Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Rätselhaftes Netzwerkverhalten (IP, ARP )

Mitglied: seltsam

seltsam (Level 1) - Jetzt verbinden

28.03.2019 um 15:45 Uhr, 1432 Aufrufe, 18 Kommentare, 2 Danke

Hallo Freunde der gepflegten Unterhaltung.
Wir hatten gestern eine seltsames Phänomen, das möchte ich gern zur Diskussion frei geben.
Unsere Umgebung im Groben:
Controllerbasiertes WLAN (LANCOM, 1 WLC und 300 APs) mit rund 700 Teilnehmern auf einer SSID (eigenes VLAN)
Dieses VLAN kommt auf einer pfsense mit aktueller Software an.
Auch LAN Verbindungen im selben Netzwerk sind vorhanden.
PFSense wohnt auf einen dl360, hat ausreichend Rechenleistung und Speicher.
PFSense übernimmt alle infrastrukturdienste wie DHCP, IP, DNS, Router...
Ebenfalls Firewallfunktionen sowie ein Captive Portal ohne Authentifizierung, lediglich die Geschäftsbedingungen müssen akzueptiert werden.
Dann wird über Radius ein Zugang erstellt, der nach 24 Stunden abläuft.
PFsense ist ebenfalls Internet (standard)Gateway.

Soweit funktionierte alles.
Dann hatten wir folgendes Phänomen:
Einige Benutzer beklagten sich, dass sie das Netzwerk nicht mehr nutzen konnten, weder verkabelt noch WiFi.

Haben wir nachvollzogen und stimmte.
Die Clients meldeten sich am Netzwerk an und bekamen die IP Settings.
Dann ging es nicht weiter.
Dienste auf pfsense liefen normal, trotzdem haben wir die neu gestartet.
Auch das half nichts.
Also weiter.
Ping und ARP auslesen.
Dabei fiel uns auf, dass die falsche Mac Adresse antwortete.
Eine kurze Suche bei Heise ergab, dass es sich um ein Apple Gerät handeln könnte.
Weiter Auswertungen (MAC Address Table am Switch und Trace am WLC) verrieten uns, an welche AP das Gerät assoziierte.
Das grenzte den Suchbereich ein.
Meine Gang hat das Gerät gefunden und die Dame gebeten, das WLAN auszuschalten.
War tatsächlich ein MacBook.
Der hat, aus irgendwelchen Gründen, beim Ping auf die IP Adresse des Routers, geantwortet.
Und damit auch sämtliche DNS Anfragen (nicht) beantwortet.
Nach Ausknipsen war alles gut, auch er Router antwortete wieder korrekt.
Nach Anschalten das selbe Fehlerbild.
Konnte mit Abschalten wieder korrigiert werden.

Das zum Fehlerbild.
Auf dem Mac konnten wir nichts feststellen. Weder in den IP Settings noch in irgendwelchen Protokollen.
Eine VPN Software kommt noch zum Einsatz.
Nach einem Telefonat mit dem IT Mann, der die Firma betreut, kam heraus, dass unsere IP Adresskreise sich auch nicht überschneiden.
Der "gegnerische" IT Mann hat das Gerät remote untersucht, ihm fiel nur auf, dass in den IP Settings (via GUI) die MacAdresse kurz verschwindet.

Im betroffenen VLAN wird nicht geroutet, mal abgesehen vom internetzugang.
IM Vlan konnten wir keine Fehler feststellen.
Die Routeradresse wird nicht per DHCP verteilt.
Der Mac Erhält übrigens tatsächlich eine eigene MacAdresse. Diese ist anpingbar und zeigt die selbe Mac Adressse im ARP Cache. Also gibt es dann zu einer Mac 2 Adressen.

Wir haben das Gerät in ein anderes VLAN verfrachtet, anschliessend war Ruhe. Allerdings haben sich die Bedingungen damit verändert, der Fehler konnte in diesem netz nicht reproduziert werden.
Unserem gast war geholfen, allerdings würde ich gern wisssen, was hier schief gelaufen ist...
Vielleicht habt ihr Ideen.


Herzliche Grüße aus Berlin.
Mitglied: 138810
28.03.2019, aktualisiert um 16:04 Uhr
Riecht nach ARP Poisoning bei dem ein Client versucht den Traffic der Clients der eigentlich an den Router gehen sollten auf sich umzuleiten Stichwort MitM-Attack ...
Bitte warten ..
Mitglied: Lochkartenstanzer
28.03.2019, aktualisiert um 16:13 Uhr
Zitat von 138810:

Riecht nach ARP Poisoning bei dem ein Client versucht den Traffic der Clients der eigentlich an den Router gehen sollten auf sich umzuleiten Stichwort MitM-Attack ...


