8
Blocken einer einzigen IP für DHCP Vergabe?
Hallo,
wir haben zwei Netze in der Firma. Ich sage mal die 192.168.5.xxx für Rechner und die 192.168.4.xxx für IP Telefone. Funktioniert auch alles bestens. Seit ein paar Tagen haben wir jedoch das Problem dass wenn wir ein neuen (oder alten) Rechner oder Notebook ans Netzwerk hängen um ihn zu testen/benutzen/konfigurieren, dann zieht sich dieser Rechner in 9 von 10 Fällen eine ganz bestimmte IP Adresse aus dem Adressbereich der Telefone! Sagen wir mal die 192.168.4.100. Wir haben schon alles nachgeschaut, alle scopes, alle leases, alle Switch Konfigurationen aber wir finden keine Lösung.
Wenn wir die .4.100 in DHCP leases löschen dann zieht sich der Rechner nach dem zweiten Neustart die richtige IP aus dem 5.xxx Leasebereich. Wie können wir diese eine vermaledeite IP Adresse (.4.100) dauerhaft blocken? Also dass DHCP diese IP nicht mehr vergibt?
Danke!!
wir haben zwei Netze in der Firma. Ich sage mal die 192.168.5.xxx für Rechner und die 192.168.4.xxx für IP Telefone. Funktioniert auch alles bestens. Seit ein paar Tagen haben wir jedoch das Problem dass wenn wir ein neuen (oder alten) Rechner oder Notebook ans Netzwerk hängen um ihn zu testen/benutzen/konfigurieren, dann zieht sich dieser Rechner in 9 von 10 Fällen eine ganz bestimmte IP Adresse aus dem Adressbereich der Telefone! Sagen wir mal die 192.168.4.100. Wir haben schon alles nachgeschaut, alle scopes, alle leases, alle Switch Konfigurationen aber wir finden keine Lösung.
Wenn wir die .4.100 in DHCP leases löschen dann zieht sich der Rechner nach dem zweiten Neustart die richtige IP aus dem 5.xxx Leasebereich. Wie können wir diese eine vermaledeite IP Adresse (.4.100) dauerhaft blocken? Also dass DHCP diese IP nicht mehr vergibt?
Danke!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307753
Url: https://administrator.de/contentid/307753
Printed on: April 24, 2024 at 02:04 o'clock
8 Comments
Latest comment
Hi,
welche Masken haben diese Netze?
Generell:
Entweder die betreffenden IP-Adressen via Ausschlusspool im Scope ausschließen.
Oder eine Reservierung für diese IP-Adresse erstellen, mit der MAC, welcher diese Adresse z.Z. zugeordnet ist.
E.
welche Masken haben diese Netze?
Generell:
Entweder die betreffenden IP-Adressen via Ausschlusspool im Scope ausschließen.
Oder eine Reservierung für diese IP-Adresse erstellen, mit der MAC, welcher diese Adresse z.Z. zugeordnet ist.
E.
Hallo,
man sollte der Sache nachgehen.....
Erst mal die .4.100 für eine viktive MAC reservieren.
vG
LS
man sollte der Sache nachgehen.....
Erst mal die .4.100 für eine viktive MAC reservieren.
vG
LS
Moin,
Welche Netzwerkmaske.
Habt Ihr die eräte all eim selben Subnet ode rin derselben Boradcast-Domain?
Oder habt Ihr den PC nur ins falsche Netz gesteckt?
lks
Welche Netzwerkmaske.
Habt Ihr die eräte all eim selben Subnet ode rin derselben Boradcast-Domain?
Oder habt Ihr den PC nur ins falsche Netz gesteckt?
lks
@laster
werde ich mal probieren, danke.
@emeriks
wäre meine zweite Wahl! Werde ich nach Laster's Vorschlag testen.
@Lochkartenstanzer
Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.
werde ich mal probieren, danke.
@emeriks
wäre meine zweite Wahl! Werde ich nach Laster's Vorschlag testen.
@Lochkartenstanzer
Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.
Welchen? Das "Suchen" oder die Reservierung für die fiktive MAC?
Zitat von @winIT3264:
@Lochkartenstanzer
Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.
@Lochkartenstanzer
Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.
