wern2000
Goto Top

Merkwürdiger fremder DHCP server

Hallo,
ich hab hier zu wartungsarbeiten die Server abgeschaltet. Auch den AD wo der DHCP drauf ist.
Das komische ist, mein Notebook hat dann eine IP-Adresse bekommen. Bei kurzer recherche von einem DHCP-Server mit der IP 192.168.1.250 Die adresse ist auch nicht als alternativ in dem Notebook einrichtet.
Das Netzwerk läuft normal auf 192.168.0.0/24
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.

Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt? Denn auf 192.168.0.250 ist kein Gerät.

Content-ID: 3073667402

Url: https://administrator.de/forum/merkwuerdiger-fremder-dhcp-server-3073667402.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

departure69
departure69 14.06.2022 um 14:13:25 Uhr
Goto Top
@Wern2000:

Hallo.

mein Notebook hat dann eine IP-Adresse bekommen

Verbindung per WLAN oder LAN?

Falls WLAN: Vielleicht stellt jemand einen offenen Hotspot ohne CP zur Verfügung?


Viele Grüße

von

departure69
StefanKittel
StefanKittel 14.06.2022 um 14:14:24 Uhr
Goto Top
Hallo,

ein DHCP-Server muss nicht zwingend auf einen Ping antworten.
Er kann rein auf einen DHCP-Request antworten.

Ggf. ein DHCP-Fallback von einem Access-Point, Router, Drucker, Kühlschrank, etc....

1. In Deinem Switch/Router schauen wo das Datenpaket herkommt
2. Notfalls Geräte abziehen bis das Notebook keine IP mehr bekommt (ipconfig /release + ipconfig /renew)

Stefan
em-pie
Lösung em-pie 14.06.2022 aktualisiert um 14:16:56 Uhr
Goto Top
Moin,

als erstes fällt mir ein, dass Netgear manchmal diese IP-Adresse verwendet.

Dann würde ich mal folgendes prüfen
An deinem Rechner per Wireshark versuchen herauszufinden, welche MAC sich hinter der IP verbirgt. Dazu kannst du einen neuen Request per
 ipconfig /release && ipconfig /renew
absenden.

Mit der MAC kannst du mal den Vendor ermitteln und im Anschluss mal die Switche abgrasen, an welchem Port sich die MAC-Adresse verbirgt face-wink

Ich tippe auf einen zweckentfremdeten Router, weil jemand WLAN haben wollte face-wink

Gruß
em-pie

Edit: Typo
Franz-Josef-II
Franz-Josef-II 14.06.2022 um 14:23:37 Uhr
Goto Top
Servas

Dann mach ein 23er Netz draus, damit Dein Gerät imselben Netz ist und schau, ob'st was findest.

Ansonsten, wie bereits erwähnt (W)LAN? Falls LAN, alles abziehen und schauen wo's herkommt.

Falls WLAN ..... Nachbarin?
2423392070
2423392070 14.06.2022 um 14:27:51 Uhr
Goto Top
Stichwort: mac address table
Damit findest du die Ecke im Netzwerk, woher die Antwort kommt.
Franz-Josef-II
Franz-Josef-II 14.06.2022 um 14:37:37 Uhr
Goto Top
Zitat von @em-pie:
 ipconfig /release && ipconfig /renew

Nachdem ich diesen Befehl nicht kannte, habe ich ihn ausprobiert 🤔 Keine MAC 🤔
148523
148523 14.06.2022 um 14:38:56 Uhr
Goto Top
Stichwort: DHCP Snooping. Was man als Admin immer aktivieren sollte im Netz damit sowas eben NICHT passiert.
em-pie
em-pie 14.06.2022 um 14:53:13 Uhr
Goto Top
Zitat von @Franz-Josef-II:

Zitat von @em-pie:
 ipconfig /release && ipconfig /renew

Nachdem ich diesen Befehl nicht kannte, habe ich ihn ausprobiert 🤔 Keine MAC 🤔

Bitte alles lesen:
An deinem Rechner per Wireshark...
Also Wireshark auf dem eigenen Notebook starten und den Netzwerk-Traffic beobachten.
Danach via CMD o.g. Befehle ausführen, damit die aktuelle IP freigegeben und eine neue angefragt wird. Und hier sollte dann der gesamte DHCP-Prozess im Wireshark ersichtlich sein!
Franz-Josef-II
Franz-Josef-II 14.06.2022 um 14:58:00 Uhr
Goto Top
Zitat von @em-pie:
Bitte alles lesen:

Okaay
StefanKittel
StefanKittel 14.06.2022 um 15:37:51 Uhr
Goto Top
Hallo,

mit ARP -a kannst Du Dir die MAC zu dieser IP anzeigen lassen.

Stefan
em-pie
em-pie 14.06.2022 aktualisiert um 15:50:31 Uhr
Goto Top
Zitat von @StefanKittel:
mit ARP -a kannst Du Dir die MAC zu dieser IP anzeigen lassen.
versuchte er ja bereits:
ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.

Zudem zeigt "mein" Rechner auch nicht die MAC des DHCP-Servers an. Liegt er bei uns aber auch in einem anderen Subnetz/ VLAN.
StefanKittel
StefanKittel 14.06.2022 um 15:57:30 Uhr
Goto Top
Gut, dann wireshark. Da muss ja stehen wo das Paket herkommt.
Wern2000
Lösung Wern2000 14.06.2022 aktualisiert um 17:07:48 Uhr
Goto Top
wollte nur kurz info denn bis jetzt hat das Teil nicht gestört.
Aber so wie es aussieht ist es einer der WLAN-AP von Netgear. Die schalten anscheinend automatisch den DHCP ein wenn kein anderer im Netzwerk ist.