ARP-Poisoning war auch mein erster Gedanke, allerdings sehr stümperhaft ausgeführt, weil das Netz lahmgelegt wurde.

Ich würde mal schauen, ob der Apfel denn wirklich "sauber" ist. Denn normal ist so ein Verhalten nicht.

lks
Bitte warten ..
Mitglied: SlainteMhath
28.03.2019 um 16:17 Uhr
Moin,

ich fasse kurz zusammen:

Das MacBook einer fremden/externen Person bringt das interne Netzwerk komplett zum erliegen.

Deswegen lässt man "solche" nur in ein Gast-(W)LAN.

Vielleicht habt ihr Ideen.
Gehackt, Trojaner, Spieltrieb, Script-Kiddie, defekte Hardware und/oder Treiber... auf einen Endgerät das du nicht selbst kontrollierst kann das alles sein.

lg,
Slainte
Bitte warten ..
Mitglied: Lochkartenstanzer
28.03.2019, aktualisiert um 16:20 Uhr
Zitat von SlainteMhath:

Moin,

ich fasse kurz zusammen:

Das MacBook einer fremden/externen Person bringt das interne Netzwerk komplett zum erliegen.

Deswegen lässt man "solche" nur in ein Gast-(W)LAN.


Wenn ich das richtig verstanden habe ist das ein Gäste-WLAN.

Liest sich wie Hotel oder Cafe-WLAN.

lks
Bitte warten ..
Mitglied: 138810
28.03.2019, aktualisiert um 16:28 Uhr
Bei Gäste LANs deaktiviere ich grundsätzlich dynamisches ARP am Router stelle auf static ARP und lasse den Router nur die DHCP Leases automatisch in die ARP Tabelle eintragen, und aktiviere natürlich Client-Isolation, dann passiert sowas wie oben erst gar nicht.
Bitte warten ..
Mitglied: SlainteMhath
28.03.2019 um 16:22 Uhr
Wenn ich das richtig verstanden habe ist das ein Gäste-WLAN.
Liest sich wie Hotel oder Cafe-WLAN.
Habe ich eigentlich anhand dieses Satzes:

Einige Benutzer beklagten sich, dass sie das Netzwerk nicht mehr nutzen konnten, weder verkabelt noch WiFi.

ausgeschlossen ;)
Bitte warten ..
Mitglied: LordGurke
28.03.2019 um 17:04 Uhr
Oder da läuft irgendeine Software für Virtualisierung, die diesen IP-Range benutzt.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.03.2019 um 17:23 Uhr
Zitat von SlainteMhath:

Wenn ich das richtig verstanden habe ist das ein Gäste-WLAN.
Liest sich wie Hotel oder Cafe-WLAN.
Habe ich eigentlich anhand dieses Satzes:

Einige Benutzer beklagten sich, dass sie das Netzwerk nicht mehr nutzen konnten, weder verkabelt noch WiFi.

ausgeschlossen ;)

Vielleicht ist ja der TO so nett, zu sagen, wessen Kristallkugel besser funktioniert.

lks
Bitte warten ..
Mitglied: 138810
28.03.2019, aktualisiert um 17:59 Uhr
Zitat von Lochkartenstanzer:
Vielleicht ist ja der TO so nett, zu sagen, wessen Kristallkugel besser funktioniert.

Der hat vermutlich schon eine Verabredung mit einem "Alternate Rendevouz Point" .
Bitte warten ..
Mitglied: papa-luigi
28.03.2019 um 19:50 Uhr
Servus!

Also eine echte Erklärung für dein Problem hab ich nicht...
Allerdings hatten wir - ähnlich großes Netzwerk - fast die gleichen Probleme.

Apple Geräte haben bei uns mit massiven MDNS Broadcasts unsere Switche lahmgelegt bzw. die ARP-Tabellen der Geräte kaputt gemacht.

Lösung:
An den WLAN-Accesspoints MDNS blockieren, und da nicht nur Apple-Geräte MDNS machen: Windows Firewall angepasst und geblockt per GPO

evlt. gehts ja bei euch auch in die Richtung - Wireshark hilft...

