6
Android Leases im DHCP-Bereich
Hallo,
ich habe grad mal in unserem DHCP Server gestöbert und gesehen, dass da 3 Adressen von android Endgeräten geleast wurden (In der Spalte Name steht z.B.: android-ab12ff43aac371ea).
Wir haben kürzlich android-Tablets eingeführt die sich per WLAN ins Netzwerk verbinden können.
Warum bekommen die Geräte aber eine Adresse von unserem DHCP-Server aus dem LAN?
Die Adressbereiche werden doch vom WLAN- Router festgelegt und haben ein anderes Subnetz.
Eine Möglichkeit wäre, wenn die Tablets per Netzwerkkabel direkt ans Firmennetz gesteckt werden. Dann würde die IP von unserem DHCP zugeteilt werden.
Sehe ich das soweit richtig, oder bin ich voll daneben?
Von wo könnten diese Leases noch kommen?
Gruß, watchdogg
ich habe grad mal in unserem DHCP Server gestöbert und gesehen, dass da 3 Adressen von android Endgeräten geleast wurden (In der Spalte Name steht z.B.: android-ab12ff43aac371ea).
Wir haben kürzlich android-Tablets eingeführt die sich per WLAN ins Netzwerk verbinden können.
Warum bekommen die Geräte aber eine Adresse von unserem DHCP-Server aus dem LAN?
Die Adressbereiche werden doch vom WLAN- Router festgelegt und haben ein anderes Subnetz.
Eine Möglichkeit wäre, wenn die Tablets per Netzwerkkabel direkt ans Firmennetz gesteckt werden. Dann würde die IP von unserem DHCP zugeteilt werden.
Sehe ich das soweit richtig, oder bin ich voll daneben?
Von wo könnten diese Leases noch kommen?
Gruß, watchdogg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 222080
Url: https://administrator.de/contentid/222080
Printed on: April 24, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hi,
sind es denn Access-Points oder W-LAN Router die Ihr einsetzt? Wenn WLAN router, sind diese richtig konfiguriert? (WAN ans LAN)
Gruß
sind es denn Access-Points oder W-LAN Router die Ihr einsetzt? Wenn WLAN router, sind diese richtig konfiguriert? (WAN ans LAN)
Gruß
Das WLAN, oder besser gesagt der integrierte WLAN Accesspoint, in einem WLAN Router arbeitet immer als reine Layer 2 Bridge auf Mac Adress Basis auf das lokale LAN wie jeder Netzwerk Azubi weiss.
Es wird also bei solchen Routern nicht geroutet zwischen LAN und WLAN am WLAN Router sondern lediglich zw. LAN und WAN/Internet. Das WLAN ist wie bereits gesagt immer per L2 Bridging angekoppelt.
Wenn ihr die WLAN Router also als simple Accesspoints benutzt wie z.B. hier,_Alternative_3 beschrieben, dann werden die DHCP Requests logischerweise nur durchgeschleift auf das lokale LAN.
Wenn dort auch der Winblows DHCP Server liegt landen sie dann natürlich auch da !
Leider teilst du uns ja rein gar nix zu deinem Netzwerk Design mit und ob du mehrere IP Segmente hast, VLANs, ob du routest etc. In sofern zwingst du uns mit den mehr als oberflächlichen Angaben von oben zum Netzdesign hier wie immer zum Raten oder zum Blick in die berühmte Kristallkugel für eine zielführende und hilfreiche Antwort
Es wird also bei solchen Routern nicht geroutet zwischen LAN und WLAN am WLAN Router sondern lediglich zw. LAN und WAN/Internet. Das WLAN ist wie bereits gesagt immer per L2 Bridging angekoppelt.
Wenn ihr die WLAN Router also als simple Accesspoints benutzt wie z.B. hier,_Alternative_3 beschrieben, dann werden die DHCP Requests logischerweise nur durchgeschleift auf das lokale LAN.
Wenn dort auch der Winblows DHCP Server liegt landen sie dann natürlich auch da !
Leider teilst du uns ja rein gar nix zu deinem Netzwerk Design mit und ob du mehrere IP Segmente hast, VLANs, ob du routest etc. In sofern zwingst du uns mit den mehr als oberflächlichen Angaben von oben zum Netzdesign hier wie immer zum Raten oder zum Blick in die berühmte Kristallkugel für eine zielführende und hilfreiche Antwort
Ja, es sind WLAN Router im Einsatz. Ja, LAN Verbindung steckt am WAN Port des Routers.
Eine Möglichkeit wäre ja noch, dass jemand einen mitgebrachten Access-Point einsetzt. Das gibt Ärger...
Eine Möglichkeit wäre ja noch, dass jemand einen mitgebrachten Access-Point einsetzt. Das gibt Ärger
...
OK, dann betreibt ihr die WLAN Router "andersrum" und damit wären die IP Segmente dann isoliert. In so fern hättest du Recht. Eigentlich ist das falsch, denn die NAT Firewall solch "umgedreht" angeschlossener WLAN Router verhindert dann eine bidirektionle Kommunikation. Es kann also immer nur vom WLAN ins LAN gehen und niemals umgekehrt bei solchen Szenarien.
Gut das ist ggf. gewollt so damit ist dann aber auch der DHCP Broadcast geblockt und kann technisch niemals in euer lokales LAN kommen. In sofern hast du da Recht mit deiner obigen Vermutung !
Da ist dann absolut klar das da jemand einen illegalen oder privaten Accesspoint ins Firmennetz gehängt hat !
Zeigt eigentlich eher was für eine mickrige bis gar keine Sicherheits Policy ihr im Netz habt ! Gut, wem die Firmensicherheit egal ist der pfeift drauf….
Wie man sowas richtig macht und unterbindet steht hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Damit kann dann wasserdicht keiner mehr wilde APs ins Netz bringen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Gut das ist ggf. gewollt so damit ist dann aber auch der DHCP Broadcast geblockt und kann technisch niemals in euer lokales LAN kommen. In sofern hast du da Recht mit deiner obigen Vermutung !
Da ist dann absolut klar das da jemand einen illegalen oder privaten Accesspoint ins Firmennetz gehängt hat !
Zeigt eigentlich eher was für eine mickrige bis gar keine Sicherheits Policy ihr im Netz habt ! Gut, wem die Firmensicherheit egal ist der pfeift drauf….
Wie man sowas richtig macht und unterbindet steht hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Damit kann dann wasserdicht keiner mehr wilde APs ins Netz bringen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Hey, danke aqui...
ein sehr guter Beitrag.
Ich bin nicht der Netzwerkexperte bei uns, aber ich interessiere mich wenigstens dafür und versuche mir das Wissen anzueignen indem ich mir solch hilfreiche Artikel, wie den von dir, reinziehe.
Vielleicht sollten das die zuständigen auch mal tun...
Gruß, watchdogg
ein sehr guter Beitrag.
Ich bin nicht der Netzwerkexperte bei uns, aber ich interessiere mich wenigstens dafür und versuche mir das Wissen anzueignen indem ich mir solch hilfreiche Artikel, wie den von dir, reinziehe.
Vielleicht sollten das die zuständigen auch mal tun
...Gruß, watchdogg
He he, da sprichst du wahre Worte… 
