DHCP-Server vergibt IP an unbekannten Client trotz aktiver Filterliste

menace
Goto Top
Hallo zusammen,

wir nutzen die DHCP-Server Rolle auf einem MS Server 2012 und haben die Zulassen- bzw. Verweigern-Filter konfiguriert.
Das System funktioniert an sich auch so wie es soll, nicht in die Filter eingetragenen Clients bzw. MACs bekommen auch keine IPs.

Nun ist uns aufgefallen, dass der Server zum Teil doch IPs an spezielle Clients vergibt.
Angenommen Client A mit der MAC b8ca3a9e015a ist im Zulassen Filter eingetragen. Dieser bekommt auch eine entsprechende IP vom DHCP-Server.
Auf dem Client wird nun ein Linux Betriebssystem (Dist. aktuell unbekannt) installiert, auf welchem wiederum virtuelle Maschinen generiert werden. (Leider sind aktuell keine weiteren Details hierzu bekannt)
Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der erste Bestandteil der eingetagenen VM MAC besteht aus der MAC des Host-PCs. Der Rest wird wahrscheinlich dynamisch generiert.

Frage wäre nun, wieso der DHCP-Server hier eine IP Adresse verteilt. Hat jemand hier dieses Verhalten schon einmal am eigenen System beobachten können, bzw. gibt es eine Erklärung bzw. Lösung hierzu?!


Besten Dank

edit: mir ist eben noch aufgefallen, dass im DHCP-Server bei diesem IP-Lease in der Spalte Filterprofil "keine" steht. Bei den anderen Leases steht "Zulassen"

Content-Key: 352188

Url: https://administrator.de/contentid/352188

Ausgedruckt am: 04.07.2022 um 14:07 Uhr

Mitglied: sabines
sabines 19.10.2017 um 11:33:24 Uhr
Goto Top
Moin,

ich könnte mir vorstellen, dass die "überschüssigen" Zeichen der Mac Adresse gar nicht erst geprüft werden und daher als valide erkannt werden.
Kannst Du prüfen wieso die virtuellen Systeme solche komischen MAC Adressen erhalten?
Welche VM Software ist das? Ggfs. kannst Du den VMs "echte" MAC Adressen zuweisen und erlauben.

Gruss
Mitglied: menace
menace 19.10.2017 um 11:48:26 Uhr
Goto Top
Hallo,

wie bereits erwähnt, habe ich aktuell leider keine weiteren Informationen bzgl. des Host-Systems bzw. keinen Zugriff darauf.

Ich kann das vergebenen Lease mit dieser komischen MAC auch nicht z.B. auf die Verweigern Liste setzen, da ich dann einen Fehler bekomme, dass die MAC nicht im korrekten Format sei.
Mitglied: sabines
sabines 19.10.2017 um 11:51:11 Uhr
Goto Top
Tja, dann klär das mit dem VM Verantwortlichen.
(Das Du die "komische" MAC nicht sperren kannst, ergibt sich ja von selbst)
Mitglied: menace
menace 19.10.2017 um 11:56:18 Uhr
Goto Top
Ich sehe das Problem eher beim DHCP-Server und nicht bei dem VM-Host.
Der Server dürfte eigentlich gar keine IP vergeben, vorallem weil diese komische VM MAC nicht mal die komplette MAC vom Host-System beinhaltet, sondern nur einen Teil davon.
Das der Server bereits bei eine "Teilübereinstimmung" der MAC mit einer Filter MAC bereits entsprechend agiert wäre ja eigentlich sinnfrei.
Mitglied: sabines
sabines 19.10.2017 um 12:19:06 Uhr
Goto Top
Dann s.o. prüfe doch mal wie genau die MAC Adressen auf der VM lauten und angezeigt werden.

Weiß der Geier was 2016 mit einer überlangen MAC Adresse macht, vielleicht bist Du ja auch einen BUG gestossen und kannst damit bei MS absahnen face-wink

PS: MAC Filter sind ein bißchen Oldschool, wenn möglich 802.X Radius etc einsetzen
Mitglied: Dobby
Dobby 19.10.2017 um 13:26:12 Uhr
Goto Top
Hallo,

man kann hier mehrere Punkte in Angriff nehmen, aber dazu muss man auch etwas mehr über das netzwerk
wissen und die dazugehörige Hardware. Denn mit den Informationen sollte das mehr raten sein als alles andere.

wir nutzen die DHCP-Server Rolle auf einem MS Server 2012
Auch als AD/DC oder ein AD/DC gestütztes Netzwerk? Sind die VMs auch Mitglied in dieser Domäne?

Man kann auch folgendes machen wenn Du dort nicht auf alles Zugriff hast;
- LDAP Server Rolle für Kabel gebundene Geräte
- Radius Server Rolle für Kabel lose Geräte installieren und mit Zertifikaten arbeiten
- Alternativ kann man auch alles mittels Radius Server absichern nur dann sollten die Switche auch Multi-Port
Authentifizierung beherrschen sonst ist das auch nur halb gar und man kann es leicht umgehen.

