ob jemand von aussen mit der MAC / IP rein wollte.
An deiner Stelle würde ich den IP Bereich umziehen.
192.168.0.x ist std. und probiert jeder erstmal aus.
Die Aussage, das der Netgear seit 3 Jahren problemlos läuft ist auch nur dahingehend ok, dass wir dadurch wissen, daß die Kiste schon 3 Jahre auf dem Buckel hat und vielleicht langsam anfängt zu spinnen.
Hast du das Kabel vom Server zum Switch schonmal getauscht - wenn das einen Knick hat, dann kommen Pakete auch mal so verstümmelt an, daß eine Gegenstelle irritiert reagiert.
Kannst du den DHCP auf dem Server laufen lassen und beim Netgear ausschalten?
Bzw. Bei 6 Clients und einem Server kannst du auch auf DHCP verzichten und feste IPs benutzen.
wenn das Teamen aus ist - dann vergiß meine Frage.
An einen Hack glaub ich ehrlich nicht so ganz - du schreibst "Firewall" die sollte auch Protokolle liefern, ob jemand von aussen mit der MAC / IP rein wollte.
An deiner Stelle würde ich den IP Bereich umziehen.
192.168.0.x ist std. und probiert jeder erstmal aus.
Die Aussage, das der Netgear seit 3 Jahren problemlos läuft ist auch nur dahingehend ok, dass wir dadurch wissen, daß die Kiste schon 3 Jahre auf dem Buckel hat und vielleicht langsam anfängt zu spinnen.
Hast du das Kabel vom Server zum Switch schonmal getauscht - wenn das einen Knick hat, dann kommen Pakete auch mal so verstümmelt an, daß eine Gegenstelle irritiert reagiert.
Kannst du den DHCP auf dem Server laufen lassen und beim Netgear ausschalten?
Bzw. Bei 6 Clients und einem Server kannst du auch auf DHCP verzichten und feste IPs benutzen.
hmm, ja feste IPs wären eh praktischer, da wüsst ich immer wer wer ist. Aber Chef, meint dass automatisch besser ist
wegen Kabel, naja es ist immer die gleiche falsche-MAC. Und wir sind vor kurzem Umgezogen, vorher hing der Server direkt am Switch, jetzt liegt ein Stück verlegekabel dazwischen. Das Problem hat aber schon vor dem Umzug begonnen. (~ eine Woche vor Ostern hats begonnen, die falsche MAC und habe ich erst seit einer Woche gefunden.) Wir sind bis jetzt immer von einer fehlkonfiguration des Servers ausgegangen...
Hm ja das patchkabel am server is gleich, das könnt ich mal tauschen.
ahja, begonnen (vermutlich) hat das ganze, dass wir am Server für jeden einen eigenen Benutzer eingerichtet haben. vorher haben wir uns alle als administrator zur dateifreigabe verbunden.
Erstens soll man ja nicht zuviel als Admin machen und 2. wird das PW jetzt automatisch übernommen, da es die gleichen benutzer/pw wie auf den clients sind.
Bis jetzt dachten wir immer an einen Zugriffskonflikt.
die Firewall vom Netgear ist nur so hardware mäßig. naja es steht halt "firewall" drauf. einstellen kann man da nichts. Der switch könnte DHCP übernehmen, das kann ich auch eimal probieren.
lg Dirm
wegen Kabel, naja es ist immer die gleiche falsche-MAC. Und wir sind vor kurzem Umgezogen, vorher hing der Server direkt am Switch, jetzt liegt ein Stück verlegekabel dazwischen. Das Problem hat aber schon vor dem Umzug begonnen. (~ eine Woche vor Ostern hats begonnen, die falsche MAC und habe ich erst seit einer Woche gefunden.) Wir sind bis jetzt immer von einer fehlkonfiguration des Servers ausgegangen...
Hm ja das patchkabel am server is gleich, das könnt ich mal tauschen.
ahja, begonnen (vermutlich) hat das ganze, dass wir am Server für jeden einen eigenen Benutzer eingerichtet haben. vorher haben wir uns alle als administrator zur dateifreigabe verbunden.
Erstens soll man ja nicht zuviel als Admin machen und 2. wird das PW jetzt automatisch übernommen, da es die gleichen benutzer/pw wie auf den clients sind.
