14
tracert Befehl für Mac Adressen?
Möchte Verursacher bei IP-Adressenkonflikt im Netzwerk ausfindig machen.
Hallo liebe Administratoren,
ich stehe so eben vor einer Problemstellung, die ich nicht wirklich gelöst bekomme und hoffe, dass ihr mir vielleicht weiter helfen könnt.
Hierzu aber erstmal folgende Ausgangssituation.
In meiner Firma kommt es vor, dass Mitarbeiter ihr privaten Notebooks zum Arbeiten mitbringen dürfen (vor allem Studenten).
Normalerweise haben sich diese bei der Administration zu melden und bekommen IP-Adresse und alles nötige mitgeteilt.
Leider gibt es eben immer wieder kleine Spätzünder oder Kollegen, die der Meinung sind, diesen Schritt überspringen zu müssen, welche
sich dann selbst eine IP-Adresse zuordnen.
In vielen Fällen kommt es dabei zu einer doppelten Vergabe einer IP-Adresse.
Nun meine Frage:
Gibt es eine Art "tracert- Befehl" (Linux oder/und Dos), der die Route der Netzwerkkarte, durch Angabe der MacAdresse, auflistet
(Ist etwas wirr formuliert.. mir ist klar, dass die Netzwerkkarte physisch an Ort und Stelle bleibt), damit man den Verursacher lokalisieren kann ?
Oder sind meine Denkansätze vollkommen falsch und so überhaupt nicht zu realisieren?
Kennt ihr vielleicht andere Möglichkeiten einen "IP-Adressenkonflikt-Verursacher" aufzuspüren ?
( z.B eine Hardwarelösung?)
Lösungsvorschläge aller Art werden dankend angenommen (Es spielt für mich keine Rolle, ob die Lösungsvorschläge nur mit Hilfe von Linux oder Windows zu realisieren sind - wir haben beides im Einsatz).
Wenn noch Unklarheiten vorhanden sind oder es an Informationen mangelt, scheut euch nicht mich darauf hinzuweisen.
Mit besten Grüßen
E-Luke
Hallo liebe Administratoren,
ich stehe so eben vor einer Problemstellung, die ich nicht wirklich gelöst bekomme und hoffe, dass ihr mir vielleicht weiter helfen könnt.
Hierzu aber erstmal folgende Ausgangssituation.
In meiner Firma kommt es vor, dass Mitarbeiter ihr privaten Notebooks zum Arbeiten mitbringen dürfen (vor allem Studenten).
Normalerweise haben sich diese bei der Administration zu melden und bekommen IP-Adresse und alles nötige mitgeteilt.
Leider gibt es eben immer wieder kleine Spätzünder oder Kollegen, die der Meinung sind, diesen Schritt überspringen zu müssen, welche
sich dann selbst eine IP-Adresse zuordnen.
In vielen Fällen kommt es dabei zu einer doppelten Vergabe einer IP-Adresse.
Nun meine Frage:
Gibt es eine Art "tracert- Befehl" (Linux oder/und Dos), der die Route der Netzwerkkarte, durch Angabe der MacAdresse, auflistet
(Ist etwas wirr formuliert.. mir ist klar, dass die Netzwerkkarte physisch an Ort und Stelle bleibt), damit man den Verursacher lokalisieren kann ?
Oder sind meine Denkansätze vollkommen falsch und so überhaupt nicht zu realisieren?
Kennt ihr vielleicht andere Möglichkeiten einen "IP-Adressenkonflikt-Verursacher" aufzuspüren ?
( z.B eine Hardwarelösung?)
Lösungsvorschläge aller Art werden dankend angenommen (Es spielt für mich keine Rolle, ob die Lösungsvorschläge nur mit Hilfe von Linux oder Windows zu realisieren sind - wir haben beides im Einsatz).
Wenn noch Unklarheiten vorhanden sind oder es an Informationen mangelt, scheut euch nicht mich darauf hinzuweisen.
