7
DHCP ACK landet im falschen VLAN
Hallo zusammen,
aktuell möchte ich einige Vorhaben zur Sicherheit im Netzwerk umsetzen(VLAN's vernünftig aufbauen, 802.1x, Captive Portal) und stehe jetzt seit einigen Stunden vor folgendem Dilemma:
In meiner Umgebung werden IP-Phones benutzt, wie üblich mit Switch, der eine für Ethernet und PoE und der andere für einen weiteren Client.
Um ein sauberes VoIP-Netz abzubilden, sollen in das VoIP-VLAN10 eben nur die Sprachdaten und die Clients in ein separates VLAN50.
Aktuell läuft noch die Testphase, konfiguriert ist aber ein Management-VLAN2, VoIP-VLAN10, WLAN-VLAN20, Guest_WLAN-VLAN30 und Client-VLAN50.
Das VLAN funktioniert soweit ohne Probleme auf Basis eines Layer-2 Switches von Zyxel(Billigsegment), Routing übernimmt die PFSense.
DHCP macht dabei ein Windows Server, die Anfragen werden von der PFSense auf den Windows-Server weitergeleitet auf dem noch AD-Dienste, DNS, und RADIUS läuft.
Auf dem Switch ist LLDP-MED konfiguriert, testweise auf Port5, VLAN10, natürlich tagged und als Trunk.
Im VLAN-Setup ist Port5 tagged Mitglied von VLAN10 und untagged Mitglied von VLAN50, mit eingetragener PVID.(Screenshots können zur besseren Übersicht gerne nachgereicht werden).
Sofern ich das Phone jetzt verbinde kommt eine IP-Adresse wie gewünscht aus dem VLAN10(172.16.10.X), der Client bekommt jedoch keine Adresse.
Mit Wireshark habe ich(serverseitig) mal geschaut, wo das Problem liegt.
Der Request kommt von der PFSense und wird an den DHCP-Server weitergeileitet.
Der DHCP ACK geht jedoch auf VLAN20, also 172.16.20.1, ins VLAN für das WLAN, wobei er doch eigentlich in das 50er VLAN muss.
Sofern ich den Untagged-Port mit der PVID20 versehe und die Mitgliedschaft ändere, bekommt der Client eine IP aus dem 20er Netz, so wie es sein soll, wenn man es so wollte:D
Andere Mitgliedschaften VLAN70, VLAN60 für den untagged Port des Clients wurden natürlich getestet, die DHCP ACK's landen aber immer im 20erVLAN.
Nach mehreren Stunden und Konfigurationen bin ich kognitiv durch:D
Hat irgendjemand eine Idee, was hier falsch läuft? Für weitere Informationen, die ich jetzt vergessen habe: Sry im Voraus!
Besten Dank im Voraus für alle Tipps.
aktuell möchte ich einige Vorhaben zur Sicherheit im Netzwerk umsetzen(VLAN's vernünftig aufbauen, 802.1x, Captive Portal) und stehe jetzt seit einigen Stunden vor folgendem Dilemma:
In meiner Umgebung werden IP-Phones benutzt, wie üblich mit Switch, der eine für Ethernet und PoE und der andere für einen weiteren Client.
Um ein sauberes VoIP-Netz abzubilden, sollen in das VoIP-VLAN10 eben nur die Sprachdaten und die Clients in ein separates VLAN50.
Aktuell läuft noch die Testphase, konfiguriert ist aber ein Management-VLAN2, VoIP-VLAN10, WLAN-VLAN20, Guest_WLAN-VLAN30 und Client-VLAN50.
Das VLAN funktioniert soweit ohne Probleme auf Basis eines Layer-2 Switches von Zyxel(Billigsegment), Routing übernimmt die PFSense.
DHCP macht dabei ein Windows Server, die Anfragen werden von der PFSense auf den Windows-Server weitergeleitet auf dem noch AD-Dienste, DNS, und RADIUS läuft.
Auf dem Switch ist LLDP-MED konfiguriert, testweise auf Port5, VLAN10, natürlich tagged und als Trunk.
Im VLAN-Setup ist Port5 tagged Mitglied von VLAN10 und untagged Mitglied von VLAN50, mit eingetragener PVID.(Screenshots können zur besseren Übersicht gerne nachgereicht werden).
Sofern ich das Phone jetzt verbinde kommt eine IP-Adresse wie gewünscht aus dem VLAN10(172.16.10.X), der Client bekommt jedoch keine Adresse.
Mit Wireshark habe ich(serverseitig) mal geschaut, wo das Problem liegt.
Der Request kommt von der PFSense und wird an den DHCP-Server weitergeileitet.
Der DHCP ACK geht jedoch auf VLAN20, also 172.16.20.1, ins VLAN für das WLAN, wobei er doch eigentlich in das 50er VLAN muss.
Sofern ich den Untagged-Port mit der PVID20 versehe und die Mitgliedschaft ändere, bekommt der Client eine IP aus dem 20er Netz, so wie es sein soll, wenn man es so wollte:D
Andere Mitgliedschaften VLAN70, VLAN60 für den untagged Port des Clients wurden natürlich getestet, die DHCP ACK's landen aber immer im 20erVLAN.
Nach mehreren Stunden und Konfigurationen bin ich kognitiv durch:D
Hat irgendjemand eine Idee, was hier falsch läuft? Für weitere Informationen, die ich jetzt vergessen habe: Sry im Voraus!
Besten Dank im Voraus für alle Tipps.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 545786
Url: https://administrator.de/contentid/545786
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
7 Kommentare
Neuester Kommentar
Hi
das sieht eher nach einem DHCP-Helper Problem aus, der DHCP Server erkennt das Subnetz falsch und weist dann die entsprechende IP Adresse aus dem erkannten Netzsegment zu.
