12
Altlasten im Netzwerk
Hallo zusammen,
ich habe noch Altlasten in Form von z.B. Uralten Terminal die hin und wieder doch mal auftauchen und von wem auch immer angeschlossen werden.
Mein Problem ist folgendes: Diese Geräte sind nicht mehr lizenziert und Verursachen kosten wenn die sich im Netzwerk melden.
Daher meine Frage:
Wie schaffe ich es das die Geräte keine Verbindung ins Netzwerk bekommen?
Kurz noch ein paar Infos:
- Ich habe alle MAC Adressen der betroffenen Geräte
- Bei den Geräten handelt es sich Teilweise um Geräte die sich über WLAN oder über LAN verbinden
- Als DHCP Server ist ein Debian mit einem ISC DHCP im Einsatz
- Router ist noch eine FritzBox
- Betroffenen Netzwerk 192.168.100.0/23 (DHCP Bereich 192.168.101.2 bis 192.168.101.240)
Meine Idee:
Ich könnte ja den MAC Adresse eine IP aus einem anderen Bereich zuweisen: z.B. der MAC AA:BB:CC:DD:EE:FF die IP 10.10.10.2).
Ist das möglich? Wenn ja wie?
Gibt es noch eine andere Möglichkeit die Geräte auszuschließen? bzw. Die Kommunikation in andere Netzwerke zu verhindern?
Vielen Dank für Eure Hilfe.
ich habe noch Altlasten in Form von z.B. Uralten Terminal die hin und wieder doch mal auftauchen und von wem auch immer angeschlossen werden.
Mein Problem ist folgendes: Diese Geräte sind nicht mehr lizenziert und Verursachen kosten wenn die sich im Netzwerk melden.
Daher meine Frage:
Wie schaffe ich es das die Geräte keine Verbindung ins Netzwerk bekommen?
Kurz noch ein paar Infos:
- Ich habe alle MAC Adressen der betroffenen Geräte
- Bei den Geräten handelt es sich Teilweise um Geräte die sich über WLAN oder über LAN verbinden
- Als DHCP Server ist ein Debian mit einem ISC DHCP im Einsatz
- Router ist noch eine FritzBox
- Betroffenen Netzwerk 192.168.100.0/23 (DHCP Bereich 192.168.101.2 bis 192.168.101.240)
Meine Idee:
Ich könnte ja den MAC Adresse eine IP aus einem anderen Bereich zuweisen: z.B. der MAC AA:BB:CC:DD:EE:FF die IP 10.10.10.2).
Ist das möglich? Wenn ja wie?
Gibt es noch eine andere Möglichkeit die Geräte auszuschließen? bzw. Die Kommunikation in andere Netzwerke zu verhindern?
Vielen Dank für Eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289056
Url: https://administrator.de/contentid/289056
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
du verhinderst einfach mit gewissen Sperren, das sich diese Geräte ein Lease abholen (geht bestimmt auch unter Debian, habe das bis jetzt nur unter Windows Server gemacht).
In deinem Router kannst du dann auch die "Kindersicherungsfunktion" nutzen um zu verhindern, dass diese Geräte ins Internet dürfen.
Und dann natürlich nach und nach (wenn sich die User beschweren warums nicht mehr geht
) alle Altgeräte raussammeln.
Grüße,
tomolpi
du verhinderst einfach mit gewissen Sperren, das sich diese Geräte ein Lease abholen (geht bestimmt auch unter Debian, habe das bis jetzt nur unter Windows Server gemacht).
In deinem Router kannst du dann auch die "Kindersicherungsfunktion" nutzen um zu verhindern, dass diese Geräte ins Internet dürfen.
Und dann natürlich nach und nach (wenn sich die User beschweren warums nicht mehr geht
) alle Altgeräte raussammeln.Grüße,
tomolpi
Danke für den Tipp.
Die Kindersicherungsfunktion wäre sicherlich eine Möglichkeit wenn der Lizenzserver (192.168.10.23) nicht im Internet Netzwerk stehen würde um den Traffic zu verringern und um ein wenig Datenschutz vorzutäuschen ;). In das Netz des Servers ist entsprechend geroutet.
Die User beschweren sich leider nicht. Hauptsächlich handelt es sich um kleine Geräte auf den ein Windows CE läuft die eine Verbindung zum ApplikationsServer aufbauen. Wenn das Handy etc wären, wäre das ja alles kein Problem
.
