an die hacker unter euch: Routing im LAN

[Sholvar]

hab ein schönes Problem hier bei der LAN Verwaltung in meiner Firma. Manchmal kommt man mit einigen PCs nicht ins Internet, andere haben damit keine Probleme. Ich suche nun die Stelle im Netzwerk, die diesen Fehler verursacht oder zumindest mal den gemeinsamen Nenner der Rechner, die nicht rauskommen.

Es gibt 2 Router, die mit dem Netz verbunden sind:
192.168.1.111
192.168.1.112

es gibt einen Rechner auf dem nur eine interne Wiki rumliegt, sonst garnix:
192.168.1.11

Rechner der geht: 192.168.1.246
Rechner der (sehr oft!!!) nicht geht: 192.168.1.220
(beide hängen am selben switch, der eine OS X der andere SuSE 10.3)

Komischerweise scheint die 220 immer auf die 11 gelenkt zu werden. Ein traceroute zeigt die 11 als ersten Eintrag danach Sternchen (broadcast oder garnichts?). Als router ist aber auf allen PCs die 112 eingestellt.
Wenn die Netzverbindung gerade geht, dann ist der erste Eintrag die 112 und danach bin ich aus dem LAN raus im großen weiten Internet.
Traceroute ich die 112, kommt im schlechtesten Fall nur Sternchen und im besten Fall gleich als erster Eintrag die 112. (nichts dazwischen)

So. Was kann ich jetzt tun, um dem Problem mehr auf die Schliche zu kommen?

 

[redhack]

also wenn die 11 bei beiden als gateway eingetragen ist, wirds anhand deiner informationen hier schwer.


mögliches problem.

irgend ne statische route, keine ahnung in wieweit man diese bei mac osx eintragen kann.

aber in deinem fall tippe ich mal aufn dns problem, wenn ich dein geschreibsel mal richtig deute geht es nur ums internet ?

wäre hilfreich wenn du den käse hier mal aufschlüsselst und genau schreibst was du machst und ggf maln screenshot von den ip-konfigurationen + tracerout.

 

[doveR]

Original geschrieben von Sholvar
hab ein schönes Problem hier bei der LAN Verwaltung in meiner Firma. Manchmal kommt man mit einigen PCs nicht ins Internet, andere haben damit keine Probleme. Ich suche nun die Stelle im Netzwerk, die diesen Fehler verursacht oder zumindest mal den gemeinsamen Nenner der Rechner, die nicht rauskommen.

Es gibt 2 Router, die mit dem Netz verbunden sind:
192.168.1.111
192.168.1.112

es gibt einen Rechner auf dem nur eine interne Wiki rumliegt, sonst garnix:
192.168.1.11

Rechner der geht: 192.168.1.246
Rechner der (sehr oft!!!) nicht geht: 192.168.1.220
(beide hängen am selben switch, der eine OS X der andere SuSE 10.3)

Komischerweise scheint die 220 immer auf die 11 gelenkt zu werden. Ein traceroute zeigt die 11 als ersten Eintrag danach Sternchen (broadcast oder garnichts?). Als router ist aber auf allen PCs die 112 eingestellt.
Wenn die Netzverbindung gerade geht, dann ist der erste Eintrag die 112 und danach bin ich aus dem LAN raus im großen weiten Internet.
Traceroute ich die 112, kommt im schlechtesten Fall nur Sternchen und im besten Fall gleich als erster Eintrag die 112. (nichts dazwischen)

So. Was kann ich jetzt tun, um dem Problem mehr auf die Schliche zu kommen?

was genau geht nicht. lan access, internet access, zugriff intern auf ein anderes subnet usw usf. du hast viel geschrieben, aber das relevante ausgelassen

 

[Yussuf]

poste doch mal die routing tabelle von dem, der nicht geht.

und evtl. auch ein kleines diagramm, was ihr so an routern und ggfs. dns/dhcp servern habt.