Mit besten Grüßen
E-Luke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92732
Url: https://administrator.de/contentid/92732
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
14 Kommentare
Neuester Kommentar
Unter Windows:
ping ip und unmittelbar danach:
arp -a
liefert dir die Mac-Adresse zu der entsprechenden IP.
ping ip und unmittelbar danach:
arp -a
liefert dir die Mac-Adresse zu der entsprechenden IP.
Hi,
etwas komfortabler geht es mit Angry IP Scanner.
Findest Du unter http://www.angryziber.com/
Gruß
Helmut
etwas komfortabler geht es mit Angry IP Scanner.
Findest Du unter http://www.angryziber.com/
Gruß
Helmut
@ BauerHick
Danke für die schnelle Antwort.
Leider ist dieser Befehl nicht ganz das was ich suche.
Wenn ich die IP-Adresse, die ich doppelt vergeben habe pinge, dann erhalte ich ja trotzdem nur Antwort von einem Clienten (nach meiner Erfahrung ist das der Client, der diese IP-Adresse von "Anfang an" hat, deswegen erhalte ich auch nur die Mac-Adresse des Gerätes, dass den Konflikt nicht "willentlich" verursacht hat)
Aber das ist ja nicht mein Problem;
Die Mac Adresse des Gerätes, das den Konflikt herbeiruft erhalte ich, wenn ich in der Ereignisanzeige (Windows) nach schaue.
Nun möchte ich aber mit Hilfe dieser Mac Adresse herausfinden, wo sich der Rechner befindet.
(z.B. welchen Port die Maschine auf unserem Switch belegt -> daraus kann ich ja dann ableiten in welchem Raum sich das Gerät befindet)
Während ich hier schreibe, werde ich immer unsicherer, ob mein Problem mit einfachen DOS-Befehlen überhaupt zu lösen ist.
Wäre die Anschaffung eines "intelligenten" Switches in diesem Fall vielleicht besser (Ich bin in diesem Bereich nicht wirklich bewandert und habe keinen Schimmer, ob das technisch überhaupt machbar ist) ?
@ compispezi
Auch dir danke ich für deine kurze Reaktionszeit!
Ich werde mir den Link mal in Ruhe anschauen und bescheid geben, wenn er mir geholfen oder eben auch nicht geholfen hat.
Danke noch einmal an euch beide.
Freue mich auf weitere Vorschläge
Danke für die schnelle Antwort.
Leider ist dieser Befehl nicht ganz das was ich suche.
Wenn ich die IP-Adresse, die ich doppelt vergeben habe pinge, dann erhalte ich ja trotzdem nur Antwort von einem Clienten (nach meiner Erfahrung ist das der Client, der diese IP-Adresse von "Anfang an" hat, deswegen erhalte ich auch nur die Mac-Adresse des Gerätes, dass den Konflikt nicht "willentlich" verursacht hat)
Aber das ist ja nicht mein Problem;
Die Mac Adresse des Gerätes, das den Konflikt herbeiruft erhalte ich, wenn ich in der Ereignisanzeige (Windows) nach schaue.
Nun möchte ich aber mit Hilfe dieser Mac Adresse herausfinden, wo sich der Rechner befindet.
(z.B. welchen Port die Maschine auf unserem Switch belegt -> daraus kann ich ja dann ableiten in welchem Raum sich das Gerät befindet)
Während ich hier schreibe, werde ich immer unsicherer, ob mein Problem mit einfachen DOS-Befehlen überhaupt zu lösen ist.
Wäre die Anschaffung eines "intelligenten" Switches in diesem Fall vielleicht besser (Ich bin in diesem Bereich nicht wirklich bewandert und habe keinen Schimmer, ob das technisch überhaupt machbar ist) ?
@ compispezi
Auch dir danke ich für deine kurze Reaktionszeit!
Ich werde mir den Link mal in Ruhe anschauen und bescheid geben, wenn er mir geholfen oder eben auch nicht geholfen hat.
Danke noch einmal an euch beide.
Freue mich auf weitere Vorschläge
Ich würde um IP Konflikte zu umgehen einen DHCP Server aufsetzen!
Default sind die meisten Maschinen auf DHCP eingestellt.
Stöpsel -> IP automatisch -> Kein Konflikt -> Ende
Default sind die meisten Maschinen auf DHCP eingestellt.
