ef8619
Goto Top

Aussage "Router macht DHCP ins Netz" - was soll das bedeuten?

Hallo,

ein Mitarbeiter unseres Providers war soeben bei uns im Büro und hat geschimpft, dass von uns aus "DHCP ins Netz" gespeist wird und dadurch andere Kunden verwirrt sind. Er meinte, dass er Port 67 nun am DSLAM gesperrt habe.

Als Router ist bei uns ein Cisco 1921 ISR im Einsatz. DHCP ist aktiviert um Gastgeräte mit Adressen zu versorgen. Aber dass die DHCP-Adressen auch in das WAN gehen Wir haben hier nie etwas bemerkt und auch keine Probleme nach der Sperrung des Ports.

Kann mir vielleicht jemand sagen, was der Mitarbeiter gemeint hat?

Content-ID: 253674

Url: https://administrator.de/forum/aussage-router-macht-dhcp-ins-netz-was-soll-das-bedeuten-253674.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

killtec
killtec 03.11.2014 aktualisiert um 15:27:03 Uhr
Goto Top
Hi,
ggf ist das DHCP Binding auf ein Interface nicht erfolgt...

Edit: Hier ist ein Link zur DHCP-Configuration: http://www.cisco.com/c/en/us/td/docs/routers/access/1800/1801/software/ ...

Gruß
aqui
aqui 03.11.2014 aktualisiert um 16:42:41 Uhr
Goto Top
Das bedeutet das der Cisco Router einen DHCP Server in Richtung Providerport konfiguriert hat. Klar das der Kollege dann etwas ungehalten ist, denn das ist natürlich falsch konfiguriert von deiner Seite, klar ! Es zeigt aber auch die fehlerhafte Konfig des Providers, denn der blockt generell solche ungewollten Protokolle wie DHCP, Spanning-Tree, CDP, LLDP usw. usw. in seinen Netze.

Leider hast du hier ja nicht die Konfig des Routers mal gepostet was hilfreich wäre um dir zu helfen. So zwingst du uns zum wilden Raten im freien Fall face-sad

Im folgenden Tutorial kannst du eine saubere Cisco Standard Konfig für sowas sehen und wie man das für den Provider wasserdicht und ohne DHCP auf seinem Port umsetzt:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
ef8619
ef8619 05.11.2014 um 10:03:59 Uhr
Goto Top
Hallo,

anbei die Konfiguration:

Using 9677 out of 262136 bytes
!
! Last configuration change at 15:22:16 Berlin Thu Feb 20 2014 by admin
version 15.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname DE001-SYS-81-1
!
boot-start-marker
boot system flash:c1900-universalk9-mz.SPA.152-4.M5.bin
boot-end-marker
!
!
security authentication failure rate 3 log
logging buffered 51200 warnings
logging console critical
enable secret 4 
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authentication ppp default local
aaa authorization network default if-authenticated
aaa authorization network ciscocp_vpn_group_ml_1 local
!
!
!
!
!
aaa session-id common
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
!
no ip source-route
ip cef
!
!
!
!


