boowser
Goto Top

Bitlocker stört Netzwerk

Moin zusammen,

ich wurde aus dem Windows-Forum zu euch rübergeschickt, da es dort hieß, da soll mal ein Netzwerk-Experte was zu sagen... Also bin ich hier face-smile

Das Problem ist folgendes: Sobald mein Laptop (Windows10/von der Arbeit) neu startet und am Anfang in der Passwort-Eingabe für Bitlocker hängt ist nach kurzer Zeit mein gesamtes Netzwerk "offline". Und das auch reproduzierbar.

Ich möchte mal kurz mein Netzwerk skizzieren mit allen, aus meiner Sicht relevanten Akteuren:
netzwerkskizze2

Alle Switches sind unmanaged und haben zwischen 4 und 8 Ports, also jetzt nichts weltbewegendes. Alle Akteure sind mittels Kabel verbunden, der Laptop, Dell XPS, steckt in seiner Docking-Station.

Nun folgendes Szenario:
Ich pinge mit "Desktop" www.google.de an und lasse Wireshark laufen. Währenddessen starte ich den Laptop neu, sodass er in die Bitlocker Eingabemaske kommt. Kurze Zeit später laufen die Pings ins Leere ("Zeitüberschreitung der Anforderung.") und Wireshark zeigt nur noch folgendes an:
wiresharkscreenshot

Auch der WLAN AP schmeißt meine Handys raus und blinkt rot. Desktop2 ist ebenfalls ohne Internet.
Der Router (FritzBox 7530) verliert sogar die DSL Verbindung: "Zeitüberschreitung bei der PPP-Aushandlung". Immerhin lässt sich der Router noch über seine lokale "fritz.box"-Adresse noch erreichen.
Den Router habe ich auch schon vor kurzem getauscht, war vorher eine 6490, gleiches Verhalten.

Sobald ich entweder das Bitlocker-Passwort eingebe, oder den Laptop von der Docking-Station trenne fängt sich das Netzwerk nach 1-2 Minuten wieder.

Ich bin absolut ratlos wieso und weshalb Bitlocker mein gesamtes Netzwerk stören kann. Hat jemand von euch eine Idee, welche ich verfolgen könnte? Wie gesagt, "zum Glück" ist das Verhalten reproduzierbar.

Danke und VG

Content-ID: 92571076993

Url: https://administrator.de/forum/bitlocker-stoert-netzwerk-92571076993.html

Ausgedruckt am: 28.12.2024 um 07:12 Uhr

em-pie
em-pie 14.02.2024 um 10:46:24 Uhr
Goto Top
Moin,

Welche Geräte (Hersteller und Modell) kommen bei den Switchen/ APs zum Einsatz?

Was passiert, wenn du das Dell nicht per DockingStation ins Netz hängst, sondern das Netzwerkkabel mal direkt in den Dell einsteckst?
Was passiert, wenn du dich mal direkt (mit/ ohne DockingStation) an der Fritte anschließt?


Wer ist bei dir die 192.168.10.36 bzw. .79?
11078840001
11078840001 14.02.2024 aktualisiert um 10:59:41 Uhr
Goto Top
Sieht etwas nach ARP Poisening aus, ein Device gibt sich als Default-GW aus in dem es ARP Antworten mit seiner MAC im Netz verbreitet. Somit schicken die Devices im Netz dann ihre Internet-Pakete statt an den Router an das Poisening Device und peng, alles steht sofern dieses die Pakete nicht ins Internet weiterreicht.
Evt. spielt die NIC der Docking-Station verrückt.
Ein Wireshark Trace direkt am am Router sollte Klarheit schaffen, Fritzboxen haben ja ein eingebautes Wireshark Capturing nutze das mal bitte.
BooWseR
BooWseR 14.02.2024 aktualisiert um 11:16:11 Uhr
Goto Top
Zitat von @em-pie:
Welche Geräte (Hersteller und Modell) kommen bei den Switchen/ APs zum Einsatz?
Der Switch, welcher den Laptop und Router trennt ist ein Netgear GS608, locker 15 Jahre jung. Die restlichen Switches würde ich im nächsten Feldversuch einfach mal abstecken und schauen ob das Verhalten gleich bleibt.
Was passiert, wenn du das Dell nicht per DockingStation ins Netz hängst, sondern das Netzwerkkabel mal direkt in den Dell einsteckst?
Leider habe ich keinen passenden Dongle. Dell legt nur noch die kleinen Teile mit HDMI und USB bei.
Was passiert, wenn du dich mal direkt (mit/ ohne DockingStation) an der Fritte anschließt?
Muss ich auch noch testen.
Wer ist bei dir die 192.168.10.36 bzw. .79?
.36 ist "Desktop" und .79 ist mein truenas. Den habe ich aber erst seit zwei Monaten im Betrieb, das beschriebene Problem bestand schon vorher.

