DHCP vergibt PROXY-IP?!
Moin!
Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.
Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.
Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)
Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.
Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?
Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.
Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?
Anbei ein Screenshot vom PXE-Boot.
Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.
Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.
Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)
Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.
Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?
Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.
Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?
Anbei ein Screenshot vom PXE-Boot.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314021
Url: https://administrator.de/contentid/314021
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
18 Kommentare
Neuester Kommentar
Hi,
there could be several reasons for this.
Regards
there could be several reasons for this.
- If the proxy ip option is set in the dhcp server options
- If the WDS-Server is multihomed and has multiple NICs or interfaces with different IPs or an additional IP on the interface itself(see advanced interface settings)
- There is an additional PXE instance in your network
Regards
This could be a Malware wich places a roque DHCP into your network. Scan every PC for malware and do a packet capture to find the MAC of the source.
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.
Regards
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.
Regards
Have a look into the arp table of the router (can also be queried via snmp or telnet access) or do a packet capture (Wireshark) on it to find the MAC.
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
Why should your router have this IP ?? From where do you have this information? Is DHCP disabled on the router?
Like I said, make a packet capture and you definitely know where the packets come from ...
Like I said, make a packet capture and you definitely know where the packets come from ...
Zitat von @Fiasko:
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
You need to define a mirror port on your router to capture all. or you have to do this on any machine.I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
I suppose your network is infected by malware.
Did you check all your systems for second ip addresses in advanced tcp/ip settings of their interfaces? And if the systems have multiple nics/inerfaces/virtual adapters (multihomed)?
A simple phone connected via usb is enough to trigger this.
That's why i already said above (31.08), make scan for roque DHCP servers .
Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!
Regards
Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!
Regards