kirschi
Goto Top

DHCP IP passt nicht zu MAC-Adresse

Hallo zusammen,
wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf die gleiche Weise zugewiesen wird.
Jetzt kommt es häufig vor, daß der Drucker angeblich "offline" ist.
Ein arp -a auf dem Printserver (2012R2) bringt zutage, daß selbiger fälschlicherweise die MAC des PC mit der IP des Druckers verbindet. Nach einem arp -d funktioniert das wieder, bzw. wird richtig zugeordnet. Meist nur bis zum nächsten Morgen.
netsh interface ip delete arpcache
habe ich auch versucht.
Auch das feste Zuweisen der IP im Drucker (und das Löschen des Eintrages im DHCP-Server) behebt das Problem nicht.
Wo könnte ich hier ansetzen?
Gruß
Andreas

Content-ID: 666815

Url: https://administrator.de/contentid/666815

Ausgedruckt am: 06.11.2024 um 01:11 Uhr

Xaero1982
Xaero1982 18.05.2021 um 08:17:34 Uhr
Goto Top
Moin,

grundsätzlich lege ich Drucker in einen Bereich, in dem keine DHCP Adressen verteilt werden. Ich teile meine IPs für Drucker statisch zu, aber es geht natürlich auch per Reservierung im DHCP.

Unwahrscheinlich, aber was sagt der DNS?

Grüße
Kirschi
Kirschi 18.05.2021 um 08:32:57 Uhr
Goto Top
Im DNS taucht der PC mit 192.168.19 korrekt auf. Drucker sind dort nicht gelistet.
CyborgWeasel
CyborgWeasel 18.05.2021 aktualisiert um 09:42:21 Uhr
Goto Top
Hmmm, klingt irgendwie nach ARP Spoofing... Schon mal den PC auf Maleware durchsucht? Wenn der "Fix" nur von kurzer Dauer ist würde ich vielleicht mal einen Wireshark auf dem Server laufen lassen um zu schauen wann der ARP bzw. woher dieser ARP Request kommt...

Gruß
lcer00
lcer00 18.05.2021 um 09:48:13 Uhr
Goto Top
Hallo,
Zitat von @Kirschi:

Ein arp -a auf dem Printserver (2012R2) bringt zutage, daß selbiger fälschlicherweise die MAC des PC mit der IP des Druckers verbindet.
Dein DHCP Server hat dem PC tatsächlich zu diesem Zeitpunkt diese IP vergeben. Prüfe das bitte.

Grüße

lcer
Doskias
Doskias 18.05.2021 um 09:52:15 Uhr
Goto Top
Zitat von @Kirschi:

Hallo zusammen,
wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf die gleiche Weise zugewiesen wird.
Jetzt kommt es häufig vor, daß der Drucker angeblich "offline" ist.
Ein arp -a auf dem Printserver (2012R2) bringt zutage, daß selbiger fälschlicherweise die MAC des PC mit der IP des Druckers verbindet. Nach einem arp -d funktioniert das wieder, bzw. wird richtig zugeordnet. Meist nur bis zum nächsten Morgen.
netsh interface ip delete arpcache
habe ich auch versucht.
Auch das feste Zuweisen der IP im Drucker (und das Löschen des Eintrages im DHCP-Server) behebt das Problem nicht.
Wo könnte ich hier ansetzen?
Gruß
Andreas

Wenn du es dir einfach machen willst, dann geh wie folgt vor:
1. Drucker auf DHCP stellen
2. Am Client "ipconfig /release"
3. DHCP prüfen ob die Adresse wirklich frei ist
4. IP-Adresse des Druckers reservieren
5. Am Client "ipconfig /renew"

Wenn du wie beschrieben wirklich nur am DHCP die Einträge gelöscht hast, dann wird die Situation dadurch nicht besser. Wenn du auf dem DHCP die Zuweisung löscht, aber am Client nicht, dann vergibt der DHCP die Adresse neu. Ob der Client die Adresse hat, ist dann an der Stelle dem Server egal.

