dorjjj
Goto Top

PC ungewollt isoliert in Netz

Hallo,
Ich habe ein Netz (172.16.120.0), normalerweise bekommen PCs welche sich mit diesem Verbinden über DHCP eine IP aus dem Bereich .101 - .254.
Dieser wollte nicht, es handelt sich hierbei um ein Gerät eines Kunden was wir für Testzwecke einbinden sollen, also habe ich ihm manuell eine IP aus dem DHCP-Pool zugewiesen:

IP: 172.16.120.248
SUB: 255.255.255.0
Gateway: 172.16.120.1

Jetzt kann dieser PC alle anderen PCs in diesem Netzwerk anpingen, selbst aber nicht angepingt werden und an die Rescource, welche hinter einem IPsec Tunnel liegen kommt er auch nicht ran, alle anderen PCs in diesem Netz aber schon. LanMonitor sieht das Gerät auch nicht (Wobei ich hier halt auch nur in die DHCP-Liste gucke...).
Meine Netzwerkgeräte sind ein 1793VA und ein GS-2310P+ von Lancom.

Ich habe keine Routen oder Firewallregeln für dieses Ding eingerichtet, muss ich in dieser Hinsicht noch irgendwas machen? Oder ist das Ding einfach schrott? Danke schonmal für die Hilfe.

Das 120er Netz hat auch ein eigenes VLAN, kann es daran liegen?

Content-ID: 669037

Url: https://administrator.de/contentid/669037

Printed on: November 4, 2024 at 08:11 o'clock

MirkoKR
MirkoKR Oct 25, 2024 updated at 15:57:16 (UTC)
Goto Top
Du beschreibst eine Reihe von möglichen Problemen...

Fangen wir mit "Ping" an:

Ist die Firewall des Kunden-PC da für Senden/Empfangen freigegeben?

DHCP (deines Netzes) Erlaubt die Firewall des Kunden-PC das?

Die Anzahl der möglichen DHCP-Adressen scheint erstmal groß genug ...

... wobei ein Netzwerkdiagramm hilfreich sein sollte ...

MAC - Einschränkungen würde ich ohne weitere Infos nicht beschuldigen ... 🤔
em-pie
em-pie Oct 25, 2024 at 16:05:41 (UTC)
Goto Top
Moin,

Welches OS?
Was sagt ein WireShark-Mitschnitt?
Welche Firewall-Regeln sind auf dem Client aktiv?

Wenn dort definiert ist, dass alles innerhalb 10.20.30.0/24 erlaubt ist, du aber mit deinem 172.16.120.0/24 um die Ecke kommst…
Lochkartenstanzer
Lochkartenstanzer Oct 25, 2024 at 16:11:18 (UTC)
Goto Top
Moin,

Kiste mit Windows2Go oder Linux von Stick hochfahren und schauen, ob da alles funktioniert. Wenn nein, nach Hardwareproblemen suchen, wenn ja, windows mal abgesichert mut Netzwerk starten.

Vermutlich hat Windows dein Netz als "öffentlich" eingeordnet und daher die Windowsfirewall alles dichtgemacht.

lks
dorjjj
dorjjj Oct 25, 2024 at 18:29:23 (UTC)
Goto Top
Zitat von @MirkoKR:

Du beschreibst eine Reihe von möglichen Problemen...

Fangen wir mit "Ping" an:

Ist die Firewall des Kunden-PC da für Senden/Empfangen freigegeben?

DHCP (deines Netzes) Erlaubt die Firewall des Kunden-PC das?

Die Anzahl der möglichen DHCP-Adressen scheint erstmal groß genug ...

... wobei ein Netzwerkdiagramm hilfreich sein sollte ...

MAC - Einschränkungen würde ich ohne weitere Infos nicht beschuldigen ... 🤔

Kollegen meinten die Firewall auf dem Client sei komplett aus.

