Merkwürdige DHCP Offers auf WAN - Seite

[vanhaakonnen]

Hallo Leute,

ich habe einen Draytek - Router der Syslog-Logging u.a. auf WAN-Seite unterstützt. An den WAN-Port habe ich das Kabel-Modem angeschlossen. Als ich noch DSL hatte, waren hier außer WAN up und down (bei der 24 stündigen Zwangstrennung) praktisch keinerlei Logging-Einträge vorhanden.

Jetzt bemerke ich aber unmengen an DHCP Einträgen (die WAN-LEDs flakern auch praktisch ohne von mir verursachten Datentraffic):

Code: Alles auswählen

83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:02draytek1DHCP <==  Offer XID = 0x451f74, Client IP = 0.0.0.0, Your IP = 10.114.175.205, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:03draytek1DHCP <==  Offer XID = 0xd397e22, Client IP = 0.0.0.0, Your IP = 77.22.91.66, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:03draytek1DHCP <==  Offer XID = 0x77c2e38, Client IP = 0.0.0.0, Your IP = 10.114.173.11, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:04draytek1DHCP <==  Ack XID = 0xab51a78e, Client IP = 77.22.91.171, Your IP = 0.0.0.0, Next server IP = 0.0.0.0, Relay agent IP = 83.169.188.154, Option: 53, 54, 01, 03, 06, 31, 
166Feb  7 12:45:04draytek1DHCP <==  Offer XID = 0x1d7ff432, Client IP = 0.0.0.0, Your IP = 77.21.44.186, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:06draytek1DHCP <==  Offer XID = 0x67152cf, Client IP = 0.0.0.0, Your IP = 10.114.173.6, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:06draytek1DHCP <==  Offer XID = 0x8535e46, Client IP = 0.0.0.0, Your IP = 10.114.175.241, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x37ec7446, Client IP = 0.0.0.0, Your IP = 10.118.91.65, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 02, 03, 04, 07, 67, 66, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0xd397e22, Client IP = 0.0.0.0, Your IP = 77.22.91.66, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x1574827e, Client IP = 0.0.0.0, Your IP = 10.114.172.175, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x5f922a2, Client IP = 0.0.0.0, Your IP = 77.21.45.119, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x1bff1c8, Client IP = 0.0.0.0, Your IP = 10.114.172.128, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x77c2e38, Client IP = 0.0.0.0, Your IP = 10.114.173.11, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x942c848, Client IP = 0.0.0.0, Your IP = 10.114.175.231, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:07draytek1DHCP <==  Offer XID = 0x16e49ee8, Client IP = 0.0.0.0, Your IP = 10.114.172.156, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:08draytek1DHCP <==  Offer XID = 0x1f340882, Client IP = 0.0.0.0, Your IP = 10.118.91.148, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 02, 03, 04, 07, 67, 66, 
166Feb  7 12:45:08draytek1DHCP <==  Offer XID = 0x1ae8e18a, Client IP = 0.0.0.0, Your IP = 10.114.172.106, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:08draytek1DHCP <==  Offer XID = 0xace946a, Client IP = 0.0.0.0, Your IP = 10.114.172.54, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:09draytek1DHCP <==  Offer XID = 0x1e48ec8b, Client IP = 0.0.0.0, Your IP = 77.22.91.202, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x4d9b0f8, Client IP = 0.0.0.0, Your IP = 10.114.175.219, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x1d8f5ac0, Client IP = 0.0.0.0, Your IP = 10.114.172.137, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x695cd68, Client IP = 0.0.0.0, Your IP = 10.114.175.247, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x942c848, Client IP = 0.0.0.0, Your IP = 10.114.175.231, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x1a4ef4e7, Client IP = 0.0.0.0, Your IP = 10.114.175.197, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:10draytek1DHCP <==  Offer XID = 0x16e49ee8, Client IP = 0.0.0.0, Your IP = 10.114.172.156, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:11draytek1DHCP <==  Offer XID = 0x11a20670, Client IP = 0.0.0.0, Your IP = 10.114.175.195, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:12draytek1DHCP <==  Offer XID = 0xb30ef5, Client IP = 0.0.0.0, Your IP = 77.22.90.2, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:12draytek1DHCP <==  Offer XID = 0x163e63c0, Client IP = 0.0.0.0, Your IP = 10.114.172.149, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:12draytek1DHCP <==  Offer XID = 0x1ae8e18a, Client IP = 0.0.0.0, Your IP = 10.114.172.106, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:13draytek1DHCP <==  Offer XID = 0x13a73279, Client IP = 0.0.0.0, Your IP = 10.114.172.124, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 12, 122, 
166Feb  7 12:45:14draytek1DHCP <==  Offer XID = 0x77c2e38, Client IP = 0.0.0.0, Your IP = 10.114.173.11, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 07, 122, 
166Feb  7 12:45:15draytek1DHCP <==  Offer XID = 0xb30ef5, Client IP = 0.0.0.0, Your IP = 77.22.90.2, Next server IP = 83.169.185.241, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:15draytek1DHCP <==  Offer XID = 0xd397e22, Client IP = 0.0.0.0, Your IP = 77.22.91.66, Next server IP = 83.169.185.177, Relay agent IP = 83.169.188.154, Option: 53, 54, 51, 01, 03, 02, 06, 122, 
166Feb  7 12:45:15draytek1DHCP <==  Offer XID = 0xf06349, Client IP = 0.0.0.0, Your IP = 10.114.175.246, Next server IP = 

