DHCP-Server vergibt IP an unbekannten Client trotz aktiver Filterliste
Hallo zusammen,
wir nutzen die DHCP-Server Rolle auf einem MS Server 2012 und haben die Zulassen- bzw. Verweigern-Filter konfiguriert.
Das System funktioniert an sich auch so wie es soll, nicht in die Filter eingetragenen Clients bzw. MACs bekommen auch keine IPs.
Nun ist uns aufgefallen, dass der Server zum Teil doch IPs an spezielle Clients vergibt.
Angenommen Client A mit der MAC b8ca3a9e015a ist im Zulassen Filter eingetragen. Dieser bekommt auch eine entsprechende IP vom DHCP-Server.
Auf dem Client wird nun ein Linux Betriebssystem (Dist. aktuell unbekannt) installiert, auf welchem wiederum virtuelle Maschinen generiert werden. (Leider sind aktuell keine weiteren Details hierzu bekannt)
Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der erste Bestandteil der eingetagenen VM MAC besteht aus der MAC des Host-PCs. Der Rest wird wahrscheinlich dynamisch generiert.
Frage wäre nun, wieso der DHCP-Server hier eine IP Adresse verteilt. Hat jemand hier dieses Verhalten schon einmal am eigenen System beobachten können, bzw. gibt es eine Erklärung bzw. Lösung hierzu?!
Besten Dank
edit: mir ist eben noch aufgefallen, dass im DHCP-Server bei diesem IP-Lease in der Spalte Filterprofil "keine" steht. Bei den anderen Leases steht "Zulassen"
wir nutzen die DHCP-Server Rolle auf einem MS Server 2012 und haben die Zulassen- bzw. Verweigern-Filter konfiguriert.
Das System funktioniert an sich auch so wie es soll, nicht in die Filter eingetragenen Clients bzw. MACs bekommen auch keine IPs.
Nun ist uns aufgefallen, dass der Server zum Teil doch IPs an spezielle Clients vergibt.
Angenommen Client A mit der MAC b8ca3a9e015a ist im Zulassen Filter eingetragen. Dieser bekommt auch eine entsprechende IP vom DHCP-Server.
Auf dem Client wird nun ein Linux Betriebssystem (Dist. aktuell unbekannt) installiert, auf welchem wiederum virtuelle Maschinen generiert werden. (Leider sind aktuell keine weiteren Details hierzu bekannt)
Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der erste Bestandteil der eingetagenen VM MAC besteht aus der MAC des Host-PCs. Der Rest wird wahrscheinlich dynamisch generiert.
Frage wäre nun, wieso der DHCP-Server hier eine IP Adresse verteilt. Hat jemand hier dieses Verhalten schon einmal am eigenen System beobachten können, bzw. gibt es eine Erklärung bzw. Lösung hierzu?!
Besten Dank
edit: mir ist eben noch aufgefallen, dass im DHCP-Server bei diesem IP-Lease in der Spalte Filterprofil "keine" steht. Bei den anderen Leases steht "Zulassen"
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 352188
Url: https://administrator.de/contentid/352188
Ausgedruckt am: 19.03.2024 um 01:03 Uhr
11 Kommentare
Neuester Kommentar
Moin,
ich könnte mir vorstellen, dass die "überschüssigen" Zeichen der Mac Adresse gar nicht erst geprüft werden und daher als valide erkannt werden.
Kannst Du prüfen wieso die virtuellen Systeme solche komischen MAC Adressen erhalten?
Welche VM Software ist das? Ggfs. kannst Du den VMs "echte" MAC Adressen zuweisen und erlauben.
Gruss
ich könnte mir vorstellen, dass die "überschüssigen" Zeichen der Mac Adresse gar nicht erst geprüft werden und daher als valide erkannt werden.
Kannst Du prüfen wieso die virtuellen Systeme solche komischen MAC Adressen erhalten?
Welche VM Software ist das? Ggfs. kannst Du den VMs "echte" MAC Adressen zuweisen und erlauben.
Gruss
Dann s.o. prüfe doch mal wie genau die MAC Adressen auf der VM lauten und angezeigt werden.
