Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>D-Link Switch (unmanaged) benutzt eine IP-Adresse! Kann nicht sein?

D-Link Switch (unmanaged) benutzt eine IP-Adresse! Kann nicht sein?

tinbert
tinbert02.04.1518:25
Als ich meine AirPlay-Installation (mit Eurer Hilfe) gecheckt habe, habe ich auch mein gesamtes Netzwerk überprüft. Dabei ist mir eine IP-Adresse aufgestoßen, die ich nicht kannte.
Nachdem ich viel ab- und umgestöpselt habe, war der "Schuldige" gefunden: mein D-Link DGS-1016D, ein unmanged switch ohne Web-Interface.
Ich konnte das auch nicht glauben, habe doppelt und dreifach geprüft und bleibe dabei: der Switch hat eine Netzwerkkarte (voN BROADCOM) und hat sich eine IP-Adresse vom DHCP-Server geholt.

Kann das sein?

Ich habe mehrfach mit dem D-Link-Support konferiert, aber die glauben mir nicht.

Muss ich jetzt paranoid werden? Vielleicht wenn ich mir die Adresse anschaue: xxx.xxx.xxx.23. Kann wirklich nur Zufall sein, aber spaßig ist es schon.

Was meint Ihr?
0

Kommentare

Arne 202.04.1518:38
Was meint Ihr? - Ich glaube es auch nicht Wie kommst du darauf, der Switch könnte eine IP Adresse haben?
0
photoproject
photoproject02.04.1519:03
tinbert - hast Du D-LAN Adapter im Netzwerk?
0
promac02.04.1522:48
tinbert
Als ich meine AirPlay-Installation (mit Eurer Hilfe) gecheckt habe, habe ich auch mein gesamtes Netzwerk überprüft.
Was meint Ihr?

Es gibt fast nichts was es nicht gibt ...

Mit was hast du denn "gecheckt" ? bzw. überprüft ...
Mach halt mal nen Screenshot davon.
Bei mir hat für solche Sachen immer das Programm iNet sehr gute Dienste geleistet.
0
tinbert
tinbert03.04.1508:21
Keine D-LAN-Adapter.
Ich hatte alles abgesteckt außer meinem ollen MacBook per Kabel am Switch.
Immer noch konnte ich die Adresse anpingen. AirPort am MacBook war natürlich aus
Aufgefallen war es mir mit Fing auf dem iPad, aber da waren natürlich viele Geräte beteiligt und ich konnte mir nie ganz sicher sein.
0
promac03.04.1508:56
tinbert

Was man aber hier nicht sieht für was für Services die .23 Adresse freigeschaltet ist, das wäre schon wichtig. Man sieht nur die MAC Adresse.

>> check your PM
0
Arne 203.04.1509:14
Du hast die IP vom Tablet aus gefunden. Dann muss ja mindestens der Accesspoint beteiligt sein. Wie sah dein minimales Setup aus, bei dem du alles abgesteckt hattest und daher darauf geschlossen hast, es sei dein Switch?
0
tinbert
tinbert03.04.1509:16
Noch was: ein Portscan mit diversen Tools brachte keinen einzigen offenen Port.
Ich dachte auch schon an irgendwelchen virtuellen Geräte (Fusion, VB, ...), aber bei meinem letzten Test waren wirklich nur MacBook und Switch involviert.
0
tinbert
tinbert03.04.1509:22
Arne R.
Du hast die IP vom Tablet aus gefunden. Dann muss ja mindestens der Accesspoint beteiligt sein. Wie sah dein minimales Setup aus, bei dem du alles abgesteckt hattest und daher darauf geschlossen hast, es sei dein Switch?

MacBook, Kabel, Switch, Stromkabel.
0
tinbert
tinbert03.04.1509:26
promac
tinbert

Was man aber hier nicht sieht für was für Services die .23 Adresse freigeschaltet ist, das wäre schon wichtig. Man sieht nur die MAC Adresse.