Ich kenne die Einstellung an der pfSense jetzt nicht, aber an dem Router bei uns muss das für jedes VLAN separat eingerichtet werden und nicht "gobal" einmalig mit der DHCP-Helper Adresse.
Gruß
@clSchak
das sieht eher nach einem DHCP-Helper Problem aus, der DHCP Server erkennt das Subnetz falsch und weist dann die entsprechende IP Adresse aus dem erkannten Netzsegment zu.
Ich kenne die Einstellung an der pfSense jetzt nicht, aber an dem Router bei uns muss das für jedes VLAN separat eingerichtet werden und nicht "gobal" einmalig mit der DHCP-Helper Adresse.
Gruß
@clSchak
Kollege @clSchak hat hier Recht. Das kann nur an einer fehlerhaften Konfig der IP Helper Adresse (DHCP Relay) am VLAN 50 Port des Routers (pfSense ?) liegen. Da hier die detailierte Konfig (Screenshot) fehlt kann man aber nur frei raten.
Normal ersetzt die Helper / Relay Funktion den Request in der Absender IP mit ihrer eigenen IP im VLAN 50 Subnetz. Damit ist für den zentralen DHCP Server dann das Subnetz eindeutig und der Reply geht auch an diese IP zurück und wird vom Router dann ans Endgerät geforwardet.
Im Bereich der Helper Konfig solltest du also nochmal ganz genau nachsehen ob deine Konfig dort richtig ist.
Ebenso der Switchport ! Sollte der Untagged Traffic nämlich statt ins VLAN 50 doch ins VLAN 20 (Native VLAN am Port) geforwardet werden dann passiert genau das was du oben siehst !
Normal ersetzt die Helper / Relay Funktion den Request in der Absender IP mit ihrer eigenen IP im VLAN 50 Subnetz. Damit ist für den zentralen DHCP Server dann das Subnetz eindeutig und der Reply geht auch an diese IP zurück und wird vom Router dann ans Endgerät geforwardet.
Im Bereich der Helper Konfig solltest du also nochmal ganz genau nachsehen ob deine Konfig dort richtig ist.
Ebenso der Switchport ! Sollte der Untagged Traffic nämlich statt ins VLAN 50 doch ins VLAN 20 (Native VLAN am Port) geforwardet werden dann passiert genau das was du oben siehst !
Ich wusste, dass ich etwas banales vergessen hatte, danke für den Hinweis an euch beide.
Ich werde mir das DHCP Relay auf der PFSense heute abend nochmal ansehen, ich bin mir ziemlich sicher, dass ich das nur für LAN, VLAN20 und VLAN10 gemacht habe, alle anderen VLANs habe ich später aktiviert und dementsprechend vergessen die Konfiguration nachzuziehen, das hatte ich gestern einfach vollkommen verschwitzt.
Ich gehe davon, dass das dann rennt, aber gebe heute Abend oder morgen früh nochmal ein Update und markiere dann gegebenenfalls als gelöst, ansonsten schicke ich nochmal die Wireshark und PFSense Screens rein, um eventuelle Fehler leichter zu finden.
Besten Dank bis dahin!
Ich werde mir das DHCP Relay auf der PFSense heute abend nochmal ansehen, ich bin mir ziemlich sicher, dass ich das nur für LAN, VLAN20 und VLAN10 gemacht habe, alle anderen VLANs habe ich später aktiviert und dementsprechend vergessen die Konfiguration nachzuziehen, das hatte ich gestern einfach vollkommen verschwitzt.
Ich gehe davon, dass das dann rennt, aber gebe heute Abend oder morgen früh nochmal ein Update und markiere dann gegebenenfalls als gelöst, ansonsten schicke ich nochmal die Wireshark und PFSense Screens rein, um eventuelle Fehler leichter zu finden.
Besten Dank bis dahin!
Soeben hatte ich per VPN geschaut, was mit dem Relay nicht stimmt. Mit dem Problem, dass das Relay nicht zugänglich war, weil angeblich der DHCP-Server der PFSense aktiv war. In den Diensten war dieser jedoch abgeschaltet. Auf den DHCP-Server der PFSense konnte ich auch nicht zugreifen, da das Relay aktiv war...
Ende der Geschichte: Auf dem VLAN50 war der DHCP-Server aktiv, wahrscheinlich war ich unaufmerksam und hatte bei der Einrichtung das Häkchen nicht rausgenommen. Dann muss ich mich ja nicht wundern, wenn die Zuweisung nicht funktioniert.
Dem Relay habe ich die Weiterleitung für das 50er-VLAN hinzugefügt. Morgen prüfe ich dann vor Ort, ob die Devices die richtigen Adressen erhalten...
Ende der Geschichte: Auf dem VLAN50 war der DHCP-Server aktiv, wahrscheinlich war ich unaufmerksam und hatte bei der Einrichtung das Häkchen nicht rausgenommen. Dann muss ich mich ja nicht wundern, wenn die Zuweisung nicht funktioniert.
Dem Relay habe ich die Weiterleitung für das 50er-VLAN hinzugefügt. Morgen prüfe ich dann vor Ort, ob die Devices die richtigen Adressen erhalten...
Hört sich gut an ! Das dürfte es gewesen sein ! 
Ich danke euch, funktioniert genau wie es soll, testweise werde ich jetzt mal 4-5 Mitarbeiter umstellen und nach einer Woche wahrscheinlich dann großflächig.
Besten Dank nochmal!
Besten Dank nochmal!
👍
Case closed !
Case closed !