 

[Sholvar]

sorry, dachte mich eindeutig ausgedrückt zu haben.
ein paar rechner funktionieren problemlos, ein paar rechner erreichen die 112 nicht (das eingetragene gateway bei allen rechnern) weil sie aus irgendeinem Grund gleich im ersten routing-step bei der 11 landen.
in arp -a steht nur eine adresse drin (wenn das der Befehl ist um an die routing-tabelle zu kommen. mehr kenne ich nicht):
? (192.168.1.112) usw.


sternchen-zeilen bei traceroute sehen so aus

12 * * *
13 * * *

usw. Wenn ich also irgendwo Sternchen sage, meine ich solche Zeilen.

also ins internet kommen:
112 direkt
246 über 112 als eingetragener Gateway
220 über 112 als eingetragener Gateway

ins internet kommt nicht:
220, wenn er die 112 nicht erreicht, weil er zur 11 geroutet wird.

Ich glaube nicht, dass wir internes DNS machen. Manche Leute haben eine Umlenkung von und nach localhost für lokale Apachen eingerichtet, aber keiner der genannten Rechner gehört dazu.

Ich sitze jetzt gerade nicht mehr in der Firma deshalb kann ich euch keine copy/pastes geben. Aber ne Grafik kann ich liefern.

 

[HERR 2FICKENDEHUNDE]

route -n pls

und ggf mal über yast netzwerkgeräte netzwerkarte nachschauen ob in der konfiguration der netzwerkarte unter routing ein standartgateway mit zb der 11 hinterlegt ist

ach und ping die 11 mal an. antwortet die? wenn ja nmap mit os detection drauf.

 

[Sholvar]

also als gateway ist garantiert die 112 eingestellt auf allen Rechnern. Haben wir jetzt schon zu dritt geguckt und die Wahrscheinlichkeit das wir da nicht gucken können sinkt dadurch imo überproportional (habs aber gerade eben nochmal nachgeguckt und ja es ist immernoch die 112)

 $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags   Metrics Ref Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U       0       0   0   eth1
169.254.0.0     0.0.0.0         255.255.0.0     U       0       0   0   eth1
127.0.0.1       0.0.0.0         255.0.0.0       U       0       0   0   lo
0.0.0.0         192.168.1.112   0.0.0.0         UG      0       0   0   eth1

eth1 ist übrigens die angekabelte Netzwerkkarte, hab 2 drin.

Die 11 antwortet auf ping und http requests. Warum soll ich nen nmap auf die 11 machen?
ports:
21 - ftp; 22 - ssh; 25 - smtp; 53 - domain; 80 - http; 139 - netbios-ssn; 442 - https; 445 microsoft-ds; 901 - samba-swat; 2401 - cvspserver; 3128 - squid-http; 3306 - mysql;
OS: Linux 2.6.13-2.6.18

bei der 112 siehts genauso aus

 

[HERR 2FICKENDEHUNDE]

es wäre halt festzustellen, was die 11 für ein rechner ist. die ports interessieren da weniger sondern erstmal ist festzustellen, was der rechner da tut.
ist halt unlogisch wenn du den erreichen kannst, den router aber nicht. das sieht fast danach aus als ob die per kabel direkt verbunden sind... oder aber jemand will das darüber verbunden wird.

 

[Sholvar]

naja, es gibt ja 2 zustände:
a) ich erreiche die 112 -> die 112 ist die erste anlaufstelle
b) ich erreiche die 112 nicht -> die 11 ist die erste anlaufstelle

Wie kann man denn feststellen, welche Hardware-hops genau genommen werden? Zwischendurch sind ja lauter router und switches die einfach nur zum durchlauf verwendet werden. Ich denke, da muss der irgendwo falsch abbiegen, dass er ab und zu bei der 11 rauskommt.


übrigens probiert er im Zustand b manchmal von der 11 zur 64 zu gehen (aber auch nur manchmal...). Die 64 ist unsere Hardwarefirewall (große, rote Monsterfirewall ). Die haben wir aber vorgestern abgstellt, weil man mit ihr garnicht mehr ins Internet kam. Hoffe das trägt jetzt nicht zu größerer verwirrung bei. In der grafik hängt die 64 hinter der 112 und 111 (also in Richtung Internet). Aber wie gesagt die ist gerade rausgestöpselt (das internet wurde ohne den Umweg über die Firewall direkt angebunden).