Vom Terminal aus:
[18] nmap -Pn 10.0.1.23

Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-03 09:19 CEST
Nmap scan report for 10.0.1.23
Host is up.
All 1000 scanned ports on 10.0.1.23 are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.49 seconds
0
Arne 203.04.1509:32
Welche IP Adresse hat dein Mac? Vorsicht, er kann auch mit der gleichen Karte mehrere IP-Adressen haben: Terminal: "ifconfig" ohne ""
0
omega
omega03.04.1510:43
Merkt hier eigentlich keiner wie er hier vorgeführt wird?

Ein D-Link Switch der ein DHCP discovery mit einer MAC Adresse von Broadcom verschickt?
a nee, is klar.

Und nmap wird dann so aufgerufen das genau das gewünschte Ergebnis entsteht.

-Pn Treat all hosts as online -- skip host discovery

Damit ist dann ein Host welcher zwar existiert aber alles dropt nicht von einem zu unterscheiden der gar nicht existiert. Damit ist die Aussagekraft praktisch null.

Kleine Aufgabe

Welche Aussage kann über den Host 10.0.1.23 aufgrund der folgenden Daten getroffen werden?

thomaskosch@quidditsch:~$ nmap -Pn 10.0.1.23

Starting Nmap 6.46 ( http://nmap.org ) at 2015-04-03 10:35 CEST
Nmap scan report for 10.0.1.23
Host is up.
All 1000 scanned ports on 10.0.1.23 are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.87 seconds
thomaskosch@quidditsch:~$ ping 10.0.1.23
PING 10.0.1.23 (10.0.1.23): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
--- 10.0.1.23 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
thomaskosch@quidditsch:~$
0
Arne 203.04.1510:58
Vielleicht kennt nicht jeder jedes Argument, mit dem man nmap aufrufen kann Ich würde ja eher vermuten, dass tinbert den Befehl wohl auch nur irgendwo her kopiert hat und nicht auf nmap.org alle Optionen angesehen hat... nicht nach 180 Posts hier im Forum...
0
tinbert
tinbert03.04.1522:53
OK, omega, gib mir bitte die richtigen Argumente für nmap, das ich wirklich erst für diesen Zweck installiert habe und daher nicht richtig kenne, und ich werde das checken.
Klar habe ich auch ping laufen lassen und habe im Gegensatz zu dir auch 100% der Pakete durchbekommen.

Ich habe das ping vom MacBook und vom iMac aus gemacht, das nmap nur vom iMac. Da ich jetzt am iPad sitze, gibt es anbei nur ein ping von Fing.

Kannst mir aber glauben, dass ich hier keinen vorführen will, sondern dass ich mich selber von irgendwas in meinem Netzwerk vorgeführt fühle und das rauskriegen will.

Ich kann mir nur vorstellen, dass D-Link die Switches nur in einer Hardware-Version baut und die managed sich von den unmanaged Switches nur in der Software unterscheiden und mein Switch unter einer Identitätskrise leidet
0
tinbert
tinbert03.04.1523:05
OK, hier noch schnell ein Protokoll vom iMac. Jetzt weiß ich auch wieder, woher ich die Option -Pn habe

[19] ping 10.0.1.23
PING 10.0.1.23 (10.0.1.23): 56 data bytes
64 bytes from 10.0.1.23: icmp_seq=0 ttl=64 time=1.207 ms
64 bytes from 10.0.1.23: icmp_seq=1 ttl=64 time=0.498 ms
64 bytes from 10.0.1.23: icmp_seq=2 ttl=64 time=0.631 ms
64 bytes from 10.0.1.23: icmp_seq=3 ttl=64 time=0.534 ms
64 bytes from 10.0.1.23: icmp_seq=4 ttl=64 time=1.022 ms
^C
--- 10.0.1.23 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.498/0.778/1.207/0.284 ms

[20] nmap 10.0.1.23

Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-03 22:56 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.09 seconds
0
Stann03.04.1523:19
Benutzt du evtl. Powerline Adapter bei dir? Ich bezweifle deine Vermutung sehr stark.
0
Arne 203.04.1523:25
Wie gesagt, ich denke es ist einer deiner Rechner, daher bitte mal gucken, was die Ausspucken wenn du im Terminal "ifconfig" eingibst.