Eine Weitere Alternative ist einen kleinen RaspBerry PI mit Trunkey Linux zu installieren und dann die dort
den OpenLDAP Server zu benutzen, schön schick mit KlickiBunti Oberfläche und schnell erledigt.

Gruß
Dobby

Mitglied: menace
menace 19.10.2017 um 13:54:23 Uhr
Goto Top
Hallo,

es gibt ein AD, auf welches wir aber nur beschränkten Zugriff haben. Wir sind Teil eines großen Universitätsnetzes und können maximal PCs dem AD hinzufügen und GPOs konfigurieren. Mehr nicht. Wir haben auch z.B. keinen Zugriff auf die aktiven Netzwerkkomponenten.

Die bestehende Lösung an sich reicht uns ja auch und funktioniert eigentlich bis auf den genannten Fall zufriedenstellend gut. Extra LDAP oder RADIUS zu implementieren würde den Rahmen in unserem Falle wohl deutlich sprengen.
Meine Kernfrage wäre wie bereits geschrieben, wieso der Server im genannten Fall IPs vergibt, obwohl Filter aktiv sind. Handelt es sich wirklich um einen Bug?
Dass die "MACs" speziell im MS DHCP Server zum Teil unüblich aussehen können habe ich mittlerweile ergoogelt. BOOTP und RFC4361 sind hier Begriffe, die wohl damit zusammenhängen.
Würde mich auch nicht weiter stören, wenn die MAC Filter trotzdem "zuverlässig" funktionieren würden, MAC Spoofing und solche Geschichten mal außen vorgelassen.
Mitglied: Pjordorf
Pjordorf 19.10.2017 um 15:35:11 Uhr
Goto Top
Hallo,

Zitat von @menace:
Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der DHCP-Server verwendet nicht eins-zu-eins diese MAC-Adressen, sondern Eindeutige IDs. Diese Eindeutigen IDs (in der englischen Version des Microsoft DHCP-Servers „Unique ID“ bezeichnet) ist ein DHCP-Parameter welcher im RFC2132 Section 9.14 (http://tools.ietf.org/html/rfc2132#section-9.14) als „Client-identifier“ beschrieben ist.

Der erste Bestandteil der eingetagenen VM MAC besteht aus der MAC des Host-PCs. Der Rest wird wahrscheinlich dynamisch generiert.
Deine genannte MAC ist aber nur 5 1/2 Bytes lang face-smile

Vielleicht ein Hinweis...

Gruß,
Peter
Mitglied: menace
menace 23.10.2017 um 12:43:55 Uhr
Goto Top
aktuell haben wir einen zweiten Fall im DHCP gefunden. Der Server vergibt eine IP an die GUID "44454C4C370010598039C4C04F5A5831" welche in keinem Zusammenhang mit irgendeinem PC bzw. mit irgendeiner MAC steht.
Bei "Filterprofil" steht wieder "Keine"...

Ich habe schon versucht die GUID in ASCII zu konvertieren, außer "DELL" am Anfang bekomme ich aber leider keine weiteren brauchbaren Informationen heraus.
Mitglied: menace
menace 20.11.2017 um 09:43:54 Uhr
Goto Top
Wir sind mit unseren Recherchen mittlerweile einen Schritt weitergekommen.
Diese GUID , welche der DHCP Server hier mit dem Lease verknüpft, hängt wohl mit dem DELL Bios bzw. bestimmter BIOS Versionen zusammen.
Die GUID entspricht der, welche im PC BIOS hinterlegt ist, hat aber leider keinen wirklichen Zusammen mit der eigentlichem MAC desselben PCs.
Beim PXE-Boot macht dann (wohl) der PC mit dieser GUID einen DHCP-Request und bekommt vom Server ein DHCP Lease zugewiesen.
Wieso der Server dies macht bleibt nach wie vor offen. Die eigentliche MAC des PCs ist zwar mit einem reservierten Lease und entsprechendem Filter auf dem Server konfiguriert, trotzdem gibt der Server beim PXE Boote eine neue, freie IP an den Client und hinterlegt die zugehörige BIOS GUID.
Im Windows erhält der Client dann seine korrekte IP, welche im reservierten Lease festgelegt wurde.

Die PXE GUID Problematik scheint wohl auch von der BIOS Version des Clients abhängig zu sein.
Konkrete Details hierzu gibt es aber noch nicht.
Mitglied: Pjordorf
Pjordorf 20.11.2017 um 13:14:56 Uhr
Goto Top
Hallo,

Zitat von @menace:
Diese GUID
Nimm einen Wireshark oder den MS Message Aalyzer und schau dir dir Pakten an welche sich mir dein DHCP Server unterhalten, dann stell bei deinen DHCP Server ein das du ein ausführliches LOG haben willst. Danach siehst du ganz schnell was passiert und wer was vergibt bzw. erhält, dann braucht es auch kein Orakeln, hätte, wenn und aber. face-smile

Gruß,
Peter