highmoe
Goto Top

Haben Broadcom NICs ein geheimes Doppelleben?

Guten Tag,

nach 28 Jahren Netzwerken stieß ich gestern auf ein mir unbekanntes und derzeit unerklärliches Phänomen. Um das überhaupt zu beschreiben muss ich ein wenig ausholen:

Ich betreibe an unserem Büro- und Wohnort ein kleines Rechenzentrum. 11 physikalische Server (und diverse VMs) hinter einem Sophos UTM-Cluster. Es gibt hinter dieser UTM 3 öffentliche 28er-Netze, 1 privates Netz als Server- und Backup-BackBone und 1 privates Netz für Arbeitsplätze, WLAN etc (Office-LAN). Nur im Office-LAN läuft DHCP, überwiegend mit reservierten IPs.

Gestern schaue ich mal nach diesem DHCP und stelle fest, dass es 4 nicht reservierte Leases gibt, die mir unbekannt sind. Auffällig: die MAC-Adressen sind identisch in den ersten 5 Segmenten, die jeweils sechsten Segmente haben die Werte 41, 43, 45 und 47. Das deutet für mich auf ein Mehrfach-NIC eines Servers (ich habe ausschließlich Dells hier stehen). Und tatsächlic finde ich auf einem älteren R510 (läuft hier nur als Backup-Ziege) heraus, dass der onBoard 4fach-NIC (QLogic BCM5709C Gigabit Ethernet) exakt diese MAC-Adresse hat, nur eben mit den End-Segmenten 40, 42, 44 und 46 (!!!).

Ich habe die Maschine heute kontrolliert neu gestartet und bestätigt, dass es zweifelsfrei diese Maschine ist, die die DHCP-Leases auslöst. Ich kann die vergebenen IPs anpingen, ein Portscan ergibt jedoch keine ansprechbaren Dienste oder Shares. Auf dem Server läuft Win Server 2012R2, dort lassen sich sowohl auf der Windows-Ebene als auch über den Dell Server Administrator nur die oben genannten "geraden" Endsegmente ermitteln.

Was passiert hier?
Selbst unter der Annahme, dass die Broadcoms irgendwie eine "geheime 2. MAC-Adresse" haben sollten, so müsste ja irgendein Agent oder OS doch erst einmal dafür sorgen, dass ein DHCP-Client überhaupt ausgeführt wird. Wie käme dieser an die "geheimen" MAC-Adressen? Warum war das bisher nicht so? Das Setup läuft hier so mehr oder weniger unverändert seit 2,5 Jahren, es gab ewig lange keine Reboots etc.
Vielen Dank für Euer Interesse, Haimo

Content-ID: 649501

Url: https://administrator.de/forum/haben-broadcom-nics-ein-geheimes-doppelleben-649501.html

Ausgedruckt am: 26.12.2024 um 19:12 Uhr

ChriBo
ChriBo 07.02.2021 um 11:47:58 Uhr
Goto Top
Hallo,
ich bin mit dem R510 nicht (mehr) vertraut.
Hat der Server di Möglichkeit zum Remotemanagemet (iDRAC)?
We ja, schau mal dort in den Einstellugen bzw. Zuordnungen der Netzwerkkarten nach.

CH
highmoe
highmoe 07.02.2021 um 11:57:56 Uhr
Goto Top
Hallo ChriBo,

ja, aber es ist eine eigene iDRAC-Karte verbaut und auch aktiviert. Das fällt meiner Ansicht nach raus als Option.
highmoe
highmoe 07.02.2021 um 12:26:42 Uhr
Goto Top
Hab es sicherheitshalber noch mal nachgesehen.
Die iDRAC-Karte IST aktiv, ist konfiguriert und funktioniert.
Die 4 IPs, die vergeben werden, reagieren nicht auf Remote-Anfragen.
aqui
aqui 07.02.2021 aktualisiert um 12:29:37 Uhr
Goto Top
Warum nimmst du nicht einmal einen Wireshark Sniffer zur Hand und siehst dir mal die Kommunikation zu diesen ominösen IPs an. Das sollte in 3 Minuten klären was die mit ihrem "Doppelleben" so treiben und warum ! Wäre doch das Einfachste... face-wink
highmoe
highmoe 07.02.2021 um 13:05:25 Uhr
Goto Top
War auf dem Plan - es ist Sonntag face-wink
Dann weiß ich zumindest, _was_ da läuft und ob, aber wohl immer noch nicht _warum_. Mal schauen.
highmoe
highmoe 07.02.2021 um 20:49:17 Uhr
Goto Top
Also Wireshark findet nicht viel:
Pings wenn man pingt, ARPs, das wars.

Klärt meine Frage nicht wirklich...