dathobn
Goto Top

DHCP Option 66 wird nicht angewendet?

Einmal Hallo in die Runde,

ich habe folgendes Problem:

Wir haben einen Windows Server mit WDS laufen der PXE-boot für neu einzurichtende Computer zur Verfügung stellt. Jetzt wird seit kurzem das Netzwerk von einem 16er Subnetz in kleinere Subnetze mit anderer IP-Range migriert, mit neuer Firewall von Sophos auf der auch der DHCP läuft (vorher Windows Server).

Nun kann ich aus dem neuen Netzwerk das PXE nicht mehr verwenden, obwohl die DHCP-options auf dem neuen DHCP Server gleich gesetzt sind und auch verteilt werden (siehe Screenshot Wireshark).
Von dem Rechner wird jedoch der falsche Server angesprochen, nämlich die Firewall/das Gateway, und nicht den in Option 66 hinterlegten WDS Server.

Firewall-Regeln hab ich überprüft, im Moment sind noch alle Ports offen und jeglicher anderer Verkehr zwischen dem alten und neuen Netzwerk läuft reibungslos, das manuelle Erstellen einer Regel in der Windows Firewall des WDS Servers hilft ebenso wenig.

Hat jemand schon einmal sowas gehabt oder kann sich darauf einen Reim machen, ich versteh einfach nicht warum der sein Gateway als PXE Server nimmt, wenn die Einstellungen die selben sind wie im alten Netzwerk?

Gruß
Thorben
ws dhcp66

Content-ID: 6862409085

Url: https://administrator.de/forum/dhcp-option-66-wird-nicht-angewendet-6862409085.html

Ausgedruckt am: 06.04.2025 um 13:04 Uhr

chgorges
chgorges 21.04.2023 um 14:11:37 Uhr
Goto Top
Zitat von @Dathobn:

Einmal Hallo in die Runde,
Moin ,
Wir haben einen Windows Server mit WDS laufen der PXE-boot für neu einzurichtende Computer zur Verfügung stellt. Jetzt wird seit kurzem das Netzwerk von einem 16er Subnetz in kleinere Subnetze mit anderer IP-Range migriert, mit neuer Firewall von Sophos auf der auch der DHCP läuft (vorher Windows Server).

wieso wurde das geändert, wieso macht die Sophos jetzt den DHCP-Server?
Ist für mich ein Designfehler, normalerweise machen das richtige Server, wie bei euch vorher, und die Firewalls nur den DHCP-Relay.
Ihr müsst auf dem DHCP-Server nur mehrere Scopes mit den entsprechenden Optionen erstellen und fertig ist der Lack.

VG
lcer00
lcer00 21.04.2023 um 14:38:25 Uhr
Goto Top
Hallo,

wie sehen denn Deine Firewallregeln genau aus?

Grüße

lcer
aqui
aqui 21.04.2023 aktualisiert um 14:57:15 Uhr
Goto Top
wie sehen denn Deine Firewallregeln genau aus?
Zitat des TO: "Firewall-Regeln hab ich überprüft, im Moment sind noch alle Ports offen und jeglicher anderer Verkehr zwischen dem alten und neuen Netzwerk läuft reibungslos"
Gut, ist ja Freitag... 🐟 😉

Unklar ist warum der "Relay Agent" Eintrag leer ist?
Die Firewall sollte ja zwingend DHCP Relay konfiguriert haben für das Segment und so die DHCP Client Requests an den zentralen Server weitergeben, der dann mit den DHCP Settings antwortet.
Ein Client sollte dann niemals die Firewall IP dafür ansprechen. Woher sollte auch diese IP kommen??
https://www.netz-weise-it.training/weisheiten/dhcp-proxy-wds-server-dhcp ...
Franz-Josef-II
Franz-Josef-II 21.04.2023 aktualisiert um 15:21:23 Uhr
Goto Top
Servas

Der WDS und der Client sind aber schon ..... imselben Netz?


