DHCP ACK landet im falschen VLAN
Hallo zusammen,
aktuell möchte ich einige Vorhaben zur Sicherheit im Netzwerk umsetzen(VLAN's vernünftig aufbauen, 802.1x, Captive Portal) und stehe jetzt seit einigen Stunden vor folgendem Dilemma:
In meiner Umgebung werden IP-Phones benutzt, wie üblich mit Switch, der eine für Ethernet und PoE und der andere für einen weiteren Client.
Um ein sauberes VoIP-Netz abzubilden, sollen in das VoIP-VLAN10 eben nur die Sprachdaten und die Clients in ein separates VLAN50.
Aktuell läuft noch die Testphase, konfiguriert ist aber ein Management-VLAN2, VoIP-VLAN10, WLAN-VLAN20, Guest_WLAN-VLAN30 und Client-VLAN50.
Das VLAN funktioniert soweit ohne Probleme auf Basis eines Layer-2 Switches von Zyxel(Billigsegment), Routing übernimmt die PFSense.
DHCP macht dabei ein Windows Server, die Anfragen werden von der PFSense auf den Windows-Server weitergeleitet auf dem noch AD-Dienste, DNS, und RADIUS läuft.
Auf dem Switch ist LLDP-MED konfiguriert, testweise auf Port5, VLAN10, natürlich tagged und als Trunk.
Im VLAN-Setup ist Port5 tagged Mitglied von VLAN10 und untagged Mitglied von VLAN50, mit eingetragener PVID.(Screenshots können zur besseren Übersicht gerne nachgereicht werden).
Sofern ich das Phone jetzt verbinde kommt eine IP-Adresse wie gewünscht aus dem VLAN10(172.16.10.X), der Client bekommt jedoch keine Adresse.
Mit Wireshark habe ich(serverseitig) mal geschaut, wo das Problem liegt.
Der Request kommt von der PFSense und wird an den DHCP-Server weitergeileitet.
Der DHCP ACK geht jedoch auf VLAN20, also 172.16.20.1, ins VLAN für das WLAN, wobei er doch eigentlich in das 50er VLAN muss.
Sofern ich den Untagged-Port mit der PVID20 versehe und die Mitgliedschaft ändere, bekommt der Client eine IP aus dem 20er Netz, so wie es sein soll, wenn man es so wollte:D
Andere Mitgliedschaften VLAN70, VLAN60 für den untagged Port des Clients wurden natürlich getestet, die DHCP ACK's landen aber immer im 20erVLAN.
Nach mehreren Stunden und Konfigurationen bin ich kognitiv durch:D
Hat irgendjemand eine Idee, was hier falsch läuft? Für weitere Informationen, die ich jetzt vergessen habe: Sry im Voraus!
Besten Dank im Voraus für alle Tipps.
aktuell möchte ich einige Vorhaben zur Sicherheit im Netzwerk umsetzen(VLAN's vernünftig aufbauen, 802.1x, Captive Portal) und stehe jetzt seit einigen Stunden vor folgendem Dilemma:
In meiner Umgebung werden IP-Phones benutzt, wie üblich mit Switch, der eine für Ethernet und PoE und der andere für einen weiteren Client.
Um ein sauberes VoIP-Netz abzubilden, sollen in das VoIP-VLAN10 eben nur die Sprachdaten und die Clients in ein separates VLAN50.
Aktuell läuft noch die Testphase, konfiguriert ist aber ein Management-VLAN2, VoIP-VLAN10, WLAN-VLAN20, Guest_WLAN-VLAN30 und Client-VLAN50.
Das VLAN funktioniert soweit ohne Probleme auf Basis eines Layer-2 Switches von Zyxel(Billigsegment), Routing übernimmt die PFSense.
DHCP macht dabei ein Windows Server, die Anfragen werden von der PFSense auf den Windows-Server weitergeleitet auf dem noch AD-Dienste, DNS, und RADIUS läuft.
Auf dem Switch ist LLDP-MED konfiguriert, testweise auf Port5, VLAN10, natürlich tagged und als Trunk.
