ComputerBase Menü
Aktuelles

IP-Adresskonflikt im Firmennetzwerk

A

Atreju93

Lieutenant
Registriert
Nov. 2010
Beiträge
595
Hallo zusammen

Ich habe ein etwas spezielles Problem - hoffe ihr könnt mir helfen.


Ich betreibe ein Netzwerk auf Basis der 172.16.xx.xx Range. In diesem Netzwerk sind in verschiedenen Subnetzen ca 400 Clients.

Seit ein paar Tagen melden ein paar Notebooks einen IP-Adressenkonflikt, wenn man sie vom Wirelessbetrieb auf Wired umstellt (In die Dokingstation steckt). Wireless und Wired ist das selbe Netz. Hat bisher immer funktioniert.

Die Verbindung wird automatisch vom Lenovo Access Connections umgestellt.

Wenn ich dann im Eventviewer nachschaue, habe ich einige ganz komische Einträge:

Code: 
Ein DHCP-Server mit der IP-Adresse 172.16.3.1X(Unsere Firewall, reap. den DHCP) wurde von der DHCP-Zuweisung im selben 
NEtzwerk gefunden, wie die Schnittstelle mit der IP-Adresse 192.168.137.1 (unbekannte IP) Die Zuweisung wurde auf der 
Schnittstelle automatisch deaktiviert, um DHCP-Clientkonflikte zu vermeiden

Danach:

Code: 
Das System hat einen Adressenkonflikt mit der IP-Adresse 192.168.137.1 mit dem COmputer mit der Netzwerkhardwareadresse
 A0-88-B4-xX-xX-xX ermittelt. Netzwerkvorgänge könnten daher auf diesem System unterbrochen werden.

Zudem noch solche Einträge, weiss nicht ob die was damit zu Tun haben:

Code: 
0 Bytes Speicher konnten durch den DNS-Proxy-Agent nicht zugeordnet werden. Möglicherweise ist nicht genügend Speicher
 vorhanden oder ein interner Fehler ist im Speicher-Manager aufgetreten.

Code: 
ICS-IPV6 konnte den IPv6-Stapel nicht konfigurieren

Ab und zu, aber weniger häufig taucht auch diese Meldung auf:

Code: 
Die DHCP-Zuweisung wurde für IP-Adrese 169.254210.33 deaktiviert, 
da die IP-Adresse ausserhalb des BEreichts 192.168.137.0/255.255.255.0 liegt, 
von der die Adressen DHCP-CLients zu gewiesen werden. Ändern Sie den BEreich, 
sodass die IP-Adresse mit einbezogen wird, oder ändern sie die IP-Adresse,
 sodass sie innerhalb dieses Bereichs liegt, um die DHCP-Zuweisung zu aktivieren

Die IP-Adresse 192.168.137.1 ist mir nicht bekannt, noch wird sie in unserem Netzwerk verwendet. Ein NSlookup oder ein Ping ergibt keine Ergebnisse (Nicht Pingbar, keine Antwort)

Was mir aber aufgefallen ist, bei dem Client, wo der Konflikt auftritt erscheint unter ipconfig /all folgender Entrag:

Code: 
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : Intel(R) WiFi Link 1000 BGN
   Physikalische Adresse . . . . . . : 8C-A9-82-38-90-DC
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::fd30:6ced:edc5:d221%14(Bevorzugt) 
   IPv4-Adresse (Auto. Konfiguration): 169.254.210.33(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   IPv4-Adresse  . . . . . . . . . . : 192.168.137.1(Dupliziert) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::4094:78d8:ec96:f8e%14
                                       fe80::691e:72c9:2b08:a4c7%14
   DHCPv6-IAID . . . . . . . . . . . : 361539970
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-9A-E9-ED-F0-DE-F1-46-60-EF
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Dort taucht die Adresse auf - aber was bedeutet das "dupliziert"? Der Adapter war zu dem Zeitpunkt nicht aktiv (von Wireless auf Wired umgestellt) - Netzwerkverkehr ging über LAN.

