Falsch angeschlossene Nutzer "aussperren"

hermann4

hermann4

Firmware v.3.1
Moin!

Ich wohne in einem Studentenwohnheim, in dem wir im Moment einige Probleme mit dem Internetzugang haben.
Die einzelnen Apartments haben eine LAN- Buchse in der Wand, an der für das ganze Haus (ca. 80 Wohnungen) ein Router hängt, d.h. wir haben keine eigenen Internetzugänge sondern sind nur Teil eines großen LAN für das gesamte Haus.
In letzter Zeit kam es aber vermehrt zu Ausfällen, die auf meiner Meinung nach auf falschen Anschluss von einem oder mehreren Routern in den Wohnungen zurückzuführen sind.
Aus Gewohnheit und Unwissenheit verbinden viele ihren Router am WAN- Port mit dem Netzwerk und haben zusätzlich noch einen DHCP- Server aktiviert. Das resultiert darin dass andere Clients im Haus keine oder eine falsche IP- Adresse zugewiesen bekommen. Habe schon einen Aushang mit Zeichnung erstellt, und seitdem ist es besser geworden, jedoch scheint es immer noch Leute zu geben die "falsch verbunden sind".

Kann man da technisch was machen? Meine Idee wäre es mit einem Skript auf vorhandene DHCP- Server zu lauschen, und sobald andere vorhanden sind als der offizielle müssten die vom Netzwerk getrennt werden.
Ist aber schwer umzusetzen, das müsste der Router ja übernehmen.
Habt ihr noch Ideen?

Vielen Dank!
 
H

hellfire

Doppel-As
Man könnte an den zentralen Switchen DHCP-Pakete filtern - vorausgesetzt, dass diese das unterstützen. D. h. das müssten schon ein paar bessere Switche sein.

DHCP-Watcher-Script kann man natürlich machen. Aber was bringt das? Dann muss man jedes mal an den Switch ran und das Kabel abziehen. Wenn der Switch so gut ist, dass man den Port abschalten kann, dann kann er bestimmt auch das im ersten Absatz, was das Problem gar nicht erst entstehen lässt.

Für einen Internetanschluss mit 80 Wohnungen sollte mit Sicherheit auch das Geld für 2-3 bessere Switche da sein, selbst bei Studentenverhältnissen.

---

...und eigentlich will man in so einem Szenario auch eine gewisse Netzwerktrennung haben(Will ich wirklich, das alle Studenten meinen PC erreichen können?), dass nicht jede Katastrophe sich gleich auf den ganzen Block auswirkt. Idealerweise jeder Switchport ein eigenes VLAN. Aber das wäre dann doch recht aufwändig.

Nachtrag:

Wer nicht direkt seinen PC oder Switch an den Ethernet-Port hängt sondern einen Router(Fritte...), der hat sein Netz natürlich scon Mal grundsätzlich abgekoppelt.

Nachtrag 2:

Ich weiss gar nicht ob das geht, das man rausbekommt woher eine DHCP-Offer kommt. Wenn die ARP-Tabelle mit irgend einem Bezug zu Switchports auslesbar ist, dann könnte das gehen. Aber wie geschrieben: Vorher blocken ist IMHO besser als später abschalten.
 
Zuletzt bearbeitet:
sinn3r

sinn3r

Law & Order
Moderator
Aus Gewohnheit und Unwissenheit verbinden viele ihren Router am WAN- Port mit dem Netzwerk
Abgesehen davon, dass das Netz da scheinbar eine riesige Katastrophe ist und ich in so einem Netz nicht ohne VPN unterwegs wäre, ist es in diesem Falle sogar korrekt, den SOHO-Router deines Vertrauens per WAN-Port mit der Wanddose zu verbinden. Mir wäre neu, dass Plasterouter auf ihrem WAN-Port perse ein DHCP-Server aktiv haben, höchstens eventuell einen Client. Der Server gibt doch eher auf den LAN-Ports raus.
 
H

hellfire

Doppel-As
Der Server gibt doch eher auf den LAN-Ports raus.

Völlig korrekt. Natürlich machen es bestimmt trotzdem viele falsch. Sprich LAN-Port am Uplink anschliessen und die DHCP-Misere ist wie beschrieben.
 
T-One

T-One

Routinier
Wieviele Ports hast du denn in dem Wohnheim?