Die Kindersicherungsfunktion wäre sicherlich eine Möglichkeit wenn der Lizenzserver (192.168.10.23) nicht im Internet Netzwerk stehen würde um den Traffic zu verringern und um ein wenig Datenschutz vorzutäuschen ;). In das Netz des Servers ist entsprechend geroutet.
Die User beschweren sich leider nicht. Hauptsächlich handelt es sich um kleine Geräte auf den ein Windows CE läuft die eine Verbindung zum ApplikationsServer aufbauen. Wenn das Handy etc wären, wäre das ja alles kein Problem
.
Also RemoteApp oder Verbindungen zu einem Terminalserver?
Oder etwas anderes?
Oder etwas anderes?
ne....Nur auf den Geräten läuft eine Windows Anwendung....
Diese Anwendungen Verbindet sich mit einer Apllikation die auf einem Linux Server läuft und die Eingabe entgegen nimmt dieser Verarbeitet und in die DB schreibt bzw. eine Anfrage entgegen nimmt die Daten zusammensucht und an das Win CE ausgibt.
Diese Anwendungen Verbindet sich mit einer Apllikation die auf einem Linux Server läuft und die Eingabe entgegen nimmt dieser Verarbeitet und in die DB schreibt bzw. eine Anfrage entgegen nimmt die Daten zusammensucht und an das Win CE ausgibt.
Okay. Dann solltest du verhindern, das sich diese Geräte ein neues DHCP-Lease holen und sperrst diese in deinem DHCP-Server. Nach Ablauf eurer Lease-Dauer werden die versuchen, sich ein neues zu holen, aber keinen Erfolg haben. Somit ist ein Zugriff ins Netzwerk nicht mehr möglich.
Haben die Geräte feste IPs eingestellt, wird die Sache etwas schwerer, habt ihr eine Firewall in der ihr evtl. den Verkehr der Geräte blocken könntet?
Haben die Geräte feste IPs eingestellt, wird die Sache etwas schwerer, habt ihr eine Firewall in der ihr evtl. den Verkehr der Geräte blocken könntet?
Die Geräte hohlen sich alle Ihre IPs über DHCP. Wie schon gesagt ich habe leider eine Fritzbox im Einsatz.
Die Frage ist nur wie verhindere ich es beim ISC DHCP Server
Die Frage ist nur wie verhindere ich es beim ISC DHCP Server
Moment, du hast 2 DHCP im gleichen Netz?
Wie kommst du darauf?
Oh sorry hab falsch gelesen, dachte die Dritte gibt Leases aus 
Ich schau mal, was ich finden kann...
Ich schau mal, was ich finden kann...
Hi,
wie viele Geräte hast du denn ca. im Netz aktiv?
Wenn du schon Debian einsetzt fallen mir zwei Möglichkeiten ohne Kostenaufwand und schnell und schmutzig Lösung ein:
1.
Free Nac, es gibt vor allem für Linux, open Source NAC Systeme. mit diesen kannst du dann entsprechende MAC-Adressen blockieren.
2.
Auf dem DHCP Server ein weiteres Netz anlegen, die MAC-Adressen dort einpflegen, sodass sie sich immer eine Adresse aus dem anderen Bereich ziehen
ansonsten fällt mir spontan noch VLAN Trennung ein. Hast du Managed Switche im Einsatz? Wenn ja lass dir anhand der ARP-Requests anzeigen an welchem Port die Geräte sich melden und lokalisiere sie so
wie viele Geräte hast du denn ca. im Netz aktiv?
Wenn du schon Debian einsetzt fallen mir zwei Möglichkeiten ohne Kostenaufwand und schnell und schmutzig Lösung ein:
1.
Free Nac, es gibt vor allem für Linux, open Source NAC Systeme. mit diesen kannst du dann entsprechende MAC-Adressen blockieren.
2.
Auf dem DHCP Server ein weiteres Netz anlegen, die MAC-Adressen dort einpflegen, sodass sie sich immer eine Adresse aus dem anderen Bereich ziehen
ansonsten fällt mir spontan noch VLAN Trennung ein. Hast du Managed Switche im Einsatz? Wenn ja lass dir anhand der ARP-Requests anzeigen an welchem Port die Geräte sich melden und lokalisiere sie so
Oder du setzt eine OpenSource Firewall davor. Als "vernünftiger" Router und Packet Filter.
Ich habe ein zweites netz angelegt und dann gibt es
danke für den Tipp
danke für den Tipp
