51
DHCP-Server vom ausgeschalteten PC?
Guten Tag in die Runde,
kurz zu mir: IT-Administrator und seit über 20 Jahren im PC-Bereich unterwegs.
habe zu Hause jetzt ein Problem:
grober Aufbau meines Heimnetzwerkes: FTTH - ONT (Modem vom Internetanieter) - Unifi Dream Machine Pro - Netzwerk mit 3 Switchen - Clients und WLAN
Das Netzwerk ist noch im Aufbau, aber das normale Leben muss ja weitergehen also baut man erstmal so das es funktioniert.
Die Dream Machine Pro (DMPro) gibt ein 192.168.0.0/16 Netzwerk preis und sendet als DHCP-Server im Bereich von 192.168.100.0-120.254. Das WLAN besteht mometan aus 2 Unifi AP's und ein "alter" Linksys AP. Hinter der DMPro hängt eine als IP-Client eingerichtete Fritzbox als Voip-Telefonanlage für ein Unify Openstage 60. Alle Server (Linux/Raspberrys)die Fritzbox und die AP's sind definitiv NICHT als DHCP-Server eingerichtet und verrichten diese Dinge auch nicht.
Der Problemteil liegt Netzwerktechnisch gesehen am "Ende" des Sterns (DMPro -> 24PortSW -> 8PortSW -> 8PortSW -> PC / Laptop(HomeOffice) / Printer... (an diesem Switch hängt kein Server o.ä. !)
Dieser PC (Windows 10 Pro 20H2) ist im November neu aufgesetzt worden. verbaut ist ein MSI MPG X570 (Mainboard) und das Netzwerk ist dort auch angeschlossen.
Bei Umbau auf die DMPro (vorher war es die Fritzbox) kam dann das Problem hoch das der PC als DHCP-Adresse eine 192.168.49.xxx/24 bekam und als DHCP-Server und DNS die Adresse 192.168.111.124 eingetragen war. Diese IP-Adresse konnte nicht lokalisiert werden im Gesamten Netzwerk (Kabel ziehen, Server ausschalten usw.).
Dem PC eine feste IP-Adresse gegeben und alles geht. Soll er eine DHCP-Reservierung erhalten bekommt er wieder eine IP aus dem 49er-Bereich.
Dann wollte meine bessere Hälfte Ihren Laptop an das Netzwerk anschließen (an das Switch wo der PC hängt) und in das Internet wollte. Da stellte sich heraus das dieser Laptop ebenfalls eine IP-Adresse aus dem 49er Bereich erhält. Eine schnelle Lösung war das Netzwerkkabel aus dem PC zu entfernen. Dann erhielt der Laptop eine Adresse aus dem 100-120 Bereich und alles war gut.
Jetzt die Frage:
Hat dieser Rechner (dieses Mainboard) einen internen DHCP der auch bei ausgeschaltetem Zustand fungiert? Kann ich das irgendwie lösen das Problem? Ich hatte jetzt wenig Zeit im BIOS nachzuschauen, und der Fall von meiner Frau hat mich ja erst darauf gebracht das es dieser PC ist...
Ich bin persönlich schon ein wenig geknickt das ein PC mir so das Leben schwer macht...
kurz zu mir: IT-Administrator und seit über 20 Jahren im PC-Bereich unterwegs.
habe zu Hause jetzt ein Problem:
grober Aufbau meines Heimnetzwerkes: FTTH - ONT (Modem vom Internetanieter) - Unifi Dream Machine Pro - Netzwerk mit 3 Switchen - Clients und WLAN
Das Netzwerk ist noch im Aufbau, aber das normale Leben muss ja weitergehen also baut man erstmal so das es funktioniert.
Die Dream Machine Pro (DMPro) gibt ein 192.168.0.0/16 Netzwerk preis und sendet als DHCP-Server im Bereich von 192.168.100.0-120.254. Das WLAN besteht mometan aus 2 Unifi AP's und ein "alter" Linksys AP. Hinter der DMPro hängt eine als IP-Client eingerichtete Fritzbox als Voip-Telefonanlage für ein Unify Openstage 60. Alle Server (Linux/Raspberrys)die Fritzbox und die AP's sind definitiv NICHT als DHCP-Server eingerichtet und verrichten diese Dinge auch nicht.
Der Problemteil liegt Netzwerktechnisch gesehen am "Ende" des Sterns (DMPro -> 24PortSW -> 8PortSW -> 8PortSW -> PC / Laptop(HomeOffice) / Printer... (an diesem Switch hängt kein Server o.ä. !)
Dieser PC (Windows 10 Pro 20H2) ist im November neu aufgesetzt worden. verbaut ist ein MSI MPG X570 (Mainboard) und das Netzwerk ist dort auch angeschlossen.
Bei Umbau auf die DMPro (vorher war es die Fritzbox) kam dann das Problem hoch das der PC als DHCP-Adresse eine 192.168.49.xxx/24 bekam und als DHCP-Server und DNS die Adresse 192.168.111.124 eingetragen war. Diese IP-Adresse konnte nicht lokalisiert werden im Gesamten Netzwerk (Kabel ziehen, Server ausschalten usw.).
Dem PC eine feste IP-Adresse gegeben und alles geht. Soll er eine DHCP-Reservierung erhalten bekommt er wieder eine IP aus dem 49er-Bereich.