Und noch eine Besonderheit ist mir aufgefallen. Für 2-3 Minuten hatte ich mit der 246 genau das selbe Problem. Er wollte auch zur 11 und nicht mehr zur 112. Im Moment verhält er sich wieder normal.

Für mich klingt das alles danach, als wenn ein Switch/Router der irgendwo zwischen klemmt ein Problem hat. Wie komme ich an die IP Tables von den Dingern ran?

 

[HERR 2FICKENDEHUNDE]

naja ich glaub da kommst du nicht so einfach ran. also sehr merkwürdig ist das alles ja schon.ich hatte überlesen das der 11er ein bekannter pc ist. trotzdem, wenn die route so gesetzt ist, darf das nicht passieren.

hast proxy einträge die auf die 11 zeigen ? weil da scheint ja ein sqid zu laufen... warum eigentlich? und dns läuft auch drauf...! schau mal an den pcs ohne verbindung was da in der /etc/resolv.conf steht.

wie werden adressen verteilt bei euch, dhcp?

Original geschrieben von Sholvar


es gibt einen Rechner auf dem nur eine interne Wiki rumliegt, sonst garnix:
192.168.1.11

Original geschrieben von Sholvar
requests. Warum soll ich nen nmap auf die 11 machen?
ports:
21 - ftp; 22 - ssh; 25 - smtp; 53 - domain; 80 - http; 139 - netbios-ssn; 442 - https; 445 microsoft-ds; 901 - samba-swat; 2401 - cvspserver; 3128 - squid-http; 3306 - mysql;
OS: Linux 2.6.13-2.6.18

dafür das der nur nen wiki zur verfügung stellt, hat der aber jede menge dienste laufen.

 

[Sholvar]

Original geschrieben von 2FICKENDEHUNDE
naja ich glaub da kommst du nicht so einfach ran. also sehr merkwürdig ist das alles ja schon.ich hatte überlesen das der 11er ein bekannter pc ist. trotzdem, wenn die route so gesetzt ist, darf das nicht passieren.

hast proxy einträge die auf die 11 zeigen ? weil da scheint ja ein sqid zu laufen... warum eigentlich? und dns läuft auch drauf...! schau mal an den pcs ohne verbindung was da in der /etc/resolv.conf steht.

in der resolv steht:

nameserver 192.168.1.112
search site

Original geschrieben von 2FICKENDEHUNDE
wie werden adressen verteilt bei euch, dhcp?

jain. Die meisten Adressen sind fest (keine der genannten Adressen wird über DHCP verteilt). DHCP ist aber möglich über die 112. Die Adressen 160-170 stehen dafür zur Verfügung. Aber wie gesagt, keiner der hier im Thread genannten Rechner nutzt DHCP.

Original geschrieben von 2FICKENDEHUNDE
dafür das der nur nen wiki zur verfügung stellt, hat der aber jede menge dienste laufen.

tjo, das ist nen PC von der Support-Abteilung. Sollen die mal machen, was sie für richtig halten. (eigentlich ist auch die Lösung des Netzwerkproblems ihre Aufgabe... theorie und praxis...)

Es ist vielleicht schwierig die Wege zu Ermitteln, die die Pakete hier im Netz nehmen. Aber ich glaube wirklich nicht, dass die Ursache des Problems irgendwo in der Konfiguration einer der Rechner liegt. Theoretisch müsste jeder Rechner nach seinen Einstellungen als erstes Mal jedes Paket an die 112 schicken. Demnach sind alle PCs auf dieser Ebene unabhängig voneinander. Wenn dann mehrere PCs das selbe Problem haben, liegt es doch irgendwo an der Ebenen drunter. Und das nächste nach den IPs sind doch die Switches und Kabel. Und selten wird ein Paket durch ein Kabel umgeroutet (oder? ). Für mich ergibt sich nach ausschluss-verfahren eindeutig das nächste Ziel. Wenn an meiner Logik da irgendwas falsch ist, klärt mich auf. Danke.

