Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?

Mitglied: stephan.cs
Guten Morgen zusammen,

leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage....

Wir haben folgende Situation:
- Windows 10 Clients in der Domäne für Büro und Homeoffice
- Windows AD-Struktur mit Domäne, DNS, DHCP, usw. aus 2012 R2 und 2019
- Sophos Firewall
- Als VPN Client wird der Windows integrierte genutzt. Die Authentifizierung erfolgt über den Radius

Wird die Vergabe der IP-Adressen des DHCPs an die Clients irgendwo gespeichert bzw. dokumentiert wie bspw. einem Log-File oder der Ereignisanzeige?
Oder wird die zugewiesene IP lokal beim Client irgendwo in der Ereignisanzeige gespeichert?

Hintergrund:
Manche Clients haben im Homeoffice immer wieder Probleme. Dies ist bisher auf die Netzstruktur zu Hause (LAN / WLAN) geschoben worden. Aber ich vermute, dass ne doppelte IP-Vergabe dahinter steckt und versuche gerade, das herauszufinden bzw. es gibt schon Ansätze dafür und ich Suche nur die Beweise.

Leider habe ich bisher nichts gefunden.
Ja, die Sophos speichert auch etwas, aber nicht allzu lange. Es wird zwar etwas im DNS Client Event gespeichert, aber das ist meiner Meinung nach nicht alles und nur schwer herauszulesen ...

Besten Dank schon mal und Gruß,
Stephan

Content-Key: 725839243

Url: https://administrator.de/contentid/725839243

Ausgedruckt am: 27.07.2021 um 15:07 Uhr

Mitglied: em-pie
em-pie 18.06.2021 um 07:06:38 Uhr
Goto Top
Moin,

Du musst das Log am Client aktivieren:
https://nxlog.co/documentation/nxlog-user-guide/windows-dhcp-client.html
(Die Seite wird am Smartphone Mist dargestellt).

Danach sollte etwas im eventlog auftauchen.

Was mir nicht ganz klar ist:
Wer ist für die VPN-Clients der DHCP-Server? Und hast du den Standardbereich (10.242.x.0/ 24) gelassen oder irgendetwas anderes genommen?

Gruß
em-pie
Mitglied: PeterPanter
PeterPanter 18.06.2021 aktualisiert um 07:09:09 Uhr
Goto Top
Moin Stephan,

die Client-PCs nehmen die MA also mit ins Homeoffice(?). Da bekommen sie die DHCP dann ja vom Heim-Router (Fritzbox, Telekom-Speedport, ...) Wo hast du den Verdacht doppelter Adressen?

DHCP-Client-Log gibts in der Ereignisanzeige Info hier für Win7, sollte in 10 ähnlich gehen. https://superuser.com/questions/217287/how-do-i-open-the-dhcp-client-log ...

Schönen Tag allen
Peter
Mitglied: Doskias
Doskias 18.06.2021 aktualisiert um 10:52:08 Uhr
Goto Top
Zitat von @PeterPanter:
die Client-PCs nehmen die MA also mit ins Homeoffice(?). Da bekommen sie die DHCP dann ja vom Heim-Router (Fritzbox, Telekom-Speedport, ...) Wo hast du den Verdacht doppelter Adressen?

Client-PCs mit nach Hause zu nehmen ist im Falle von Mobilgeräten gar nicht ungewöhnlich. Sie bekommen zwar die lokale Adresse vom Heim-Router aber nicht die vom VPN.

Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen? Du hast doch schon einen DHCP Server in deiner AD Struktur. Richte doch einfach auf der Sophos ein DHCP Relay zum DC ein und lege auf dem DC einen zusätzlichen DHCP-Bereich ein. Dann hast du einen anständigen DHCP Server und nur einen Punkt wo du Fehler prüfen musst. Außerdem sollte der DHCP Server ein 2016er oder 2019er sein. Der hat eine Collition-Detection, heißt dass er erst einen Ping schickt bevor er die Adresse vergibt. So kann der DHCP-Server zumindest keine IP-Adressen doppelt vergeben, die zu dem Zeitpunkt erreichbar sind (wenn sie manuell vergeben wurde). Er meldet dann eine "BAD ADRESS". Auf dem DHCP hast du auf jeden Fall mehr Kontrollmöglichkeiten als bei der Sophos.

