Hallo Forum,
ich habe hier eine merkwürdige MAC "00:00:00:00:00:00" im Arp-Cache, die ich mir nicht erklären kann.
Ich hab mal einen "künstlerisch wertvollen" Screenshot angehängt, bei dem ich meine rudimentären Gimp-Kenntnisse zur schau stelle.
Die MAC - im geschickt in Szene gesetzten grünen Rahmen - bleibt bestehen, auch wenn die Firewall durchstartet.
Ihr wird eine IP zugewiesen, die auch bei Clients nach Ping im ARP-Cache erscheint.
Da steht dann sinngemäß "MAC-Adresse unvollständig"
Das Gerät mit der 0er MAC ist definitiv nicht physisch existent.
Ich kann alle Geräte entfernen, der NIC-Anschluss kann leer sein, das seltsame 0er-Gerät bekommt dann eine andere IP.
Es gibt sie nur auf eth1 und sie geht nicht weg, ganz egal, was ich tue, sie kommt immer wieder.
Die MAC kann ich mir nicht erklären, hat jemand im Forum vielleicht eine Idee?
Firewall: UF60
Betriebssystem: LCOS FX 10.12.6464RU3
Beste Grüße von einem verunsicherten Schreiberling namens
Ben
Verdächtige MAC
Moderator: Lancom-Systems Moderatoren
Verdächtige MAC
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Verdächtige MAC
Hmm, es gab mal BIOS-Chips, u.A. für ASUS-Motherboards (in der Bucht), die hatten dann so eine MAC-Adresse ...
Und die MAC-Adresse taucht auch auf wenn nix an eth1 hängt?
Re: Verdächtige MAC
Ja, genau.
Ich kann die FW durchstarten und sie ist wieder da, auch wenn überhaupt kein Kabel eingesteckt ist.
Nur springt sie dann auf eine andere IP, zum Bsp. 192.168.11.14.
Jetzt schau ich nochmal in den Arp-Cache eines Servers, der auf die IP 11 endet und da steht:
Code: Alles auswählen
? (192.168.11.5) auf <unvollständig> auf br0Versuche ich einen Ping:
Code: Alles auswählen
ping 192.168.11.5
PING 192.168.11.5 (192.168.11.5) 56(84) Bytes an Daten.
Von 192.168.11.12 icmp_seq=1 Zielhost nicht erreichbar
^C
--- 192.168.11.5 ping-Statistik ---
2 Pakete übertragen, 0 empfangen, +1 Fehler, 100% packet loss, time 1002ms
Re: Verdächtige MAC
Hi hub,
zu den UF im speziellen kann ich nichts sagen, aber im Allgemeinen bedeutet eine MAC-Adresse 00:00:00:00:00:00, daß das Gerät einen ARP-Request für eine Adresse gestellt, aber (noch) keine Antwort bekommen hat. In dem Fall gilt die Adresse als "incomplete"
Das kanns du dir auf einem Linux oder auch einem Windows anschauen, indem du einfach eine nicht existierende Adresse in deinem Netz anpingst (hier im Beispiel 172.21.192.9) - dann gibt auf einen Windows ein "arp -a 172.21.192.9 -v" folgendes aus
bzw. auf einem Linux kommt als Ausgabe dauf ein "arp 172.21.192.9"
Gruß
Backslash
zu den UF im speziellen kann ich nichts sagen, aber im Allgemeinen bedeutet eine MAC-Adresse 00:00:00:00:00:00, daß das Gerät einen ARP-Request für eine Adresse gestellt, aber (noch) keine Antwort bekommen hat. In dem Fall gilt die Adresse als "incomplete"
Das kanns du dir auf einem Linux oder auch einem Windows anschauen, indem du einfach eine nicht existierende Adresse in deinem Netz anpingst (hier im Beispiel 172.21.192.9) - dann gibt auf einen Windows ein "arp -a 172.21.192.9 -v" folgendes aus
Code: Alles auswählen
C:\Windows\System32>arp -a 172.21.192.9 -v
Schnittstelle: 172.21.192.51 --- 0x11
Internetadresse Physische Adresse Typ
172.21.192.9 00-00-00-00-00-00 ungültig
C:\Windows\System32>Code: Alles auswählen
~$ arp 172.21.192.9
Adresse Hardware-Typ Hardware-Adresse Optionen Maske Schnittstelle
172.21.192.9 (unvollständig) eno1
Gruß
Backslash
Re: Verdächtige MAC
Die Lösung wurde gefunden; die MAC ist nun verschwunden.
Ich hab mich mit ssh auf die Firewall verbunden (ssh gpadmin@192.168....) und hab mich als root (sudo -i) wild durch das Dateisystem gegrept.
