Server und Client mit gleicher IP

[Michel]

Der Win-DHCP-Server hat die IP 192.168.1.1 und jemand hat ein Gerät mit der gleichen IP ins Netzwerk gestellt.

Gibt es eine Möglichkeit vom Server oder von den managed Switches aus Geräte mit static IPs zu blocken und vom Netzwerk auszuschließen, damit der Server normal weiterläuft?

[Soulprayer]

Du kannst in der DHCP-Konsole über den Menüpunkt IPv4/Filter -> Verweigern einen Filter auf MAC-Adresse vornehmen.

Nachtrag:
Achja, die MAC-Addresse kannst du folgenderweise herausfinden:
Im CMD "getmac /s (IP des Rechners)" ausführen.

[Michel]

Du kannst in der DHCP-Konsole über den Menüpunkt IPv4/Filter -> Verweigern einen Filter auf MAC-Adresse vornehmen.

Ich dachte der Filter verhindert nur dass ein Gerät mit dieser MAC keine dynamische IP vom Server bekommt?
Das Gerät mit der gleichen IP ist dann aber immer noch im Netzwerk errreichbar und bekommt dann eventuell Anfragen von Clients zugeteilt die eigentlich den Server kontaktieren wollen, oder?
Müsste die Sperre der MAC dann nicht im managed switch vorgenommen werden, bevor Sie überhaupt ins Netzwerk gelangt und Unruhe stiftet?

[Soulprayer]

Hm.

Also wenn die Switches 802.1X unterstützen und du noch den IAS in Windows konfigurierst, dann muss sich jeder Netzwerkteilnehmer erstmal authentifizieren.
Für "problemloses" Arbeiten könntest du noch ein ActiveDir betreiben, wo die Maschinenkonten der Windowsrechner eingepflegt werden.
Somit hast du verhindert, dass Fremdrechner gar nicht ins Netz kommen.

[Michel]

Somit hast du verhindert, dass Fremdrechner gar nicht ins Netz kommen.

Hier sind Fremdrechner explizit erlaubt ;-)

Genau dass ist das Problem in einem "Hotel" mit ständig wechselnden Geräten und null Kontrolle was da angeschlossen wird.
Ich kann also erst bei einem Problem agieren und dann das Gerät ausfindig machen.
In der Praxis wäre es ideal das Gerät per MAC aus dem Netzwerk zu verbannen ohne das Gerät physisch entfernen zu müssen.
Ein Worst-Case-Scenario zum visualisieren des Problems:
Ein Kunde checkt ein, hängt ein Problem-Gerät ans Netz und ist dann für eine Woche nicht vor Ort und das Gerät physisch nicht erreichbar.
Kabel am Switch abziehen wäre dann momentan die letzte Lösung, wobei ich eine Sperre per MAC bevorzugen würde, wenn das möglich wäre...

[Wildfire]

Ich weiß nicht was ihr einsetzt, aber hier z.B. ist eine Beschreibung von TP-Link wie man mit Hilfe von ACLs einen Client mit einer bestimmten IP am Switch aussperrt: http://www.tp-link.us/faq-951.html
So was sollte vermutlich bei den meisten Managed Switches machbar sein. Der Port an dem der Server hängt muss natürlich von der Regel ausgenommen sein :D

Evtl. eine weniger technische Lösung:
Die meisten unbedarften Anwender dürften doch 192.168.x.x als IP verwenden. Wäre es denkbar das ihr auf eine andere private Range umstellen und so die Wahrscheinlichkeit von Konflikten verringert? Also z.B. 10.x.x.x oder 172.16.x.x? Dann kann ein PC mit 192.168.1.1 nichts mehr anrichten und wird gar nicht geroutet. Die Wahrscheinlichkeit das jemand z.B. 172.16.1.1 verwendet dürfte deutlich geringer sein. Die Anwender die (wie vermutlich gewünscht) DHCP verwenden sollten davon nichts merken.

[Michel]

Ich weiß nicht was ihr einsetzt...

Wir haben hier 3 managed Switches von TP-Link laufen ;-)
Das mit den ACLs schau ich mir mal an.
Danke für den Tipp!

Evtl. eine weniger technische Lösung:

Wegen den vielen statischen IPs von diversen Geräten wie CCTV & Fingerprintscanner habe ich davon zur Zeit abgesehen.
Ein Riesenaufwand diese Geräte alle umzukonfigurieren.
Habe aber die IP des Servers schon vor längerem auf 192.168.1.254 gesetzt und seitdem erstmal Ruhe ;-)
Dank Port Isolation am Switch stören auch keine falsch konfigurierten Geräte mehr die Clients untereinander.
Ich müsste dann im Prinzip also nur noch eine ACL für die Server-IP auf jedem Switch konfigurieren und Ruhe ist, oder?

[Wildfire]

Ich müsste dann im Prinzip also nur noch eine ACL für die Server-IP auf jedem Switch konfigurieren und Ruhe ist, oder?

So mein Verständniss. Nur der Port an dem der Server hängt sollte von der ACL ausgenommen werden, sonst sperrst du dich selber aus ;) Probier es doch ggf. vorher mal mit einer anderen IP (.253 oder so) und häng dann ein Gerät mit dieser IP dran. Das sollte dann nicht mehr ins Netz kommen.

[Michel]

Das mit der ACL-Konfig auf dem Managed Switch hat bestens funktioniert.
Hab alle unsere Geräte welche eine feste IP besitzen (inkl. Server) bei den Clients per ACL geblockt.
Nie wieder IP-Konflikte im Netzwerk! Ich find das voll super :D