18
Merkwürdiger fremder DHCP server
Hallo,
ich hab hier zu wartungsarbeiten die Server abgeschaltet. Auch den AD wo der DHCP drauf ist.
Das komische ist, mein Notebook hat dann eine IP-Adresse bekommen. Bei kurzer recherche von einem DHCP-Server mit der IP 192.168.1.250 Die adresse ist auch nicht als alternativ in dem Notebook einrichtet.
Das Netzwerk läuft normal auf 192.168.0.0/24
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.
Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt? Denn auf 192.168.0.250 ist kein Gerät.
ich hab hier zu wartungsarbeiten die Server abgeschaltet. Auch den AD wo der DHCP drauf ist.
Das komische ist, mein Notebook hat dann eine IP-Adresse bekommen. Bei kurzer recherche von einem DHCP-Server mit der IP 192.168.1.250 Die adresse ist auch nicht als alternativ in dem Notebook einrichtet.
Das Netzwerk läuft normal auf 192.168.0.0/24
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.
Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt? Denn auf 192.168.0.250 ist kein Gerät.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3073667402
Url: https://administrator.de/contentid/3073667402
Printed on: April 27, 2024 at 23:04 o'clock
18 Comments
Latest comment
@Wern2000:
Hallo.
Verbindung per WLAN oder LAN?
Falls WLAN: Vielleicht stellt jemand einen offenen Hotspot ohne CP zur Verfügung?
Viele Grüße
von
departure69
Hallo.
mein Notebook hat dann eine IP-Adresse bekommen
Verbindung per WLAN oder LAN?
Falls WLAN: Vielleicht stellt jemand einen offenen Hotspot ohne CP zur Verfügung?
Viele Grüße
von
departure69
Hallo,
ein DHCP-Server muss nicht zwingend auf einen Ping antworten.
Er kann rein auf einen DHCP-Request antworten.
Ggf. ein DHCP-Fallback von einem Access-Point, Router, Drucker, Kühlschrank, etc....
1. In Deinem Switch/Router schauen wo das Datenpaket herkommt
2. Notfalls Geräte abziehen bis das Notebook keine IP mehr bekommt (ipconfig /release + ipconfig /renew)
Stefan
ein DHCP-Server muss nicht zwingend auf einen Ping antworten.
Er kann rein auf einen DHCP-Request antworten.
Ggf. ein DHCP-Fallback von einem Access-Point, Router, Drucker, Kühlschrank, etc....
1. In Deinem Switch/Router schauen wo das Datenpaket herkommt
2. Notfalls Geräte abziehen bis das Notebook keine IP mehr bekommt (ipconfig /release + ipconfig /renew)
Stefan
Moin,
als erstes fällt mir ein, dass Netgear manchmal diese IP-Adresse verwendet.
Dann würde ich mal folgendes prüfen
An deinem Rechner per Wireshark versuchen herauszufinden, welche MAC sich hinter der IP verbirgt. Dazu kannst du einen neuen Request per
absenden.
Mit der MAC kannst du mal den Vendor ermitteln und im Anschluss mal die Switche abgrasen, an welchem Port sich die MAC-Adresse verbirgt
Ich tippe auf einen zweckentfremdeten Router, weil jemand WLAN haben wollte
Gruß
em-pie
Edit: Typo
als erstes fällt mir ein, dass Netgear manchmal diese IP-Adresse verwendet.
Dann würde ich mal folgendes prüfen
An deinem Rechner per Wireshark versuchen herauszufinden, welche MAC sich hinter der IP verbirgt. Dazu kannst du einen neuen Request per
ipconfig /release && ipconfig /renewMit der MAC kannst du mal den Vendor ermitteln und im Anschluss mal die Switche abgrasen, an welchem Port sich die MAC-Adresse verbirgt
Ich tippe auf einen zweckentfremdeten Router, weil jemand WLAN haben wollte
Gruß
em-pie
Edit: Typo
Servas
Dann mach ein 23er Netz draus, damit Dein Gerät imselben Netz ist und schau, ob'st was findest.
Ansonsten, wie bereits erwähnt (W)LAN? Falls LAN, alles abziehen und schauen wo's herkommt.
