Sicher, aber woher wilst Du die kennen? An zwei Stellen hinterläßt ein Client bei einem Gluon-Setup Spuren:
Einmal am Knoten selber (→ logread
):
Mon Jun 5 16:30:07 2023 daemon.info hostapd: owe1: STA f2:4f:58:36:82:8a IEEE 802.11: authenticated
Mon Jun 5 16:30:07 2023 daemon.info hostapd: owe1: STA f2:4f:58:36:82:8a IEEE 802.11: associated (aid 1)
Mon Jun 5 16:30:07 2023 daemon.notice hostapd: owe1: AP-STA-CONNECTED f2:4f:58:36:82:8a
Mon Jun 5 16:30:07 2023 daemon.info hostapd: owe1: STA f2:4f:58:36:82:8a RADIUS: starting accounting session DFC02A6D4FD77FB8
Mon Jun 5 16:30:07 2023 daemon.info hostapd: owe1: STA f2:4f:58:36:82:8a WPA: pairwise key handshake completed (RSN)
Und einmal auf dem Gateway:
Jun 5 16:30:08 l2tp-dus03 dhcpd[6272]: DHCPDISCOVER from f2:4f:58:36:82:8a via bat17
Jun 5 16:30:09 l2tp-dus03 dhcpd[6272]: DHCPOFFER on 10.235.96.29 to f2:4f:58:36:82:8a (wusels-Note20) via bat17
Jun 5 16:30:09 l2tp-dus03 dhcpd[6272]: DHCPREQUEST for 10.235.96.29 (10.235.96.27) from f2:4f:58:36:82:8a (wusels-Note20) via bat17
Jun 5 16:30:09 l2tp-dus03 dhcpd[6272]: DHCPACK on 10.235.96.29 to f2:4f:58:36:82:8a (wusels-Note20) via bat17
Ich kenne Euer Netzsetup nicht, wir haben i. d. R. 4 GWs pro Mesh (›Domäne‹), und ohne die Info aus dem Knoten – die spätestens beim Reboot, aber auch sonst nach gewisser Zeit verloren geht – müßte man auf allen GWs suchen, welche Geräte in der fraglichen Zeit »dicovered« haben und könnte dennoch nur raten, ob ein Gerät über den »Einbruchs-Knoten« oder einen anderen ins Netz ging. Tagsüber haben wir in den größeren Netzen ca. 1 DHCPDISCOVER alle 2 Sekunden:
root@l2tp-ber01 ~ # grep DHCPDISCOVER /var/log/syslog | grep "Jun 5 16:30" | awk '{for(i=1; i<=6; i++) printf("%s ", $i); printf("\n");}'
Jun 5 16:30:00 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:01 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:01 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:01 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:01 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:02 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:06 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:10 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:12 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:19 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:19 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:20 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:20 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:21 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:24 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:27 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:29 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:31 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:32 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:37 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:40 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:41 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:46 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:47 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:50 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:51 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:53 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:55 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:56 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:58 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:59 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Jun 5 16:30:59 l2tp-ber01 dhcpd[15972]: DHCPDISCOVER
Falls Du also die STA-CONNECTED
-Meldungen von Deinem Freifunk-Knoten aus der fraglichen Zeit noch hast: super. Falls nicht: eher schlecht — außer, das Gateway bedient ausschließlich den fraglichen Knoten. Falls der DHCP-Server dort dann noch so fröhlich mitloggt wie im Beispiel oben, kommt auch der Gerätename ins Logfile — personalisiert ein weiteres Indiz.
Wie gesagt, flott handeln – logread
, also das syslog
auf dem Knoten, ist sehr flüchtig, sprich: der Puffer wird laufend überschrieben; das syslog
auf den Gateways könnte nach 7, aber auch nach schon 1 Tag gelöscht werden – und wissen, wo welche Daten herkommen, sprich, wie aussagekräftig sie sind.