Die Anfrage ohne Argument war schon richtig.
0
tinbert
tinbert04.04.1510:45
Stann
Benutzt du evtl. Powerline Adapter bei dir? Ich bezweifle deine Vermutung sehr stark.

Nein, keine Powerline oder ähnliche Adapter.
0
tinbert
tinbert04.04.1510:52
Arne R.
Wie gesagt, ich denke es ist einer deiner Rechner, daher bitte mal gucken, was die Ausspucken wenn du im Terminal "ifconfig" eingibst.

Ich habe die Tests ja mit verschiedenen Rechnern gemacht: MacBook, iMac, iPad. Das Pingen war immer möglich, Ports konnten nie gefunden werden.

Mein Netzwerk ist eigentlich auch recht übersichtlich und nachvollziehbar: von "außen" gesehen: Kabelmodem---FritzBox---Switch---Patchfeld(16)---Netzwerkdosen(8x2)----Geräte.
Bei meinen reduziertesten Tests war wirklich nur das MacBook über Kabel (Airport ausgeschaltet) am Switch, an dem nix weiter hing, und dennoch war ping der 23 möglich.

ifconfig auf MacBook und iMac brachten die erwarteten IP-Adressen unter en1, dazu die Broadcast-Adresse. Die von Fing oder iNet gefundene MAC-Adresse "00:10:18..." war nirgendwo dabei.
0
Arne 204.04.1513:38
Da ohne Details nur weiter rumgeraten werden kann: Leih dir ein anderes Switch und stell das Szenario nach.
0
omega
omega04.04.1516:53
tinbert
OK, omega, gib mir bitte die richtigen Argumente für nmap, das ich wirklich erst für diesen Zweck installiert habe und daher nicht richtig kenne, und ich werde das checken.
Klar habe ich auch ping laufen lassen und habe im Gegensatz zu dir auch 100% der Pakete durchbekommen.

Es geht da weniger um richtig und falsch als eher um geeignet und ungeeignet. Und "-Pn" sagt Name eben "ich weiß das da ein Host ist, der aber SYN Pakete auf port 80 und 443 dropt". Diese Annahme ist bei einer völlig unbekannten Gegenstelle etwas mutig. Außerdem scheinst du Name als unpriviligierter User auszuführen. Damit funktioniert die meiste Magie von Name nicht. Nimm dann lieber "sudo nmap".

Im Moment gibt das Ganze nämlich wenig Sinn.

Du hast

ein MacBook auf dem außer Ethernet alle anderen Netwerkschnittstelen deaktiviert sind.
Also WLAN, Blutooth, FW, TB und keinerlei Virtualisierungslösungen wie VirtualBox, Parallels, VMware laufen.

An die Ethernet Schnittstelle ist direkt per Patchkabel ein D-Link Switch angeschlossen.

Wenn du jetzt auf dem MacBook ein ICMP Echo Request (ping) zur Adresse 10.0.1.23 sendest erhältst du eine Antwort. Diese Adresse hat kurz vorher (bevor du alles andere aus dem Switch ausgespielt hat) bei deinem DHCP Server ein Gerät mit einer MAC Adresse von Broadcom (und nicht etwa D-Link) angefordert.

Zusätzlich ist der Switch noch ungemanagt.

Du siehst selbst das da etwas nicht zusammenpasst?


Wobei, hatte du da oben nicht noch ein iOS Gerät mit fping? Ich gehe mal davon aus das dies per WLAN an der FritzBox hängt?

Nur mal "Just for interest". Was passiert eigentlich eigentlich wenn du den Switch stromlos machst und dann von dem iOS Gerät ein ping auf die 10.0.1.23 absetzt?
0
tinbert
tinbert04.04.1518:21
omega
tinbert
OK, omega, gib mir bitte die richtigen Argumente für nmap, das ich wirklich erst für diesen Zweck installiert habe und daher nicht richtig kenne, und ich werde das checken.
Klar habe ich auch ping laufen lassen und habe im Gegensatz zu dir auch 100% der Pakete durchbekommen.