Im Gegenzug der Auszug der LAN- Verbindung:

Code: 
Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: XXXX
   Beschreibung. . . . . . . . . . . : Intel(R) 82577LM Gigabit Network Connection
   Physikalische Adresse . . . . . . : F0-DE-F1-46-XX-XX
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a097:b4ed:d900:13d8%11(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 172.16.3.1X5(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 15. August 2013 10:57:40
   Lease l„uft ab. . . . . . . . . . : Mittwoch, 4. September 2013 10:57:44
   Standardgateway . . . . . . . . . : fe80::4094:78d8:ec96:f8e%11
                                       fe80::691e:72c9:2b08:a4c7%11
                                       172.16.3.XX
   DHCP-Server . . . . . . . . . . . : 172.16.2.XX
   DHCPv6-IAID . . . . . . . . . . . : 250666737
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-9A-E9-ED-F0-DE-F1-46-60-EF
   DNS-Server  . . . . . . . . . . . : 172.16.2.XX
                                       172.16.2.XX
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Bin etwas ratlos... wisst ihr mehr?
 
Was passiert, wenn Du IPv6 auf den Clients deaktivierst? Derzeit hast Du laut log files einen Parallelbetrieb von IPv4 und IPv6, was zu den Konflikten führen könnte...
 
Ins Blaue: Diese "ungewöhnlichen" Subnetzadressen werden ganz gerne mal von Ad-Hoc- oder Tethering-Verbindungen generiert. Hat das Thinkpad mal als AP für bspw. irgendein Smartphone gedient bzw. tut es immer noch?
 
IPv6 ist deaktiviert - bringt keine Änderung.

Die User haben auch unterschiedliche IP-Adressen von Wireless zu LAN - Verbindung (aber im gleichen Subnetz). Dies funktioniert seit Jahren problemlos.

Die User benutzen ab und zu einen Hotspot, sind Aussendienstmitarbeiter. Aber eine fixe IP-Adresse ist nirgends vergeben.

Mich irritiert den Eintrag (Dupliziert) bei der 192er IP- Adresse etwas im ipconfig. Was bedeutet dies?
 
Die User benutzen ab und zu einen Hotspot, sind Aussendienstmitarbeiter. Aber eine fixe IP-Adresse ist nirgends vergeben.
Zum Vergrößern anklicken....
Das war nicht die Frage ;)

Stumpf gefragt: Hat irgendeiner der Mitarbeiter das Notebook mal als WLAN-Hotspot umkonfiguriert? Access Connections hat afair eine Option dafür. Da mal nachhaken. Die .1-Adresse deutet auf eine Rolle als Router/Gateway/etc. hin.
 
Was mir aber aufgefallen ist, bei dem Client, wo der Konflikt auftritt erscheint unter ipconfig /all folgender Entrag:
DHCP aktiviert. . . . . . . . . . : Nein
Zum Vergrößern anklicken....
scheint also keine IP von einem DHCP Server zu erhalten.

Wenn Du in der Firma L3 Switchs (afaik) hast könntest Clients mit IPs die nicht 172.16.x.x entsprechen gar nicht erst berücksichtigen bzw nicht ins Netz lassen.
Wobei können die vermutlich mit solchen IPs ja sowiso nicht viel machen ausser dass es Konflikte gibt falls es mehrere Clients mit derselben IP gibt.
 
Zuletzt bearbeitet:
Sieht für mich auch so aus, als ob die 192.168.137.1 manuell am Client eingetragen wurde.
 
Das komische ist, dass es bei diversen, unterschiedlichen Notebooks auftritt und das erst seit ca 5 Tagen. Davor wurde nichts verändert.

Auf den Switch das so zu verändern ist auch keine schöne Lösung, wenn wir den Grund nicht kennen. Ich werd mal ein Notebook beschlagnahmen und das Access Connections auseinandernehmen...


EDIT:

Ich habe herausgefunden, dass sich immer mehr CLients im DNS mit einer solchen IP aus der Range melden. Ich habe nun ein Notebook im physikalisch selben Netz und der IP-adresse im selben Range gesetzt - und siehe da, ich kann die fremde IP-pingen. Die ist aktiv im Netz.

Irgendwo muss hier wohl ein roque server sitzen.
 
Zuletzt bearbeitet:
Schonmal geschaut,ob jemand ein Gerät ans Netz angeschlossen hat, das IP's dieser Range verteilt (192.168.137.XXX) und damit dein DHCP untergräbt?
Könnte auch erklären,warum immer mehr Geräte dazukommen: die Geräte mit gültiger Lease haben noch eine IP von deinem DHCP,alle mit der komischen IP schon eine Adresse des neuen "DHCP".
 