Stöpsel -> IP automatisch -> Kein Konflikt -> Ende
(nach meiner Erfahrung ist das der Client, der diese IP-Adresse von "Anfang an" hat,
Ich vermute eher, dass sich der Client meldet, der die schnellsten Reaktionszeit hat. ;) Kann aber trotzdem sein, dass du Recht hast.
Wenn du über die administrative Freigaben auf den Rechner kommst, kannst du sicher auch den Rechnernamen feststellen und kommst vielleicht so weiter.
Den Kollegen könntest du ja mal kurz via Telefon kontaktieren und ihn bitten, sich mal kurz auszuklinken. Fall dann noch eine weitere Station mit der gleichen IP erkannt werden sollte, sperrst du deren MAC-Adresse.
Falls nur Rechner mit bekannter MAC zugelassen wären, müssten sich die "Fremdlinge" wohl zwangsläufig bei der Administration anmelden, bevor sie ins Firmennetz kommen und das Problem dürfte gelöst sein.
@ Mike
Auch dir vielen Dank!
Aber da gibt es, so glaube ich, ein kleines Problem.
Ich kann nicht davon ausgehen, dass die Privatrechner so eingestellt sind, dass sie ihre IP-Adresse automatisch beziehen.
Wenn ein Nutzer sich eine IP-Adresse geben möchte, dann kann er das ja immer noch nach belieben tun (und dabei können ebenso Konflikte entstehen) oder habe ich hier einen Denkfehler ?
Hey BauerHick, schön dich wieder zu lesen
"Ich vermute eher, dass sich der Client meldet, der die schnellsten Reaktionszeit hat. ;) Kann aber trotzdem sein, dass du Recht hast."
Wie gesagt..
Das waren bisher eigene Erfahrungen.. Die sind ja nicht all zu groß
Aber die Idee mit dem Sperren der Mac Adressen gefällt mir sehr gut.
Oder gibt es vielleicht eine Möglichkeit bestimmte MacAdressen zu zulassen , anstatt bestimmte Mac Adressen zu sperren?
Auch dir vielen Dank!
Aber da gibt es, so glaube ich, ein kleines Problem.
Ich kann nicht davon ausgehen, dass die Privatrechner so eingestellt sind, dass sie ihre IP-Adresse automatisch beziehen.
Wenn ein Nutzer sich eine IP-Adresse geben möchte, dann kann er das ja immer noch nach belieben tun (und dabei können ebenso Konflikte entstehen) oder habe ich hier einen Denkfehler ?
Hey BauerHick, schön dich wieder zu lesen
"Ich vermute eher, dass sich der Client meldet, der die schnellsten Reaktionszeit hat. ;) Kann aber trotzdem sein, dass du Recht hast."
Wie gesagt..
Das waren bisher eigene Erfahrungen.. Die sind ja nicht all zu groß
Aber die Idee mit dem Sperren der Mac Adressen gefällt mir sehr gut.
Oder gibt es vielleicht eine Möglichkeit bestimmte MacAdressen zu zulassen , anstatt bestimmte Mac Adressen zu sperren?
Ich bin kein Server-Mensch, deshalb ist meine Auskunft nicht maßgebend, aber ich vermute, dass es sicher beide Optionen gibt. 
Moin,
soweit ich (Azubi, der seit 2 Jahren mit LAN- und Server-Verwaltung zu tun hat) das kenne, kannst du auf dem Switch (den Switchen) (wenn diese Managebar sind) MAC-Adressen einzeln sperren oder auch einzeln zulassen (kommt auf die Default-Einstellung (default alles erlauben oder sperren) an)
Somit würde dieser Switch-Port garnicht erst in das Netzwerk gelassen werden. Denn, wenn du versuchst, auf dem Server etwas zu basteln (DHCP-Range in's Nirvana schicken, Reservierungen in den eigentlichen Bereich o.ä.), gibt es immernoch die Möglichkeit, manuell eine IP zu vergeben und somit einen IP Adress-Konflikt auszulösen.