Zitat von @11078840001:
Sieht etwas nach ARP Poisening aus, ein Device gibt sich als Default-GW aus in dem es ARP Antworten mit seiner MAC im Netz verbreitet. Somit schicken die Devices im Netz dann ihre Internet-Pakete statt an den Router an das Poisening Device und peng, alles steht.
Evt. spielt die NIC der Docking-Station verrückt.
Das klingt vielversprechend.
Ein Wireshark Trace direkt am am Router sollte Klarheit schaffen, Fritzboxen haben ja ein eingebautes Wireshark Capturing nutze das mal bitte.
Die Fritzbox bietet ja alles mögliche zum Überwachen:
1. Internetverbindung
Routing-Schnittstelle
Schnittstelle 2 ('avm-ipsec')  
Schnittstelle 3 ('avm-wg')  
Schnittstelle 0 ('internet')  
Schnittstelle 1 ('mstv')  
3. Internetverbindung
2. Internetverbindung
Oder die entsprechenden Netzwerkschnittstellen:
eoam
eth0
eth1
eth2
eth3
ing0
lan
ppptty
...
Welche schneide ich denn da am Besten mal mit? Die eth*, an welcher der Laptop hängt?

Edit.: Ich bin gerade zufällig auf folgenden Beitrag gestoßen: https://www.dell.com/community/en/conversations/latitude/wd19-dock-kills ...
Dort steht auch eine Lösung am Ende. Ich bitte mal die Admins das zu probieren, ich selbst habe darauf keinen Zugriff.
11078840001
11078840001 14.02.2024 aktualisiert um 11:24:43 Uhr
Goto Top
Nimm mal "lan" das sollte auf dem internen LAN-Switch alles erfassen sofern ich mich nicht täusche, kann gerade nicht nachsehen.

Also wie erwartet die das Docking-LAN schuld.
BooWseR
BooWseR 14.02.2024 um 11:27:32 Uhr
Goto Top
Zitat von @11078840001:
Nimm mal "lan" das sollte auf dem internen LAN-Switch alles erfassen sofern ich mich nicht täusche, kann gerade nicht nachsehen.
Mach ich mal nach Feierabend, wäre gerade nicht sehr schlau das Netzwerk zu plätten.
Also wie erwartet die das Docking-LAN schuld.
Vermutlich, ja. Ich hab mal ein Ticket bei uns intern erstellt und darum gebeten die Lösung mal zu checken.
11078840001
11078840001 14.02.2024 aktualisiert um 11:37:25 Uhr
Goto Top
So viel zum Thema Consumer-HW in Firmennetzen. Mit vernünftiger Router- und Switch-Hardware würdest du dir bei sowas auch nicht das ganze Netz stilllegen, denn diese können ARP Poisening unterbinden und die Pakete blockieren bzw. den Port stilllegen sobald sich ein Device an einem Port versucht sich als Router auszugeben.
Netzsegmentierung ist hier wohl ebenfalls ein Fremdwort beim Netzdesign gewesen 🫠.
BooWseR
BooWseR 14.02.2024 um 11:42:49 Uhr
Goto Top
Zitat von @11078840001:
So viel zum Thema Consumer-HW in Firmennetzen.
Ich glaube hier herrscht ein kleines Missverständnis, ich spreche hier von meinem Arbeitslaptop in meinem Heimnetz. Dass ich dort eben keinen tausende Euro schweren Backbone habe, sondern eben 20 Euro Netgear Switches, liegt auf der Hand.
Mit vernünftiger Router- und Switch-Hardware würdest du dir bei sowas auch nicht das ganze Netz stilllegen, denn diese können ARP Poisening unterbinden und die Pakete blockieren bzw. den Port stilllegen sobald sich ein Device an einem Port versucht sich als Router auszugeben.
Vermutlich - Ich glaube ich schleppe das nächste Mal meine Docking-Station mit in die Firma und schaue ob ich dort ebenfalls das Netzwerk lahmlegen kann. Ich bin gespannt, habe aber meine Zweifel.
Netzsegmentierung ist hier wohl ebenfalls ein Fremdwort beim Netzdesign gewesen 🫠.
Also bei mir im Heimnetzwerk definitiv. :D
11078840001
11078840001 14.02.2024 aktualisiert um 12:00:15 Uhr
Goto Top
Zitat von @BooWseR:

