GS2326 - ARP inspection / spoofing

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

GS2326 - ARP inspection / spoofing

Beitrag von firefox_i »

Hallo,
ich hab gestern abend mal etwas tiefer in den GS2326 Einstellungen gegraben und bin in der Security über die ARP inspection gestolpert.

Ohne Details zu kennen (ja ich weiß, völlig bescheuert) hab ich das mal für alle Ports aktiviert und.....war im OFF.
Mir scheint, dass mich der Switch abgehängt hat weil ich keine Pings mehr absetzen konnte und auch nicht mehr angepingt werden konnte.

Kann es sein, das hier noch andere Dinge notwendig sind?

Ich vermute, dass ich auch das DHCP snooping einschalten muss damit das ins laufen kommt oder liege ich da falsch?
Clients mit fester IP werde ich dann wohl in die statischen Listen eintragen müssen oder an Ports hängen die trusted sind - habich das so richtig verstanden?

Ich möchte mich ungern nochmal ins OFF katapultieren :)
Sorry wenn das eine Frage ist, die ein Anfängerfehler ist, aber ich hoffe dass mir hier einer helfen kann.

Gruß
S.
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: GS2326 - ARP inspection / spoofing

Beitrag von firefox_i »

Falls es interssieren sollte:

Mir scheint ich habe es jetzt zum Laufen gebracht.

Erster Schritt: DHCP spoofing an
************************
Hier muss man den Port über den ein DHCP Server erreicht werden kann auf "trusted" setzen, alle andere auf "untrusted".

Erst danach (!) ARP inspection an
**************************
Hier gibt es wieder eine Stolperfalle:
Uplink Ports müssen aus der ARP inspection raus.
Grund:
Wenn auf/über diesen Port Pakete von oder zu einer IP/MAC Kombination kommen, die nicht in der statischen oder dynamischen Liste drin ist, werden die Pakete verworfen.


Kleine Anmerkung:
Den Switch einmal neu durchstarten hilft sehr viel weiter, denn dann lernt der Switch via DHCP spoofing die ganzen IP/MAC Kombinationen.
Oder eben alle Clients mal ab und wieder anstöpseln oder nen Power Cycle....
Der Switch braucht schlichtweg die Infos aus den DHCP Paketen.

Achso:
Es wäre schon nett wenn es mal die Doku auf der Webseite zum Switch aktualisieren würde.
Der Stand ist immer noch von 2012 (!!).


Sollte ich irgendwo was Falsches behaupten oder eine falsche Annahme / Begründung geben bitte korrigieren....

Gruß
Svem
Schade eigentlich....

S.
Antworten