Gruß
Luigi
Bitte warten ..
Mitglied: seltsam
29.03.2019, aktualisiert um 15:44 Uhr
Vielen Dank für die vielen Bemerkungen. Ich versuche mehr Informationen zu liefern:
1. Ja, es ist ein Hotelbetrieb und betrifft das freie Gäste WLAN.
2. Wireshark ist super, machen wir immer, wenn wir Zeit haben und die Geräte in unserem Einzug sind.
3. ARP Spoofing, haben wir in Betracht gezogen. Durch die ungefähre Verortung des "Täters" haben wir diesen dann auch gefunden, durch die zeitgenaue Reproduktion und Eleminierung des Fehlers, haben wir das dann als absichtliches ARP Spoofing ausgeschlossen.
Daher auch der Kontakt zum IT Beauftragten des Geräte-Inhabers
4. Settings: Client Isolation findet schon am AP statt.
Static ARP Entries ist meines Verständnisses nach manuelle Zuordnung von Einträgen, daher unpraktikabel.
Ich habe mich auf Deinen Hinweis dennoch damit beschäftigt und kann es so nicht konfigurieren, da ich keine entsprechende Konfiguration finde.
Einfaches anknipsen führt zu Nichterreichbarkeit des Routers, wie Du es vorraus sagtest, allerdings ist dann auch das Captive Portal nicht erreichbar und damit die Grundfunktion unverfügbar.
5. MDNS, hat in diesem Fall nicht gepasst. Wir hatte keine massiven broadcasts zu beklagen sondern vielmehr eine "Identitätskrise", weil der Mac auf Pings an den Router antwortete.
MDNS der Clients stehen nicht in meinem Einzugsgebiet, da es das Gastnetzwerk ist.
Ich danke erstmal allen für den Input. Leider kann ich das nicht nachvollziehen, da das Gerät inzwischen nicht mehr hier ist.
Bitte warten ..
Mitglied: 138810
29.03.2019, aktualisiert um 17:15 Uhr
Static ARP Entries ist meines Verständnisses nach manuelle Zuordnung von Einträgen, daher unpraktikabel.
Ein Mikrotik kann das . Dem kann man sagen mach Static ARP, aber füge selber die DHCP Leases der Table hinzu und entferne sie sobald sie abgelaufen ist.
Bitte warten ..
Mitglied: PatrickHoeft
26.06.2019 um 15:35 Uhr
Hallo seltsam

ich konnte bei uns den gleichen Effekt mit unterschiedlichen MacBooks beobachten (MacBook verwendet IP des Gateways), bist du hier weitergekommen?

Viele Grüße
Patrick
Bitte warten ..
Mitglied: seltsam
17.07.2019 um 15:34 Uhr
Hallo zusammen und hallo Patrick,
Wir haben es geschafft, ich hatte 2 Monate Auslandsaufenthalt mit Familie, daher poste ich das jetzt erst.
Als Vorspiel haben wir die eingrenzten Apple Geräte dem Support von Apple gemeldet.
Der im übrigen ungestraft als unbrauchbar eingestuft werden kann, zumindest was die Kommunikationskultur betrifft.

Ein Kollege aus meinem engeren netzwerk hat dann mal gewühlt und uns auf "Gratuitous ARP" gebracht.
Dann haben wir mit Wireshark nochmal speziell darauf gezielt und sind fündig geworden.
Es fiel schnell auf, dass insbesondere Apple Netzwerkteilnehmer über diese Funktion unwillkürlich fehlerhafte ARP Pakete verbreiteten, in denen sie Ihrer MacAdresse die IP des Routers zuordneten. Warum auch immer ist bis heute unklar.

Hier eine Erklärung zum Gratuitous ARP als solches:
https://www.practicalnetworking.net/series/arp/gratuitous-arp/

Da wir ein WLAN Netzwerk mit rund 300 Access Points betreiben, fiel es uns schwer, einen Übeltäter klar zu identifizieren.
Darum war das zeitweise resetten eines WLAN im 700 Zimmer Hotel immer nur eine Notfalllösung.
Da sich die Vorfälle aber häuften, mussste das final gelöst werden.

