Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 5591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NXDOMAIN Host

bimmerdriver
I have static addresses assigned for all of the hosts on my network so I can keep an eye on the sources/destinations of traffic, as well as firewall and ips rules. There is a host on my network that has a dynamic ipv6 address without a reservation. It's showing up as NXDOMAIN. It responds to ping and tracert, but I can't figure out what it is. Any suggestions as to how to figure out what this host is, aside from disconnecting cables one at a time from my switch?


This thread was automatically locked due to age.
  • 0
    Hi,

    UTM version #?  9.100-8? (people don't always remember to update their signatures)

    So for that host, you have an IPv4 static IP with a DNS/hostname entry on the firewall, but you don't have a hostname for the dynamic IPv6 address, right?

    You can ping the hostname or the IP? Using IPv4 or 6?

    What doesn't work? SMB?

    Barry
  • 0 in reply to BarryG
    Hi,

    UTM version #?  9.100-8? (people don't always remember to update their signatures)

    So for that host, you have an IPv4 static IP with a DNS/hostname entry on the firewall, but you don't have a hostname for the dynamic IPv6 address, right?

    You can ping the hostname or the IP? Using IPv4 or 6?

    What doesn't work? SMB?

    Barry
    Thanks for the reply.

    I updated my signature.

    The host has a dynamically allocated ipv6 address, but there is no lease. It responds to tracert and ping. I have no idea if it also has an ipv4 address, because I don't know what it is or why it would be showing up with a dynamically allocated ipv6 address when there is no lease. I'm trying to figure out if there is a way to identify the host, without disconnecting everything until I can't ping it any more.
  • 0
    iirc, one of the modes for IPv6 addressing is for the host to figure out an address without DHCP.

    On Windows, 
    ipconfig /all

    should show you the addresses (IPv4 and 6), and how they were configured.

    Since you don't seem to know which host it is, try doing an ARP/MAC lookup on the IP you're pinging.
    http://ipv6exchange.net/questions/68/how-can-i-see-ip-to-mac-address-mappings-for-ipv6

    Once you have the MAC, you should be able to figure out which computer it is, especially if the same MAC has an IPv4 address (arp -a), or if you have a managed switch that can show the MACs per port.
    You can also use a MAC lookup database to identify the manufacturer of the NIC or device.
    http://www.coffer.com/mac_find/

    Barry
  • 0 in reply to BarryG
    iirc, one of the modes for IPv6 addressing is for the host to figure out an address without DHCP.

    On Windows, 
    ipconfig /all

    should show you the addresses (IPv4 and 6), and how they were configured.

    Since you don't seem to know which host it is, try doing an ARP/MAC lookup on the IP you're pinging.
    How can I see IP to MAC address mappings for IPv6? - ipv6exchange

    Once you have the MAC, you should be able to figure out which computer it is, especially if the same MAC has an IPv4 address (arp -a), or if you have a managed switch that can show the MACs per port.
    You can also use a MAC lookup database to identify the manufacturer of the NIC or device.
    MAC_Find: Vendor/Ethernet/Bluetooth MAC Address Lookup and Search

    Barry
    Thanks for the reply.

    I was able to track down the host using netsh interface show neighbors. It turns out a linux server had not been rebooted so was still using an old address. After rebooting the server, it was assigned the address I had already reserved for it. The command also shows which link-local addresses correspond to which MAC addresses.

    I wish utm would do this sort of thing itself. Even a cheap router will do that, although in the case of my netgear router, it doesn't ipv6 addresses.