VW
soweit ich (Azubi, der seit 2 Jahren mit LAN- und Server-Verwaltung zu tun hat) das kenne, kannst du auf dem Switch (den Switchen) (wenn diese Managebar sind) MAC-Adressen einzeln sperren oder auch einzeln zulassen (kommt auf die Default-Einstellung (default alles erlauben oder sperren) an)
Somit würde dieser Switch-Port garnicht erst in das Netzwerk gelassen werden. Denn, wenn du versuchst, auf dem Server etwas zu basteln (DHCP-Range in's Nirvana schicken, Reservierungen in den eigentlichen Bereich o.ä.), gibt es immernoch die Möglichkeit, manuell eine IP zu vergeben und somit einen IP Adress-Konflikt auszulösen.
VW
Es gibt die Möglichkeit nur bestimmte MAC Adressen zu zulassen.
In unserer Firma haben wir ein Subnet in der die IPs per DHCP vergeben werden. Ein weiteres Subnet ist statisch - für Spezialfälle wie Produktionsmaschinen und Notebooks.
Vorausgesetzt du setzt Windows Server als DC ein kannst du über MMC bestimmte IPs bestimmten MAC Adressen zuweisen.
MMC - DHCP - Master Server - dein Scope AdressPool - Reservations - New Reservations
Über AdressPool kannst New Exclusion Range anlegen.
(Sperren einer bestimmten Range)
Meine Server sind alle auf English, aber auf Deutsch ist es sicher nicht viel anders :P
Hoffe ich konnte dir damit helfen.
In unserer Firma haben wir ein Subnet in der die IPs per DHCP vergeben werden. Ein weiteres Subnet ist statisch - für Spezialfälle wie Produktionsmaschinen und Notebooks.
Vorausgesetzt du setzt Windows Server als DC ein kannst du über MMC bestimmte IPs bestimmten MAC Adressen zuweisen.
MMC - DHCP - Master Server - dein Scope AdressPool - Reservations - New Reservations
Über AdressPool kannst New Exclusion Range anlegen.
(Sperren einer bestimmten Range)
Meine Server sind alle auf English, aber auf Deutsch ist es sicher nicht viel anders :P
Hoffe ich konnte dir damit helfen.
Hallo emporio,
wir haben derzeitig keinen Windows Server als DC im Einsatz.
Aber was nicht ist, kann ja noch werden. In diesem Sinne werde ich deinen Vorschlag im Hinterkopf behalten, Danke.
Auch dir einen guten Morgen VW,
ich denke ich werde mir mal die Bedienungsanleitung unserer Switche genauer unter die Lupe nehmen, als zu vor.
Danke für den Tipp!
E-Luke
wir haben derzeitig keinen Windows Server als DC im Einsatz.
Aber was nicht ist, kann ja noch werden. In diesem Sinne werde ich deinen Vorschlag im Hinterkopf behalten, Danke.
Auch dir einen guten Morgen VW,
ich denke ich werde mir mal die Bedienungsanleitung unserer Switche genauer unter die Lupe nehmen, als zu vor.
Danke für den Tipp!
E-Luke
Wenn du die MAC Adresse des Verursachers kennst ist das ganze doch kein Problem.
Du telnettest einfach den Switch (Management IP) oder nutzt dessen Webinterface. Mit einem Show Kommando fragst du einfach des MAC Adress Tabelle ab und hinter der MAC Adresse steht dann der Port auf dem diese Mac Adresse liegt.
Alternativ fragst du diese Tabelle per SNMP ab, denn das ist ein Wert der in der Standard MIB vorkommt.
Generell ist dein ganzes Konzept aber falsch. Ein Gastnetz oder ein Netz wo Mitarbeiter eigene Hardware betreiben lässt man niemals so einfach ins Produktivnetz einer Firma. Das ist bodenloser Leichtsinn und zeugt eigentlich von ziemlichen Unwissen in Bezug auf ein sicheres Netzdesign !
Normalerweise weisst man diesen Benutzern ein separates VLAN zu indem die Adressen per DHCP vergeben werden. Damit hast du oder deine Administration auch kein Problem mit der IP Vergabe oder irgendwelchen doppelten IP Adressen.