Weiß der Geier was 2016 mit einer überlangen MAC Adresse macht, vielleicht bist Du ja auch einen BUG gestossen und kannst damit bei MS absahnen
PS: MAC Filter sind ein bißchen Oldschool, wenn möglich 802.X Radius etc einsetzen
Weiß der Geier was 2016 mit einer überlangen MAC Adresse macht, vielleicht bist Du ja auch einen BUG gestossen und kannst damit bei MS absahnen
PS: MAC Filter sind ein bißchen Oldschool, wenn möglich 802.X Radius etc einsetzen
Hallo,
man kann hier mehrere Punkte in Angriff nehmen, aber dazu muss man auch etwas mehr über das netzwerk
wissen und die dazugehörige Hardware. Denn mit den Informationen sollte das mehr raten sein als alles andere.
Man kann auch folgendes machen wenn Du dort nicht auf alles Zugriff hast;
- LDAP Server Rolle für Kabel gebundene Geräte
- Radius Server Rolle für Kabel lose Geräte installieren und mit Zertifikaten arbeiten
- Alternativ kann man auch alles mittels Radius Server absichern nur dann sollten die Switche auch Multi-Port
Authentifizierung beherrschen sonst ist das auch nur halb gar und man kann es leicht umgehen.
Eine Weitere Alternative ist einen kleinen RaspBerry PI mit Trunkey Linux zu installieren und dann die dort
den OpenLDAP Server zu benutzen, schön schick mit KlickiBunti Oberfläche und schnell erledigt.
Gruß
Dobby
man kann hier mehrere Punkte in Angriff nehmen, aber dazu muss man auch etwas mehr über das netzwerk
wissen und die dazugehörige Hardware. Denn mit den Informationen sollte das mehr raten sein als alles andere.
wir nutzen die DHCP-Server Rolle auf einem MS Server 2012
Auch als AD/DC oder ein AD/DC gestütztes Netzwerk? Sind die VMs auch Mitglied in dieser Domäne?Man kann auch folgendes machen wenn Du dort nicht auf alles Zugriff hast;
- LDAP Server Rolle für Kabel gebundene Geräte
- Radius Server Rolle für Kabel lose Geräte installieren und mit Zertifikaten arbeiten
- Alternativ kann man auch alles mittels Radius Server absichern nur dann sollten die Switche auch Multi-Port
Authentifizierung beherrschen sonst ist das auch nur halb gar und man kann es leicht umgehen.
Eine Weitere Alternative ist einen kleinen RaspBerry PI mit Trunkey Linux zu installieren und dann die dort
den OpenLDAP Server zu benutzen, schön schick mit KlickiBunti Oberfläche und schnell erledigt.
Gruß
Dobby
Hallo,
Vielleicht ein Hinweis...
Gruß,
Peter
Zitat von @menace:
Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der DHCP-Server verwendet nicht eins-zu-eins diese MAC-Adressen, sondern Eindeutige IDs. Diese Eindeutigen IDs (in der englischen Version des Microsoft DHCP-Servers „Unique ID“ bezeichnet) ist ein DHCP-Parameter welcher im RFC2132 Section 9.14 (http://tools.ietf.org/html/rfc2132#section-9.14) als „Client-identifier“ beschrieben ist.Der DHCP-Server vergibt nun an diese VMs, welche auf dem Linux Host laufen, freie IP Adressen und trägt z.B. diese MAC dazu ein: 3a9e015a0004eb6d245fa45746398ccb856fd9d484b0
Der erste Bestandteil der eingetagenen VM MAC besteht aus der MAC des Host-PCs. Der Rest wird wahrscheinlich dynamisch generiert.
Deine genannte MAC ist aber nur 5 1/2 Bytes lang Vielleicht ein Hinweis...
Gruß,
Peter
Hallo,
Nimm einen Wireshark oder den MS Message Aalyzer und schau dir dir Pakten an welche sich mir dein DHCP Server unterhalten, dann stell bei deinen DHCP Server ein das du ein ausführliches LOG haben willst. Danach siehst du ganz schnell was passiert und wer was vergibt bzw. erhält, dann braucht es auch kein Orakeln, hätte, wenn und aber.
Gruß,
Peter
Nimm einen Wireshark oder den MS Message Aalyzer und schau dir dir Pakten an welche sich mir dein DHCP Server unterhalten, dann stell bei deinen DHCP Server ein das du ein ausführliches LOG haben willst. Danach siehst du ganz schnell was passiert und wer was vergibt bzw. erhält, dann braucht es auch kein Orakeln, hätte, wenn und aber.
Gruß,
Peter