!
ip dhcp excluded-address 10.80.1.1 10.80.1.99
ip dhcp excluded-address 10.80.10.1 10.80.10.139
ip dhcp excluded-address 10.80.10.170 10.80.10.254
ip dhcp excluded-address 10.80.20.1 10.80.20.179
ip dhcp excluded-address 10.80.20.200 10.80.20.254
ip dhcp excluded-address 10.80.30.1 10.80.30.199
ip dhcp excluded-address 10.80.30.230 10.80.30.254
ip dhcp excluded-address 10.80.40.1 10.80.40.179
ip dhcp excluded-address 10.80.40.200 10.80.40.254
ip dhcp excluded-address 10.80.50.1 10.80.50.199
ip dhcp excluded-address 10.80.50.230 10.80.50.254
ip dhcp excluded-address 10.80.99.1 10.80.99.99
ip dhcp excluded-address 10.80.99.130 10.80.99.254
ip dhcp excluded-address 10.80.90.1 10.80.90.99
ip dhcp excluded-address 10.80.90.130 10.80.90.254
ip dhcp excluded-address 10.80.1.130 10.80.1.254
!
ip dhcp pool Worker-Network
 network 10.80.10.0 255.255.255.0
 default-router 10.80.10.254
 domain-name domain.internal
 dns-server 10.80.10.254
!
ip dhcp pool VoIP
 network 10.80.20.0 255.255.255.0
 default-router 10.80.20.254
 domain-name domain.internal
 dns-server 10.80.20.254
!
ip dhcp pool Peripheral-Devices
 network 10.80.30.0 255.255.255.0
 default-router 10.80.30.254
 domain-name domain.internal
 dns-server 10.80.30.254
!
ip dhcp pool Data-Center-Components
 network 10.80.40.0 255.255.255.0
 default-router 10.80.40.254
 domain-name domain.internal
 dns-server 10.80.40.254
!
ip dhcp pool IA
 network 10.80.50.0 255.255.255.0
 default-router 10.80.50.254
 domain-name domain.internal
 dns-server 10.80.50.254
!
ip dhcp pool Guest-WLAN
 network 10.80.99.0 255.255.255.0
 default-router 10.80.99.254
 domain-name domain.internal
 dns-server 10.80.99.254
!
ip dhcp pool Management
 network 10.80.1.0 255.255.255.0
 default-router 10.80.1.254
 domain-name domain.internal
 dns-server 10.80.1.254
!
ip dhcp pool Experimental
 network 10.80.90.0 255.255.255.0
 default-router 10.80.90.254
 domain-name domain.internal
 dns-server 10.80.90.254
!
!
!
no ip bootp server
ip domain name domain.internal
ip host DE001-PFA-01-1 10.80.10.22
ip host DE001-SYS-41-1 10.80.10.190
ip host DE001-SYS-44-1 10.80.10.230
ip host DE001-SYS-51-1 10.80.30.50
ip host DE001-SYS-51-2 10.80.30.51
ip host DE001-SYS-52-1 10.80.30.100
ip host DE001-SYS-53-1 10.80.30.150
ip host DE001-SYS-81-1 10.80.1.254
ip host DE001-SYS-82-1 10.80.1.253
ip host DE001-SYS-82-3 10.80.1.252
ip host DE001-SYS-83-1 10.80.1.251
ip host DE001-SYS-84-1 10.80.1.200
ip host DE001-AVE-V02-1 10.80.10.60
ip host DE001-APE-V02-1 10.80.10.61
ip host DE001-EFR-V02-1 10.80.10.63
ip host DE001-GKA-V02-1 10.80.10.64
ip host DE001-CBO-V02-1 10.80.10.65
ip host DE001-AVE-01-1 10.80.10.20
ip host DE001-APE-01-1 10.80.10.21
ip host DE001-EFR-01-1 10.80.10.23
ip host DE001-GKA-01-1 10.80.10.24
ip host DE001-CBO-01-1 10.80.10.25
ip host DE001-SYS-V42-1 10.80.10.210
ip name-server x.x.x.x
ip name-server x.x.x.x
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
!
crypto pki trustpoint TP-self-signed-2083690069
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2083690069
 revocation-check none
 rsakeypair TP-self-signed-2083690069
!
!
crypto pki certificate chain TP-self-signed-2083690069
 certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
license udi pid CISCO1921/K9 sn FGL1704224A
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username admin privilege 15 secret 4 
username CBO secret 4 
username AVE password 7 
username EFR password 7 
username APE password 7 
username PFA password 7 
username NVE password 7 
!
redundancy
!
!
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
 encr aes 256
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group GROUP
 key s7F5o9PHc008vn8F
 dns 10.80.1.254
 domain domain.local
 pool SDM_POOL_1
 acl 101
 save-password
 netmask 255.255.0.0
crypto isakmp profile ciscocp-ike-profile-1
   match identity group GROUP
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 3
!
!
crypto ipsec transform-set Default_TS esp-aes 256 esp-md5-hmac
 mode tunnel
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set Default_TS
 set isakmp-profile ciscocp-ike-profile-1
!
!
!
crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1
 connect auto
 group Default_Authentication key 
 mode client
 peer 10.80.1.254
 virtual-interface 2
 username admin password 
 xauth userid mode local
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Management$ETH-LAN$
 ip address 10.80.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside
!
interface GigabitEthernet0/0.10
 description Worker Network
 encapsulation dot1Q 10
 ip address 10.80.10.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside
!
interface GigabitEthernet0/0.20
 description VoIP
 encapsulation dot1Q 20
 ip address 10.80.20.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
interface GigabitEthernet0/0.30
 description Peripheral Devices
 encapsulation dot1Q 30
 ip address 10.80.30.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
interface GigabitEthernet0/0.40
 description Data Center Components
 encapsulation dot1Q 40
 ip address 10.80.40.254 255.255.255.0
 no cdp enable
!
interface GigabitEthernet0/0.50
 description IA
 encapsulation dot1Q 50
 ip address 10.80.50.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
interface GigabitEthernet0/0.90
 description Experimental
 encapsulation dot1Q 90
 ip address 10.80.90.254 255.255.255.0
 no cdp enable
!
interface GigabitEthernet0/0.99
 description Guest WLAN
 encapsulation dot1Q 99
 ip address 10.80.99.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
interface GigabitEthernet0/1
 description VDSL Internet Verbindung$FW_OUTSIDE$
 ip address dhcp
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1
!
interface Virtual-Template2 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
interface Virtual-Template3 type tunnel
 description $FW_OUTSIDE$
 ip unnumbered GigabitEthernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 10.80.100.100 10.80.100.199
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet0/1 overload
ip nat inside source list 110 interface GigabitEthernet0/1 overload
ip nat inside source list 120 interface GigabitEthernet0/1 overload
ip nat inside source list 130 interface GigabitEthernet0/1 overload
ip nat inside source list 150 interface GigabitEthernet0/1 overload
ip nat inside source list 190 interface GigabitEthernet0/1 overload
ip nat inside source list 199 interface GigabitEthernet0/1 overload
!
logging trap notifications
logging host 10.80.10.230
access-list 101 remark CCP_ACL Category=22
access-list 101 permit ip 10.80.1.0 0.0.0.255 any
access-list 101 permit ip 10.80.10.0 0.0.0.255 10.80.100.0 0.0.0.255
access-list 110 permit ip 10.80.10.0 0.0.0.255 any
access-list 120 permit ip 10.80.20.0 0.0.0.255 any
access-list 130 permit ip 10.80.30.0 0.0.0.255 any
access-list 150 permit ip 10.80.50.0 0.0.0.255 any
access-list 190 permit ip 10.80.90.0 0.0.0.255 any
access-list 199 permit ip 10.80.99.0 0.0.0.255 any
no cdp run
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 transport input ssh
!
no scheduler allocate
!
end
aqui
aqui 05.11.2014 aktualisiert um 19:20:53 Uhr
Goto Top
Nach deiner Konfiguration (und wenn diese authentisch ist) bist du ganz sicher NICHT der Verursacher der DHCP Pakete !
Es sei denn du bekommst am Interface GigabitEthernet0/1 was ja dein Provider Interface ist auch einen 10.88er IP was vermutlich aber nicht der Fall ist.
Zudem würde der Cisco dann über "duplicate IPs" meckern !