Ich habe herausgefunden, dass sich immer mehr CLients im DNS mit einer solchen IP aus der Range melden. Ich habe nun ein Notebook im physikalisch selben Netz und der IP-adresse im selben Range gesetzt - und siehe da, ich kann die fremde IP-pingen. Die ist aktiv im Netz.
Zum Vergrößern anklicken....

Mach mal ein ping 192.168.137.1, direkt danach ein arp -a 192.168.137.1. Dann hast du schon mal die MAC-Adresse und kannst dich auf die Suche machen. Die ersten 3 Hex-Bytes der MAC weisen auf den Hersteller - kann beim Eingrenzen helfen.
 
Zuletzt bearbeitet:
hast du kein netzwerktool, dass dir die infos der ip gibt wie z.b. der benutzername, laptop-id und macadresse? diese vergleichst du mit den geräten deiner firma und wer der besitzer ist?... mit dem iphone gibt es inet.... dort stehen viele infos...
 
Könnte auch erklären,warum immer mehr Geräte dazukommen: die Geräte mit gültiger Lease haben noch eine IP von deinem DHCP,alle mit der komischen IP schon eine Adresse des neuen "DHCP".
Zum Vergrößern anklicken....
würde ich auch als Nächstes vermuten. Wobei warum der DHCP Server dann mehreren Clients die 137.1. gibt (und vorallem auch noch die .1, die braucht man ja normalerweise für den Gateway oder den Server) ist ja auch nicht logisch (oder hast Du auch Clients mit anderen IPs aus dem Range?). Mit einer angepassten Switch Konfig würde das nicht passieren... ;)

Vielleicht irgendeine Software/Tool das sich automatisch updated (nicht bei allen gleichzeitig) oder eine über's LAN verteilte Konfigurations-Datei und danach die Netzwerk Konfig verändert? Dann könnten es, je länger du wartest, mehr werden.
 
Zuletzt bearbeitet:
Mit einer angepassten Switch Konfig würde das nicht passieren...
Zum Vergrößern anklicken....
Ist richtig und auch empfehlenswert, aber im jetzigen Augenblick kann man ja der Ursache ruhig nachgehen, jetzt wo es schon mal aufgefallen ist.
 
Ich habe es mittlerweile herausgefunden...

Ein Mitarbeiter hat VMware installiert und seinem Drahtlosadapter manuell diese IP zugeteilt. Irgendwie hat dann VMware angefangen dort drüber als DHCP-Server zu fungieren.

Ich habe ein Testgerät in das Netz gehängt, ins gleiche SUbnetz konfiguriert und die IP gepingt. Ich habe dann einfach mal eine RDP- Session auf die IP gemacht und bin auf dem besagten Notebook gelandet.

Etwas verwirrung hat jedoch unser DNS verursacht. Wir haben eine neue VPN - Lösung und seither werden die privaten IP-Adressen der externen User getunnelt und in unserem DNS vermerkt. Deshalb tauchten dort auch 192.168.xx.xx adressen auf, welche nicht im 137er Range waren.

Vielen Dank für eure Hilfe :)

An ein unauthorisierten dhcp habe ich eigentlich gedacht, wir haben jedoch überall Portsecurty aktiv, deshalb konnte es kein "fremdes" gerät sein. Aber dass jemand verbotenerweise vmware installiert, auf das bin ich zuerst nicht gekommen. (PS - Die user müssen lokaler admin sein - leider)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

TheManneken
IP-Adresskonflike zwischen managed L2-Switchen und deren Auswirkungen
Antworten
11
Aufrufe
845
Tanzmusikus
Tanzmusikus
h00bi
nicht auffindbarer und widerkehrender IP Adresskonflikt
Antworten
18
Aufrufe
2.934
h00bi
h00bi
Ghost_Rider_R
IP Adresskonflikt! Speziefisches Endgerät trotzdem via Weboberfläche erreichbar?
Antworten
11
Aufrufe
1.224
Skysnake
S
O
"Es wurde ein IP-Adresskonflikt ermittelt"-Meldung
Antworten
11
Aufrufe
2.425
ryGQ1
ryGQ1
K
Wlan DNS Ip - mein Usb-Wlan-Stick will nicht mehr ins Netz
Antworten
5
Aufrufe
1.285
kenny1312
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz