Falsch angeschlossene Nutzer "aussperren"

Diskutiere Falsch angeschlossene Nutzer "aussperren" im Internet, lokale Netzwerke und Wireless Lan Forum im Bereich Netzwerke & Serverdienste; Moin! Ich wohne in einem Studentenwohnheim, in dem wir im Moment einige Probleme mit dem Internetzugang haben. Die einzelnen Apartments haben...

  1. #1 hermann4, 25.01.2017
    hermann4

    hermann4 Firmware v.3.1

    Dabei seit:
    29.09.2006
    Beiträge:
    525
    Zustimmungen:
    0
    Ort:
    Hamburg
    Moin!

    Ich wohne in einem Studentenwohnheim, in dem wir im Moment einige Probleme mit dem Internetzugang haben.
    Die einzelnen Apartments haben eine LAN- Buchse in der Wand, an der für das ganze Haus (ca. 80 Wohnungen) ein Router hängt, d.h. wir haben keine eigenen Internetzugänge sondern sind nur Teil eines großen LAN für das gesamte Haus.
    In letzter Zeit kam es aber vermehrt zu Ausfällen, die auf meiner Meinung nach auf falschen Anschluss von einem oder mehreren Routern in den Wohnungen zurückzuführen sind.
    Aus Gewohnheit und Unwissenheit verbinden viele ihren Router am WAN- Port mit dem Netzwerk und haben zusätzlich noch einen DHCP- Server aktiviert. Das resultiert darin dass andere Clients im Haus keine oder eine falsche IP- Adresse zugewiesen bekommen. Habe schon einen Aushang mit Zeichnung erstellt, und seitdem ist es besser geworden, jedoch scheint es immer noch Leute zu geben die "falsch verbunden sind".

    Kann man da technisch was machen? Meine Idee wäre es mit einem Skript auf vorhandene DHCP- Server zu lauschen, und sobald andere vorhanden sind als der offizielle müssten die vom Netzwerk getrennt werden.
    Ist aber schwer umzusetzen, das müsste der Router ja übernehmen.
    Habt ihr noch Ideen?

    Vielen Dank!
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 hellfire, 25.01.2017
    Zuletzt bearbeitet: 25.01.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    89
    Zustimmungen:
    11
    Man könnte an den zentralen Switchen DHCP-Pakete filtern - vorausgesetzt, dass diese das unterstützen. D. h. das müssten schon ein paar bessere Switche sein.

    DHCP-Watcher-Script kann man natürlich machen. Aber was bringt das? Dann muss man jedes mal an den Switch ran und das Kabel abziehen. Wenn der Switch so gut ist, dass man den Port abschalten kann, dann kann er bestimmt auch das im ersten Absatz, was das Problem gar nicht erst entstehen lässt.

    Für einen Internetanschluss mit 80 Wohnungen sollte mit Sicherheit auch das Geld für 2-3 bessere Switche da sein, selbst bei Studentenverhältnissen.

    ---

    ...und eigentlich will man in so einem Szenario auch eine gewisse Netzwerktrennung haben(Will ich wirklich, das alle Studenten meinen PC erreichen können?), dass nicht jede Katastrophe sich gleich auf den ganzen Block auswirkt. Idealerweise jeder Switchport ein eigenes VLAN. Aber das wäre dann doch recht aufwändig.

    Nachtrag:

    Wer nicht direkt seinen PC oder Switch an den Ethernet-Port hängt sondern einen Router(Fritte...), der hat sein Netz natürlich scon Mal grundsätzlich abgekoppelt.

    Nachtrag 2:

    Ich weiss gar nicht ob das geht, das man rausbekommt woher eine DHCP-Offer kommt. Wenn die ARP-Tabelle mit irgend einem Bezug zu Switchports auslesbar ist, dann könnte das gehen. Aber wie geschrieben: Vorher blocken ist IMHO besser als später abschalten.
     
  4. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.769
    Zustimmungen:
    2
    Ort:
    Wentorf
    Abgesehen davon, dass das Netz da scheinbar eine riesige Katastrophe ist und ich in so einem Netz nicht ohne VPN unterwegs wäre, ist es in diesem Falle sogar korrekt, den SOHO-Router deines Vertrauens per WAN-Port mit der Wanddose zu verbinden. Mir wäre neu, dass Plasterouter auf ihrem WAN-Port perse ein DHCP-Server aktiv haben, höchstens eventuell einen Client. Der Server gibt doch eher auf den LAN-Ports raus.
     
  5. #4 hellfire, 26.01.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    89
    Zustimmungen:
    11
    Völlig korrekt. Natürlich machen es bestimmt trotzdem viele falsch. Sprich LAN-Port am Uplink anschliessen und die DHCP-Misere ist wie beschrieben.
     
  6. T-One

    T-One Routinier

    Dabei seit:
    14.10.2008
    Beiträge:
    493
    Zustimmungen:
    7
    Ort:
    Österreich
    Wieviele Ports hast du denn in dem Wohnheim?

    Am besten wäre ein mangebarer Cisco Switch auf dem alle "Wohnungen" auflaufen, dort kannst du dann auf dem Switch verschiedenen Policies einstellen, damit z.b. DHCP nicht geht, Loops gefiltert werden usw. usw.
     
