winit3264
Goto Top

Blocken einer einzigen IP für DHCP Vergabe?

Hallo,

wir haben zwei Netze in der Firma. Ich sage mal die 192.168.5.xxx für Rechner und die 192.168.4.xxx für IP Telefone. Funktioniert auch alles bestens. Seit ein paar Tagen haben wir jedoch das Problem dass wenn wir ein neuen (oder alten) Rechner oder Notebook ans Netzwerk hängen um ihn zu testen/benutzen/konfigurieren, dann zieht sich dieser Rechner in 9 von 10 Fällen eine ganz bestimmte IP Adresse aus dem Adressbereich der Telefone! Sagen wir mal die 192.168.4.100. Wir haben schon alles nachgeschaut, alle scopes, alle leases, alle Switch Konfigurationen aber wir finden keine Lösung.

Wenn wir die .4.100 in DHCP leases löschen dann zieht sich der Rechner nach dem zweiten Neustart die richtige IP aus dem 5.xxx Leasebereich. Wie können wir diese eine vermaledeite IP Adresse (.4.100) dauerhaft blocken? Also dass DHCP diese IP nicht mehr vergibt?

Danke!!

Content-ID: 307753

Url: https://administrator.de/forum/blocken-einer-einzigen-ip-fuer-dhcp-vergabe-307753.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

emeriks
emeriks 21.06.2016 um 09:43:25 Uhr
Goto Top
Hi,
welche Masken haben diese Netze?

Generell:
Entweder die betreffenden IP-Adressen via Ausschlusspool im Scope ausschließen.
Oder eine Reservierung für diese IP-Adresse erstellen, mit der MAC, welcher diese Adresse z.Z. zugeordnet ist.

E.
laster
laster 21.06.2016 um 09:44:23 Uhr
Goto Top
Hallo,

man sollte der Sache nachgehen.....
Erst mal die .4.100 für eine viktive MAC reservieren.

vG
LS
Lochkartenstanzer
Lochkartenstanzer 21.06.2016 um 10:21:11 Uhr
Goto Top
Moin,

Welche Netzwerkmaske.
Habt Ihr die eräte all eim selben Subnet ode rin derselben Boradcast-Domain?

Oder habt Ihr den PC nur ins falsche Netz gesteckt?

lks
winIT3264
winIT3264 21.06.2016 um 11:46:09 Uhr
Goto Top
@laster

werde ich mal probieren, danke.

@emeriks

wäre meine zweite Wahl! Werde ich nach Laster's Vorschlag testen.

@Lochkartenstanzer

Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.
emeriks
emeriks 21.06.2016 aktualisiert um 11:49:08 Uhr
Goto Top
@emeriks
wäre meine zweite Wahl! Werde ich nach Laster's Vorschlag testen.
Welchen? Das "Suchen" oder die Reservierung für die fiktive MAC?
Lochkartenstanzer
Lochkartenstanzer 21.06.2016 aktualisiert um 12:18:49 Uhr
Goto Top
Zitat von @winIT3264:

@Lochkartenstanzer

Ja klar, machen wir dauernd. Jeden Abend ziehen wir Telefone und PC's ab und schliessen sie morgens nach Gutdünken wieder neu an.

Naja, Du hast nichts dazu gesagt, ob die ding erjetzt all eim selben Subnet sind oder Du unterschiedliche Subnets auf der gleichen oder unterschiedlichen Broadcast-Domain hast. Von daher wäre der erste verdacht, daß einfach der PC falsch geklemmt worden wäre. Und glaub mir, daß passiert selbst Profis schneller als gedacht. villiech thabt Ihr ja auch nur ein Port des switches falsch konfiguriert, daß der vielleicht den PC ins falsche VLAN steckt.

Solange Du da keine nähere Informationen über Deine Infrastruktur rausrückst. könne wir nur spekulieren, was falsch laufen könnte.

lks

PS: Und Deine Bemerkung glaube ich Dir sofort: Ich kenne Firmen, die tatsächlich (zumindest einzelne) Lankabel am switch abends ziehen und morgens wieder drangesteckt haben, bis ich denen einfach mal eine zeitschaltuhr und einen zweiten switch hingestellt habe.
aqui
aqui 21.06.2016 aktualisiert um 13:24:55 Uhr
Goto Top
wir haben zwei Netze in der Firma. Ich sage mal die 192.168.5.xxx für Rechner und die 192.168.4.xxx für IP Telefone.
Ein klassisches, millionenfaches Standard Design... face-wink
dann zieht sich dieser Rechner in 9 von 10 Fällen eine ganz bestimmte IP Adresse aus dem Adressbereich der Telefone!
Oha...zeugt dann von einer Fehlkonfiguration des Routers und vermutlich des dortigen DHCP Relay Agents der diese beiden IP Adressbereiche verbindet bzw. routet !!
Leider ist deinen Beschreibung der verwendeten Infrastruktur sehr oberflächlich und laienhaft, so das eine zielführende Hilfe nicht einfach ist weil man sich den Rest denken oder zusammenraten muss. face-sad
Insbesondere die Kardinalsfrage ob ein zentraler DHCP Server in einem der beiden Segmente beide IP Netze bedient oder es in jedem Segment einen separaten DHCP Server gibt.
Beides ist denkbar aber so zwischen den Zeilen kann man vermuten das es einen zentralen gibt.
Ist dem so erfordert das zwingend im Router oder Layer 3 Switch der beide VLANs bzw. IP Segmente verbindet routingtechnisch einen DHCP Relay Agent (ip helper adresse) der DHCP Requests (UDP Broadcasts) an den zentralen DHCP Server forwardet.
Entweder läuft hier was schief oder die Router / Switch Konfig ist fehlerhaft. ?!
Da du weder Modell noch Konfig hier postest bleibt uns nur die Kristallkugel.....

Nur so viel. Der Relay Agent ersetzt die Absender IP mit seiner Interface IP in dem Segment wo der DHCP Broadcast empfangen wurde und sendet es dann weiter an den DHCP Server.
Daran erkennt der DHCP Server seinen Scope. Ob das alles sauber ist kannst du ganz einfach mit einem Wireshark Sniffer am DHCP Server sehen und entsprechend reagieren bzw. genau sehen WO der Fehler herkommt.
Da du ja schon ALLES geprüft hast wäre mal wichtig zu wissen was dabei rausgekommen ist.

Sehr wahrscheinlich wäre auch das jemand aus Versehen (hoffetlich nicht willentlich) eine Backdoor Bridge zwischen beiden IP Segmenten gesteckt hat und gar keine Layer 3 / Router Trennung mehr existiert, wie oben schon zurecht vermutet wurde !
Das wäre natürlich fatal würde aber auch das Verhalten sofort erklären, denn so erreichen DHCP Requests (UDP Broadcasts) den Server direkt ohne den erforderlichen DHCP Relay Agent.
Auch das kannst du sehen am Wireshark Trace nämlich das DHCP Antworten ohne Relay Agent direkt kommen. (IP Adresse)
Ein sichers Indiz das das Netzwerk eine Backdoor Bridge, parallel zum Router hat, was natürlich tödlich wäre.
Lochkartenstanzer
Lochkartenstanzer 21.06.2016 um 13:25:36 Uhr
Goto Top
Zitat von @aqui:

Ein sichers Indiz das das Netzwerk eine Backdoor Bridge, parallel zum Router hat was tödlich wäre.

Oder wie gesagt, einfach ein Konfigurationsfehler am VLAN-switch, sagt zumindest meine Kristallkugel. face-smile

lks