Alternativ um auf Nummer sicher zu gehen Drucker nicht in die DHCP-Verteilungsbereiche nehmen. Spart zum einen Kollisionen zum anderen hast du dann getrennte Bereiche für Clients und Drucker. Deine Server haben aus dem gleichen Grund (hoffe ich zumindest) im Netzwerk ja auch einen eigenen Bereich und kleben nicht irgendwo zwischen den Clients.

Ansonsten empfehle ich ein Update der Server: https://www.oreilly.com/library/view/windows-server-cookbook/0596006330/ ...
Die Option steht soweit ich Weiß auf 2012R2 nicht zur Verfügung

Gruß
Doskias
NordicMike
NordicMike 18.05.2021 um 10:25:48 Uhr
Goto Top
Was ist das für ein DHCP Server? Wenn es ein Linux basierender ist, was sagt die /var/log/dhcpd.log dazu?
Kirschi
Kirschi 18.05.2021 aktualisiert um 10:28:33 Uhr
Goto Top
Danke für euren Input. Bei Abarbeiten eurer Tips bin ich im Drucker tatsächlich auf einen falschen DNS-Eintrag gestoßen. Der zeigte noch auf einen alten Domaincontroller (=DNS-Server). Das hab ich jetzt korrigiert und werde morgen früh sehen, ob es das gebracht hat.
Unser DHCP-Server ist linuxbasiert. Habe aber keine Konsole zur Verfügung (fremdgewartet). Die Kollegen dort meinen, kein ARP-Reply bzgl. der genannten IP- und MAC-Adressen zu finden.
Lochkartenstanzer
Lochkartenstanzer 18.05.2021 aktualisiert um 14:08:25 Uhr
Goto Top
Zitat von @Kirschi:

Unser DHCP-Server ist linuxbasiert. Habe aber keine Konsole zur Verfügung (fremdgewartet). Die Kollegen dort meinen, kein ARP-Reply bzgl. der genannten IP- und MAC-Adressen zu finden.

Sicher, daß nur ein DHCP-Server im Netz ist? ggf. hat ja einer noch einen zusätzlichen "reingestellt" (rogue-dhcp) oder den vom Router wieder aktiviert, weil er der Meinung ist, der andere "tut nicht richtig". face-smile

Mit sudo nmap --script broadcast-dhcp-discover kann man das sehr schnell unter linux prüfen. ggf. den Client mit knoppix booten, wenn man keine Linuxkiste zur Hand hat.

lks
lcer00
lcer00 18.05.2021 um 14:05:27 Uhr
Goto Top
Hallo,
Zitat von @Kirschi:
Der zeigte noch auf einen alten Domaincontroller (=DNS-Server). Das hab ich jetzt korrigiert und werde morgen früh sehen, ob es das gebracht hat.
MAC und IP gehören zu den Protokollen DHCP und ARP. DNS arbeitet nicht mit MAC. Da ARP kaum konfiguriert werden kann, kommt nur DHCP als Fehlerquelle in Frage.

Grüße

lcer
Kirschi
Kirschi 18.05.2021 um 14:32:52 Uhr
Goto Top
Ausgabe ist
Response 1 of 1:
IP Offered: 192.168.0.148
DHCP MEssage Type: DHCPOFFER
Server Identifier: 192.168.0.254
...
Die 0.148 gibt es nicht im Netz. Die 0.254 ist unser Router
lcer00
lcer00 18.05.2021 um 14:45:36 Uhr
Goto Top
Hallo,
Zitat von @Kirschi:

Ausgabe ist
> Response 1 of 1:
> IP Offered: 192.168.0.148
> DHCP MEssage Type: DHCPOFFER
> Server Identifier: 192.168.0.254
> ...
> 
Die 0.148 gibt es nicht im Netz. Die 0.254 ist unser Router
Und der Router soll auch der DHCP-Server sein? Wenn nicht, die DHCP-Server-Funktion am Router Abschalten.

Grüße

lcer
Lochkartenstanzer
Lochkartenstanzer 18.05.2021 aktualisiert um 14:58:48 Uhr
Goto Top
Zitat von @Kirschi:

Ausgabe ist
> Response 1 of 1:
> IP Offered: 192.168.0.148
> DHCP MEssage Type: DHCPOFFER
> Server Identifier: 192.168.0.254
> ...
> 
Die 0.148 gibt es nicht im Netz. Die 0.254 ist unser Router

Reponse 1 of 1

heißt, daß da tatsächlich nur ein DHCP-Server ist (oder der andere gerade "schläft").