Bis jetzt dachten wir immer an einen Zugriffskonflikt.
die Firewall vom Netgear ist nur so hardware mäßig. naja es steht halt "firewall" drauf. einstellen kann man da nichts. Der switch könnte DHCP übernehmen, das kann ich auch eimal probieren.
lg Dirm
Nur nochmal ein paar Fakten zu deinen IP Adressen und Vergabe:
Natürlich hat die NetGear Firewall Einstellmöglichkeiten, wenn du eine HTTP Verbindung auf ihre lokale IP aufmachst kommst du ins Setup ! Hier besteht ggf. die Gefahr eines doppelten DHCP Servers !
All das musst du akribisch prüfen !
Die MAC Adresse kann man in den erweiterten Treibereinstellungen der Netzwerkkarte verstellen...wenn man es denn unbendingt machen muss. Normalerweise ist das überflüssig !!
- Server, Printserver usw. sollten IMMER feste statische IPs haben !
- Diese statischen IPs dürfen niemals innerhalb einer DHCP Range liegen. Ein DHCP Server weiss nichts von statisch vergeben Adressen und in diesem Falle der Überschneidung kommt es zu Adress Doppelung die unbedingt zu vermeiten ist ! Fazit: Statische und DHCP Pool unbedingt strikt getrennt halten !!!
- Du darfst nur einen DHCP Server pro Segment betreiben. Also Ggf. checken ob du irgendwelche wilden DHCP Server hast von Firewalls, WLAN Access Points etc. die im Setup NICHT abgeschaltet wurden!!
Natürlich hat die NetGear Firewall Einstellmöglichkeiten, wenn du eine HTTP Verbindung auf ihre lokale IP aufmachst kommst du ins Setup ! Hier besteht ggf. die Gefahr eines doppelten DHCP Servers !
All das musst du akribisch prüfen !
Die MAC Adresse kann man in den erweiterten Treibereinstellungen der Netzwerkkarte verstellen...wenn man es denn unbendingt machen muss. Normalerweise ist das überflüssig !!
@ IP, ok dann werd ich die so vergeben 
@ Netgear, ja die einstellungen scho. - stimmt
@ Problem
also seit dem ich beim Server auf x.x.x.165 gewechselt bin gibts keine ausfälle mehr.
habe auch Xarp installiert und das hat mit immer noch die 150er IP angezeigt, mit der "bösen"-MAC.
das komsiche ist, dass man di Adresse von allen rechneren anpingen kann, aber nicht vom Server.
und wenn ich in der Windows Firewall Ping-Echo abdrehe gehts bei der 150er trotzdem.
in meinem Sniff vom Internettraffic war aber keine kommunikation von 150 oder 165 nach außen.
nach was könnte ich noch in den Daten suchen? ungewöhnliche protokolle oder spielt sich da alles in TCP ab?
kanns sein dass die doppelte IP vll doch von dem Teammodus kommt. (Ich hab ihn sicher nicht aktiviert, es waren nie 2 Netzerkkabel am server... ich weiß das sagen sie alle?
danke mal an alle, das Problem ist gelöst
lg Dirm
@ Netgear, ja die einstellungen scho. - stimmt
@ Problem
also seit dem ich beim Server auf x.x.x.165 gewechselt bin gibts keine ausfälle mehr.
habe auch Xarp installiert und das hat mit immer noch die 150er IP angezeigt, mit der "bösen"-MAC.
das komsiche ist, dass man di Adresse von allen rechneren anpingen kann, aber nicht vom Server.
und wenn ich in der Windows Firewall Ping-Echo abdrehe gehts bei der 150er trotzdem.
in meinem Sniff vom Internettraffic war aber keine kommunikation von 150 oder 165 nach außen.
nach was könnte ich noch in den Daten suchen? ungewöhnliche protokolle oder spielt sich da alles in TCP ab?
kanns sein dass die doppelte IP vll doch von dem Teammodus kommt. (Ich hab ihn sicher nicht aktiviert, es waren nie 2 Netzerkkabel am server... ich weiß das sagen sie alle
?danke mal an alle, das Problem ist gelöst
lg Dirm