5 Tips zu deiner Konfig:
1.) Auf dem Provider Interface solltest du zwingend auch CDP deaktivieren, da sonst jeder in der Welt weiss wessen Router mit allen Daten an dem Port hängt !

2.) Deine ip nat inside source list Definition ist mit Verlaub gesagt etwas unsinnig.
Sinnvollerweise zieht man das in ein gemeinsames ACL Statement zusammen so das es nachher so aussieht:
access-list 101 permit ip 10.80.1.0 0.0.0.255 any
access-list 101 permit ip 10.80.10.0 0.0.0.255 any
access-list 101 permit ip 10.80.20.0 0.0.0.255 any
access-list 101 permit ip 10.80.30.0 0.0.0.255 any
access-list 101 permit ip 10.80.50.0 0.0.0.255 any
access-list 101 permit ip 10.80.90.0 0.0.0.255 any
access-list 101 permit ip 10.80.99.0 0.0.0.255 any
!
ip nat inside source list 101 interface GigabitEthernet0/1 overload

Es reicht dann ein einziges NAT Statement um das gleiche zu bewirken !
Das access-list 101 permit ip ip 10.80.10.0 0.0.0.255 10.80.100.0 0.0.0.255 ist dabei auch völlig überflüssig, denn es wird logischerweise schon mit dem Statement access-list 101 permit ip 10.80.10.0 0.0.0.255 any mit erschlagen !
Willst du es noch einfacher haben geht es auch noch weit übersichtlicher mit nur 2 simplen Konfig Zeilen:
access-list 101 permit ip 10.80.0.0 0.0.127.255 any
!
ip nat inside source list 101 interface GigabitEthernet0/1 overload

Das erreicht dann das gleiche und NATet alle internen IP Netze von 10.80.0.0 bis 10.80.127.254 !
Also warum umständlich machen wenns einfacher auch geht face-wink

3.) Ein HTTP Server auf einem Internet Router ist eigentlich ein NoGo ! Wenn überhaupt dann nur HTTPS !

4.) Besser und sicherer wäre es noch wenn du ein Firewall Image hast die SPI Firewall zu aktivieren (ip inspect xyz) und mit CBAC am WAN/Provider Port zu arbeiten. Beispiel zeigt das o.a. Tutorial.

5.) Die Sommerzeit Umschaltung ist falsch ! Richtig ist:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

Ist aber nur kosmetisch... Wenn du die genaue Zeit haben willst fürs Router log solltest du mit ntp server 130.149.17.8 source GigabitEthernet 0/1 immer einen Zeitserver konfigurieren.
Ggf. auf eine interne IP ändern solltest du einen eigenen Zeitserver (z.B. Winblows Server) im Netz betreiben !