Zitat von @em-pie:

Moin,

Welches OS?
Was sagt ein WireShark-Mitschnitt?
Welche Firewall-Regeln sind auf dem Client aktiv?

Wenn dort definiert ist, dass alles innerhalb 10.20.30.0/24 erlaubt ist, du aber mit deinem 172.16.120.0/24 um die Ecke kommst…

OS ist Centos 5, also recht alt. Mit Wireshark habe ich leider nie großartig was gemacht und wüsste leider nicht wo ich da überhaupt anfangen sollte. Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
em-pie
em-pie Oct 25, 2024 at 18:49:42 (UTC)
Goto Top
Wireshark selbst ist „selbsterklärend“. Das Verstehen was da passiert ist das entscheidende.
Bei einem Ping musst du halt wissen, wie die Pakete von a) nach b) gehen und wieder zurück…

Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
Das bitte selbst einmal verifizieren. Soll wohl macht Frau Mara mit ihrer Glaskugel face-wink
https://serverfault.com/questions/172610/how-to-check-firewall-rules-in- ...
Vision2015
Vision2015 Oct 25, 2024 at 19:20:15 (UTC)
Goto Top
Moin....

Dieser wollte nicht, es handelt sich hierbei um ein Gerät eines Kunden was wir für Testzwecke einbinden sollen, also habe ich ihm manuell eine IP aus dem DHCP-Pool zugewiesen:
oha... also als erstes würde ich mal klären, warum der PC keine IP vom DHCP bekommt!
ihm einfach eine zu verpassen, ist nicht so klug, hast du geprüft ob die IP frei ist, hast du für die IP eine ausnahme im DHCP gemacht?
ist das Gateway richtig?
Das 120er Netz hat auch ein eigenes VLAN, kann es daran liegen?
das macht ja nix... nun, ich nehme an, das der Port im switch untagged ist.. oder gar tagged... oder er gehört nicht zum VLAN für das 120er Netz... nur du kannst die Info dazu liefern!

Frank
Pjordorf
Pjordorf Oct 25, 2024 at 20:52:43 (UTC)
Goto Top
Zitat von @dorjjj:
Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.
Es gibt tatsächlich mehr als eins. Deine Bücherei hat sicherlich auch welche.Ansonsten https://www.wireshark.org/docs/wsug_html_chunked/ChapterIntroduction.htm ... oder https://www.javatpoint.com/wireshark oder https://www.youtube.com/watch?v=V1PAscOc0sQ , alles von hier https://www.google.com/search?q=wireshark+tuturioal

Gruss,
Peter
Carcer
Carcer Oct 25, 2024 at 21:31:42 (UTC)
Goto Top
Windows eigene Firewall? Bei 10/11 ist die sehr mächtig, gerade mit Pings. Testweise mal an diesem Rechner die ausschalten?
DivideByZero
DivideByZero Oct 25, 2024 at 22:55:23 (UTC)
Goto Top
Zitat von @dorjjj:
OS ist Centos 5, also recht alt. Mit Wireshark habe ich leider nie großartig was gemacht und wüsste leider nicht wo ich da überhaupt anfangen sollte. Gibt es da vielleicht ein Tutorial? Und wie gesagt, Firewall soll wohl komplett aus sein auf dem Client.

Zitat von @Carcer:
Windows eigene Firewall? Bei 10/11 ist die sehr mächtig, gerade mit Pings. Testweise mal an diesem Rechner die ausschalten?

Das hilft nicht viel, das Zielsystem ist Centos....

Wie @Vision2015 schreibt: Problem mit DHCP angehen, da dürfte auch die Ursache liegen.
SlainteMhath
SlainteMhath Oct 28, 2024 at 07:27:34 (UTC)
Goto Top
Moin,

manuell eine IP aus dem DHCP-Pool zugewiesen:
Das ist keine gute Idee. Wenn schon statisch, musst du eine IP aus dem NICHT-DHCP Bereich vergeben, sonst erzeugst du ggfs. IP Konflikte.

lg,
Slainte