Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DHCP vergibt PROXY-IP?!

Mitglied: Fiasko

Fiasko (Level 1) - Jetzt verbinden

31.08.2016 um 08:22 Uhr, 2521 Aufrufe, 18 Kommentare

Moin!

Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.

Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.

Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)

Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.

Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?

Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.

Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?


Anbei ein Screenshot vom PXE-Boot.

https://www.administrator.de/images/c/1/4/9a1e2511c434123309229f0820c3fc ...
proxy_ip - Klicke auf das Bild, um es zu vergrößern
Mitglied: pablovic
31.08.2016 um 09:15 Uhr
10.1.5.60 ist der Windows Server, der als DHCP operiert?
Bitte warten ..
Mitglied: 129813
31.08.2016, aktualisiert um 09:24 Uhr
Hi,
there could be several reasons for this.
  • If the proxy ip option is set in the dhcp server options
  • If the WDS-Server is multihomed and has multiple NICs or interfaces with different IPs or an additional IP on the interface itself(see advanced interface settings)
  • There is an additional PXE instance in your network

Regards
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 09:25 Uhr
Ja, 10.1.5.60 ist unter anderem der DHCP
Bitte warten ..
Mitglied: pablovic
31.08.2016 um 09:35 Uhr
Wo wird der Proxy in den DHCP Optionen gesetzt? Ich kenn das nur von der GPOs
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 09:38 Uhr
  • There is no such option set in the dhcp. It should be option 252 but its not added in our DHCP
  • We use only one WDS-Server and even if i turned it off, we still get those Proxy-IP
  • There shouldnt be another PXE instance, but i made an portscan and found some devices which answering on Port 69, i'll check them right now.
Bitte warten ..
Mitglied: pablovic
31.08.2016 um 09:39 Uhr
Hast du mal ein nslookup auf die IP des Proxy gemacht?
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 09:40 Uhr
Pablovic: Den Proxy könnte man im DHCP als Option 252 konfigurieren. Diese muss man aber selbst hinzufügen.
Klick mit der rechten Maustaste auf "IPv4" dann auf "vordifinierte Optionen" und dann auf "Hinzufügen".
"Code" müsste dann 252 sein.
Ob und wie das genau funktioniert weiß ich aber auch nicht.
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 09:43 Uhr
Die IP ist weder Pingbar nicht sonst irgendwie identifizierbar.

Ich habe allerdings gerade ein Geräte gefunden wo ich besagte IP "sehe". (172.22.1.1)
Nur hab ich noch nicht gefunden wo die tatsächlich eingestellt ist.

https://www.administrator.de/images/c/1/4/e86439ba123f4c8f9197fe0435fe21 ...
lancom - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: pablovic
31.08.2016 um 09:47 Uhr
Danke, wieder was gelernt ;)
Bitte warten ..
Mitglied: 129813
31.08.2016, aktualisiert um 09:59 Uhr
This could be a Malware wich places a roque DHCP into your network. Scan every PC for malware and do a packet capture to find the MAC of the source.
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.

Regards
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 10:01 Uhr
For now i am checking the device (lancom-router) which you see on the screenshot above.
There i see the ip (172.22.1.1) in an overview.
But i havent figured out yet where this ip is setup.
Bitte warten ..
Mitglied: 129813
31.08.2016, aktualisiert um 10:09 Uhr
Have a look into the arp table of the router (can also be queried via snmp or telnet access) or do a packet capture (Wireshark) on it to find the MAC.
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
Bitte warten ..
Mitglied: Fiasko
31.08.2016 um 11:27 Uhr
The arp table is pretty empty. There are 2 addresses listed but not the 172.22.1.1
I have no clue why the router is having this ip at all ...
Bitte warten ..
Mitglied: 129813
31.08.2016, aktualisiert um 14:05 Uhr
Zitat von Fiasko:
I have no clue why the router is having this ip at all ...
Why should your router have this IP ?? From where do you have this information? Is DHCP disabled on the router?
Like I said, make a packet capture and you definitely know where the packets come from ...
Bitte warten ..
Mitglied: Fiasko
01.09.2016 um 11:06 Uhr
I am not sure if the router has this ip ... it is written in the system overview in the firewallsection: source-address: 172.22.1.1
and i dont know what that is.
DHCP is disabled yes.
If i turn our main DHCP-Server off i dont get any IP-Adresses.

I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
Bitte warten ..
Mitglied: 129813
01.09.2016, aktualisiert um 11:11 Uhr
Zitat von Fiasko:
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
You need to define a mirror port on your router to capture all. or you have to do this on any machine.
I suppose your network is infected by malware.