 

[HERR 2FICKENDEHUNDE]

dann mach mal arp -a als root auf einem rechner wo es geht und auf einem rechenr wo es nicht geht. ping vorher einfach mal die 112 und die 11 vorher an.

wenn ein switch im arsch wäre, dürftest du die 11 auch nicht erreichen

 

[redhack]

also dein problem sieht erst mal recht ulkig aus, nu kommen doofe lösungsvorschläge und harstreubende vermutungen


ist es möglich, dass rechner 11 und 12 mit der gleichen mac unterwegs sind ?


--> arp tabelle switch das prtoblem ?? (switch einfach mal tauschen)

maybe haben beide ne 00:00 mac hatte mal so ein problem, als ich dabei war mac adressen umzubiegen wegen nem mac filter... ??

 

[Sholvar]

arp -a hatte ich oben schon gepostet. Aber interessanter weise ist jetzt ein zweiter eintrag dazu gekommen (der stand gestern noch nicht da, 100% sicher!)

die 220 (suse)

 $ arp -a
? (192.168.1.11) at 00:16:17:5F:73:74 [ether] on eth1
? (192.168.1.112) at 00:16:17:5F:73:74 [ether] on eth1

Die 112 stand da auch schon gestern drin. Die 11 noch nicht

die 246 (OS X)

? (10.60.0.1) at 0:60:97:66:28:bb on en1 [ethernet]
? (192.168.1.11) at 0:16:17:5f:73:74 on en0 [ethernet]
? (192.168.1.112) at 0:1e:2a:e0:62:c4 on en0 [ethernet]
? (192.168.1.213) at 0:b:6a:ae:41:5c on en0 [ethernet]

hm. da sehe ich schon einen Unterschied

ist die MAC-Adresse die da steht, die Ziel-Adresse, also wohin das ganze geroutet werden soll? Was heisst das Fragezeichen? Die Ausgaben werden leider im man arp nicht erklärt :/

PS: jetzt steht wieder nurnoch die 112 im arp cache der 220. hab den jetzt mal manuell auf die selbe MAC-Adresse gestellt wie auf der 246 und im moment geht Internet.

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von Sholvar
arp -a hatte ich oben schon gepostet. Aber interessanter weise ist jetzt ein zweiter eintrag dazu gekommen (der stand gestern noch nicht da, 100% sicher!)

die 220 (suse)

 $ arp -a
? (192.168.1.11) at 00:16:17:5F:73:74 [ether] on eth1
? (192.168.1.112) at 00:16:17:5F:73:74 [ether] on eth1

Die 112 stand da auch schon gestern drin. Die 11 noch nicht

oha, spielt da jemand mit ettercap rum oO

€ fragezeichen steht für den hostnamen, wenn er den namen auflösen (/ etc/hosts oder dns )kann steht dort der entsprechende rechnername

der arp cache wird alle 5 minuten ca refreshed. irgendwie wird der arp cache verändert, das beide wirklich die gleiche Hardware adresse haben kann ich mir nicht vorstellen, aber überprüf das mal.

 

[Sholvar]

ist nicht unmöglich, aber glaub ich eigentlich nich. Jeder Mitarbeiter hier weiß ziemlich genau, dass
a) er gefeurt wird, wenn sowas rauskommt. Da wird ncihtmal eine Sekunde diskutiert
b) hier genug Leute sitzen die zumindest potentiell die Fähigkeit besitzen, das herauszufinden (auch ohne vorher bescheid zu sagen).

Und da es keinen WLAN-Zugang zum Netz gibt, sollte auch niemand von außen reinkommen.

Aber kann es nicht auch sein, dass so etwas aus versehen ausgelöst wird?
Egal ob ausversehen oder absicht. Was kann ich dagegen tun und wie finde ich heraus welche IP/MAC mir arp-replys schickt?