Dann wollte meine bessere Hälfte Ihren Laptop an das Netzwerk anschließen (an das Switch wo der PC hängt) und in das Internet wollte. Da stellte sich heraus das dieser Laptop ebenfalls eine IP-Adresse aus dem 49er Bereich erhält. Eine schnelle Lösung war das Netzwerkkabel aus dem PC zu entfernen. Dann erhielt der Laptop eine Adresse aus dem 100-120 Bereich und alles war gut.
Jetzt die Frage:
Hat dieser Rechner (dieses Mainboard) einen internen DHCP der auch bei ausgeschaltetem Zustand fungiert? Kann ich das irgendwie lösen das Problem? Ich hatte jetzt wenig Zeit im BIOS nachzuschauen, und der Fall von meiner Frau hat mich ja erst darauf gebracht das es dieser PC ist...
Ich bin persönlich schon ein wenig geknickt das ein PC mir so das Leben schwer macht...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 640936
Url: https://administrator.de/contentid/640936
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
51 Kommentare
Neuester Kommentar
Das klingt nach einer falschen Konfiguration in der DM oder es gibt noch einen zweiten DHCP Server im Netzwerk. Schau auf dem Client nach welcher DHCP Server diese IP vergeben hat
ipconfig /all
DHCP Server : x.x.x.x
Ansonsten: Ein 16er Netzwerk? Was hast du vor? Kann eine Fritzbox sowas überhaupt?
Und, aeh, nein, es gibt keine PC Motherboards mit eingebauten DHCP Servern :c)
ipconfig /all
DHCP Server : x.x.x.x
Ansonsten: Ein 16er Netzwerk? Was hast du vor? Kann eine Fritzbox sowas überhaupt?
Und, aeh, nein, es gibt keine PC Motherboards mit eingebauten DHCP Servern :c)
Nein, der Rechner hat keinen DHCP Server, aber Deine OpenStage müßte einen haben. Unsere Unify hat auf jeden Fall Einen. Da würde ich mal schauen, wenn Du wirklich alle AP´s und Switche usw. ausgeschlossen hast.
🖖
🖖
Und, aeh, nein, es gibt keine PC Motherboards mit eingebauten DHCP Servern
...aber halt ganz viele kleine Kästchen die irgendeine Funktion erfüllen und nebenbei eben auch noch einen DHCP-Server mitbringen. Wenn der versehentlich aktiviert wird und dem Client schneller antwortet als der gewollte DHCP passiert eben genau das oben geschilderte.
Manuel
1
es gibt keinen von mir eingesetzten zweiten DHCP
Die DMPro ist ganz rudimentär eingerichtet, macht Internet, DHCP-Server und WLAN Verwaltung (soll später mehr werden)
Der Rechner bekommt die 192.168.49.110 vom DHCP-Server 192.168.111.123
Die DMPro hat 192.168.1.1
die Fritzbox ist IP-Client und macht NUR VOIP Telefonie
was ich vor habe? Ordnung im Netzwerk
Die DMPro ist ganz rudimentär eingerichtet, macht Internet, DHCP-Server und WLAN Verwaltung (soll später mehr werden)
Der Rechner bekommt die 192.168.49.110 vom DHCP-Server 192.168.111.123
Die DMPro hat 192.168.1.1
die Fritzbox ist IP-Client und macht NUR VOIP Telefonie
was ich vor habe? Ordnung im Netzwerk
aber wieso bekommt dann der Rechner (Laptop) eine richtige Adresse von der DMPro wenn ich das Netzwerkkabel vom PC abklemme und das Openstage immer noch drin steckt
Problem hoch das der PC als DHCP-Adresse eine 192.168.49.xxx/24 bekam
Als IT Administrator mit 20 Jahren Erfahrung hätte man doch sofort einmal einen Wireshark angeschlossen und die DHCP Vergabe der .49er IP mitgeschnitten. Der Mitschnitt offenbart sofort die Mac Adresse des DHCP Servers. Dann sieht man sich auf dem Switch die Mac Adress Tabelle an die den physischen Port offenbart an der böse Buhmann angeschlossen ist. Die ersten Bytes der Mac Adresse beinhalten zudem den Hersteller Code was ein weiteres Indiz zur Identifikation gibt.Warum hast du diesen sehr einfachen Troubleshooting Schritt nicht gemacht ? Wäre das einfachste und effizienteste gewesen den den DHCP Server zu identifizieren. Irgendwo muss ja ein DHCP Serbver im mit der .49er Netzadresse rumgeistern im Netz !
Laienhaft vorgegangen hätte man auch Schritt für Schritt alle Geräte einzeln abziehen können vom Switch bis keine .49er IP mehr vergeben wird. So hätte man den DHCP auch ohne professionelles Troubleshooting entlarvt.
gibt ein 192.168.0.0/16 Netzwerk preis
Warum man ein Heimnetz mit 65534 adressierbaren Hosts aufsetzt wo jeder Netzwerker weiss das in einer Layer 2 Broadcast Domain niemals mehr als max. 150 Clients sein sollten muss man auch erstmal verstehen...aber egal.
ok danke - das schaue ich nachher nach.
Moin,
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
Wie sieht es mit den Switches aus? Hat einer von denen L3-Funktionalitäten, die aktiviert sind?
Grüße,
Torsten
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
Wie sieht es mit den Switches aus? Hat einer von denen L3-Funktionalitäten, die aktiviert sind?
Grüße,
Torsten
Wer hat die 192.168.111.123? Und schon hast du den Übeltäter :c)
Kann die Fritzbox überhaupt ein 16er Netz? Warum ein 16er Netz? Ordnung hat du somit nicht, nur noch mehr Kuddelmuddel. Alles, was über ein /24er Netz hinaus geht, sollte geroutet werden. Es gibt einige Geräte, die damit gar nicht klar kommen, bei der Fritzbox weiss ich es nicht.
