7
Eine IP Adresse mit mehreren Geräten nutzen
Hallo zusammen,
ich habe eine Verständnisfragen.
Bei der Arbeit nutze ich einen Netzwerkanschluss, welcher auf die MAC-Adresse meiner Docking-Station freigeschaltet ist.
Ich brauche mehrere Endgeräte im Internet und habe testweise auf einem Router OpenWRT installiert und dem die MAC-Adresse der Docking-Station gegeben. Geräte, welche ich an den Router angeschlossen habe, konnten sich mit dem Internet verbinden.
Wieso hat das funktioniert? Meine Vermutung wäre, die Geräte haben eine IP-Adresse von einem im Netzwerk befindlichen DHCP-Server bekommen und die Prüfung der MAC-Adresse ist erfolgreich, weil die Pakete über den Router rausgehen?
Falls dem so ist verbrauche ich aus dem Adressraum mehrere IP-Adressen anstelle von nur einer. Wäre es auch möglich, nur die eine IP des Routers zu nutzen und der Router leitet die Anfragen an ihm angeschlossen Clients weiter? Welche IP-Adressen hätten dann die Clients?
Grüße und entschuldigt bitte die laienhafte Erläuterung. Bei Netzwerken stoße ich leider häufig an meine Grenzen.
PS: Die Person, die das Netzwerk verwaltet ist leider seit Wochen nicht erreichbar.
ich habe eine Verständnisfragen.
Bei der Arbeit nutze ich einen Netzwerkanschluss, welcher auf die MAC-Adresse meiner Docking-Station freigeschaltet ist.
Ich brauche mehrere Endgeräte im Internet und habe testweise auf einem Router OpenWRT installiert und dem die MAC-Adresse der Docking-Station gegeben. Geräte, welche ich an den Router angeschlossen habe, konnten sich mit dem Internet verbinden.
Wieso hat das funktioniert? Meine Vermutung wäre, die Geräte haben eine IP-Adresse von einem im Netzwerk befindlichen DHCP-Server bekommen und die Prüfung der MAC-Adresse ist erfolgreich, weil die Pakete über den Router rausgehen?
Falls dem so ist verbrauche ich aus dem Adressraum mehrere IP-Adressen anstelle von nur einer. Wäre es auch möglich, nur die eine IP des Routers zu nutzen und der Router leitet die Anfragen an ihm angeschlossen Clients weiter? Welche IP-Adressen hätten dann die Clients?
Grüße und entschuldigt bitte die laienhafte Erläuterung. Bei Netzwerken stoße ich leider häufig an meine Grenzen.
PS: Die Person, die das Netzwerk verwaltet ist leider seit Wochen nicht erreichbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8009395501
Url: https://administrator.de/contentid/8009395501
Printed on: July 27, 2024 at 11:07 o'clock
7 Comments
Latest comment
Upps, wir werden eigentlich hier keine Anleitungen zu illegalen Machenschaften verbreiten...
Lösch das lieber, bevor das rückverfolgbar ist und ne Abmahnung folgt...
Es gibt einen guten Grund für den MAC-Filter....
Lösch das lieber, bevor das rückverfolgbar ist und ne Abmahnung folgt...
Es gibt einen guten Grund für den MAC-Filter....
2
Wieso hat das funktioniert?
Dafür gibt es eine ganz einfache Erklärung:Mit dem OpenWRT WAN Port und der dort geklonten Mac Adresse hast du die Switch Port Security ausgehebelt so das der Switchport trotz anderem Gerät freigegeben wird.
Der OpenWRT Router macht zudem NAT (Network IP Adress Translation) an seinem WAN Port.
Sprich alle Geräte die du an seinem internen LAN anschliesst (von dem sie auch ihre IP per DHCP bekommen!) werden per obiger IP Adresstranslation, wie bei jedem x-beliebigen Internet Router auch, auf die WAN (Firmen) IP Adresse des OpenWRT Routers umgesetzt. Sie tauchen im Firmennetz also immer mit einer bzw. der Firmen IP auf die der OpenWRT am WAN Port vom Firmen DHCP bekommen hat. Also nur einer einzigen IP.
Das Zauberwort heisst Port Adress Translation, siehe obige Wiki Erklärung!
verbrauche ich aus dem Adressraum mehrere IP-Adressen anstelle von nur einer.