Wenn ich den arp-cache mit arp -s ändere dann steht ein PERM dahinter. Bedeutet das, dass von außerhalb niemand mehr diesen Eintrag ändern kann?

PS: es muss auch nicht unbedingt ettercap sein. c&a kann das auch ganz gut


*edit*
das beide nicht die gleiche MAC haben sieht man ja an dem arp-cache der 246

*edit2* ist es überhaupt möglich das 2 gleiche MAC-Adressen auftauchen, ohne das einer da mit Absicht dran rumspielt? die Netzwerkkarten sind doch international eindeutig indentifiziert, oder nicht?

 

[HERR 2FICKENDEHUNDE]

es kann theoretisch schon sein, das es zwei gleiche mac adressen gibt, aber das die dann ausgerechnet bei dir in der firma beide aufschlagen ist unwahrscheinlich. überprüf es halt ifconfig Interface und du hast gewissheit, es kann auch auch eine manuell gesetzte sein, man kann mit ifconfig eine MAC manuell setzen, wenn der treiber das unterstützt

es kann auch defekt sein aber das ist von hier aus reine vermutungen. also ich würde mal den 11 rechner überprüfen, was für tools da installiert sind, log files überprüfen ect. sieht auf jedenfall verdächtig aus... aber wie gesagt, das muss man vor ort klären

 

[redhack]

naja tendenziell arp spoofing mit c&a.

mein tipp im moment. ;-)

lösungsweg:

nmap auf entsprechendem ports lauschen.

 

[redhack]

zur gleichen mac, möglich ist es, du wärst nicht der erste, würde aber wohl nem 5er im lotto entsprechen. wo bei es ja nicht danach ausschaut -->


nur der 220 vermutet die 11 und 12 ja auf der gleichen mac.
beim 246 haben beide ja ne unterschiedliche mac
-->
? (10.60.0.1) at 0:60:97:66:28:bb on en1 [ethernet]
? (192.168.1.11) at 0:16:17:5f:73:74 on en0 [ethernet]
? (192.168.1.112) at 0:1e:2a:e0:62:c4 on en0 [ethernet]
? (192.168.1.213) at 0:b:6a:ae:41:5c on en0 [ethernet]

hmm wireshark log vom trafic im netz ?? könnte helfen.
da siehste schnell ob da jemand das netz mit arp request überflutet.

 

[Sholvar]

also der wireshark macht dick die Ausgaben. Aber woran erkenne ich es jetzt, falls da jemand viele arp-replys rausschickt?

 

[HERR 2FICKENDEHUNDE]

das die packete mit arp repuest bezeichnet sind. steht doch immer dabei aus welcher schicht das packet kommt.



€: aber letzlich isses auch das egal. hast du denn zugriff auf den rechner? schau dir die konfiguration an, der netzwerkkarte, schau in die root history überprüfe, was für programme installiert sind. fakt scheint zu sein: dieser rechner ( mit der 11 ) manipuliert, warum und wie auch immer. wenn er dies weiterhin tut -> aus dem verkehr ( netz ) ziehen und systematisch auf die üblichen verdächtigen überprüfen...

 

[Sholvar]

okay, also im allgemeinen sehen die ARP einträge normal aus. Sie kommen nicht allzu oft und es ist immer ein pärchen aus request und reply. Von der 11 kommt nichts aber ein Rechner möchte immer von der 11 wissen, wo die 64 ist (64 = ausgeschaltete Firewall). Leider steht in wireshark nur die MAC und nicht die IP-Adresse. Kann man die vielleicht noch rausfinden?

 

[HERR 2FICKENDEHUNDE]

hats du zugriff auf der 11? dann mach dort mal einen arp -a, dann siehst du auch die ip dazu

 

[redhack]

naja egal ist es nicht 2 fickende, wenn ein anderer rechner das netz zu ballert, ist das problem nicht gelöst.

weil --> der suse:

$ arp -a
? (192.168.1.11) at 00:16:17:5F:73:74 [ether] on eth1
? (192.168.1.112) at 00:16:17:5F:73:74 [ether] on eth1

irgendwoher muss er ja den fehlerhaften eintrag haben.