Zur Lösung:
Sofern man keine hochverfügbaren Routingszenarien verwendet, sollte man in seinem Netzwerk die Gratuitous ARP Broadcasts unterdrücken.
Dazu braucht man natürlich entsprechende Hardware, die das unterstützt.
Wir konnten das bei uns im Netz nach einen FW Update auf den AP's zu 80 % umsetzen.
Ältere Accesspoints sind nicht in der Lage, die FW zu verwenden, daher haben wir diese noch als Fehlerquelle auf dem Schirm und müssen da tauschen.
Sollten eure AP das nicht können, kann man das noch auf Switchen unterdrücken, dann greift das nur ab dem Switch.
Wir verwenden Lancom Komponenten, da gibt es ab der FW 10.x einen Schalter bei dem man Gratuitous ARP ignorieren kann.
Das wird bei anderen Herstellern jedoch anders gelöst oder nicht möglich sein.
Wir konnten das hier zentral über den Controller per Script steuern.
Wer dazu Infos braucht, kann sich gern nochmal melden.

Für uns wäre es noch interessant zu wissen, ob andere Hersteller (PatrickHoeft???) auch darunter zu leiden haben oder ob dieses Problem nur bei Lancom zu finden ist?

Ich hoffe, das hier hilft auch weiteren Kollegen.
Viele Grüße aus Berlin.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.07.2019 um 15:48 Uhr
Zitat von seltsam:

Sofern man keine hochverfügbaren Routingszenarien verwendet, sollte man in seinem Netzwerk die Gratuitous ARP Broadcasts unterdrücken.

Man sollte generell seine Endgeräte so einstellen, daß die nicht auf Gratuitous ARP reagieren, sondern nur auf selbst abgeschickte arp-request. damit führt man arp-spoofing/-poisoning durch.

Ist aber schon seit dem letzten Jahrtaused bekannt.

lks
Bitte warten ..
Mitglied: papa-luigi
17.07.2019 um 22:55 Uhr
Ach - und wie mach der Herr das mit Geräten die er nicht unter Kontrolle hat - wie hier - Hotel?
Bitte warten ..
Mitglied: Lochkartenstanzer
17.07.2019 um 23:13 Uhr
Zitat von papa-luigi:

Ach - und wie mach der Herr das mit Geräten die er nicht unter Kontrolle hat - wie hier - Hotel?

Komtm auf die Gegebenheiten an. Aber letztendlich ist jeder Gast für sein eigenes Gerät verantwortlich.

lks
Bitte warten ..
Mitglied: PatrickHoeft
22.07.2019 um 07:36 Uhr
Hallo zusammen,

leider kann ich keine Auskunft darüber geben wie es sich mit anderen Herstellern verhält da wir selbst auch LANCOM einsetzen, ich habe bei uns diese Config vorgenommen ob es funktioniert kann ich erst in ein paar Tagen sagen.

@seltsam: Vielen Dank für den wertvollen Tipp

Viele Grüße
Patrick
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Ganz einfache Frage: IP-Ermittlung vor ARP-Request

gelöst Frage von anrivaxdNetzwerkgrundlagen9 Kommentare

Hallo Leute, Ich befasse mich zur Zeit mit Netzwerkgrundlagen und habe eine total einfache Frage, zu der ich aber ...

Windows Netzwerk

Hilfe zu arp -a

Frage von BenniulbWindows Netzwerk3 Kommentare

Muss man sich für den Befehl im gleichen Netzwerk/ IP-Netzwerkbereich befinden? Wollte versuchen von einem Laptop mit IP-Adresse 192.168.0.1 ...

Netzwerke

IPv4 ARP APIPA seltsames Verhalten

gelöst Frage von brammerNetzwerke6 Kommentare

Hallo, ich habe hier einen Industrie PC, aktuelle Hardware, Embedded WIN 7. Dieser Rechner hat eine fest konfigurierte IPV4 ...

Router & Routing

Adressierung über einen ARP-Proxy

gelöst Frage von HanDokuRouter & Routing6 Kommentare

Ich versuche aus Deutschland ein Gerät mit der IP 192.168.1.10 in unserem Ferienhaus in Frankreich anzusprechen. Der Fernzugriff für ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 2 TagenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 3 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 3 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 5 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware37 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

E-Business
Brainstorming: Zeiterfassungs- oder gesamtes Abrechnungssystem
Frage von certifiedit.netE-Business23 Kommentare

Guten Abend, alles neu macht der, naja, schon lange nicht mehr, Mai Zum Ende des Jahres, besser zum Beginn ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...

Weiterbildung
Thema Gehaltsverhandlung - Angemessenes Gehalt als (SAP)-Supportmitarbeiter
Frage von DennisWeberWeiterbildung10 Kommentare

Hallo Leute, ich möchte nach ca. 3 Jahre Betriebszugehörigkeit und 4 Jahre Berufserfahrung (Arbeitsjahre/ keine Ausbildungszeit) endlich eine Gehaltsanpassung ...