Warum setzt Du eigentlich diese Optionen?
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
aqui
aqui 21.04.2023 aktualisiert um 15:22:58 Uhr
Goto Top
sind aber schon ..... imselben Netz?
Obigen Wireshark Trace lesen hilft!! 😉
Microsoft sagt mit dem recht verschwurbelten Satz "Daher trägt die Verwendung des PXE-Servers in der IP-Hilfstabelle für Router dazu bei, sicherzustellen, dass die DHCP-Pakete an den PXE-Server weitergeleitet werden, damit der PXE-Server ordnungsgemäß reagieren kann."
das auch der PXE Server im Relay Agent eingetragen werden sollte sofern getrennt.
Franz-Josef-II
Franz-Josef-II 21.04.2023 um 15:22:50 Uhr
Goto Top
Ok, hast gewonnen ....... 114 und 115 ....... warum er das dritte Oktett verpixelt hat ........ ist ja im 10er Netz gefährlich 😂
Dathobn
Dathobn 21.04.2023 um 15:31:54 Uhr
Goto Top
Hi,

danke für die Antworten.

wieso wurde das geändert, wieso macht die Sophos jetzt den DHCP-Server?
Dass der DHCP Server auf der neuen Firewall betrieben wird dient hier hauptsächlich der Verwaltbarkeit, alles Netzwerk auf der FW. Zudem ist der bisherige DHCP ein Windows 2012 R2 System, soll also eh weg. Dürfte ja auch eigentlich keinen Unterschied machen, DHCP ist DHCP, ob nun Sophos oder Windows, oder nicht? Mal ganz davon abgesehen, dass der Windows Server auch selber das Gateway für das Netz war.


Unklar ist warum der "Relay Agent" Eintrag leer ist?
Wie gesagt, die Firewall macht den DHCP, und der Relay Agent Eintrag kommt ja nur wenn da ein Relay aktiv ist, oder?

Ich hab noch was weiter gesucht und etwas über eine DHCP Option 60, die wohl auch mitgegeben werden muss, ist aber in dem alten Bereich nicht konfiguriert worden...
Franz-Josef-II
Franz-Josef-II 21.04.2023 aktualisiert um 15:37:42 Uhr
Goto Top
Den Relay Eintrag brauchst Du dann, wenn der WDS und der PXE-Client NICHT imselben Netz sind. Der Client macht einen Broadcast (= Rundruf) und der Server antwortet. Ein Router verwirft diese Pakete, sonst wäre ja das Internet voll davon 🤣. Somit sind sie nicht imselben Netz, dann kommt die Anfrage nie zum Server.

Lies Dir meinen Link oben durch.
jsysde
jsysde 21.04.2023 um 23:46:00 Uhr
Goto Top
N'Abend.

Ich würd's mal mit DHCP-Policies versuchen:
https://sccmcanuck.wordpress.com/2017/03/18/using-dhcp-to-boot-wds-to-bi ...

Irgendwo hab ich auch noch ein PDF, das etwas ausführlicher ist; hoffentlich finde ich das wieder....

Cheers,
jsysde
Dathobn
Dathobn 24.04.2023 um 10:06:08 Uhr
Goto Top
Ok, ich hab den WDS jetzt mit ins neue Netzwerk geholt, die .2 hat er jetzt.
Der Client spricht trotzdem weiterhin die .1, die Firewall/DHCP-Server an, egal ob in der DHCP-Option 66 die neue IP vom WDS weitergebe oder nicht.

Was mache ich denn jetzt schon wieder falsch?
Dathobn
Lösung Dathobn 27.04.2023 um 10:22:30 Uhr
Goto Top
Nach Rücksprache mit dem Hersteller der Firewall, Sophos, stellt sich heraus dass der Unterschied zwischen den DHCP offers der Sophos und des Windows Servers der ist, dass der "Next Server IP address" Eintrag beim offer des Sophos DHCP fehlt und der Rechner deshalb seine PXE Anfrage an die DHCP Server stellt.
Der Windows DHCP gibt das mit.

Das Fehlen dieses Eintrags ist bei Sophos wohl auch schon in einem "Feature Request" hinterlegt, warum diese meiner Meinung nach Standardfunktion bei denen nicht verfügbar ist ist mit schleierhaft.

Den Workaround den ich jetzt benutze ist Option 66 und 67 auf der Sophos leer zu lassen und den WDS Server unter "PXE-Antwort" auf alle Clients reagieren zu lassen. So schickt der WDS Server sein eigenes DHCP offer mit den PXE Startdaten und es funktioniert wieder.
Franz-Josef-II
Franz-Josef-II 27.04.2023 um 10:52:58 Uhr
Goto Top
Ich trage nirgens die 66er und 67er Option ein ....... und es funktioniert.

https://www.netz-weise-it.training/weisheiten/dhcp-proxy-wds-server-dhcp ...


und an einem Standort habe ich sogar ZWEI PXE-Server, einen SCCM und einen WDS und kann zwischen den beiden mit F11 wählen.