Kann die Fritzbox überhaupt ein 16er Netz? Warum ein 16er Netz? Ordnung hat du somit nicht, nur noch mehr Kuddelmuddel. Alles, was über ein /24er Netz hinaus geht, sollte geroutet werden. Es gibt einige Geräte, die damit gar nicht klar kommen, bei der Fritzbox weiss ich es nicht.
Hallo
Ein kleineres Subnetz, oder noch besser VLAN wären hier angebracht.
Welche Switches verwendest du? Dann kannst du ggf. DHCP Guarding auf dem Switch aktivieren. Bei Unifi Switches geht das.
Gruß
Die Dream Machine Pro (DMPro) gibt ein 192.168.0.0/16 Netzwerk preis und sendet als DHCP-Server im Bereich von 192.168.100.0-120.254.
Warum macht man sowas? Besonders im privaten Bereich? Jeder Netzwerker weiß, dass man solche großen Subnetze nicht erstellen soll.Ein kleineres Subnetz, oder noch besser VLAN wären hier angebracht.
Welche Switches verwendest du? Dann kannst du ggf. DHCP Guarding auf dem Switch aktivieren. Bei Unifi Switches geht das.
Gruß
Moin,
ohne die einzelnen Geräte genauer zu kennen, hätte ich die Switche/Netzwerke separiert und mit einem "vertrauenswürdigen Client" getestet ob dieses Verhalten mitwandert. D.h. Eigener PC + Switch + "verdächtiger Kandidat". Und so Stück für Stück das Netzwerk erweitert.
Den Satz "ich dachte das ist nur ein Switch" habe ich leider schon viel zu oft gehört.
Viel Erfolg
ohne die einzelnen Geräte genauer zu kennen, hätte ich die Switche/Netzwerke separiert und mit einem "vertrauenswürdigen Client" getestet ob dieses Verhalten mitwandert. D.h. Eigener PC + Switch + "verdächtiger Kandidat". Und so Stück für Stück das Netzwerk erweitert.
Den Satz "ich dachte das ist nur ein Switch" habe ich leider schon viel zu oft gehört.
Viel Erfolg
Zitat von @pow3rlock3:
aber wieso bekommt dann der Rechner (Laptop) eine richtige Adresse von der DMPro wenn ich das Netzwerkkabel vom PC abklemme und das Openstage immer noch drin steckt
Hast Du VLAN´s im Einsatz? Das könnte einiges erklären. Im Allgemeinen würde ich Dir raten, da Du ja sowieso gerade aufräumst, den IP-Adressbereich neu zu planen und dann Gerät für Gerät auf den neuen Adressbereich anzupassen. Einen nach dem anderen und nur ans Netzwerk anbinden, wenn das Gerät eingebunden wird. Sprich alles, was noch nicht eingebunden und endkonfiguriert ist auch nicht anschließen. Dann sollte der Fehler auf jeden Fall weg sein.aber wieso bekommt dann der Rechner (Laptop) eine richtige Adresse von der DMPro wenn ich das Netzwerkkabel vom PC abklemme und das Openstage immer noch drin steckt
🖖
Edit:
Zitat von @PappaBaer2002:
Moin,
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
Moin,
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
Ups, das es ein Telefon ist, habe ich überlesen.
Zitat von @aqui:
Irgendwo muss ja ein DHCP Serbver im mit der .49er Netzadresse rumgeistern im Netz !
naja ein DHCP Server der das 49er Netz hergibt. laut Windows Details ist der DHCP Server aus dem 111er BereichIrgendwo muss ja ein DHCP Serbver im mit der .49er Netzadresse rumgeistern im Netz !
Laienhaft vorgegangen hätte man auch Schritt für Schritt alle Geräte einzeln abziehen können vom Switch bis keine .49er IP mehr vergeben wird. So hätte man den DHCP auch ohne professionelles Troubleshooting entlarvt.
da bin ich ja dann erst drauf gekommen das das Problem an dem besagten PC liegt, weil wenn der abgezogen ist geht es jaWarum man ein Heimnetz mit 65534 adressierbaren Hosts aufsetzt wo jeder Netzwerker weiss das in einer Layer 2 Broadcast Domain niemals mehr als max. 150 Clients sein sollten muss man auch erstmal verstehen...aber egal.
weil ich einfach meine Ordnung im Netzwerk haben will, ich will keine 65tsd Clients anschließen...soviel Geld habe ich dann auch nicht.Whireshark wird der nächste Schritt sein mit dem PC. Auch wenn ich dem PC eine feste IP-Adresse gebe ist ja alles i.o. - aber wenn der PC im ausgeschalteten Zustand ist macht dieser Trotzdem Probleme.
Nein war angedacht in bezug auf WLAN / WLAN Gast / DMZ etc. aber noch nicht umgesetzt
Im Allgemeinen würde ich Dir raten, da Du ja sowieso gerade aufräumst, den IP-Adressbereich neu zu planen und dann Gerät für Gerät auf den neuen Adressbereich anzupassen.
Auch dieses steht auf der Liste, aber noch nicht umgesetzt. daher auch der /16 BereichAuch wenn ich dem PC eine feste IP-Adresse gebe ist ja alles i.o.
Das ändert aber nichts an der Tatsache, dass du zwei DHCP Server im Netzwerk hast, damit fragst du einfach nach keinem DHCP mehr. Straussvogeltaktik -> Kopf in den Sand, keiner sieht mich mehr. :c)aber wenn der PC im ausgeschalteten Zustand ist macht dieser Trotzdem Probleme.
