18
DHCP vergibt PROXY-IP?!
Moin!
Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.
Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.
Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)
Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.
Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?
Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.
Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?
Anbei ein Screenshot vom PXE-Boot.
Wir haben hier ein Windows-Netzwerk mit 2 Domänen-Controllern.
Dazu gibt es unter Anderem einen WDS-Server (Windows Deployment Server).
DHCP sowie DNS laufen auf einem der Domänen-Controller.
Seit Montag könnnen wir allerdings nicht mehr aus dem Netzwerk booten, was erforderlich ist um eine Installation mit Hilfe des WDS-Servers durchzuführen.
Mir ist beim Booten aufgefallen dass der DHCP nicht mehr nur wie gewöhnlich Client-IP, MASK, DHCP-IP und Gateway-IP vergibt, sondern auch noch eine PROXY-IP.
Und eben diese Proxy-IP kommt mir in zweierlei Hinsicht ungewöhnlich vor.
Erstens meine ich, dass die noch nie an dieser Stelle erwähnt wurde und zweitens ist die auch noch in einem völlig anderen Netzwerk. (wir nutzen 10.1.0.0, Proxy IP ist 172.22.1.1)
Ich vermute dass aufgrund dieser Proxy-IP, der TFTP des WDS-Server nicht mehr verfügbar ist.
Daher meine Frage: Woher kommt diese Proxy-IP beim PXE-Boot?
Den WDS-Server kann ich schon ausschließen, den hatte ich schon runtergefahren und die Proxy-IP wird trotzdem vergeben.
Im DHCP habe ich mich auch schon umgesehen, konnte aber besagte IP auch nicht finden.
Hat noch jemand einen Tipp wo ich suchen / gucken muss & kann?
Anbei ein Screenshot vom PXE-Boot.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314021
Url: https://administrator.de/contentid/314021
Ausgedruckt am: 08.11.2024 um 19:11 Uhr
18 Kommentare
Neuester Kommentar
10.1.5.60 ist der Windows Server, der als DHCP operiert?
Hi,
there could be several reasons for this.
Regards
there could be several reasons for this.
- If the proxy ip option is set in the dhcp server options
- If the WDS-Server is multihomed and has multiple NICs or interfaces with different IPs or an additional IP on the interface itself(see advanced interface settings)
- There is an additional PXE instance in your network
Regards
Ja, 10.1.5.60 ist unter anderem der DHCP
Wo wird der Proxy in den DHCP Optionen gesetzt? Ich kenn das nur von der GPOs
- There is no such option set in the dhcp. It should be option 252 but its not added in our DHCP
- We use only one WDS-Server and even if i turned it off, we still get those Proxy-IP
- There shouldnt be another PXE instance, but i made an portscan and found some devices which answering on Port 69, i'll check them right now.
Hast du mal ein nslookup auf die IP des Proxy gemacht?
Pablovic: Den Proxy könnte man im DHCP als Option 252 konfigurieren. Diese muss man aber selbst hinzufügen.
Klick mit der rechten Maustaste auf "IPv4" dann auf "vordifinierte Optionen" und dann auf "Hinzufügen".
"Code" müsste dann 252 sein.
Ob und wie das genau funktioniert weiß ich aber auch nicht.
Klick mit der rechten Maustaste auf "IPv4" dann auf "vordifinierte Optionen" und dann auf "Hinzufügen".
"Code" müsste dann 252 sein.
Ob und wie das genau funktioniert weiß ich aber auch nicht.
Die IP ist weder Pingbar nicht sonst irgendwie identifizierbar.
Ich habe allerdings gerade ein Geräte gefunden wo ich besagte IP "sehe". (172.22.1.1)
Nur hab ich noch nicht gefunden wo die tatsächlich eingestellt ist.
Ich habe allerdings gerade ein Geräte gefunden wo ich besagte IP "sehe". (172.22.1.1)
Nur hab ich noch nicht gefunden wo die tatsächlich eingestellt ist.
Danke, wieder was gelernt ;)
This could be a Malware wich places a roque DHCP into your network. Scan every PC for malware and do a packet capture to find the MAC of the source.
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.
Regards
The IP can also be set as as an additional IP in TCP-IP Settings of the interface, But if it's a malware you won't find it there.
Regards
For now i am checking the device (lancom-router) which you see on the screenshot above.
There i see the ip (172.22.1.1) in an overview.
But i havent figured out yet where this ip is setup.