  7. #6 hermann4, 27.01.2017
    hermann4

    hermann4 Firmware v.3.1

    Dabei seit:
    29.09.2006
    Beiträge:
    525
    Zustimmungen:
    0
    Ort:
    Hamburg
    Moin! Danke für die Antworten erstmal...
    Muss erstmal dazu sagen dass ich leider außer dem Passwort für den Router noch keine Erlaubnis dazu bekommen habe den Raum mit der Hardware selber zu betreten. Ist aber in Arbeit, möchte mir das wirklich mal ansehen. Ich habe mich in den Router eingeloggt und habe gesehen dass bei diesem noch nicht einmal der Einrichtungsassistent abgeschlossen war, also Ahnung hatte derjenige nicht der das eingerichtet hat...
    So kann ich natürlich nicht viel machen im Moment...
    Was mir allerdings aufgefallen ist ist dass der DHCP Server erst ab 50 anfängt Adressen zu vergeben warum auch immer... das heißt max sind ca 200 Adressen im LAN zu vergeben, das erscheint mir zu wenig wenn man bedenkt dass 80(!) Wohnung an dem Router hängen... halte es also für sehr wahrscheinlich dass gerade in den Abendstunden auch einfach mal die Adressen ausgehen könnten...
    Was macht ein normaler Router in so einem Fall normalerweise?


    Gesendet von iPhone mit Tapatalk
     
  8. #7 hermann4, 27.01.2017
    hermann4

    hermann4 Firmware v.3.1

    Dabei seit:
    29.09.2006
    Beiträge:
    525
    Zustimmungen:
    0
    Ort:
    Hamburg
    Basierend auf der Tatsache wie schlecht das konfiguriert wurde möchte ich fast gar nicht wissen welche und wieviele Switchs da im Keller verkabelt rumstehen...
    Das Einfachste ist jetzt erstmal den Adressraum vom DHCP Server komplett zu nutzen nehme ich mal an...



    Gesendet von iPhone mit Tapatalk
     
  9. #8 hellfire, 27.01.2017
    Zuletzt bearbeitet: 27.01.2017
    hellfire

    hellfire Foren As

    Dabei seit:
    25.05.2016
    Beiträge:
    89
    Zustimmungen:
    11
    Durchaus wahrscheinlich. Wenn auch die ganzen Smartphones sich Adressen von dem DHCP ziehen - z. B. falls jemand nur eine Bridge aufstellt statt eines Routers, oder falls das WLAN vom Haus-Router auch aktiv ist - dann ist das auf jeden Fall zu viel. Das man die niedrigen Endadressen frei lässt für Router/Server/... ist übliche Gepflogenheit bei der DHCP-Konfiguration.

    Da würde ich halt mal grundsätzlich nicht nur ein /24er Netz einrichten, sondern vielleicht eher ein /16er (RFC1918-Netze 172.16.0.0/16 - 172.31.0.0/16). Kann man ja noch umstellen.

    Nachtrag:

    Professionelle Switch- und Router-Administration ist zwar jetzt nicht so mein Schwerpunkt; aber vom Lesen her würde ich sagen, dass Private VLANs etwas sind, was in dem Umfeld eine gute Sache ist; sprich, das am Switch bereits jegliche Kommunikation der Wohnungen untereinander unterbunden wird. Auf der anderen Seite könnte das natürlich auch cool sein, wenn das ein grosses Netz ist und das natürlich auch vieles möglich macht.

    Siehe: https://en.wikipedia.org/wiki/Private_VLAN
     
  10. Anzeige

    Vielleicht findest du in dieser Kategorie etwas passendes.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.134
    Zustimmungen:
    11
    Mal 'ne doofe Frage - aber was genau ist Dein Job / Status dort in diesem Wohnheim und in welchem Verhältnis stehst Du zu dem Betreiber des dortigen LANs?
     
  12. Andrej

    Andrej Routinier

    Dabei seit:
    24.01.2006
    Beiträge:
    309
    Zustimmungen:
    0
    WTF! Nicht böse das klingt mich mehr als nach Pfusch!
    Abgesehen von möglichen Rechtlichen Probleme.

    Es gibt Business Switche die haben einen eingebauten "kleinen" DHCP Server wo man zb für ein Vlan einen Aktivieren kann dieser hat natürlich nur die Basic sachen mehr nicht. Ka ob er auch als Router eingesetzt werden kann.
     
Thema:

Falsch angeschlossene Nutzer "aussperren"

Die Seite wird geladen...

Falsch angeschlossene Nutzer "aussperren" - Ähnliche Themen

  1. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  2. Was mache ich falsch? Tiniywm und Mate Install unter OpenBSD

    Was mache ich falsch? Tiniywm und Mate Install unter OpenBSD: Hallo, # make tiny make: don't know how to make tiny Stop in /root/Downloads/tiny/tinywm-1.3 # make tinywm cc -O2 -pipe -o tinywm tinywm.c...
  3. Chrome und Firefox sperren gefälschte Server-Zertifikate

    Chrome und Firefox sperren gefälschte Server-Zertifikate: Seit Freitag waren offenbar gefälschte Server-Schlüssel von Google im Umlauf. Google reagierte darauf, indem es die betroffenen Schlüssel im...
  4. Per Samba falsche Angaben zum freien Speicherplatz übertragen

    Per Samba falsche Angaben zum freien Speicherplatz übertragen: Moin, ich habe ein altes Mainboard zu einem NAS umgebaut auf dem ein Ubuntu läuft. Ist kein spezielles NAS-System, es war halt nur drauf. An...
  5. Fehler in GCC kann falschen Kernel-Code erzeugen

    Fehler in GCC kann falschen Kernel-Code erzeugen: Linux-Kernel, die mit neueren Versionen von GCC erzeugt wurden, können sporadische Abstürze zeigen. Bisher dürften nur wenige Anwender betroffen...