Was machst er da genau für Probleme? Er hat ja nicht die 192.168.111.123, also ist er nicht der Übeltäter...Zitat von @PappaBaer2002:
Moin,
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
Moin,
das Openstage IP-Phone hat keinen DHCP-Server. @Dr.Bit hat hier nicht richtig gelesen und meint eine Unifiy TK-Anlage, die Du aber nicht einsetzt.
hab es im "general ip configuration" mal ausgeschaltet
Ups, das es ein Telefon ist, habe ich überlesen.
naja im Openstage gibt es eine Option die "DHCP-Server" enabled / disabled heißt -
kann aber nicht sagen ob das nur die einstellung für das Telefon ist
Da gibt es einen kleinen und feinen Unterschied:kann aber nicht sagen ob das nur die einstellung für das Telefon ist
DHCP enabled != DHCP Server enabled
Und, ich kann dir versichern, dass es kein Server ist, die OpenStages sind reine Clients. Ausserdem hat das Telefon eine ganz andere IP Adresse, du musst das Gerät mit der 192.168.111.123 finden.
Weil du gerade dabei bist: .local ist nicht mehr gültig. Ist nun mDNS zugewiesen. Solange du keine Äpfel im Netz hast, solltest du klar kommen.
Hi,
geht auch einfacher: arp -a
CH
Wireshark ....Der Mitschnitt offenbart sofort die Mac Adresse des DHCP Servers.
geht auch einfacher: arp -a
CH
Guten Morgäähhhn
cmd
arp -a
Da siehst Du die arp-Tabelle und kannst die IP der MAC zuordnen. Nächster Schritt ist aufgrund der ersten drei Werte den Hersteller zu identifizieren ..... und wenn's kein NonameBilligsdorfer oder vom KGB / NSA etc ist, dann vereinfacht das die Suche nach dem Übeltäter. Er muß allerdings eine Verbindung gehabt haben, der Speicher ist dynamisch. Als einfach die 49er zuweisen lassen und dann gehts los.
cmd
arp -a
Da siehst Du die arp-Tabelle und kannst die IP der MAC zuordnen. Nächster Schritt ist aufgrund der ersten drei Werte den Hersteller zu identifizieren ..... und wenn's kein NonameBilligsdorfer oder vom KGB / NSA etc ist, dann vereinfacht das die Suche nach dem Übeltäter. Er muß allerdings eine Verbindung gehabt haben, der Speicher ist dynamisch. Als einfach die 49er zuweisen lassen und dann gehts los.
Oder, wie es die Hobby Bastler machen würden (wie isch): Dauerping auf die 192.168.111.123 und ein Gerät nach dem andere abstecken. Ist ja keine große Kette...
Auch ein managebarer Switch könnte sich diese IP gezogen haben und DHCP spielen.
Auch der Unifi Controller könnte anzeigen auf welchem Anschluss sich die 192.168.111.123 gefindet. Wenn du eine Dream Machine einsetzt, gehe ich mal auch von Unifi Switchen und deren Controller Software aus. Dem Unifi Controller kann man den "wahren" DHCP Server hinterlegen und, sobald ein Zweiter DHCP spielt, wird sein Port bzw DHCP Protokoll gesperrt und gibt eine Warnung per Email aus.
UniFi Alarm: Rogue DHCP Server Detected
Device name: xxxxxx
Site: xxxxx.local
Message: Switch[10:1f:14:e1:ae:aa] detected rogue dhcp server 194.168.111.123 [01:32:11:a0:f1:f0] on port 8 vlan 1
Auch ein managebarer Switch könnte sich diese IP gezogen haben und DHCP spielen.
Auch der Unifi Controller könnte anzeigen auf welchem Anschluss sich die 192.168.111.123 gefindet. Wenn du eine Dream Machine einsetzt, gehe ich mal auch von Unifi Switchen und deren Controller Software aus. Dem Unifi Controller kann man den "wahren" DHCP Server hinterlegen und, sobald ein Zweiter DHCP spielt, wird sein Port bzw DHCP Protokoll gesperrt und gibt eine Warnung per Email aus.
UniFi Alarm: Rogue DHCP Server Detected
Device name: xxxxxx
Site: xxxxx.local
Message: Switch[10:1f:14:e1:ae:aa] detected rogue dhcp server 194.168.111.123 [01:32:11:a0:f1:f0] on port 8 vlan 1
Hi,
Oder übersehe ich da etwas?
E.
Zitat von @aqui:
Warum man ein Heimnetz mit 65534 adressierbaren Hosts aufsetzt wo jeder Netzwerker weiss das in einer Layer 2 Broadcast Domain niemals mehr als max. 150 Clients sein sollten muss man auch erstmal verstehen...aber egal.
Aqui, ich widerspreche Dir bei Netzwerkfragen nur sehr ungern. Aber diese Deine Bemerkung ist so getroffen dann auch wieder falsch. Die Tatsache, dass da ein derart große Subnetz-Maske gewählt wurde, bedeutet ja nicht zwangsläufig, dass da auch tatsächlich >150 Host betrieben werden sollen. Und im Heimbereich brauche ich mir keine Sorgen zu machen, dass ich mir mit einer zu groß gewählten Subnetz-Maske jetzt mein zukünftiges Netzwerkdesign verbauen/erschwere. Man sollte auch mal die Kirschen am Baum lassen.Warum man ein Heimnetz mit 65534 adressierbaren Hosts aufsetzt wo jeder Netzwerker weiss das in einer Layer 2 Broadcast Domain niemals mehr als max. 150 Clients sein sollten muss man auch erstmal verstehen...aber egal.