ich habe praktisch im Sekundentakt unmengen dieser DHCP - Einträge... Hat jemand hierfür eine Erklärung?

Viele Grüße

VanHaakonnen

[Capone]

das ist normal! deine modem leds blinken ja auch die ganze zeit! ich habe mal gelesen das es damit zusammenhängt, dass auch noch andere leute in deinem segment online sind und ihre aktivitäten auch bei dir sichtbar sind bzw. das deshalb die leds immer blinken! ist wie ein großes netzwerk, nur das du die anderen leute nicht kennst und du sie auch nicht findest, aber sie trotzdem am selben strang sind!

[vigidr]

Das Ganze hat einzig und allein damit zu tun, dass dein Router vom Internet aus gesehen die erste Schnittstelle zu deinem privaten Netzwerk darstellt, hingegen war das vorher, beim herkoemmlichen DSL-Anschluss, dein Modem. Bim Kabelanschluss gehoert das Kabelmodem praktisch noch zur Internet-Seite. Dass der Router deshalb den Datenverkehr aus dem ganzen Segment quasi mitliest, ist allerdings falsch.

[det]

Hi ,
zu dem posting:

Das Ganze hat einzig und allein damit zu tun, dass dein Router vom Internet aus gesehen die erste Schnittstelle zu deinem privaten Netzwerk darstellt, hingegen war das vorher, beim herkoemmlichen DSL-Anschluss, dein Modem. Bim Kabelanschluss gehoert das Kabelmodem praktisch noch zur Internet-Seite. Dass der Router deshalb den Datenverkehr aus dem ganzen Segment quasi mitliest, ist allerdings falsch.

Sorry, aber das ist Käse. Ein Modem ist keine Schnittstelle zum Internet, es konvertiert Signale, sonst nichts - MOdulator/DEModulator. Die üblichen Fritz-, Dlink- und weiß-der-geier-Boxen für den DSL-Anschluß enthalten Modem und Router.
Doch was heißt " ... gehoert das Kabelmodem praktisch noch zur Internet-Seite ..."? Was verstehst Du unter "Internet-Seite"? Und wo soll da der Unterschied zu DSL sein? Bei einem DSL-Anschluß hast Du genau so einen Router, wie hinter dem Kabel-Modem.