IP Offered: 192.168.0.148
DHCP MEssage Type: DHCPOFFER

Das heißt ja nur, daß nmap die 148 angeboten bekommen hat, nicht, daß es diese gibt.

Server Identifier: 192.168.0.254

Und daß Euer Router die DHCP-Antwort liefert. Sollte das nicht der sein, der eigentlich als DHCP-Server auftreten sollte, habt Ihr ein Problem.

lks
Kirschi
Kirschi 18.05.2021 aktualisiert um 15:25:11 Uhr
Goto Top
Der 192.168.0.254 ist der DHCP. Die 192.168.0.148 ist die vorletzte freie Adresse im DHCP-Bereich.
Lochkartenstanzer
Lochkartenstanzer 18.05.2021 aktualisiert um 15:29:14 Uhr
Goto Top
Zitat von @Kirschi:

Der 192.168.0.254 ist der DHCP.

Dann ist das ja o.k.

Die 192.168.0.148 ist die vorletzte freie Adresse im DHCP-Bereich.

Ist euer DHCP-Bereich also fast ausgeschöpft, d.h. nur noch zwei frei, oder meinst Du nur, daß Eure DHCP-Range bis 149 geht?

lks
lcer00
lcer00 18.05.2021 um 16:15:31 Uhr
Goto Top
Hallo,
Zitat von @Lochkartenstanzer:

Ist euer DHCP-Bereich also fast ausgeschöpft, d.h. nur noch zwei frei, oder meinst Du nur, daß Eure DHCP-Range bis 149 geht?
Da käme noch in Frage, dass auf dem PC eine Fallback-IP configuriert ist die verwendet wird, falls der DHCP „voll“ ist und keine IP angeboten werden kann.
Zitat von @Kirschi:

Unser DHCP-Server ist linuxbasiert. Habe aber keine Konsole zur Verfügung (fremdgewartet). Die Kollegen dort meinen, kein ARP-Reply bzgl. der genannten IP- und MAC-Adressen zu finden.

Wieso versuchst Du das Problem zu lösen, wenn Du keinen Zugriff auf die mögliche Quelle hast?

Grüße

lcer
CyborgWeasel
Lösung CyborgWeasel 18.05.2021 aktualisiert um 17:11:17 Uhr
Goto Top
Zitat von @lcer00:
Da käme noch in Frage, dass auf dem PC eine Fallback-IP configuriert ist die verwendet wird, falls der DHCP „voll“ ist und keine IP angeboten werden kann

Da er doch ne Reservierung für den PC hat sollte ein "voller" DHCP an der stelle egal sein, oder?

Wieso versuchst Du das Problem zu lösen, wenn Du keinen Zugriff auf die mögliche Quelle hast?

Ich vermute weil es heißt "das muß am Drucker/PC liegen, unser Server läuft einwandfrei" face-smile Hätte ich für jedes mal eine Mark bekommen, wenn ich das gehört habe, dann würde ich jetzt nicht mehr arbeiten müssen face-big-smile

Gruß
Kirschi
Kirschi 19.05.2021 um 06:47:45 Uhr
Goto Top
Nein, ausgeschöpft ist der Bereich nicht, er geht bis 149.
Kirschi
Kirschi 03.06.2021 aktualisiert um 13:09:49 Uhr
Goto Top
Das Problem ist "verschwunden", nachdem es bis gestern präsent war.
Habe heute das BIOS des PC resettet. Vielleicht ist die fragliche IP irgendwie im Zusammenhang mit Remote Management Software im Spiel gewesen. Eine Einstellung habe ich jedenfalls nicht gefunden. Oder ist einfach das Lease abgelaufen.
Komisch war auch, daß der "Rechnername", also der des Druckers mit der IP und der falschen MAC auftauchte beim Scan. Drucker und PC hatten zuletzt ihre ursprünglichen IPs fest eingetragen.
Danke euch!