Oder übersehe ich da etwas?
E.
Man kann schon ein 16er Netz betreiben, wenn man weiss, was man tut, solange alle Gerätschaften damit klar kommen.
Auch, wenn es sich nur zu Hause um wenige Geräte handelt, hat man sich schon einen Dicken Berech für evtl kommende VPN Verbindungen verbaut.
Auch, wenn es sich nur zu Hause um wenige Geräte handelt, hat man sich schon einen Dicken Berech für evtl kommende VPN Verbindungen verbaut.
Zitat von @NordicMike:
Oder, wie es die Hobby Bastler machen würden (wie isch): Dauerping auf die 192.168.111.123 und ein Gerät nach dem andere abstecken. Ist ja keine große Kette...
Oder, wie es die Hobby Bastler machen würden (wie isch): Dauerping auf die 192.168.111.123 und ein Gerät nach dem andere abstecken. Ist ja keine große Kette...
Das wird aber nicht funktionieren, wenn der DHCP-Server 192.168.111.123/24 hat. Denn dann wird er seine Antwort an ein ggf. konfiguriertes GW schicken, da die Src-IP des Ping n nicht in seinem Netz ist.
Das OpenStage 60 hat keinen eigenen DHCP-Server. Damit ist nur gemeint, ob die Adresse per DHCP kommen soll oder statisch ist.
Das wird aber nicht funktionieren, wenn der DHCP-Server 192.168.111.123/24 hat. Denn dann wird er seine Antwort an ein ggf. konfiguriertes GW schicken, da die Src-IP des Ping n nicht in seinem Netz ist.
Natürlich muss er den Client mit dem Dauerping in sein Netz hinein schieben, sodass keine Gateway nötig sein wird. OK, das habe ich automatisch vorausgesetzt.
Dann kann er aber auch gleich den NIC-Hersteller des DHCP-Servers wie geschrieben über die ARP-Tabelle identifizieren.
Aber prinzipiell natürlich richtig. Einfach auf Schicht 1 Schritt für Schritt die Segmente isolieren und schauen.
Wie Aqui geschrieben hat, wäre der TO aber vermutlich mit Wireshark schon fertig.
Aber prinzipiell natürlich richtig. Einfach auf Schicht 1 Schritt für Schritt die Segmente isolieren und schauen.
Wie Aqui geschrieben hat, wäre der TO aber vermutlich mit Wireshark schon fertig.
Er wäre mit "jeder" Methode schon fertig :c)
Das ist wohl wahr. Bei 20 Jahren Berufserfahrung hätte man aber auch meinen dürfen, dass der TO auf die genannten Methoden von alleine kommt und durchführt, bevor er hier fragt.
Aber nun bin ich ehrlich gesagt auch neugierig, wer der Übeltäter ist/war und hoffe, dass der TO sich am Ende nochmal meldet.
Aber nun bin ich ehrlich gesagt auch neugierig, wer der Übeltäter ist/war und hoffe, dass der TO sich am Ende nochmal meldet.
Moin,
Wenn man 38 Jahre Erfahrung hat, nimmt man einfach eine linux-Kiste (z.B. mit Knoppix booten) und läßt ein nmap drauf los, z.B.
Dann weißt Du sofort, welcher DHCP-Server gefragt wird.
lks
PS: Das kann man übrigens auch mit 20 Jahren Erfahrung schon hinbekommen.
Wenn man 38 Jahre Erfahrung hat, nimmt man einfach eine linux-Kiste (z.B. mit Knoppix booten) und läßt ein nmap drauf los, z.B.
$ sudo nmap --script broadcast-dhcp-discover -e eth0
[sudo] Passwort für lks:
Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-15 10:41 CET
Pre-scan script results:
| broadcast-dhcp-discover:
| Response 1 of 1:
| IP Offered: 172.31.17.97
| DHCP Message Type: DHCPOFFER
| Server Identifier: 172.31.17.1
| IP Address Lease Time: 3650d00h00m00s
| Renewal Time Value: 1825d00h00m00s
| Rebinding Time Value: 3193d18h00m00s
| Subnet Mask: 255.255.255.0
| Router: 172.31.17.1
| Domain Name Server: 172.31.17.1
| Domain Name: fritz.box
| Broadcast Address: 172.31.17.255
|_ NTP Servers: 172.31.17.1
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 0.49 seconds
Dann weißt Du sofort, welcher DHCP-Server gefragt wird.
lks
PS: Das kann man übrigens auch mit 20 Jahren Erfahrung schon hinbekommen.
Waren wohl eher 2 Jahre... 
Mit 5 Sekunden messen im Wireshark wäre das auch klar gewesen !
Mit 5 Sekunden messen im Wireshark wäre das auch klar gewesen !
Aber die Installation von Wireshark - das dauert ja eeeeewig :c) Nachdem der Client die IP vom 192.168.111.123 erhalten hat, wird auf dem gleichen Client auch
arp -a
alles verraten.
arp -a
alles verraten.
Zitat von @Lochkartenstanzer:
Moin,
Wenn man 38 Jahre Erfahrung hat, nimmt man einfach eine linux-Kiste (z.B. mit Knoppix booten) und läßt ein nmap drauf los, z.B.
Dann weißt Du sofort, welcher DHCP-Server gefragt wird.