Hab nach den IPs gesucht, die die unvollständigen MACs haben, Bsp:
Unter /var/ gab es auch Treffer. Das waren glaub ich aber nur die aktuellen Leases, entscheidend war eher die DHCP-Konfig unter /etc/ ...
Ich erinnere mich jetzt nicht an den exakten Namen, könnte /etc/dhcp.conf gewesen sein.
Da ist mir aufgefallen, dass in der DHCP-Server-Konfiguration einige Einträge mehrfach vorhanden waren.
Der Grund war wohl eine falsche Benennung.
Man kann das im Screenshot oben leider nicht sehen, weil da der Anonymisierungskünstler in mir durchgegangen ist, aber da waren zwei Einträge, die waren nach dem Schema "PC-1" und "PC-2" benannt.
--> Die Bindestriche "-" sind problematisch und syntaktisch falsch, sollten definitiv nicht verwendet werden. Stattdessen lieber Unterstriche verwenden "_".
Das hat den DHCP-Server wohl derart durcheinander gebracht, dass mehrere Einträge eingefügt, bzw. nicht sauber bereinigt wurden.
Die Doppel- und Dreifachvergabe hat dann irgendwie zu den 0er Macs geführt.
Ich hab die Einträge in der Weboberfläche gelöscht und die übrig gebliebenen Einträge aus der /etc-Konfig entfernt.
Anschließend wurden die Einträge mit der diesmal korrekten Benennung in der Weboberfläche neu erstellt.
Eigentlich gibt es beim Einstellen der statischen IPs einen Check, der die korrekte Benennung prüft.
Evtl. hab ich den irgendwie versehentlich ausgetrickst, frühere Versionen hatten den Check nicht oder er hat zeitweise nicht richtig funktioniert.
Ob die MAC sofort nach dem Neustart weg war oder erst später, hatte ich leider nicht kontrolliert.
Musste dann los und wollte mich nicht nochmal anmelden, später hab ich es einfach vergessen.
Da jeder Lease ja eine gewisse Zeit gültig ist, kann es schon sein, dass die MAC noch ein wenig rumgegeistert ist.
Wie dem auch sei, heute hab ich es mir nochmal angeschaut und die 0er MAC ist nun endlich weg.
Danke für eure Antworten.
Hab wieder viel gelernt
Ich hab mich mit ssh auf die Firewall verbunden (ssh gpadmin@192.168....) und hab mich als root (sudo -i) wild durch das Dateisystem gegrept.
Hab nach den IPs gesucht, die die unvollständigen MACs haben, Bsp:
Code: Alles auswählen
grep -r '192.168.11.4' /etc/Ich erinnere mich jetzt nicht an den exakten Namen, könnte /etc/dhcp.conf gewesen sein.
Da ist mir aufgefallen, dass in der DHCP-Server-Konfiguration einige Einträge mehrfach vorhanden waren.
Der Grund war wohl eine falsche Benennung.
Man kann das im Screenshot oben leider nicht sehen, weil da der Anonymisierungskünstler in mir durchgegangen ist, aber da waren zwei Einträge, die waren nach dem Schema "PC-1" und "PC-2" benannt.
--> Die Bindestriche "-" sind problematisch und syntaktisch falsch, sollten definitiv nicht verwendet werden. Stattdessen lieber Unterstriche verwenden "_".
Das hat den DHCP-Server wohl derart durcheinander gebracht, dass mehrere Einträge eingefügt, bzw. nicht sauber bereinigt wurden.
Die Doppel- und Dreifachvergabe hat dann irgendwie zu den 0er Macs geführt.
Ich hab die Einträge in der Weboberfläche gelöscht und die übrig gebliebenen Einträge aus der /etc-Konfig entfernt.
Anschließend wurden die Einträge mit der diesmal korrekten Benennung in der Weboberfläche neu erstellt.
Eigentlich gibt es beim Einstellen der statischen IPs einen Check, der die korrekte Benennung prüft.
Evtl. hab ich den irgendwie versehentlich ausgetrickst, frühere Versionen hatten den Check nicht oder er hat zeitweise nicht richtig funktioniert.
Ob die MAC sofort nach dem Neustart weg war oder erst später, hatte ich leider nicht kontrolliert.
Musste dann los und wollte mich nicht nochmal anmelden, später hab ich es einfach vergessen.
Da jeder Lease ja eine gewisse Zeit gültig ist, kann es schon sein, dass die MAC noch ein wenig rumgegeistert ist.
Wie dem auch sei, heute hab ich es mir nochmal angeschaut und die 0er MAC ist nun endlich weg.
Danke für eure Antworten.
Hab wieder viel gelernt