Ich glaube hier herrscht ein kleines Missverständnis, ich spreche hier von meinem Arbeitslaptop in meinem Heimnetz.

Ähm wieso brauchst du daheim dann ein Ticket? 🙃

Vermutlich, ja. Ich hab mal ein Ticket bei uns intern erstellt und darum gebeten die Lösung mal zu checken.

Oder nur für den verdängelten Firmen-Lappi?
BooWseR
BooWseR 14.02.2024 um 12:24:01 Uhr
Goto Top
Zitat von @11078840001:
Ähm wieso brauchst du daheim dann ein Ticket? 🙃
Weil ich leider nicht ins BIOS darf. Der andere Ansatz, Deaktivierung von Green Ethernet war leider nicht von Erfolg gekrönt.

Eventuell tausche ich auch den unmanaged Switch gegen einen managed Switch aus, ich las in dem Beitrag noch etwas von einem PAUSE Paket, welches sich mit einem managed Switch rausfiltern lassen würde. Aber erstmal abwarten was die Fritzbox so alles mitschneidet.
Woipadinga
Woipadinga 15.02.2024 um 08:39:48 Uhr
Goto Top
Hi,

zuerst einmal halte ich ARP Cache Poisoning für unwahrscheinlich, da hier der Router im DSL nicht abschmieren würde.
Das wirkt eher wie ein packet storm zumal der Desktop die ganze Zeit versucht sein Gateway im Broadcast zu finden und ich davon ausgehe, dass die .1 hinten die Fritte ist und somit legitim.

Bitte mach mal wie von abramakabra vorgeschlagen einen pcap auf der Fritte und stell diesen bereit.

Ich gehe davon aus, das wir auf diesem utopisch viele Pakete sehen werden und eben auch einen völlig überladenen Broadcast.

Letztlich können wir hier die Ursache im Netzwerk identifizieren und analysieren wieso dein Netzwerk zusammenklappt, jedoch das zugrunde liegende Problem, welches ja am Dock vermutet wird, nicht lösen.

Zur Not boote deinen Laptop ohne Dock und häng ihn erst wenn er gebootet hat dran. Wenn es dann nicht passiert, hast du erstmal einen praktikablen Workaround. Später dann das Dock tauschen und zwischenzeitlich einen Supportcase bei Dell aufmachen.

Firmwareupdate des Docks könnte man auch noch probieren ist aber "stochern im Nebel" und bringt nicht allzu viel wenn du dafür immer an deine IT heran treten musst.

Mein Vorschlag also, pcap auf der Fritte machen um das zu verifizieren (bestenfalls während die Dock direkt an der Fritte hängt) und mit einem Workaround leben bis das Dock getauscht werden kann.

Was mit dem Dock nicht stimmt, Hard- oder Softwaretechnisch können wir hier sowieso nicht herausfinden.

LG
Woipadinga