stephan.cs
Goto Top

Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?

Guten Morgen zusammen,

leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage....

Wir haben folgende Situation:
- Windows 10 Clients in der Domäne für Büro und Homeoffice
- Windows AD-Struktur mit Domäne, DNS, DHCP, usw. aus 2012 R2 und 2019
- Sophos Firewall
- Als VPN Client wird der Windows integrierte genutzt. Die Authentifizierung erfolgt über den Radius

Wird die Vergabe der IP-Adressen des DHCPs an die Clients irgendwo gespeichert bzw. dokumentiert wie bspw. einem Log-File oder der Ereignisanzeige?
Oder wird die zugewiesene IP lokal beim Client irgendwo in der Ereignisanzeige gespeichert?

Hintergrund:
Manche Clients haben im Homeoffice immer wieder Probleme. Dies ist bisher auf die Netzstruktur zu Hause (LAN / WLAN) geschoben worden. Aber ich vermute, dass ne doppelte IP-Vergabe dahinter steckt und versuche gerade, das herauszufinden bzw. es gibt schon Ansätze dafür und ich Suche nur die Beweise.

Leider habe ich bisher nichts gefunden.
Ja, die Sophos speichert auch etwas, aber nicht allzu lange. Es wird zwar etwas im DNS Client Event gespeichert, aber das ist meiner Meinung nach nicht alles und nur schwer herauszulesen ...

Besten Dank schon mal und Gruß,
Stephan

Content-Key: 725839243

Url: https://administrator.de/contentid/725839243

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: em-pie
em-pie 18.06.2021 um 07:06:38 Uhr
Goto Top
Moin,

Du musst das Log am Client aktivieren:
https://nxlog.co/documentation/nxlog-user-guide/windows-dhcp-client.html
(Die Seite wird am Smartphone Mist dargestellt).

Danach sollte etwas im eventlog auftauchen.

Was mir nicht ganz klar ist:
Wer ist für die VPN-Clients der DHCP-Server? Und hast du den Standardbereich (10.242.x.0/ 24) gelassen oder irgendetwas anderes genommen?

Gruß
em-pie
Mitglied: PeterPanter
PeterPanter 18.06.2021 aktualisiert um 07:09:09 Uhr
Goto Top
Moin Stephan,

die Client-PCs nehmen die MA also mit ins Homeoffice(?). Da bekommen sie die DHCP dann ja vom Heim-Router (Fritzbox, Telekom-Speedport, ...) Wo hast du den Verdacht doppelter Adressen?

DHCP-Client-Log gibts in der Ereignisanzeige Info hier für Win7, sollte in 10 ähnlich gehen. https://superuser.com/questions/217287/how-do-i-open-the-dhcp-client-log ...

Schönen Tag allen
Peter
Mitglied: Doskias
Doskias 18.06.2021 aktualisiert um 10:52:08 Uhr
Goto Top
Zitat von @PeterPanter:
die Client-PCs nehmen die MA also mit ins Homeoffice(?). Da bekommen sie die DHCP dann ja vom Heim-Router (Fritzbox, Telekom-Speedport, ...) Wo hast du den Verdacht doppelter Adressen?

Client-PCs mit nach Hause zu nehmen ist im Falle von Mobilgeräten gar nicht ungewöhnlich. Sie bekommen zwar die lokale Adresse vom Heim-Router aber nicht die vom VPN.

Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen? Du hast doch schon einen DHCP Server in deiner AD Struktur. Richte doch einfach auf der Sophos ein DHCP Relay zum DC ein und lege auf dem DC einen zusätzlichen DHCP-Bereich ein. Dann hast du einen anständigen DHCP Server und nur einen Punkt wo du Fehler prüfen musst. Außerdem sollte der DHCP Server ein 2016er oder 2019er sein. Der hat eine Collition-Detection, heißt dass er erst einen Ping schickt bevor er die Adresse vergibt. So kann der DHCP-Server zumindest keine IP-Adressen doppelt vergeben, die zu dem Zeitpunkt erreichbar sind (wenn sie manuell vergeben wurde). Er meldet dann eine "BAD ADRESS". Auf dem DHCP hast du auf jeden Fall mehr Kontrollmöglichkeiten als bei der Sophos.