Nein, das ist Blödsinn, denn du bekommst deine Geräte IP Adressen ja vom DHCP Server des OpenWRT Routers. Das kannst du doch mit ipconfig (Winblows) oder mit ip a (Linux) auch immer einfach selber checken!Was deine Fa. dazu sagt deren Security Policy so auszuhebeln ist dann wieder eine ganz andere, arbeitsrechtliche Frage, aber wenn das auch so dillettantisch gemacht wurde muss man sich auch nicht groß wundern das das passiert.
1
Wieso hat das funktioniert?
Weil der Router die Quell-Adresse der Clients auf die am WAN Port per NAT (Network Address Translation) umschreibt (SRCNAT/Masquerading) und der WAN-Port nutzt nun mal nur die eine MAC. Da ist es dann egal wie viele Clients dahinter sind, der Switch sieht immer nur Traffic von der IP des Routers.Sollte der Switch jedoch zusätzlich die TTL der Pakete auswerten lässt sich auch dieser Hack verhindern.
Aber auch das lässt sich mit einer Mangle-Rule am nachgeschalteten Router faken.
Gruß siddius
1
Moin,
Wie die Kollegen sagten: Die Netzwerkadmins haben geschlampt und machen Port-Security nur auf Basis der MAC. Und da Dein Router NAT macht, sieht der switch nur die Mac Deines WRT-Routers. Ich würde sowohl Dich als auch die Netzwerkadmins mit dem Cat9-Tool bearbeiten.
Hol Dir auf jeden das o.K. Deines Vorgestzten oder eines anderen, der das legitimieren darf, weil Du ansonsten eine Abmahnung oder gar eine fristlose Kündigung riskierst. (Das würde ich meine Kunden nämlich raten, mit so einem Mitarbiter zu machen).
lks
Danke für die Antworten und die ausführliche Erläuterung, auch bzgl. der rechtlichen Problematik. Ich wende mich dann nochmals an den Chef.
Also - das ganze funktioniert natürlich weil der switch _erstmal_ nur die MAC sieht und die ja scheinbar erlaubt war. Wie soll der denn daran erkennen das dahinter eben noch div. andere Geräte sind? Nix anderes macht ja dein Router zuhause - du hast nen NAT aktiv und alles wird auf eine IP gepackt, fertig...
ABER: Bevor du (und andere) jetzt auf die Idee kommen: Geil - so umgeh ich den blöden Admin in der Firma: DAs klappt NUR wenn der Admin an sich eh wenig Ahnung, Interesse und/oder Zeit hat. Denn NATÜRLICH sieht man in jedem besseren System auch welche IP was gemacht hat. Und sieht man da jetzt das 192.168.999.999 (ich weiss, die gibts nich...) zum einen natürlich im Firmen-Netz war aber gleichzeitig von dort Kiloweise Youtube gezogen wurde, Tonnenweise Updates und/oder Spiele (um nur mal bei den legalen Dingen zu bleiben) guckt man sich idR den Anschluss schon mal an und/oder holt sich den "Benutzer" ganz direkt indem man zum Platz geht. Und spätestens JETZT wirds schwer für den Benutzer - wenn ich davor stehe und ne Fritte sehe wo nen Rechner hingehört wirds schwer zu erklären. Und die GUTE Nachricht: Das ist kein Grund für ne Abmahnung. Die SCHLECHTE: Das ist eine fristlose Kündigung weil du ja _wissentlich_ IT Systeme umgangen hast um irgendwas verbotenes zu machen. Dafür hast du sogar Daten gefälscht (nämlich die MAC) - und das ist die direkte Exit-Karte...
Weiterhin muss dir klar sein: Für _simple_ Zwecke fällt sowas halt nicht auf. Ähnlich als ob du aus dem Firmendrucker 5 Blatt papier klaust - merkt auch keiner... WENN es aber jemand doch aus irgendeinem blöden Zufall merkt riskierst du dafür ganz simpel deinen Job und ggf. sogar noch viel grössere Probleme (ich habe zB. mal bei ner grossen deutschen Airline gearbeitet -> viel Spass mit deiner Bewerbung wenn da irgendeine Vorstrafe wg. sowas drin steht...). Und leider ist das kein Einzelfall das Leute sich die Zukunft dermassen versemmeln weil die irgendwo nen paar Kabel (wg. Kupfer), Leuchtmittel (gibts beim Baumarkt bestimmt für 5-10 Euro... oder weniger) oder sonstigen "müll" klauen...