/testweise zum eingrenzen des problems, mac +ip auf dem suse ändern.

und schauen welche auswirkungen das hat, um ggf einzugrenzen ob jemand spooft oder arp poisoning anhand der mac / ip betreibt, weil wäre wirklich ein kurioser fall und man benötigt schon das nötige halbwissen und c&a... etc...

[edit] ahh war wohl zu langsam ;P | da keine übermäßigen replys vorkommen, fällt die theorie ins wasser.


bleibt nur noch die frage warum die 220für die 11 und 112 die gleiche mac führt.

 

[HERR 2FICKENDEHUNDE]

komisch ist auf jedenfall das es immer nur zeitweise auftritt... das kann man halt nur vor ort testen was da los is.

 

[redhack]

so habs mir nochmal durchgelesen, also es ist ja ne vermutung von dir dass statt auf die 112 auf die 11 verwiesen wird.

bitte noch mal begründen und trace route bei funktion und bei nicht funktion.


also ich bin nochmals für einen einfachen lösungsvorschlag, irgendwo gerät mit der gleichen ip ??


wireshark --> IP / MAC

 

[Sholvar]

also für die 112 ist das Problem "gelöst" (bzw. umgangen trifft es besser). ich hab dort permanent die richtige Mac eingetragen (sudo arp -s 192.168.1.112 [mac-adresse]). Danach hatte ich das Problem auf der 246. wirklich 1 zu 1. Dort hab ich das jetzt auch von Hand eingetragen.

so hab jetzt aus lauter langeweile ein nmap auf die 11 und die 12 gemacht. und nmap sagt auch, dass beide die gleiche mac-adresse haben. aber diese adresse ist garantiert die von der 11 nicht von der 112. Ja, ich weiß ihr sagt mir das schon seit ner Weile, aber ich hielt es einfach für zu unmöglich.
An welcher Stelle kann denn jetzt der Router denken, er habe eine andere MAC, als die MAC die seine Hardware vorgibt?


PS: was für anfragen kann ich an eine mac adresse senden um zu beweisen, dass sich nicht die 11 irrt, bezüglich der eigenen MAC, sondern die 112? Ich muss ja etwas hinschicken können unter angabe der MAC und dann als Antwort die IP oder die Dienste oder die offenen Ports oder ähnliches kriegen, womit ich dann sagen kann, welcher der beiden Geräte das ist.

*edit*
also, die gesuchte mac gehört der 11. Die 112 hat an jeder Stelle die richtige MAC Adresse eingetragen. Die 11 kann leider auch nicht abgestöpselt werden, weil da alles drauf ist was die Jungs aus der Support-Abteilung brauchen...

 

[redhack]

also nur damit ich dich richtig verstehe, und um falschen informationen vorzubeugen.


1. laut nmap haben die 11 und 12 die gleiche mac ? (ZWei IP-Adressen gebunden ??? )


2. möglicherweise hat der router zwei ip-adressen gebunden ?
und genau da liegt das problem also zusätzlich eine schon vergebene ??

 

[Sholvar]

1. die 11 und die 112 (elf und _hundert_zwölf) sind 2 verschiedene Geräte. Aber nmap zeigt für beide die selbe MAC-Adresse (was aber keine andere Aussage beinhalten muss, als das die selbe MAC-Adresse für beide IPs in den arp-cache geschrieben wird. Wer weiß über welches Protokoll nmap die MAC ermittelt).

2. kann ich nicht sagen, aber ich denke, die 112 hat nur eine IP Adresse. Fakt ist aber, dass die MAC die da doppelt auftaucht, zur 11 gehört und eigentlich garnichts mit der 112 zutun hat. Also sogar wenn die 11 doppelt auf die eigentliche 11 und auf der 112 eingetragen sind, müsste eher die MAC der 112 zu oft auftauchen und nicht die MAC der 11 oder?