Es geht da weniger um richtig und falsch als eher um geeignet und ungeeignet. Und "-Pn" sagt Name eben "ich weiß das da ein Host ist, der aber SYN Pakete auf port 80 und 443 dropt". Diese Annahme ist bei einer völlig unbekannten Gegenstelle etwas mutig. Außerdem scheinst du Name als unpriviligierter User auszuführen. Damit funktioniert die meiste Magie von Name nicht. Nimm dann lieber "sudo nmap".

Guter Tipp, das hat etwas mehr gebracht, aber auch nicht die Lösung:
[26] sudo nmap 10.0.1.23
Password:

Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-04 17:27 CEST
Nmap scan report for 10.0.1.23
Host is up (0.00045s latency).
All 1000 scanned ports on 10.0.1.23 are filtered
MAC Address: 00:10:18:55:44:4B (Broadcom)

Nmap done: 1 IP address (1 host up) scanned in 22.94 seconds

...
omega
Wobei, hatte du da oben nicht noch ein iOS Gerät mit fping? Ich gehe mal davon aus das dies per WLAN an der FritzBox hängt?

Das iPad hängt an einer meiner AirportExtreme, die wiederum via Patchfeld am Switch hängen.

omega
Nur mal "Just for interest". Was passiert eigentlich eigentlich wenn du den Switch stromlos machst und dann von dem iOS Gerät ein ping auf die 10.0.1.23 absetzt?

Dann bricht das ping sofort ab, bzw. es kommt gar nicht erst ein einziges ping zurück.
Das habe ich allerdings von dem per Kabel angeschlossenen MacBook gemacht. Wenn ich dem iOS-Gerät das WLAN nehme, geht ja sonst auch nix mehr (da die APEX am Switch hängen).
0
tinbert
tinbert04.04.1518:52
Problem gelöst! Problem gelöst?

Ich bin ratloser als zuvor, werde euch jetzt aber nicht weiter behelligen. Denn ...

Ich wollte es ganz genau wissen, habe den Switch abgenabelt, aufgemacht, nach irgendwelchen BROADCOM-Chips gesucht, keine gefunden, wieder zugemacht, MacBook dran ..... die 23 war weg!

Switch fluchenderweise wieder an seinen Platz gebracht, nur das MacBook angeschlossen, die 23 war da! Strom abgezogen, wieder angestöpselt, 23 war weg - und blieb weg, auch nachdem ich alle anderen Kabel nacheinander wieder eingesteckt hatte.

Sorry für eure Zeit, sowas nennt man wohl intermittierendes Problem.

Kann so ein Switch irgendwas cachen, also eine 23, die irgendwann man dran war, vielleicht ein virtueller PC?
0
Arne 204.04.1519:46
Das Switch merkt sich an welchem Port welche Empfänger sind. Eigentlich sollten diese Tabellen aktualisiert werden, wenn du ein Netzwerkkabel rausziehst etc.
0
omega
omega04.04.1520:39
tinbert
omega
Wobei, hatte du da oben nicht noch ein iOS Gerät mit fping? Ich gehe mal davon aus das dies per WLAN an der FritzBox hängt?

Das iPad hängt an einer meiner AirportExtreme, die wiederum via Patchfeld am Switch hängen.

Diese Info hast du z.B versteckt.
In
tinbert
Kabelmodem---FritzBox---Switch---Patchfeld(16)---Netzwerkdosen(8x2)----Geräte
kommt die irgendwie nicht vor.
tinbert
omega
Nur mal "Just for interest". Was passiert eigentlich eigentlich wenn du den Switch stromlos machst und dann von dem iOS Gerät ein ping auf die 10.0.1.23 absetzt?