Dann hat er laut Deiner Code-Ausgabe aber auch nur die IP-Adresse des DHCP-Servers und die kennt er doch schon. Welche zusätzliche wertvolle Information bekommt man also hier mit Knoppix->nmap gegenüber einem einfachen ipconfig /all unter Windows? Die Lease-Time ist in dieser Fragestellung ja absolut uninteressant.Moin,
Wenn man 38 Jahre Erfahrung hat, nimmt man einfach eine linux-Kiste (z.B. mit Knoppix booten) und läßt ein nmap drauf los, z.B.
> $ sudo nmap --script broadcast-dhcp-discover -e eth0
> [sudo] Passwort für lks:
> Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-15 10:41 CET
> Pre-scan script results:
> | broadcast-dhcp-discover:
> | Response 1 of 1:
> | IP Offered: 172.31.17.97
> | DHCP Message Type: DHCPOFFER
> | Server Identifier: 172.31.17.1
> | IP Address Lease Time: 3650d00h00m00s
> | Renewal Time Value: 1825d00h00m00s
> | Rebinding Time Value: 3193d18h00m00s
> | Subnet Mask: 255.255.255.0
> | Router: 172.31.17.1
> | Domain Name Server: 172.31.17.1
> | Domain Name: fritz.box
> | Broadcast Address: 172.31.17.255
> |_ NTP Servers: 172.31.17.1
> WARNING: No targets were specified, so 0 hosts scanned.
> Nmap done: 0 IP addresses (0 hosts up) scanned in 0.49 seconds
> Dann weißt Du sofort, welcher DHCP-Server gefragt wird.
Zitat von @PappaBaer2002:
Dann hat er laut Deiner Code-Ausgabe aber auch nur die IP-Adresse des DHCP-Servers und die kennt er doch schon. Welche zusätzliche wertvolle Information bekommt man also hier mit Knoppix->nmap gegenüber einem einfachen ipconfig /all unter Windows? Die Lease-Time ist in dieser Fragestellung ja absolut uninteressant.
Dann hat er laut Deiner Code-Ausgabe aber auch nur die IP-Adresse des DHCP-Servers und die kennt er doch schon. Welche zusätzliche wertvolle Information bekommt man also hier mit Knoppix->nmap gegenüber einem einfachen ipconfig /all unter Windows? Die Lease-Time ist in dieser Fragestellung ja absolut uninteressant.
Danach kann er mit einem arp -a die Mac-Adresse zudem DHCP-Server rausfinden.
Und damit dann auf das Gerät schließen, das DHCP-Server spielt.
Ich finde, daß man eben nicht alles vorkauen muß. Insbesodnere einem 20-jährigen Netzwerkadministrator.
lks
Danach kann er mit einem arp -a die Mac-Adresse zudem DHCP-Server rausfinden.
Die würde er auch innerhalb 3 Sekunden im DHCP Reply Paket im Wireshark sehen ! 2 Wege also das wasserdicht rauszubekommen....Ich finde, daß man eben nicht alles vorkauen muß.....
Wahre Worte...Aber heute ist Freitag und damit Administrator Schulaufgaben Tag hier im Forum ! 😉
Die Frage war ja, welche Vorteile jetzt das Extra-Booten eines Linux-Systems hier schneller zum Ziel führt als die Windows-Boardmittel.
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen.
Nicht böse gemeint...
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen.
Nicht böse gemeint...Zitat von @PappaBaer2002:
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen. Nicht böse gemeint...
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen.
Nicht böse gemeint...Nicht nur für Dich
Zitat von @PappaBaer2002:
Die Frage war ja, welche Vorteile jetzt das Extra-Booten eines Linux-Systems hier schneller zum Ziel führt als die Windows-Boardmittel.
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen. Nicht böse gemeint...
Die Frage war ja, welche Vorteile jetzt das Extra-Booten eines Linux-Systems hier schneller zum Ziel führt als die Windows-Boardmittel.
Für mich kam der Post so an, dass man mit 18 zusätzlichen Jahren Berufserfahrung (20 zu 38) dann nur noch Möglichkeiten findet, ein einfaches Problem möglichst noch komplizierter zu lösen.
Nicht böse gemeint...Ganz einfach. Man kann mit dem knoppix auf dem Stick. mit dem man die iste bootet viel weitergehende Analysen machen, z.b. einen nmap-scan auf den dhcp-server, um festzustellen, welche Dienste er noch biete, fall sman mit der Ausgabe von arp a nicht weiterkommt.
mit tcdump hat man auch gleich einen sniffer an board. Man kann auch schnell mit packit gezielt pakete generieren und sniffen.
d.h. man hat eine universelle Werkzeugkiste, mit der man deutlich mehr machen kann als nur die Mac-Adresse des DHCP-Servers rauszufinden, die einen u.U. nicht sehr weit führt.
lks
PS: Bein Auto nehme ich ja auch nicht das Bordwerkzeug für Reparaturen, sondern hole meinen Werkzeugkoffer aus der Werkstatt.
Zitat von @Lochkartenstanzer:
PS: Bein Auto nehme ich ja auch nicht das Bordwerkzeug für Reparaturen, sondern hole meinen Werkzeugkoffer aus der Werkstatt.
Jein, wenn ich 20km von meiner Werkstatt entfernt einen Platten habe, dann nehme ich mir auch kein Taxi, um zur Werkstatt zu fahren und dort den Kompressor, Schlagschrauber und Rangierwagenheber zu holen. Dann wechsle ich den Reifen schnell mit dem Boardwerkzeug. PS: Bein Auto nehme ich ja auch nicht das Bordwerkzeug für Reparaturen, sondern hole meinen Werkzeugkoffer aus der Werkstatt.