Did you check all your systems for second ip addresses in advanced tcp/ip settings of their interfaces? And if the systems have multiple nics/inerfaces/virtual adapters (multihomed)?
A simple phone connected via usb is enough to trigger this.
Bitte warten ..
Mitglied: Fiasko
05.09.2016, aktualisiert um 12:11 Uhr
Ok ... i found the source (of evil).

but first one more question:

How is it possible that another machine from which i dont get any normal ip-addresses (like gateway, ip-address or netmask) ADDS to an DHCP-offer from our DHCP-Server those strange proxy-ip?


Solution:
An external company made an softwareupdate on their machines. I didnt know that the company was here at all or that they will make an update.
They have their own machines here so they administrate them on their own.
Next time when they will do anything they will inform me. Strange that i have to tell them to do so ...

How did i found it out?

I ran wireshark (again) but with an bootp (dhcp) filter running.
There i saw an DHCP-Offer from an machine which shouldnt make an DHCP offer.
So finally i got an IP and MAC-Address to search for.

I logged on to our Core-Switch (HP) and ran the following commands:

show mac-address

That shows me the known MAC-Addresses of the switch AND from which PORT they are known.
After that i checked which switch is connected on that port with:

show lldp neighbor-information list

So after i got the information i logged on to the switch and checked on which port the mac-address is known and disabled to port.
Than i made an test and the proxy-ip didnt showed up while booting from network.

Now i am waiting for the company to turn their stuff off. As far as i got they are for now not sure how btw. if they can turn it off at all.
And NO thats no little local company its an big world wide acting company.

I hope this will help someone else if he is in trouble.


Thx highload & pablovic for your interest and help!
Bitte warten ..
Mitglied: 129813
05.09.2016, aktualisiert um 13:36 Uhr
That's why i already said above (31.08), make scan for roque DHCP servers .
Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!

Regards
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
DHCP vergibt keine Adressen
gelöst Frage von Maik82Linux Netzwerk32 Kommentare

Moin. ich habe mir einen RASPBERRY PI 3 gekauft und möchte auf dem für ein Netzwerk DHCP verteilen. Es ...

Router & Routing
Cisco DHCP vergibt komische Adressen
gelöst Frage von Windows10GegnerRouter & Routing67 Kommentare

Hallo, hab grad den 886VA bekommen und möchte den nun einrichte. Reset war erfolgreich. Hab VLAN1 und DHCP sowie ...

Windows Server

DHCP-Server vergibt IP an unbekannten Client trotz aktiver Filterliste

Frage von menaceWindows Server11 Kommentare

Hallo zusammen, wir nutzen die DHCP-Server Rolle auf einem MS Server 2012 und haben die Zulassen- bzw. Verweigern-Filter konfiguriert. ...

LAN, WAN, Wireless

PfSense vergibt auf VLAN1 per DHCP IP-Adressen, auf VLAN2 nicht

Frage von sirhc4022LAN, WAN, Wireless14 Kommentare

Hallo pfSense-Profis, nach dem Gewitter gestern ist bei uns im örtlichen Pfarrhaus das Netzwerk abgeraucht. Stromausfall und nachdem der ...

Neue Wissensbeiträge
Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 10 StundenSicherheit11 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Viren und Trojaner
Trend Micro WFBS 10 SP1 Patch 2185
Tipp von Abramelin vor 1 TagViren und Trojaner1 Kommentar

Hi, Hab gerade gesehen das Patch 2185 für TM WFBS 10 SP1 erschienen ist! Werde mal Morgen den Patch ...

Viren und Trojaner

Neuer Virus lässt Windows im abgesicherten Modus starten

Tipp von transocean vor 1 TagViren und Trojaner6 Kommentare

Moin, lest selbst. Grüße Uwe

Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 1 TagSicherheit2 Kommentare

Ich spiegele mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Heiß diskutierte Inhalte
Windows 8
Snipping Tool Alternative für bzw ab Windows 8.1
gelöst Frage von schmitziWindows 815 Kommentare

Hallo, ich suche für Windows 8.1 eine Alternative für das bordeigene Snipping Tool von MS, vielleicht weiss ja jemand ...

Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1014 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...

Windows 10
Win10 Remote Desktop User anders
Frage von ludibubiWindows 1014 Kommentare

Folgende Situation: Auf meinem Rechner (Win10) in der Firma (Domänen-Netzwerk) starte ich abends bevor ich gehe einen Newsletterversand. Damit ...

Switche und Hubs
Kein DHCP hinter neuen Switch
Frage von mwormerSwitche und Hubs12 Kommentare

Hallo zusammen, bin gerade ein wenig ratlos. Wir haben vorgestern unseren alten Zyxel GS-1548 gegen einen TP-Link SG1024DE getauscht. ...