theese
Goto Top

DHCP Broadcast springt ins andere VLAN über

Guten Tag Zusammen,

ich hoffe das ihr mir noch einen Tipp geben könnt, da ich hier so nicht mehr weiterkomme.
zur Problemstellung:

VLAN 1 - Datennetz, VLAN 15 - Telefonie

Gerät fährt hoch, meldet sich im Native VLAN (VLAN1) an, bekommt IP + Option, sich im Vlan 15 Neuanzumelden.
Gerät fährt neu hoch im Vlan 15, schickt DHCP Anfrage im VLAN 15 los -> Diese erreicht trotzdem den DHCP aus dem VLAN 1, Gerät bekommt weiterhin IP aus dem VLAN 1
Problem ist per Wireshark nachvollziehbar: Gerät schickt DHCP-Anfrage über VLAN 15 raus, das Paket ist aber im Netzwerk 2x zu sehen. Und zwar auf beiden VLANS.
Als würde es irgendwo das VLAN 15 verlassen. Firewall/Router wurde schon überprüft. wir haben nirgendswo einen DHCP-Relay o.ä. gefunden, das uns das überspringen zwischen den VLANS erklären kann.

Über einen Tipp, wo dies passieren kann, würde ich mich sehr freuen !

Grüße Tobias

Content-ID: 414820

Url: https://administrator.de/forum/dhcp-broadcast-springt-ins-andere-vlan-ueber-414820.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

NordicMike
NordicMike 07.02.2019 um 12:01:53 Uhr
Goto Top
Das kann auch an einer verbuggten Firmware des Telefons liegen.
chgorges
chgorges 07.02.2019 aktualisiert um 12:19:52 Uhr
Goto Top
Zitat von @NordicMike:

Das kann auch an einer verbuggten Firmware des Telefons liegen.

Klar, das Telefon hackt die Firewall und implementiert via Backdoor den IP Helper.

Firewall/Router wurde schon überprüft. wir haben nirgendswo einen DHCP-Relay o.ä. gefunden

Dann nochmal suchen ;) Nicht nur nach DHCP-Relay, sondern auch nach anderen Stichworten aka IP-Helper etc. Interessant ist auch, wo die DHCP-Server stehen. Sind beide Server in VLAN 1, oder ist der DHCP-Server für VLAN15 auch nur in VLAN15?
Und ein paar mehr Infos über die Hardware bitte.
NordicMike
NordicMike 07.02.2019 aktualisiert um 12:28:24 Uhr
Goto Top
Klar, das Telefon hackt die Firewall und implementiert via Backdoor den IP Helper.

Oder die Firmware sendet ungewollt ins falsche VLAN, ohne etwas hacken zu müssen.
Spirit-of-Eli
Spirit-of-Eli 07.02.2019 um 12:52:20 Uhr
Goto Top
Moin,

die Frage ist eher wohin der IP-Helper zeigt.
Wenn die DHCP "Server" im Vlan1 stehen soll der Traffic da zwar hin aber eigentlich nicht vom Telefon aus, sonder vom Helper (sprich dem GW im VLAN15).

Gruß
Spirit
theese
theese 07.02.2019 um 13:14:10 Uhr
Goto Top
Hatten erst eine fehlerhafte Firmware von den Telefonen (Avaya J179) vermutet, haben dort aber per Wireshark und Tap direkt dort mal abgegriffen und konnten feststellen, das von dort nur die richtige DHCP-Anfrage gesendet wird, ins richtige Netz

DHCP-Server 1 steht nur im VLAN 1 - wurde explizit überprüft !
DHCP-Server 2 steht nur in VLAN 15 - wurde explizit überprüft !
Netzte sind über die Firewall geroutet.

Dell 2848 und N1548P Switche - ich habe alle Switche nochmal auf DHCP-Relay bzw. IP-Helper Einträge überprüft und auf keinem was gefunden.
Watchguard Firewall ist auch überprüft und kein Eintrag dort vorhanden.
clSchak
Lösung clSchak 07.02.2019 um 14:56:00 Uhr
Goto Top
Hi

ich verstehe ehrlich gesagt nicht so ganz den Verlauf der Bereitstellung, im Regelfall löst man die VLAN Zuweisung, vor allem bei VoIP Geräten mit korrekt konfigurierten LLDP-MED was solche spielchen bereits im Keim erstickt, da wird von dem DHCP Request bereits passende VLAN zugewiesen und dem Server kann dann die restlichen Infos mitgeben wie z.B. Bootimage usw.

Das einzige was wir hier "konfigurieren" ist die MAC Adresse der Telefone, der Rest passiert alles voll automatisch.

Der Config Befehlt dürfte ähnlich dem hier sein
lldp med network application voice tagged vlan 15 qos 6 dscp 46 ports e 1/1/1 to 1/1/48
Wird bei den Dell Geräten ähnlich sein

Gruß
@clSchak

PS: STP Events hast nicht zufällig im Netz oder?