Das Problem taucht also gar nicht erst auf und ein eigenes vergeben von IPs durch diese Kollegen wird im Keim erstickt. DU willst ja schliesslich kontrollieren wer ins Netz kommt !!
Auf dem Switch oder dem Router womit diese VLAN abgetrennt ist richtet man eine Accessliste ein die nur Komponenten mit diesem IP Netz ins Firmennetz lassen.
Besser noch die ACL so zu erweitern das sie auch nur bestimmte Dienste (Ports) nutzen können und z.B. nicht auf wichtige Server wo sie mit privater Hardware nichts zu suchen haben !
Das wäre der richtige Weg. Was du da machst ist Frickelei und Bastelei die dann natürlich auch solche Fehler wie oben beschrieben erst provoziert !
Sowas Dilettantisches macht man vielleicht zuhause aber niemals in einem Firmennetz ...sorry !
Du telnettest einfach den Switch (Management IP) oder nutzt dessen Webinterface. Mit einem Show Kommando fragst du einfach des MAC Adress Tabelle ab und hinter der MAC Adresse steht dann der Port auf dem diese Mac Adresse liegt.
Alternativ fragst du diese Tabelle per SNMP ab, denn das ist ein Wert der in der Standard MIB vorkommt.
Generell ist dein ganzes Konzept aber falsch. Ein Gastnetz oder ein Netz wo Mitarbeiter eigene Hardware betreiben lässt man niemals so einfach ins Produktivnetz einer Firma. Das ist bodenloser Leichtsinn und zeugt eigentlich von ziemlichen Unwissen in Bezug auf ein sicheres Netzdesign !
Normalerweise weisst man diesen Benutzern ein separates VLAN zu indem die Adressen per DHCP vergeben werden. Damit hast du oder deine Administration auch kein Problem mit der IP Vergabe oder irgendwelchen doppelten IP Adressen.
Das Problem taucht also gar nicht erst auf und ein eigenes vergeben von IPs durch diese Kollegen wird im Keim erstickt. DU willst ja schliesslich kontrollieren wer ins Netz kommt !!
Auf dem Switch oder dem Router womit diese VLAN abgetrennt ist richtet man eine Accessliste ein die nur Komponenten mit diesem IP Netz ins Firmennetz lassen.
Besser noch die ACL so zu erweitern das sie auch nur bestimmte Dienste (Ports) nutzen können und z.B. nicht auf wichtige Server wo sie mit privater Hardware nichts zu suchen haben !
Das wäre der richtige Weg. Was du da machst ist Frickelei und Bastelei die dann natürlich auch solche Fehler wie oben beschrieben erst provoziert !
Sowas Dilettantisches macht man vielleicht zuhause aber niemals in einem Firmennetz ...sorry !
Sorry, wenn ich mich auch einmische.
Wichtig ist erst einmal welche Art von Switche du einsetzt. Sind die managebar? Denn Du mußt den Zugang zu deinem Netz für Fremde sperren und nicht die Ziele wo sie hinwollen. Der Ip Konflikt wird nämlich im Netz erkannt bei arp Anfragen. Im Netz wird gefragt wer hat folgende IP und nun antworten zwei MAC Adressen zurück. DOS Befehle können dir da nicht weiter helfen. ich weiss nicht wie groß dein Netzwerk ist, wieviele Switche du im Einsatz hast. Kein DOS Befehl kann dir einen Switchport nennen an dem eine bestimmte MAC Adresse anliegt. Du benötigst schon managebare Switche um diesem Problem Herr zu werden. Alle Konzepte können Dir nicht helfen, wenn Du es nicht über die Switche realisierst. Wie willst Du verhindern, dass sich ein Gast ein kabel eines "normalen PC's" nimmt und seinen Laptop über einen selbst mitgebrachten Switch oder direkt anschließt. Es gibt managebare Switche die können zum Beispiel so eingestellt werden, dass sie nur eine MAC Adresse pro Port zulassen. Auch ist es möglich bei teueren Switchen, dass Du dich erst an dem Switch anmelden mußt um dann bestimmte Dienste etc. zugeteilt zu bekommen. Aber das geht dann doch schon ins Eingemachte.
