fiasko
Goto Top

DHCP vergibt PROXY-IP?!

Moin!

Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.

Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.

Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)

Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.

Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?

Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.

Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?


Anbei ein Screenshot vom PXE-Boot.
proxy_ip

Content-ID: 314021

Url: https://administrator.de/contentid/314021

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

pablovic
pablovic 31.08.2016 um 09:15:04 Uhr
Goto Top
10.1.5.60 ist der Windows Server, der als DHCP operiert?
129813
129813 31.08.2016 aktualisiert um 09:24:54 Uhr
Goto Top
Hi,
there could be several reasons for this.
  • If the proxy ip option is set in the dhcp server options
  • If the WDS-Server is multihomed and has multiple NICs or interfaces with different IPs or an additional IP on the interface itself(see advanced interface settings)
  • There is an additional PXE instance in your network

Regards
Fiasko
Fiasko 31.08.2016 um 09:25:41 Uhr
Goto Top
Ja, 10.1.5.60 ist unter anderem der DHCP
pablovic
pablovic 31.08.2016 um 09:35:47 Uhr
Goto Top
Wo wird der Proxy in den DHCP Optionen gesetzt? Ich kenn das nur von der GPOs
Fiasko
Fiasko 31.08.2016 um 09:38:02 Uhr
Goto Top
  • There is no such option set in the dhcp. It should be option 252 but its not added in our DHCP
  • We use only one WDS-Server and even if i turned it off, we still get those Proxy-IP
  • There shouldnt be another PXE instance, but i made an portscan and found some devices which answering on Port 69, i'll check them right now.
pablovic
pablovic 31.08.2016 um 09:39:17 Uhr
Goto Top
Hast du mal ein nslookup auf die IP des Proxy gemacht?
Fiasko
Fiasko 31.08.2016 um 09:40:54 Uhr
Goto Top
Pablovic: Den Proxy könnte man im DHCP als Option 252 konfigurieren. Diese muss man aber selbst hinzufügen.
Klick mit der rechten Maustaste auf "IPv4" dann auf "vordifinierte Optionen" und dann auf "Hinzufügen".
"Code" müsste dann 252 sein.
Ob und wie das genau funktioniert weiß ich aber auch nicht.
Fiasko
Fiasko 31.08.2016 um 09:43:21 Uhr
Goto Top
Die IP ist weder Pingbar nicht sonst irgendwie identifizierbar.

Ich habe allerdings gerade ein Geräte gefunden wo ich besagte IP "sehe". (172.22.1.1)
Nur hab ich noch nicht gefunden wo die tatsächlich eingestellt ist.
lancom
pablovic
pablovic 31.08.2016 um 09:47:54 Uhr
Goto Top
Danke, wieder was gelernt ;)
129813
129813 31.08.2016 aktualisiert um 09:59:44 Uhr
Goto Top
This could be a Malware wich places a roque DHCP into your network. Scan every PC for malware and do a packet capture to find the MAC of the source.
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.

Regards
Fiasko
Fiasko 31.08.2016 um 10:01:29 Uhr
Goto Top
For now i am checking the device (lancom-router) which you see on the screenshot above.
There i see the ip (172.22.1.1) in an overview.
But i havent figured out yet where this ip is setup.
129813
129813 31.08.2016 aktualisiert um 10:09:19 Uhr
Goto Top
Have a look into the arp table of the router (can also be queried via snmp or telnet access) or do a packet capture (Wireshark) on it to find the MAC.
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
Fiasko
Fiasko 31.08.2016 um 11:27:17 Uhr
Goto Top
The arp table is pretty empty. There are 2 addresses listed but not the 172.22.1.1
I have no clue why the router is having this ip at all ...
129813
129813 31.08.2016 aktualisiert um 14:05:16 Uhr
Goto Top
Zitat von @Fiasko:
I have no clue why the router is having this ip at all ...
Why should your router have this IP ?? From where do you have this information? Is DHCP disabled on the router?
Like I said, make a packet capture and you definitely know where the packets come from ...
Fiasko
Fiasko 01.09.2016 um 11:06:53 Uhr
Goto Top
I am not sure if the router has this ip ... it is written in the system overview in the firewallsection: source-address: 172.22.1.1
and i dont know what that is.
DHCP is disabled yes.
If i turn our main DHCP-Server off i dont get any IP-Adresses.

I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
129813
129813 01.09.2016 aktualisiert um 11:11:38 Uhr
Goto Top
Zitat von @Fiasko:
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
You need to define a mirror port on your router to capture all. or you have to do this on any machine.
I suppose your network is infected by malware.

Did you check all your systems for second ip addresses in advanced tcp/ip settings of their interfaces? And if the systems have multiple nics/inerfaces/virtual adapters (multihomed)?
A simple phone connected via usb is enough to trigger this.
Fiasko
Fiasko 05.09.2016 aktualisiert um 12:11:53 Uhr
Goto Top
Ok ... i found the source (of evil).

but first one more question:

How is it possible that another machine from which i dont get any normal ip-addresses (like gateway, ip-address or netmask) ADDS to an DHCP-offer from our DHCP-Server those strange proxy-ip?


Solution:
An external company made an softwareupdate on their machines. I didnt know that the company was here at all or that they will make an update.
They have their own machines here so they administrate them on their own.
Next time when they will do anything they will inform me. Strange that i have to tell them to do so ...

How did i found it out?

I ran wireshark (again) but with an bootp (dhcp) filter running.
There i saw an DHCP-Offer from an machine which shouldnt make an DHCP offer.
So finally i got an IP and MAC-Address to search for.

I logged on to our Core-Switch (HP) and ran the following commands:

show mac-address

That shows me the known MAC-Addresses of the switch AND from which PORT they are known.
After that i checked which switch is connected on that port with:

show lldp neighbor-information list

So after i got the information i logged on to the switch and checked on which port the mac-address is known and disabled to port.
Than i made an test and the proxy-ip didnt showed up while booting from network.

Now i am waiting for the company to turn their stuff off. As far as i got they are for now not sure how btw. if they can turn it off at all.
And NO thats no little local company its an big world wide acting company.

I hope this will help someone else if he is in trouble.


Thx highload & pablovic for your interest and help!
129813
129813 05.09.2016 aktualisiert um 13:36:18 Uhr
Goto Top
That's why i already said above (31.08), make scan for roque DHCP servers face-wink.
Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!

Regards