Gruß
Doskias
Mitglied: NordicMike
NordicMike 18.06.2021 aktualisiert um 07:44:32 Uhr
Goto Top
Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen?
Beim VPN Server bestimmt der VPN Server welche IP Adresse vergeben wird. Also im Sophos. Der lokale DHCP Server bekommt davon gar nichts mit. Auch ist der VPN IP Bereich ein ganz Anderer, als der DHCP Bereich vom lokalen DHCP Server, sonst könnte man gar nicht routen bzw würde dann die VPN Leitung den gesamten Broadcast vom Hausnetz abbekommen. Sophos stellt sich beim Einrichten von VPN schon von selbst richtig ein und funktioniert auch ordentlich.

Die einzigen Logs, die zählen, sind also die vom Sophos.

die Sophos speichert auch etwas, aber nicht allzu lange.
Sophos speichert sie "Jahre" lang. Schau mal unter "Archivierte Protokolle"
Mitglied: Doskias
Doskias 18.06.2021 um 10:49:18 Uhr
Goto Top
Zitat von @NordicMike:
Zum Thema DHCP vom VPN: Wieso lässt du das die Sophos machen?
Beim VPN Server bestimmt der VPN Server welche IP Adresse vergeben wird. Also im Sophos. Der lokale DHCP Server bekommt davon gar nichts mit. Auch ist der VPN IP Bereich ein ganz Anderer, als der DHCP Bereich vom lokalen DHCP Server, sonst könnte man gar nicht routen bzw würde dann die VPN Leitung den gesamten Broadcast vom Hausnetz abbekommen. Sophos stellt sich beim Einrichten von VPN schon von selbst richtig ein und funktioniert auch ordentlich.

Stimmt. Du hast natürlich recht. ich weiß nicht ob es an den Temperaturen liegt. Ich habe mir das Konstrukt was ich im Kopf hatte nochmal angeschaut. Hierbei war entweder immer eine Sophos RED oder eine andere Sophos per VPN verbunden und wir haben nur den DHCP-Request des Clients durch das VPN weitergeleitet, aber nicht die IP der VPN an sich.
Mitglied: Pjordorf
Pjordorf 18.06.2021 um 15:15:38 Uhr
Goto Top
Zitat von @stephan.cs:
Manche Clients haben im Homeoffice immer wieder Probleme. Dies ist bisher auf die Netzstruktur zu Hause (LAN / WLAN) geschoben worden.
Im Lokalen Rechner in der Ereignissanzeige dir die DHCP Client meldungen anschauen. Werden für Jahre aufbewahrt.

Aber ich vermute, dass ne doppelte IP-Vergabe dahinter steckt
Das Meldet der Rechner der eine Doppelte IP hat unten in der Taskleiste.

>und ich Suche nur die Beweise.
Dein VPN Server sollte da mehr zu sagen können.
Richte auf deinen HomeOffice Clients (sind ja alles Rechner der Firma) ein das diese auf ein ICMP-Request (PING) antworten, das gleiche per LAN / WLAN. Dann brauchst du dir nur eure IP Netze z.B. 192.168.206.0/24 und das vom VPN Netz z.B. 10.242.X.0/24 zu merken und du kannst schon im Gespräch mit den Mitarbeitern klären ob ein IP Address Konflickt vorliegen kann.

Gruß,
Peter
Mitglied: stephan.cs
stephan.cs 21.06.2021 um 08:13:45 Uhr
Goto Top
Guten Morgen zusammen,

vielen Dank für die zahlreichen Tips, ich konnte mittlerweile alles finden.
Am Client wird die für die VPN Verbindung vergebene IP in der Ereignisanzeige unter RasClient mit der ID 20225 gespeichert. Jetzt gehts ans analysieren ...
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 16 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 15 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 9 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...