Dann bricht das ping sofort ab, bzw. es kommt gar nicht erst ein einziges ping zurück.
Das habe ich allerdings von dem per Kabel angeschlossenen MacBook gemacht. Wenn ich dem iOS-Gerät das WLAN nehme, geht ja sonst auch nix mehr (da die APEX am Switch hängen).

Das vom MB aus zu probieren und dann den Switch stromlos zu machen ist ja auch sinnier, da das MB dann ja gar keine Netzwerk Connectivität hat.

Im Prinzip kannst du nichts weiter tun als dir einen genauen und vollständigen Plan deines Netzwerks aufzumalen und dann jedes Gerät einzeln zu eliminieren.

Dafür suchst du dir einen Zentralen Ausgangspunkt, den du die ganze Zeit beibehält. Wenn die FB WLAN hat nimmst du das als Accesspoint für dein iPAD und machst dann alle Tests ausschließlich vom iPad aus. Falls die FB einen eingebauten Switch hat steckst du dein MacBook direkt daran und machst dann alle Tests ausschließlich von dort aus.

Und dann gehst du her und entfernst nacheinander alle Geräte aus deinem Netzwerk bist du auf den Ping keine Antwort bekommst.

BTW Wenn ich mir deinen Ping da oben anschaue ist mir für ein per Kabel vernetztes Gerät sowohl die Roundtrip Time aus auch die Standardabweichung etwas hoch. Die Werte würde ich eher bei einem WLAN erwarten. Wenn ich mal meine Glaskugel putze sehe ich da ein Gerät, das entweder an der AE oder an der FB hängt (falls diese WLAN hat).
0
tinbert
tinbert23.04.1509:21
Ein Freund gab mir den Tipp, es mal mit Wireshark zu versuchen, ein kostenloser Network Analyzer, der unter X11 läuft. Die Installation war nicht ohne, da X11 bei Yosemite nicht mehr dabei ist, außerdem ist das Tool mächtig (kompliziert).
Ich habe mit Wireshark einige Versuche gemacht und bin abschließend davon überzeugt, dass der Switch tatsächlich hinter der 23 steckt.

Der Versuchsaufbau:
- FritzBox 7270, WLAN aus, keine Verbindung zum Internet, als DHCP Server konfiguriert
- an der Fritzbox per LAN mein MacBook, kein WLAN
- an der Fritzbox per LAN der Switch
- keine weiteren Kabel
- Switch ausgeschaltet
- Wireshark protokolliert alles auf en0
- Switch einschalten

Das Protokoll zeigt mir folgendes:
- 0.0.0.0 fragt nach einem DHCP Server (DHCP Discover)
- Fritzbox antwortet an 255.255.255.255 (DHCP Offer)
- 0.0.0.0 fragt nach einer IP mit DHCP (DHCP Request)
- Fritzbox bietet die 23 an (DHCP ACK)

Danach ist der Switch mit ping unter der 23 erreichbar.

Fazit: die Fritzbox bietet selbst die 23 an, also Zufall, bzw. im Cache des DHCP-Servers. Witzig, dass die Transaction ID, mit der der Switch nach DHCP fragt, die 0xadde1223 ist. Zufall, wahrscheinlich.

Seitdem der Switch wieder normal verkabelt ist, hört Wireshark mit, ob er was zu sagen hat, bisher ist er aber stumm geblieben. Mein iMac mit Wireshark ist dabei noch in der Fritzbox per LAN angeschlossen, so dass ich den möglichen Datenverkehr des Switches mit "draußen" abfangen können müsste.

So, jetzt ihr
0
jogoto23.04.1509:34
Vielleicht hab ich es überlesen. Poste mal bitte die Bezeichnung des Switches.
0
tinbert
tinbert23.04.1509:46
Steht ganz oben, es ist ein "D-Link DGS-1016D"
0
jogoto23.04.1510:14
Hm, kann leider nichts dazu beitragen. Gibt es auf dem Switch keine Aufkleber, die auf eine MAC-Adresse hinweisen?
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.