So hat hal jeder seine Vorlieben. Der eine sein Linux, der andere die Windows Eingabeaufforderung und ich mein Unifi-Controller :c)
"Der Bauer frisst nur, was er kennt"
Passt schon. Ich denke, der TO weiss, was er zu tun hat.
"Der Bauer frisst nur, was er kennt"
Passt schon. Ich denke, der TO weiss, was er zu tun hat.
Zitat von @Lochkartenstanzer:
PS: Bein Auto nehme ich ja auch nicht das Bordwerkzeug für Reparaturen, sondern hole meinen Werkzeugkoffer aus der Werkstatt.
PS: Bein Auto nehme ich ja auch nicht das Bordwerkzeug für Reparaturen, sondern hole meinen Werkzeugkoffer aus der Werkstatt.
Ohne einem laufenden System wird ihm das wohl nicht aufgefallen sein
da boote ich nicht mit einem anderen System neu, sondern ein einfaches cmd -> arp -a und schau was da los ist. Die Werkzeugkiste hole ich erst dann, wenn das Bordmittel nicht ausreicht, ist auch die Kiste zuwenig dann kommt der "russische Gedoresatz" (= 5kg Hamer, Beißzange und eine Rolle Draht ) zur Anwendung, da geht alles Zitat von @NordicMike:
So hat hal jeder seine Vorlieben. Der eine sein Linux, der andere die Windows Eingabeaufforderung und ich mein Unifi-Controller :c)
So hat hal jeder seine Vorlieben. Der eine sein Linux, der andere die Windows Eingabeaufforderung und ich mein Unifi-Controller :c)
Das Problem beim Windows2Go ist, daß es wesentlich unflexibler als knoppix ist und mehr Platz braucht und deutlich anspruchsvoller bei den Sticks ist.
Ansonsten wäre es keine Problem, das gnaze auch mit einem Windows-Tool zu lösen. Ich habe zwar auch immer ein Windows-PE (ct-Notfallwindows) mit im Gepäck, aber damit bin ich nicht so flexibel wie mit knoppix.
Bei dem installierten Windows vor Ort fehlen die meisten nützlichen Tools eh und müßten nachinstalliert werden, was nicht immer eine Option ist.
Da ich Dienstleister bin, habe ich halt meine "Werkzeugkiste" immer dabei. Ansonsten wäre das wie bei einem Handwerker, der ohne eigenes Werkzeug ins Haus kommt und den Kunden erst mal nach Werkzeug fragt.
"Der Bauer frisst nur, was er kennt"
Wenn er "alles" kennt, ist das ja keine Einschränkung.
Passt schon. Ich denke, der TO weiss, was er zu tun hat.
lks
Hat ja auch keiner gesagt, dass ein Live-Linux generell eine schlechte Idee ist.
In diesem Fall hat der TO aber ein funktionierendes installiertes Windows-System (ohne dem wäre das Problem ja gar nicht aufgefallen). Und daher brauche ich für dieses doch recht simple Problem weder ein Live-Linux noch ein Live-Win von einem Stick zu booten.
Nicht mehr und nicht weniger wollte ich damit sagen. Man nimmt immer das zu dem Problem passende Werkzeug, das möglichst effizient (und dazu gehört die aufgewendete Zeit) zur Lösung führt.
Um das nochmal mit einem Auto-Vergleich zu sagen:
Wenn ich beim ADAC wäre und zu einer Panne gerufen werde und dort nach dem Aussteigen dann hinten rechts einen platten Reifen sehe, dann gehe ich doch auch nicht zu meinem Kofferraum, hole das Diagnosegerät raus, stöpsel das am Pannenfahrzeug an, gehe in die Messwerte des Reifendrucksensors hinten rechts, lese dort: 0,1bar und sage dann: "Frau Schmidt, ich messe hier 0,1bar. Mit meinen 38 Jahren Berufserfahrung deute ich das Ergebnis so: Der Reifen ist platt!"
In diesem Fall hat der TO aber ein funktionierendes installiertes Windows-System (ohne dem wäre das Problem ja gar nicht aufgefallen). Und daher brauche ich für dieses doch recht simple Problem weder ein Live-Linux noch ein Live-Win von einem Stick zu booten.
Nicht mehr und nicht weniger wollte ich damit sagen. Man nimmt immer das zu dem Problem passende Werkzeug, das möglichst effizient (und dazu gehört die aufgewendete Zeit) zur Lösung führt.
Um das nochmal mit einem Auto-Vergleich zu sagen:
Wenn ich beim ADAC wäre und zu einer Panne gerufen werde und dort nach dem Aussteigen dann hinten rechts einen platten Reifen sehe, dann gehe ich doch auch nicht zu meinem Kofferraum, hole das Diagnosegerät raus, stöpsel das am Pannenfahrzeug an, gehe in die Messwerte des Reifendrucksensors hinten rechts, lese dort: 0,1bar und sage dann: "Frau Schmidt, ich messe hier 0,1bar. Mit meinen 38 Jahren Berufserfahrung deute ich das Ergebnis so: Der Reifen ist platt!"
Das Diagnosegerät sagt dir aber nicht, dass der Reifen nur ganz unten ein bisschen platt ist.