Naja, Du hast nichts dazu gesagt, ob die ding erjetzt all eim selben Subnet sind oder Du unterschiedliche Subnets auf der gleichen oder unterschiedlichen Broadcast-Domain hast. Von daher wäre der erste verdacht, daß einfach der PC falsch geklemmt worden wäre. Und glaub mir, daß passiert selbst Profis schneller als gedacht. villiech thabt Ihr ja auch nur ein Port des switches falsch konfiguriert, daß der vielleicht den PC ins falsche VLAN steckt.
Solange Du da keine nähere Informationen über Deine Infrastruktur rausrückst. könne wir nur spekulieren, was falsch laufen könnte.
lks
PS: Und Deine Bemerkung glaube ich Dir sofort: Ich kenne Firmen, die tatsächlich (zumindest einzelne) Lankabel am switch abends ziehen und morgens wieder drangesteckt haben, bis ich denen einfach mal eine zeitschaltuhr und einen zweiten switch hingestellt habe.
wir haben zwei Netze in der Firma. Ich sage mal die 192.168.5.xxx für Rechner und die 192.168.4.xxx für IP Telefone.
Ein klassisches, millionenfaches Standard Design... 
dann zieht sich dieser Rechner in 9 von 10 Fällen eine ganz bestimmte IP Adresse aus dem Adressbereich der Telefone!
Oha...zeugt dann von einer Fehlkonfiguration des Routers und vermutlich des dortigen DHCP Relay Agents der diese beiden IP Adressbereiche verbindet bzw. routet !!Leider ist deinen Beschreibung der verwendeten Infrastruktur sehr oberflächlich und laienhaft, so das eine zielführende Hilfe nicht einfach ist weil man sich den Rest denken oder zusammenraten muss.
Insbesondere die Kardinalsfrage ob ein zentraler DHCP Server in einem der beiden Segmente beide IP Netze bedient oder es in jedem Segment einen separaten DHCP Server gibt.
Beides ist denkbar aber so zwischen den Zeilen kann man vermuten das es einen zentralen gibt.
Ist dem so erfordert das zwingend im Router oder Layer 3 Switch der beide VLANs bzw. IP Segmente verbindet routingtechnisch einen DHCP Relay Agent (ip helper adresse) der DHCP Requests (UDP Broadcasts) an den zentralen DHCP Server forwardet.
Entweder läuft hier was schief oder die Router / Switch Konfig ist fehlerhaft. ?!
Da du weder Modell noch Konfig hier postest bleibt uns nur die Kristallkugel.....
Nur so viel. Der Relay Agent ersetzt die Absender IP mit seiner Interface IP in dem Segment wo der DHCP Broadcast empfangen wurde und sendet es dann weiter an den DHCP Server.
Daran erkennt der DHCP Server seinen Scope. Ob das alles sauber ist kannst du ganz einfach mit einem Wireshark Sniffer am DHCP Server sehen und entsprechend reagieren bzw. genau sehen WO der Fehler herkommt.
Da du ja schon ALLES geprüft hast wäre mal wichtig zu wissen was dabei rausgekommen ist.
Sehr wahrscheinlich wäre auch das jemand aus Versehen (hoffetlich nicht willentlich) eine Backdoor Bridge zwischen beiden IP Segmenten gesteckt hat und gar keine Layer 3 / Router Trennung mehr existiert, wie oben schon zurecht vermutet wurde !
Das wäre natürlich fatal würde aber auch das Verhalten sofort erklären, denn so erreichen DHCP Requests (UDP Broadcasts) den Server direkt ohne den erforderlichen DHCP Relay Agent.
Auch das kannst du sehen am Wireshark Trace nämlich das DHCP Antworten ohne Relay Agent direkt kommen. (IP Adresse)
Ein sichers Indiz das das Netzwerk eine Backdoor Bridge, parallel zum Router hat, was natürlich tödlich wäre.
Zitat von @aqui:
Ein sichers Indiz das das Netzwerk eine Backdoor Bridge, parallel zum Router hat was tödlich wäre.
Ein sichers Indiz das das Netzwerk eine Backdoor Bridge, parallel zum Router hat was tödlich wäre.
Oder wie gesagt, einfach ein Konfigurationsfehler am VLAN-switch, sagt zumindest meine Kristallkugel.
lks