Falls WLAN ..... Nachbarin?
Dann mach ein 23er Netz draus, damit Dein Gerät imselben Netz ist und schau, ob'st was findest.
Ansonsten, wie bereits erwähnt (W)LAN? Falls LAN, alles abziehen und schauen wo's herkommt.
Falls WLAN ..... Nachbarin?
Stichwort: mac address table
Damit findest du die Ecke im Netzwerk, woher die Antwort kommt.
Damit findest du die Ecke im Netzwerk, woher die Antwort kommt.
Nachdem ich diesen Befehl nicht kannte, habe ich ihn ausprobiert 🤔 Keine MAC 🤔
Stichwort: DHCP Snooping. Was man als Admin immer aktivieren sollte im Netz damit sowas eben NICHT passiert.
Zitat von @Franz-Josef-II:
Nachdem ich diesen Befehl nicht kannte, habe ich ihn ausprobiert 🤔 Keine MAC 🤔
Nachdem ich diesen Befehl nicht kannte, habe ich ihn ausprobiert 🤔 Keine MAC 🤔
Bitte alles lesen:
An deinem Rechner per Wireshark...
Also Wireshark auf dem eigenen Notebook starten und den Netzwerk-Traffic beobachten.Danach via CMD o.g. Befehle ausführen, damit die aktuelle IP freigegeben und eine neue angefragt wird. Und hier sollte dann der gesamte DHCP-Prozess im Wireshark ersichtlich sein!
Okaay
Hallo,
mit ARP -a kannst Du Dir die MAC zu dieser IP anzeigen lassen.
Stefan
mit ARP -a kannst Du Dir die MAC zu dieser IP anzeigen lassen.
Stefan
versuchte er ja bereits:
Zudem zeigt "mein" Rechner auch nicht die MAC des DHCP-Servers an. Liegt er bei uns aber auch in einem anderen Subnetz/ VLAN.
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.
ein arp -a zeigte auch nichts an.
Zudem zeigt "mein" Rechner auch nicht die MAC des DHCP-Servers an. Liegt er bei uns aber auch in einem anderen Subnetz/ VLAN.
Gut, dann wireshark. Da muss ja stehen wo das Paket herkommt.
wollte nur kurz info denn bis jetzt hat das Teil nicht gestört.
Aber so wie es aussieht ist es einer der WLAN-AP von Netgear. Die schalten anscheinend automatisch den DHCP ein wenn kein anderer im Netzwerk ist.
Was ich halt komisch finde ist: Die Netgear WLAN-AP laufen auf den Festen IPs 192.168.0.52 und .53
Wieso die aber ein IP-Adresse auf 192.168.1.250 verteilen kann ich leider nicht sagen.
Aber so wie es aussieht ist es einer der WLAN-AP von Netgear. Die schalten anscheinend automatisch den DHCP ein wenn kein anderer im Netzwerk ist.
Was ich halt komisch finde ist: Die Netgear WLAN-AP laufen auf den Festen IPs 192.168.0.52 und .53
Wieso die aber ein IP-Adresse auf 192.168.1.250 verteilen kann ich leider nicht sagen.
Hallo,
- Das kann ein oder der Router bzw., die Firewall sein
- Das kann ein WLAN Controller sein
- ........
Ganz einfach wir kennen nicht Dein komplettes Netzwerk.
Router / Firewall (WAN - DMZ und WAN LAN)
Core Switch(e) (Core Layer) (zu den Distributed Switchen)
Switche zu den Etagen Switchen (Distributed Layer)
Etagen Switche (Access Layer)
WLAN Controller
Andere Server
Alle diese Teilnehmer könnten einen alternativen oder Ersatz DHCP haben, oder aber einen DHCP Server
für Ihr segment zur Verfügung stellen, also sprich VLANs, WLAN, Stacks (Stapel), ......
Oder aber schnell mal den ColaSoft IP (MacScanner) installieren und dann die IP Range scannen und dann
anhand der MAC Adresse den Hersteller herausfinden.
dort auch irgendetwas! Kein Spaß!