So, Ruhe jetzt :c)
So, Ruhe jetzt :c)
Ein Reifen ist immer unten platt. Falls mal nicht, dann liegt meistens das Auto auf dem Dach
Zitat von @NixVerstehen:
Ein Reifen ist immer unten platt. Falls mal nicht, dann liegt meistens das Auto auf dem Dach
Ein Reifen ist immer unten platt. Falls mal nicht, dann liegt meistens das Auto auf dem Dach
Autos, die auf dem Dach liegen, haben i.d.R. keinen Platten.
tgif
lks
Zitat von @PappaBaer2002:
Hat ja auch keiner gesagt, dass ein Live-Linux generell eine schlechte Idee ist.
In diesem Fall hat der TO aber ein funktionierendes installiertes Windows-System (ohne dem wäre das Problem ja gar nicht aufgefallen). Und daher brauche ich für dieses doch recht simple Problem weder ein Live-Linux noch ein Live-Win von einem Stick zu booten.
Hat ja auch keiner gesagt, dass ein Live-Linux generell eine schlechte Idee ist.
In diesem Fall hat der TO aber ein funktionierendes installiertes Windows-System (ohne dem wäre das Problem ja gar nicht aufgefallen). Und daher brauche ich für dieses doch recht simple Problem weder ein Live-Linux noch ein Live-Win von einem Stick zu booten.
Der TO hatte aber geschrieben:
Jetzt die Frage:
Hat dieser Rechner (dieses Mainboard) einen internen DHCP der auch bei ausgeschaltetem Zustand fungiert? Kann ich das irgendwie lösen das Problem? Ich hatte jetzt wenig Zeit im BIOS nachzuschauen, und der Fall von meiner Frau hat mich ja erst darauf gebracht das es dieser PC ist...
Hat dieser Rechner (dieses Mainboard) einen internen DHCP der auch bei ausgeschaltetem Zustand fungiert? Kann ich das irgendwie lösen das Problem? Ich hatte jetzt wenig Zeit im BIOS nachzuschauen, und der Fall von meiner Frau hat mich ja erst darauf gebracht das es dieser PC ist...
Da ist es dann schon sinnvoll, gleich mit der Werkzeugkiste zu kommen. Dann kann man noch mehr Sachen nachgucken (acpidump & Co. sind auch dabei).
lks
Forum at it's best. Lesen. Lernen. Freuen.
In diesem Bild ist ein DHCP-Server versteckt.
Bitte TO: Wo war er?
Buc
P.S.: das ist wirklich nur satirisch gemeint. Mit genauso dämlichen Problemen kämpfe ich auch dauernd. Meistens winkt dann aber die laufende Ente mit dem Zaunpfahl.
In diesem Bild ist ein DHCP-Server versteckt.
Bitte TO: Wo war er?
Buc
P.S.: das ist wirklich nur satirisch gemeint. Mit genauso dämlichen Problemen kämpfe ich auch dauernd. Meistens winkt dann aber die laufende Ente mit dem Zaunpfahl.
Moin,
wie schon mehrfach der Kollegen hier genannt:
An der Windows-Büchse cmd öffnen und dann
eintippen
Die MAC-Adresse identifizieren (die ersten drei Blöcke) und z.B. hier eingeben: https://hwaddress.com/
Alternativ einfach mal den Browser öffnen und per http://192.168.111.123 bzw. https://192.168.111.123 schauen.
Wenn es ein Switch oder ähnliches ist, ist die Chance hoch, dass hier ein WebInterface mit den Standard-Ports 80 bzw. 443 läuft
Zur /16er Netzmaske:
Man kann auch im heimischen mit einer 24er-Maske ordnung schaffen.
Router + Switche: 192.168.49.1 - 192.168.49.19
Server: 192.168.49.31 - 192.168.49.49
Drucker: 192.168.49.61 - 192.168.49.69
DHCP z.B. von 192.168.49.221 - 192.168.49.239
DHCP-Reservierungen: für IoT/ Multimedia: 192.168.49.201 - 192.168.49.219
Oder halt alles per VLAN in mehrere 24er-Netze verteilen
Gruß
em-pie
wie schon mehrfach der Kollegen hier genannt:
An der Windows-Büchse cmd öffnen und dann
arp -a Die MAC-Adresse identifizieren (die ersten drei Blöcke) und z.B. hier eingeben: https://hwaddress.com/
Alternativ einfach mal den Browser öffnen und per http://192.168.111.123 bzw. https://192.168.111.123 schauen.
Wenn es ein Switch oder ähnliches ist, ist die Chance hoch, dass hier ein WebInterface mit den Standard-Ports 80 bzw. 443 läuft
Zur /16er Netzmaske:
Man kann auch im heimischen mit einer 24er-Maske ordnung schaffen.
Router + Switche: 192.168.49.1 - 192.168.49.19
Server: 192.168.49.31 - 192.168.49.49
Drucker: 192.168.49.61 - 192.168.49.69
DHCP z.B. von 192.168.49.221 - 192.168.49.239
DHCP-Reservierungen: für IoT/ Multimedia: 192.168.49.201 - 192.168.49.219
Oder halt alles per VLAN in mehrere 24er-Netze verteilen
Gruß
em-pie
Zitat von @NixVerstehen:
Ein Reifen ist immer unten platt. Falls mal nicht, dann liegt meistens das Auto auf dem Dach
Wenn ich mich oben draufstelle ist er oben platt und unten nicht mehr. Ein Reifen ist immer unten platt. Falls mal nicht, dann liegt meistens das Auto auf dem Dach
🖖
Komisch, Mr. Spuck war aber immer gertenschlank. 🤣
Nun, ich nich. Bin eher wie die Pulle. 😊
🖖
🖖