There i see the ip (172.22.1.1) in an overview.
But i havent figured out yet where this ip is setup.
Have a look into the arp table of the router (can also be queried via snmp or telnet access) or do a packet capture (Wireshark) on it to find the MAC.
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
https://www.lancom-systems.de/docs/LCOS-Menu/9.18-RU1/DE/topics/2_7_16_2 ...
The arp table is pretty empty. There are 2 addresses listed but not the 172.22.1.1
I have no clue why the router is having this ip at all ...
I have no clue why the router is having this ip at all ...
Why should your router have this IP ?? From where do you have this information? Is DHCP disabled on the router?
Like I said, make a packet capture and you definitely know where the packets come from ...
Like I said, make a packet capture and you definitely know where the packets come from ...
I am not sure if the router has this ip ... it is written in the system overview in the firewallsection: source-address: 172.22.1.1
and i dont know what that is.
DHCP is disabled yes.
If i turn our main DHCP-Server off i dont get any IP-Adresses.
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
and i dont know what that is.
DHCP is disabled yes.
If i turn our main DHCP-Server off i dont get any IP-Adresses.
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
Zitat von @Fiasko:
I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
You need to define a mirror port on your router to capture all. or you have to do this on any machine.I made an capture .. once on the router and once on my system ... the IP-Address is not showing up on both ...
I suppose your network is infected by malware.
Did you check all your systems for second ip addresses in advanced tcp/ip settings of their interfaces? And if the systems have multiple nics/inerfaces/virtual adapters (multihomed)?
A simple phone connected via usb is enough to trigger this.
Ok ... i found the source (of evil).
but first one more question:
How is it possible that another machine from which i dont get any normal ip-addresses (like gateway, ip-address or netmask) ADDS to an DHCP-offer from our DHCP-Server those strange proxy-ip?
Solution:
An external company made an softwareupdate on their machines. I didnt know that the company was here at all or that they will make an update.
They have their own machines here so they administrate them on their own.
Next time when they will do anything they will inform me. Strange that i have to tell them to do so ...
How did i found it out?
I ran wireshark (again) but with an bootp (dhcp) filter running.
There i saw an DHCP-Offer from an machine which shouldnt make an DHCP offer.
So finally i got an IP and MAC-Address to search for.
I logged on to our Core-Switch (HP) and ran the following commands:
show mac-address
That shows me the known MAC-Addresses of the switch AND from which PORT they are known.
After that i checked which switch is connected on that port with:
show lldp neighbor-information list
So after i got the information i logged on to the switch and checked on which port the mac-address is known and disabled to port.
Than i made an test and the proxy-ip didnt showed up while booting from network.
Now i am waiting for the company to turn their stuff off. As far as i got they are for now not sure how btw. if they can turn it off at all.
And NO thats no little local company its an big world wide acting company.
I hope this will help someone else if he is in trouble.
Thx highload & pablovic for your interest and help!
but first one more question:
How is it possible that another machine from which i dont get any normal ip-addresses (like gateway, ip-address or netmask) ADDS to an DHCP-offer from our DHCP-Server those strange proxy-ip?
Solution:
An external company made an softwareupdate on their machines. I didnt know that the company was here at all or that they will make an update.
They have their own machines here so they administrate them on their own.
Next time when they will do anything they will inform me. Strange that i have to tell them to do so ...
How did i found it out?
I ran wireshark (again) but with an bootp (dhcp) filter running.
There i saw an DHCP-Offer from an machine which shouldnt make an DHCP offer.
So finally i got an IP and MAC-Address to search for.
I logged on to our Core-Switch (HP) and ran the following commands:
show mac-address
That shows me the known MAC-Addresses of the switch AND from which PORT they are known.
After that i checked which switch is connected on that port with:
show lldp neighbor-information list
So after i got the information i logged on to the switch and checked on which port the mac-address is known and disabled to port.
Than i made an test and the proxy-ip didnt showed up while booting from network.
Now i am waiting for the company to turn their stuff off. As far as i got they are for now not sure how btw. if they can turn it off at all.
And NO thats no little local company its an big world wide acting company.
I hope this will help someone else if he is in trouble.
Thx highload & pablovic for your interest and help!
That's why i already said above (31.08), make scan for roque DHCP servers 
.
Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!
Regards
.Why are these servers in the same subnet as yours? I would implement VLANs and DHCP Snooping to prevent this kind of stuff in the future!
Regards