Dobby
192.168.1.250 Die adresse ist auch nicht als alternativ in dem Notebook einrichtet.
- Das kann ein Switch oder Switch-Stack sein (Layer3)- Das kann ein oder der Router bzw., die Firewall sein
- Das kann ein WLAN Controller sein
- ........
Ganz einfach wir kennen nicht Dein komplettes Netzwerk.
Das Netzwerk läuft normal auf 192.168.0.0/24
Und was sagt uns das jetzt!? Ich mache es mal etwas deutlicher;Router / Firewall (WAN - DMZ und WAN LAN)
Core Switch(e) (Core Layer) (zu den Distributed Switchen)
Switche zu den Etagen Switchen (Distributed Layer)
Etagen Switche (Access Layer)
WLAN Controller
Andere Server
Alle diese Teilnehmer könnten einen alternativen oder Ersatz DHCP haben, oder aber einen DHCP Server
für Ihr segment zur Verfügung stellen, also sprich VLANs, WLAN, Stacks (Stapel), ......
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.
Eventuell eine Monitoring Software wie PRTG oder aber Netgear NMS300 vor Ort?ein arp -a zeigte auch nichts an.
Oder aber schnell mal den ColaSoft IP (MacScanner) installieren und dann die IP Range scannen und dann
anhand der MAC Adresse den Hersteller herausfinden.
Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt?
Denn auf 192.168.0.250 ist kein Gerät.
Also entweder oder? Ist dort nichts, kommt von dort auch nichts, ergo, kommt von dort etwas, istDenn auf 192.168.0.250 ist kein Gerät.
dort auch irgendetwas! Kein Spaß!
Dobby
WLAN-AP laufen auf den Festen IPs 192.168.0.52 und .53 Wieso die aber ein IP-Adresse auf 192.168.1.250 verteilen kann ich leider nicht sagen.
Du hast scheinbar sehr wenig Erfahrung in dem Bereich. 
Die APs "merken" wenn im Netz ein DHCP Server arbeitet und ziehen sich dann automatisch IPs vom laufenden DHCP. Timed ihr Request aber ohne Antwort aus aktivieren sie von sich aus einen eigenen DHCP Server der dann IPs vergibt. Bei mehreren gewinnt der der am schnellsten ist.Billighersteller machen das so damit auch Netzwerk Dummies immer ein Erfolgserlebnis beim Setup solcher APs haben... Die möglichen Folgen sind denen aber dann egal.
DHCP Snooping ist wie immer dein bester Freund!
Zitat von @108012:
dort auch irgendetwas! Kein Spaß!
Dobby
Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt?
Denn auf 192.168.0.250 ist kein Gerät.
Also entweder oder? Ist dort nichts, kommt von dort auch nichts, ergo, kommt von dort etwas, istDenn auf 192.168.0.250 ist kein Gerät.
dort auch irgendetwas! Kein Spaß!
Dobby
Weder auf 192.168.0.250 noch auf 192.168.1.250 ist ein Gerät aber wenn der AD-Server mit DHCP aus ist läuft irgendwie ein DHCP-Server mit der IP-Adresse 192.168.1.250
Wie schon im zweiten Post beschrieben verdacht auf Netgear der sich auch bestätigt hat. Meine Aufgabe war nicht primär einen dazwischenfunkenden DHCP-Server zu suchen. Der ist nur zufällig aufgefallen und hat auch bis jetzt nicht gestört.
In den Netgear geräten konnte ich auch keine einstellungen zu dem DHCP-Dienst finden. Sonst hätte ich den schon bei der Inbetriebnahme ausgeschaltet.
So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Zitat von @Wern2000:
Hm sehr merkwürdig, so einen Automatismus ist mir nicht bekannt. Habt ihr evtl. einen LTE Backup Router im Einsatz ?Zitat von @108012:
So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.Zitat von @Toby-ch:
Ich kenne diese Funktion von einigen consumer WLAN APs die man auch als Router konfigurieren könnte.Zitat von @Wern2000:
So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Hm sehr merkwürdig, so einen Automatismus ist mir nicht bekannt. Habt ihr evtl. einen LTE Backup Router im Einsatz ?So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Stefan
2