Im VLAN-Setup ist Port5 tagged Mitglied von VLAN10 und untagged Mitglied von VLAN50, mit eingetragener PVID.(Screenshots können zur besseren Übersicht gerne nachgereicht werden).
Sofern ich das Phone jetzt verbinde kommt eine IP-Adresse wie gewünscht aus dem VLAN10(172.16.10.X), der Client bekommt jedoch keine Adresse.
Mit Wireshark habe ich(serverseitig) mal geschaut, wo das Problem liegt.
Der Request kommt von der PFSense und wird an den DHCP-Server weitergeileitet.
Der DHCP ACK geht jedoch auf VLAN20, also 172.16.20.1, ins VLAN für das WLAN, wobei er doch eigentlich in das 50er VLAN muss.
Sofern ich den Untagged-Port mit der PVID20 versehe und die Mitgliedschaft ändere, bekommt der Client eine IP aus dem 20er Netz, so wie es sein soll, wenn man es so wollte:D
Andere Mitgliedschaften VLAN70, VLAN60 für den untagged Port des Clients wurden natürlich getestet, die DHCP ACK's landen aber immer im 20erVLAN.
Nach mehreren Stunden und Konfigurationen bin ich kognitiv durch:D
Hat irgendjemand eine Idee, was hier falsch läuft? Für weitere Informationen, die ich jetzt vergessen habe: Sry im Voraus!
Besten Dank im Voraus für alle Tipps.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 545786
Url: https://administrator.de/forum/dhcp-ack-landet-im-falschen-vlan-545786.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Hi
das sieht eher nach einem DHCP-Helper Problem aus, der DHCP Server erkennt das Subnetz falsch und weist dann die entsprechende IP Adresse aus dem erkannten Netzsegment zu.
Ich kenne die Einstellung an der pfSense jetzt nicht, aber an dem Router bei uns muss das für jedes VLAN separat eingerichtet werden und nicht "gobal" einmalig mit der DHCP-Helper Adresse.
Gruß
@clSchak
das sieht eher nach einem DHCP-Helper Problem aus, der DHCP Server erkennt das Subnetz falsch und weist dann die entsprechende IP Adresse aus dem erkannten Netzsegment zu.
Ich kenne die Einstellung an der pfSense jetzt nicht, aber an dem Router bei uns muss das für jedes VLAN separat eingerichtet werden und nicht "gobal" einmalig mit der DHCP-Helper Adresse.
Gruß
@clSchak
Kollege @clSchak hat hier Recht. Das kann nur an einer fehlerhaften Konfig der IP Helper Adresse (DHCP Relay) am VLAN 50 Port des Routers (pfSense ?) liegen. Da hier die detailierte Konfig (Screenshot) fehlt kann man aber nur frei raten.
Normal ersetzt die Helper / Relay Funktion den Request in der Absender IP mit ihrer eigenen IP im VLAN 50 Subnetz. Damit ist für den zentralen DHCP Server dann das Subnetz eindeutig und der Reply geht auch an diese IP zurück und wird vom Router dann ans Endgerät geforwardet.
Im Bereich der Helper Konfig solltest du also nochmal ganz genau nachsehen ob deine Konfig dort richtig ist.
Ebenso der Switchport ! Sollte der Untagged Traffic nämlich statt ins VLAN 50 doch ins VLAN 20 (Native VLAN am Port) geforwardet werden dann passiert genau das was du oben siehst !
Normal ersetzt die Helper / Relay Funktion den Request in der Absender IP mit ihrer eigenen IP im VLAN 50 Subnetz. Damit ist für den zentralen DHCP Server dann das Subnetz eindeutig und der Reply geht auch an diese IP zurück und wird vom Router dann ans Endgerät geforwardet.
Im Bereich der Helper Konfig solltest du also nochmal ganz genau nachsehen ob deine Konfig dort richtig ist.
Ebenso der Switchport ! Sollte der Untagged Traffic nämlich statt ins VLAN 50 doch ins VLAN 20 (Native VLAN am Port) geforwardet werden dann passiert genau das was du oben siehst !