dorjjj
Goto Top

PC ungewollt isoliert in Netz

Hallo,
Ich habe ein Netz (172.16.120.0), normalerweise bekommen PCs welche sich mit diesem Verbinden über DHCP eine IP aus dem Bereich .101 - .254.
Dieser wollte nicht, es handelt sich hierbei um ein Gerät eines Kunden was wir für Testzwecke einbinden sollen, also habe ich ihm manuell eine IP aus dem DHCP-Pool zugewiesen:

IP: 172.16.120.248
SUB: 255.255.255.0
Gateway: 172.16.120.1

Jetzt kann dieser PC alle anderen PCs in diesem Netzwerk anpingen, selbst aber nicht angepingt werden und an die Rescource, welche hinter einem IPsec Tunnel liegen kommt er auch nicht ran, alle anderen PCs in diesem Netz aber schon. LanMonitor sieht das Gerät auch nicht (Wobei ich hier halt auch nur in die DHCP-Liste gucke...).
Meine Netzwerkgeräte sind ein 1793VA und ein GS-2310P+ von Lancom.

Ich habe keine Routen oder Firewallregeln für dieses Ding eingerichtet, muss ich in dieser Hinsicht noch irgendwas machen? Oder ist das Ding einfach schrott? Danke schonmal für die Hilfe.

Das 120er Netz hat auch ein eigenes VLAN, kann es daran liegen?

Content-ID: 669037

Url: https://administrator.de/forum/pc-ungewollt-isoliert-in-netz-669037.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

MirkoKR
MirkoKR 25.10.2024 aktualisiert um 17:57:16 Uhr
Goto Top
Du beschreibst eine Reihe von möglichen Problemen...

Fangen wir mit "Ping" an:

Ist die Firewall des Kunden-PC da für Senden/Empfangen freigegeben?

DHCP (deines Netzes) Erlaubt die Firewall des Kunden-PC das?

Die Anzahl der möglichen DHCP-Adressen scheint erstmal groß genug ...

... wobei ein Netzwerkdiagramm hilfreich sein sollte ...

MAC - Einschränkungen würde ich ohne weitere Infos nicht beschuldigen ... 🤔
em-pie
em-pie 25.10.2024 um 18:05:41 Uhr
Goto Top
Moin,

Welches OS?
Was sagt ein WireShark-Mitschnitt?
Welche Firewall-Regeln sind auf dem Client aktiv?

Wenn dort definiert ist, dass alles innerhalb 10.20.30.0/24 erlaubt ist, du aber mit deinem 172.16.120.0/24 um die Ecke kommst…
Lochkartenstanzer
Lochkartenstanzer 25.10.2024 um 18:11:18 Uhr
Goto Top
Moin,

Kiste mit Windows2Go oder Linux von Stick hochfahren und schauen, ob da alles funktioniert. Wenn nein, nach Hardwareproblemen suchen, wenn ja, windows mal abgesichert mut Netzwerk starten.

Vermutlich hat Windows dein Netz als "öffentlich" eingeordnet und daher die Windowsfirewall alles dichtgemacht.

lks
dorjjj
dorjjj 25.10.2024 um 20:29:23 Uhr
Goto Top
Zitat von @MirkoKR:

Du beschreibst eine Reihe von möglichen Problemen...

Fangen wir mit "Ping" an:

Ist die Firewall des Kunden-PC da für Senden/Empfangen freigegeben?

DHCP (deines Netzes) Erlaubt die Firewall des Kunden-PC das?

Die Anzahl der möglichen DHCP-Adressen scheint erstmal groß genug ...

... wobei ein Netzwerkdiagramm hilfreich sein sollte ...

MAC - Einschränkungen würde ich ohne weitere Infos nicht beschuldigen ... 🤔

Kollegen meinten die Firewall auf dem Client sei komplett aus.

Zitat von @em-pie:

Moin,

Welches OS?
Was sagt ein WireShark-Mitschnitt?
Welche Firewall-Regeln sind auf dem Client aktiv?