Gruß
Doskias
Mitglied: NordicMike
NordicMike 18.06.2021 aktualisiert um 07:44:32 Uhr
Goto Top
Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen?
Beim VPN Server bestimmt der VPN Server welche IP Adresse vergeben wird. Also im Sophos. Der lokale DHCP Server bekommt davon gar nichts mit. Auch ist der VPN IP Bereich ein ganz Anderer, als der DHCP Bereich vom lokalen DHCP Server, sonst könnte man gar nicht routen bzw würde dann die VPN Leitung den gesamten Broadcast vom Hausnetz abbekommen. Sophos stellt sich beim Einrichten von VPN schon von selbst richtig ein und funktioniert auch ordentlich.

Die einzigen Logs, die zählen, sind also die vom Sophos.

die Sophos speichert auch etwas, aber nicht allzu lange.
Sophos speichert sie "Jahre" lang. Schau mal unter "Archivierte Protokolle"
Mitglied: Doskias
Doskias 18.06.2021 um 10:49:18 Uhr
Goto Top
Zitat von @NordicMike:
Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen?
Beim VPN Server bestimmt der VPN Server welche IP Adresse vergeben wird. Also im Sophos. Der lokale DHCP Server bekommt davon gar nichts mit. Auch ist der VPN IP Bereich ein ganz Anderer, als der DHCP Bereich vom lokalen DHCP Server, sonst könnte man gar nicht routen bzw würde dann die VPN Leitung den gesamten Broadcast vom Hausnetz abbekommen. Sophos stellt sich beim Einrichten von VPN schon von selbst richtig ein und funktioniert auch ordentlich.

Stimmt. Du hast natürlich recht. ich weiß nicht ob es an den Temperaturen liegt. Ich habe mir das Konstrukt was ich im Kopf hatte nochmal angeschaut. Hierbei war entweder immer eine Sophos RED oder eine andere Sophos per VPN verbunden und wir haben nur den DHCP-Request des Clients durch das VPN weitergeleitet, aber nicht die IP der VPN an sich.
Mitglied: Pjordorf
Pjordorf 18.06.2021 um 15:15:38 Uhr
Goto Top
Zitat von @stephan.cs:
Manche Clients haben im Homeoffice immer wieder Probleme. Dies ist bisher auf die Netzstruktur zu Hause (LAN / WLAN) geschoben worden.
Im Lokalen Rechner in der Ereignissanzeige dir die DHCP Client meldungen anschauen. Werden für Jahre aufbewahrt.

Aber ich vermute, dass ne doppelte IP-Vergabe dahinter steckt
Das Meldet der Rechner der eine Doppelte IP hat unten in der Taskleiste.

und ich Suche nur die Beweise.
Dein VPN Server sollte da mehr zu sagen können.
Richte auf deinen HomeOffice Clients (sind ja alles Rechner der Firma) ein das diese auf ein ICMP-Request (PING) antworten, das gleiche per LAN / WLAN. Dann brauchst du dir nur eure IP Netze z.B. 192.168.206.0/24 und das vom VPN Netz z.B. 10.242.X.0/24 zu merken und du kannst schon im Gespräch mit den Mitarbeitern klären ob ein IP Address Konflickt vorliegen kann.

Gruß,
Peter
Mitglied: stephan.cs
stephan.cs 21.06.2021 um 08:13:45 Uhr
Goto Top
Guten Morgen zusammen,

vielen Dank für die zahlreichen Tips, ich konnte mittlerweile alles finden.
Am Client wird die für die VPN Verbindung vergebene IP in der Ereignisanzeige unter RasClient mit der ID 20225 gespeichert. Jetzt gehts ans analysieren ...