Am besten wäre ein mangebarer Cisco Switch auf dem alle "Wohnungen" auflaufen, dort kannst du dann auf dem Switch verschiedenen Policies einstellen, damit z.b. DHCP nicht geht, Loops gefiltert werden usw. usw.
 
hermann4

hermann4

Firmware v.3.1
Moin! Danke für die Antworten erstmal...
Muss erstmal dazu sagen dass ich leider außer dem Passwort für den Router noch keine Erlaubnis dazu bekommen habe den Raum mit der Hardware selber zu betreten. Ist aber in Arbeit, möchte mir das wirklich mal ansehen. Ich habe mich in den Router eingeloggt und habe gesehen dass bei diesem noch nicht einmal der Einrichtungsassistent abgeschlossen war, also Ahnung hatte derjenige nicht der das eingerichtet hat...
So kann ich natürlich nicht viel machen im Moment...
Was mir allerdings aufgefallen ist ist dass der DHCP Server erst ab 50 anfängt Adressen zu vergeben warum auch immer... das heißt max sind ca 200 Adressen im LAN zu vergeben, das erscheint mir zu wenig wenn man bedenkt dass 80(!) Wohnung an dem Router hängen... halte es also für sehr wahrscheinlich dass gerade in den Abendstunden auch einfach mal die Adressen ausgehen könnten...
Was macht ein normaler Router in so einem Fall normalerweise?


Gesendet von iPhone mit Tapatalk
 
hermann4

hermann4

Firmware v.3.1
Basierend auf der Tatsache wie schlecht das konfiguriert wurde möchte ich fast gar nicht wissen welche und wieviele Switchs da im Keller verkabelt rumstehen...
Das Einfachste ist jetzt erstmal den Adressraum vom DHCP Server komplett zu nutzen nehme ich mal an...



Gesendet von iPhone mit Tapatalk
 
H

hellfire

Doppel-As
Was mir allerdings aufgefallen ist ist dass der DHCP Server erst ab 50 anfängt Adressen zu vergeben warum auch immer... das heißt max sind ca 200 Adressen im LAN zu vergeben, das erscheint mir zu wenig wenn man bedenkt dass 80(!) Wohnung an dem Router hängen... halte es also für sehr wahrscheinlich dass gerade in den Abendstunden auch einfach mal die Adressen ausgehen könnten...

Durchaus wahrscheinlich. Wenn auch die ganzen Smartphones sich Adressen von dem DHCP ziehen - z. B. falls jemand nur eine Bridge aufstellt statt eines Routers, oder falls das WLAN vom Haus-Router auch aktiv ist - dann ist das auf jeden Fall zu viel. Das man die niedrigen Endadressen frei lässt für Router/Server/... ist übliche Gepflogenheit bei der DHCP-Konfiguration.

Da würde ich halt mal grundsätzlich nicht nur ein /24er Netz einrichten, sondern vielleicht eher ein /16er (RFC1918-Netze 172.16.0.0/16 - 172.31.0.0/16). Kann man ja noch umstellen.

Nachtrag:

Professionelle Switch- und Router-Administration ist zwar jetzt nicht so mein Schwerpunkt; aber vom Lesen her würde ich sagen, dass Private VLANs etwas sind, was in dem Umfeld eine gute Sache ist; sprich, das am Switch bereits jegliche Kommunikation der Wohnungen untereinander unterbunden wird. Auf der anderen Seite könnte das natürlich auch cool sein, wenn das ein grosses Netz ist und das natürlich auch vieles möglich macht.

Siehe: https://en.wikipedia.org/wiki/Private_VLAN
 
Zuletzt bearbeitet:
M

marce

Kaiser
Mal 'ne doofe Frage - aber was genau ist Dein Job / Status dort in diesem Wohnheim und in welchem Verhältnis stehst Du zu dem Betreiber des dortigen LANs?
 
A

Andrej

Routinier
WTF! Nicht böse das klingt mich mehr als nach Pfusch!
Abgesehen von möglichen Rechtlichen Probleme.

Es gibt Business Switche die haben einen eingebauten "kleinen" DHCP Server wo man zb für ein Vlan einen Aktivieren kann dieser hat natürlich nur die Basic sachen mehr nicht. Ka ob er auch als Router eingesetzt werden kann.
 

Ähnliche Themen

Teredo/ Miredo Adresse nicht erreichbar

Oben