6
DHCP Broadcast springt ins andere VLAN über
Guten Tag Zusammen,
ich hoffe das ihr mir noch einen Tipp geben könnt, da ich hier so nicht mehr weiterkomme.
zur Problemstellung:
VLAN 1 - Datennetz, VLAN 15 - Telefonie
Gerät fährt hoch, meldet sich im Native VLAN (VLAN1) an, bekommt IP + Option, sich im Vlan 15 Neuanzumelden.
Gerät fährt neu hoch im Vlan 15, schickt DHCP Anfrage im VLAN 15 los -> Diese erreicht trotzdem den DHCP aus dem VLAN 1, Gerät bekommt weiterhin IP aus dem VLAN 1
Problem ist per Wireshark nachvollziehbar: Gerät schickt DHCP-Anfrage über VLAN 15 raus, das Paket ist aber im Netzwerk 2x zu sehen. Und zwar auf beiden VLANS.
Als würde es irgendwo das VLAN 15 verlassen. Firewall/Router wurde schon überprüft. wir haben nirgendswo einen DHCP-Relay o.ä. gefunden, das uns das überspringen zwischen den VLANS erklären kann.
Über einen Tipp, wo dies passieren kann, würde ich mich sehr freuen !
Grüße Tobias
ich hoffe das ihr mir noch einen Tipp geben könnt, da ich hier so nicht mehr weiterkomme.
zur Problemstellung:
VLAN 1 - Datennetz, VLAN 15 - Telefonie
Gerät fährt hoch, meldet sich im Native VLAN (VLAN1) an, bekommt IP + Option, sich im Vlan 15 Neuanzumelden.
Gerät fährt neu hoch im Vlan 15, schickt DHCP Anfrage im VLAN 15 los -> Diese erreicht trotzdem den DHCP aus dem VLAN 1, Gerät bekommt weiterhin IP aus dem VLAN 1
Problem ist per Wireshark nachvollziehbar: Gerät schickt DHCP-Anfrage über VLAN 15 raus, das Paket ist aber im Netzwerk 2x zu sehen. Und zwar auf beiden VLANS.
Als würde es irgendwo das VLAN 15 verlassen. Firewall/Router wurde schon überprüft. wir haben nirgendswo einen DHCP-Relay o.ä. gefunden, das uns das überspringen zwischen den VLANS erklären kann.
Über einen Tipp, wo dies passieren kann, würde ich mich sehr freuen !
Grüße Tobias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 414820
Url: https://administrator.de/contentid/414820
Printed on: April 26, 2024 at 22:04 o'clock
6 Comments
Latest comment
Das kann auch an einer verbuggten Firmware des Telefons liegen.
Klar, das Telefon hackt die Firewall und implementiert via Backdoor den IP Helper.
Firewall/Router wurde schon überprüft. wir haben nirgendswo einen DHCP-Relay o.ä. gefunden
Dann nochmal suchen ;) Nicht nur nach DHCP-Relay, sondern auch nach anderen Stichworten aka IP-Helper etc. Interessant ist auch, wo die DHCP-Server stehen. Sind beide Server in VLAN 1, oder ist der DHCP-Server für VLAN15 auch nur in VLAN15?
Und ein paar mehr Infos über die Hardware bitte.
Klar, das Telefon hackt die Firewall und implementiert via Backdoor den IP Helper.
Oder die Firmware sendet ungewollt ins falsche VLAN, ohne etwas hacken zu müssen.
Moin,
die Frage ist eher wohin der IP-Helper zeigt.
Wenn die DHCP "Server" im Vlan1 stehen soll der Traffic da zwar hin aber eigentlich nicht vom Telefon aus, sonder vom Helper (sprich dem GW im VLAN15).
Gruß
Spirit
die Frage ist eher wohin der IP-Helper zeigt.
Wenn die DHCP "Server" im Vlan1 stehen soll der Traffic da zwar hin aber eigentlich nicht vom Telefon aus, sonder vom Helper (sprich dem GW im VLAN15).
Gruß
Spirit
Hatten erst eine fehlerhafte Firmware von den Telefonen (Avaya J179) vermutet, haben dort aber per Wireshark und Tap direkt dort mal abgegriffen und konnten feststellen, das von dort nur die richtige DHCP-Anfrage gesendet wird, ins richtige Netz
DHCP-Server 1 steht nur im VLAN 1 - wurde explizit überprüft !
DHCP-Server 2 steht nur in VLAN 15 - wurde explizit überprüft !
Netzte sind über die Firewall geroutet.
Dell 2848 und N1548P Switche - ich habe alle Switche nochmal auf DHCP-Relay bzw. IP-Helper Einträge überprüft und auf keinem was gefunden.
Watchguard Firewall ist auch überprüft und kein Eintrag dort vorhanden.
DHCP-Server 1 steht nur im VLAN 1 - wurde explizit überprüft !
DHCP-Server 2 steht nur in VLAN 15 - wurde explizit überprüft !
Netzte sind über die Firewall geroutet.
Dell 2848 und N1548P Switche - ich habe alle Switche nochmal auf DHCP-Relay bzw. IP-Helper Einträge überprüft und auf keinem was gefunden.
Watchguard Firewall ist auch überprüft und kein Eintrag dort vorhanden.
Hi
ich verstehe ehrlich gesagt nicht so ganz den Verlauf der Bereitstellung, im Regelfall löst man die VLAN Zuweisung, vor allem bei VoIP Geräten mit korrekt konfigurierten LLDP-MED was solche spielchen bereits im Keim erstickt, da wird von dem DHCP Request bereits passende VLAN zugewiesen und dem Server kann dann die restlichen Infos mitgeben wie z.B. Bootimage usw.
Das einzige was wir hier "konfigurieren" ist die MAC Adresse der Telefone, der Rest passiert alles voll automatisch.
Der Config Befehlt dürfte ähnlich dem hier sein
Wird bei den Dell Geräten ähnlich sein
Gruß
@clSchak
PS: STP Events hast nicht zufällig im Netz oder?
ich verstehe ehrlich gesagt nicht so ganz den Verlauf der Bereitstellung, im Regelfall löst man die VLAN Zuweisung, vor allem bei VoIP Geräten mit korrekt konfigurierten LLDP-MED was solche spielchen bereits im Keim erstickt, da wird von dem DHCP Request bereits passende VLAN zugewiesen und dem Server kann dann die restlichen Infos mitgeben wie z.B. Bootimage usw.
Das einzige was wir hier "konfigurieren" ist die MAC Adresse der Telefone, der Rest passiert alles voll automatisch.
Der Config Befehlt dürfte ähnlich dem hier sein
lldp med network application voice tagged vlan 15 qos 6 dscp 46 ports e 1/1/1 to 1/1/48Gruß
@clSchak
PS: STP Events hast nicht zufällig im Netz oder?