Was ich halt komisch finde ist: Die Netgear WLAN-AP laufen auf den Festen IPs 192.168.0.52 und .53
Wieso die aber ein IP-Adresse auf 192.168.1.250 verteilen kann ich leider nicht sagen.
108012
108012 14.06.2022 um 16:12:45 Uhr
Goto Top
Hallo,

192.168.1.250 Die adresse ist auch nicht als alternativ in dem Notebook einrichtet.
- Das kann ein Switch oder Switch-Stack sein (Layer3)
- Das kann ein oder der Router bzw., die Firewall sein
- Das kann ein WLAN Controller sein
- ........

Ganz einfach wir kennen nicht Dein komplettes Netzwerk.

Das Netzwerk läuft normal auf 192.168.0.0/24
Und was sagt uns das jetzt!? Ich mache es mal etwas deutlicher;
Router / Firewall (WAN - DMZ und WAN LAN)
Core Switch(e) (Core Layer) (zu den Distributed Switchen)
Switche zu den Etagen Switchen (Distributed Layer)
Etagen Switche (Access Layer)
WLAN Controller
Andere Server

Alle diese Teilnehmer könnten einen alternativen oder Ersatz DHCP haben, oder aber einen DHCP Server
für Ihr segment zur Verfügung stellen, also sprich VLANs, WLAN, Stacks (Stapel), ......

ich konnte die 192.168.1.250 weder anpiningen noch per browser öffnen.
ein arp -a zeigte auch nichts an.
Eventuell eine Monitoring Software wie PRTG oder aber Netgear NMS300 vor Ort?
Oder aber schnell mal den ColaSoft IP (MacScanner) installieren und dann die IP Range scannen und dann
anhand der MAC Adresse den Hersteller herausfinden.

Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt?
Denn auf 192.168.0.250 ist kein Gerät.
Also entweder oder? Ist dort nichts, kommt von dort auch nichts, ergo, kommt von dort etwas, ist
dort auch irgendetwas! Kein Spaß!

Dobby
148523
148523 14.06.2022 aktualisiert um 17:17:15 Uhr
Goto Top
WLAN-AP laufen auf den Festen IPs 192.168.0.52 und .53 Wieso die aber ein IP-Adresse auf 192.168.1.250 verteilen kann ich leider nicht sagen.
Du hast scheinbar sehr wenig Erfahrung in dem Bereich. face-sad Die APs "merken" wenn im Netz ein DHCP Server arbeitet und ziehen sich dann automatisch IPs vom laufenden DHCP. Timed ihr Request aber ohne Antwort aus aktivieren sie von sich aus einen eigenen DHCP Server der dann IPs vergibt. Bei mehreren gewinnt der der am schnellsten ist.
Billighersteller machen das so damit auch Netzwerk Dummies immer ein Erfolgserlebnis beim Setup solcher APs haben... Die möglichen Folgen sind denen aber dann egal.
DHCP Snooping ist wie immer dein bester Freund!
Wern2000
Wern2000 14.06.2022 aktualisiert um 17:22:09 Uhr
Goto Top
Zitat von @108012:

Kennt jemand zufällig ein Gerät das auf 192.168.1.250 einen DHPC bereit stellt?
Denn auf 192.168.0.250 ist kein Gerät.
Also entweder oder? Ist dort nichts, kommt von dort auch nichts, ergo, kommt von dort etwas, ist
dort auch irgendetwas! Kein Spaß!

Dobby

Weder auf 192.168.0.250 noch auf 192.168.1.250 ist ein Gerät aber wenn der AD-Server mit DHCP aus ist läuft irgendwie ein DHCP-Server mit der IP-Adresse 192.168.1.250

Wie schon im zweiten Post beschrieben verdacht auf Netgear der sich auch bestätigt hat. Meine Aufgabe war nicht primär einen dazwischenfunkenden DHCP-Server zu suchen. Der ist nur zufällig aufgefallen und hat auch bis jetzt nicht gestört.
In den Netgear geräten konnte ich auch keine einstellungen zu dem DHCP-Dienst finden. Sonst hätte ich den schon bei der Inbetriebnahme ausgeschaltet.
So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Toby-ch
Toby-ch 22.06.2022 um 21:58:21 Uhr
Goto Top
Zitat von @Wern2000:

Zitat von @108012:

So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Hm sehr merkwürdig, so einen Automatismus ist mir nicht bekannt. Habt ihr evtl. einen LTE Backup Router im Einsatz ?
StefanKittel
StefanKittel 22.06.2022 um 22:08:09 Uhr
Goto Top
Zitat von @Toby-ch:
Zitat von @Wern2000:
So wie es aussieht aktiviert/deaktiviert sich das Ding wenn kein richtiger DHCP vorhanden ist.
Hm sehr merkwürdig, so einen Automatismus ist mir nicht bekannt. Habt ihr evtl. einen LTE Backup Router im Einsatz ?
Ich kenne diese Funktion von einigen consumer WLAN APs die man auch als Router konfigurieren könnte.
Stefan