Bis jetzt ist das überhaupt keine Erklärung für die Aktivität auf dem WAN-Interface. Ich benutze den gleichen Router, den ich auch früher am DSL-Anschluß hatte. Früher hing ein DSL-Modem davor, heute ist es das Kabel-Modem. Die Logs, die der OP gepostet hat, sehen auf den ersten Blick beinahe so aus, als wenn der ganze traffic des subnet da aufschlägt. Vielleicht lohnt es sich, mal einen Sniffer anzuhängen.


Grüße

det

[RFZ]

@soundclub
Sicher dass das Modem selbst eine IP bekommt und als DHCP Server fungiert? Das glaube ich eigentlich nicht...

Ich sehe das eher so, dass das Modem schlicht die physikalische Modulation umsetzt, sowie den Medienzugriff regelt.
Auf gut deutsch, es empfängt alle am Bus anliegenden Daten, auch die der anderen Teilnehmer am Netzsegment. Da es aber eine Filterung anhand der MAC Adresse vornimmt, sind an der WAN Schnittstelle nur die Daten die für den Nutzer gedacht sind lesbar.
Ausnahme hier sind Broadcasts, nämlich in diesem Fall ARP Requests und DHCP Offers des DHCP Servers seitens KD.
Problematisch an der Sache finde ich persönlich (das habe ich auch schon in einem anderen Beitrag gepostet), dass die DHCP Offers die öffentliche IP und MAC Adresse des KD Kunden enthalten. Hier wäre es von Vorteil, wenn die DHCP Offers gerichtet ausgesendet würden, wogegen meiner Auffassung nach eigentlich nichts spricht.

[RFZ]

z.b.

Your IP = 10.114.173.11

allein als der techniker bei dir war, musste er ja das modem erst provisionieren, dies konnte er nur, da er in einem internen IP Block eine schnittstelle aufbauen konnte um die modemdaten mit mac durchzugeben, damit wird das modem abgeglichen (provisioniert), und somit können externe ip adressen zugewiesen werden
wenn das modem sich nicht abgleicht bleibt er in diesem internen netz, und kann somit nicht extern genutzt werden, diese verbindung bleibt dahergehend ungenutzt
es ist lediglich eine datenschnittstelle vom modem zum segment, wo dann dem endgerät eine öffentliche ip zugewiesen wird

Ich gebe dir völlig recht, dass das interne IPs zur Verwaltung sind, aber das schließt nicht aus, dass man auch die externe IP auf dem selben Wege bekommt. Stell dir vor, das Modem hätte eine interne Verwaltungseinheit mit eigenem DHCP Client welche über einen internen Switch ebenso wie der WAN Port mit dem eigentlichen Kabelmodem verbunden ist. Die öffentliche IP bekommt ja auch nicht das Modem, sondern das daran angeschlossene Endgerät.

Wenn man mal an der WAN Schnittstelle lauscht, kann man das gut selbst erschließen.

Es gibt Endgeräte die eine IP im Bereich 10.0.0.0/8 erhalten, sowie ein Bootfile namens "unprovisionedMTA.cm". Ist, denke ich, recht offensichtlich.

Dann gibt es andere Endgeräte, ebenfalls mit 10er IP, welche eine persönliche Datei (bestehend aus Hash und MAC Adresse) als Bootfile erhalten, ich schätze mal, dass dieses die Konfiguration von provisionierten Geräten enthält.

Ebenso gibt es Endgeräte im 10er Bereich, die der Domain "m1.kabelfon.de" zugewiesen werden. Hier gehe ich mal davon aus, dass es sich um den Telefonieclient diverser Kabelmodems handelt.

Und zu guter letzt gibt es dann noch Clients die eine öffentliche IP und die Domain "search.b.superkabel.de" bekommen, das sind die Endgeräte der Kunden.

warum dies nun im log vom router angezeigt wird ist mir allerdings auch rätselhaft

Weil alle diese DHCP Offers eines gemeinsam haben, sie werden als Broadcast versendet und kommen somit bei jedem Modem am WAN Port raus.