Wenn dort definiert ist, dass alles innerhalb 10.20.30.0/24 erlaubt ist, du aber mit deinem 172.16.120.0/24 um die Ecke kommst…

OS ist Centos 5, also recht alt. Mit Wireshark habe ich leider nie großartig was gemacht und wüsste leider nicht wo ich da überhaupt anfangen sollte. Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
em-pie
em-pie 25.10.2024 um 20:49:42 Uhr
Goto Top
Wireshark selbst ist „selbsterklärend“. Das Verstehen was da passiert ist das entscheidende.
Bei einem Ping musst du halt wissen, wie die Pakete von a) nach b) gehen und wieder zurück…

Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
Das bitte selbst einmal verifizieren. Soll wohl macht Frau Mara mit ihrer Glaskugel face-wink
https://serverfault.com/questions/172610/how-to-check-firewall-rules-in- ...
Vision2015
Lösung Vision2015 25.10.2024 um 21:20:15 Uhr
Goto Top
Moin....

Dieser wollte nicht, es handelt sich hierbei um ein Gerät eines Kunden was wir für Testzwecke einbinden sollen, also habe ich ihm manuell eine IP aus dem DHCP-Pool zugewiesen:
oha... also als erstes würde ich mal klären, warum der PC keine IP vom DHCP bekommt!
ihm einfach eine zu verpassen, ist nicht so klug, hast du geprüft ob die IP frei ist, hast du für die IP eine ausnahme im DHCP gemacht?
ist das Gateway richtig?
Das 120er Netz hat auch ein eigenes VLAN, kann es daran liegen?
das macht ja nix... nun, ich nehme an, das der Port im switch untagged ist.. oder gar tagged... oder er gehört nicht zum VLAN für das 120er Netz... nur du kannst die Info dazu liefern!

Frank
Pjordorf
Pjordorf 25.10.2024 um 22:52:43 Uhr
Goto Top
Zitat von @dorjjj:
Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
Es gibt tatsächlich mehr als eins. Deine Bücherei hat sicherlich auch welche.Ansonsten https://www.wireshark.org/docs/wsug_html_chunked/ChapterIntroduction.htm ... oder https://www.javatpoint.com/wireshark oder https://www.youtube.com/watch?v=V1PAscOc0sQ , alles von hier https://www.google.com/search?q=wireshark+tuturioal

Gruss,
Peter
Carcer
Carcer 25.10.2024 um 23:31:42 Uhr
Goto Top
Windows eigene Firewall? Bei 10/11 ist die sehr mächtig, gerade mit Pings. Testweise mal an diesem Rechner die ausschalten?
DivideByZero
Lösung DivideByZero 26.10.2024 um 00:55:23 Uhr
Goto Top
Zitat von @dorjjj:
OS ist Centos 5, also recht alt. Mit Wireshark habe ich leider nie großartig was gemacht und wüsste leider nicht wo ich da überhaupt anfangen sollte. Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.

Zitat von @Carcer:
Windows eigene Firewall? Bei 10/11 ist die sehr mächtig, gerade mit Pings. Testweise mal an diesem Rechner die ausschalten?

Das hilft nicht viel, das Zielsystem ist Centos....

Wie @Vision2015 schreibt: Problem mit DHCP angehen, da dürfte auch die Ursache liegen.
SlainteMhath
SlainteMhath 28.10.2024 um 08:27:34 Uhr
Goto Top
Moin,

manuell eine IP aus dem DHCP-Pool zugewiesen:
Das ist keine gute Idee. Wenn schon statisch, musst du eine IP aus dem NICHT-DHCP Bereich vergeben, sonst erzeugst du ggfs. IP Konflikte.

lg,
Slainte
dorjjj
Lösung dorjjj 06.11.2024 um 16:17:52 Uhr
Goto Top
Heyo,

Wollte nur kurz Rückmeldung geben, es funktioniert jetzt alles bei uns. Der Lösungsweg war es, wie vorgeschlagen, zu schauen warum denn DHCP bei dem Teil nicht will. Es hat sich dann herausgestellt, dass in der Schnittstellenkonfig (fcfg-eth0) absoluter Murks drinnen stand und natürlich auch DHCP nicht aktiv war. Wir haben es dann aktiviert und noch händisch Subnetzmaske und Gateway korrigiert, jetzt läuft alles wie gewollt.

Vielen Dank euch!