ABER: Bevor du (und andere) jetzt auf die Idee kommen: Geil - so umgeh ich den blöden Admin in der Firma: DAs klappt NUR wenn der Admin an sich eh wenig Ahnung, Interesse und/oder Zeit hat. Denn NATÜRLICH sieht man in jedem besseren System auch welche IP was gemacht hat. Und sieht man da jetzt das 192.168.999.999 (ich weiss, die gibts nich...) zum einen natürlich im Firmen-Netz war aber gleichzeitig von dort Kiloweise Youtube gezogen wurde, Tonnenweise Updates und/oder Spiele (um nur mal bei den legalen Dingen zu bleiben) guckt man sich idR den Anschluss schon mal an und/oder holt sich den "Benutzer" ganz direkt indem man zum Platz geht. Und spätestens JETZT wirds schwer für den Benutzer - wenn ich davor stehe und ne Fritte sehe wo nen Rechner hingehört wirds schwer zu erklären. Und die GUTE Nachricht: Das ist kein Grund für ne Abmahnung. Die SCHLECHTE: Das ist eine fristlose Kündigung weil du ja _wissentlich_ IT Systeme umgangen hast um irgendwas verbotenes zu machen. Dafür hast du sogar Daten gefälscht (nämlich die MAC) - und das ist die direkte Exit-Karte...
Weiterhin muss dir klar sein: Für _simple_ Zwecke fällt sowas halt nicht auf. Ähnlich als ob du aus dem Firmendrucker 5 Blatt papier klaust - merkt auch keiner... WENN es aber jemand doch aus irgendeinem blöden Zufall merkt riskierst du dafür ganz simpel deinen Job und ggf. sogar noch viel grössere Probleme (ich habe zB. mal bei ner grossen deutschen Airline gearbeitet -> viel Spass mit deiner Bewerbung wenn da irgendeine Vorstrafe wg. sowas drin steht...). Und leider ist das kein Einzelfall das Leute sich die Zukunft dermassen versemmeln weil die irgendwo nen paar Kabel (wg. Kupfer), Leuchtmittel (gibts beim Baumarkt bestimmt für 5-10 Euro... oder weniger) oder sonstigen "müll" klauen...
1
Danke für deine Antwort, auch wenn sich mir nicht recht erschließt, weswegen du auf eine hinreichend beantwortete und entsprechend markierte Frage antwortest.
Zu deiner rechtlichen Bewertung: Das ist quatsch.
Wir sind ein kleines bis mittleres Familienunternehmen und ich muss meiner täglichen Arbeit nachgehen. Nach erfolglosen Kontaktversuchen mit dem IT-verantwortlichen habe ich wissentlich eine Schutzmaßnahme umgangen. Diese richtet sich gegen externe Personen, die keinen Zugriff zum Netzwerk haben sollen. Hintergrund ist auch nicht, um wie du es schreibst etwas verbotenes zu machen, sondern um zu arbeiten. Da kommt man bei keinem Arbeitsgericht mit durch.
Eine fristlose Kündigung müsste zudem der Chef ausstellen. Glaubst du ernsthaft der hätte Interesse daran mich wegen soetwas zu kündigen? Das ist gelinde gesagt weltfremd.
Meiner zumindest nicht. Ich habe den Sachverhalt geschildert habe und es wurde kein Problem gesehen.
Zu deiner rechtlichen Bewertung: Das ist quatsch.
Wir sind ein kleines bis mittleres Familienunternehmen und ich muss meiner täglichen Arbeit nachgehen. Nach erfolglosen Kontaktversuchen mit dem IT-verantwortlichen habe ich wissentlich eine Schutzmaßnahme umgangen. Diese richtet sich gegen externe Personen, die keinen Zugriff zum Netzwerk haben sollen. Hintergrund ist auch nicht, um wie du es schreibst etwas verbotenes zu machen, sondern um zu arbeiten. Da kommt man bei keinem Arbeitsgericht mit durch.
Eine fristlose Kündigung müsste zudem der Chef ausstellen. Glaubst du ernsthaft der hätte Interesse daran mich wegen soetwas zu kündigen? Das ist gelinde gesagt weltfremd.
Meiner zumindest nicht. Ich habe den Sachverhalt geschildert habe und es wurde kein Problem gesehen.