Sei froh, dass noch keiner kam der auf seinem PC auch noch Dienste laufen hat die bestehende Dienste von dir beeinflussen könnten. Z. B. könnte ja jemand selbst einen DHCP Server Dienst laufen haben.
Wichtig ist erst einmal welche Art von Switche du einsetzt. Sind die managebar? Denn Du mußt den Zugang zu deinem Netz für Fremde sperren und nicht die Ziele wo sie hinwollen. Der Ip Konflikt wird nämlich im Netz erkannt bei arp Anfragen. Im Netz wird gefragt wer hat folgende IP und nun antworten zwei MAC Adressen zurück. DOS Befehle können dir da nicht weiter helfen. ich weiss nicht wie groß dein Netzwerk ist, wieviele Switche du im Einsatz hast. Kein DOS Befehl kann dir einen Switchport nennen an dem eine bestimmte MAC Adresse anliegt. Du benötigst schon managebare Switche um diesem Problem Herr zu werden. Alle Konzepte können Dir nicht helfen, wenn Du es nicht über die Switche realisierst. Wie willst Du verhindern, dass sich ein Gast ein kabel eines "normalen PC's" nimmt und seinen Laptop über einen selbst mitgebrachten Switch oder direkt anschließt. Es gibt managebare Switche die können zum Beispiel so eingestellt werden, dass sie nur eine MAC Adresse pro Port zulassen. Auch ist es möglich bei teueren Switchen, dass Du dich erst an dem Switch anmelden mußt um dann bestimmte Dienste etc. zugeteilt zu bekommen. Aber das geht dann doch schon ins Eingemachte.
Sei froh, dass noch keiner kam der auf seinem PC auch noch Dienste laufen hat die bestehende Dienste von dir beeinflussen könnten. Z. B. könnte ja jemand selbst einen DHCP Server Dienst laufen haben.
Schön, dass sich so viele mit meinem Problem beschäftigen
Wie ich den letzen beiden Kommentaren entnehme (Danke aqui und telco), komm ich nicht drum herum einen managebaren Switch ein zu setzen. Dazu werde ich mich allerdings für eine Weile zurückziehen um, mich etwas genauer zu belesen.
Ich werde mich sicher wieder melden, wenn ich mit meinem Latein am Ende bin.
Ich würde mich freuen euch dann wieder antreffen zu dürfen
Werde den Beitrag als gelöst markieren..
Vielen Dank noch mal an alle Beteiligten!
@telco, noch mal
"Z. B. könnte ja jemand selbst einen DHCP Server Dienst laufen haben."
Das ist schon vorgekommen..
Wie ich den letzen beiden Kommentaren entnehme (Danke aqui und telco), komm ich nicht drum herum einen managebaren Switch ein zu setzen. Dazu werde ich mich allerdings für eine Weile zurückziehen um, mich etwas genauer zu belesen.
Ich werde mich sicher wieder melden, wenn ich mit meinem Latein am Ende bin.
Ich würde mich freuen euch dann wieder antreffen zu dürfen
Werde den Beitrag als gelöst markieren..
Vielen Dank noch mal an alle Beteiligten!
@telco, noch mal
"Z. B. könnte ja jemand selbst einen DHCP Server Dienst laufen haben."
Das ist schon vorgekommen..
Hallo meine Lieben
Ich habe nun endlichen einen Straftäter erwischt ! :D
Ich habe mich nun mit meinem Switch vertraut gemacht und den Lösungsvorschlag von aqui zu Herzen genommen.
Hat wunderbar funktioniert!
Ich danke noch mal allen, die bei der Lösung des Problems beigetragen haben - ihr seid super! ;)
Ich habe nun endlichen einen Straftäter erwischt ! :D
Ich habe mich nun mit meinem Switch vertraut gemacht und den Lösungsvorschlag von aqui zu Herzen genommen.
Hat wunderbar funktioniert!
Ich danke noch mal allen, die bei der Lösung des Problems beigetragen haben - ihr seid super! ;)
