119944

DHCP Relay Agent funktioniert nicht

Hallo an alle Administratoren,

ich bin gerade in der Umstellung des DHCP Servers von unserem Router auf einen Windows Server 2012R2.
Leider habe ich aktuell noch ein Problem mit der Einrichtung von DHCP Relay auf dem Router.
Aktuell gibt es bei uns 3 VLANS (40,42,60) welche von einem Windows Server 2012R2 mit DHCP versorgt werden.
Dazu wurden auf dem Server 3 virtuelle Schnittstellen mit den dazu gehörigen VLAN-IDs konfiguriert, damit dieser in jedes Netz kommt.

Übersicht:
0d0157020371f5057bd3e23bdb05abca

Das is natürlich unschön, deshalb möchte ich das über ein DHCP Relay am Router lösen.
Dazu habe ich die Interfaces für VLAN40 und VLAN42 am Server deaktiviert um alles über die 192.168.60.250 zu vergeben.
Leider bekommen mein Clients an einem Untagged VLAN40 Port am Switch dann keine IP Adresse mehr.

Ich habe mich an folgende "Anleitung" direkt von DrayTek gehalten:
How to Use DHCP Relay over LAN?

Hab ich irgend etwas falsch verstanden in Bezug auf DHCP Relay oder wo liegt mein Fehler?

Vielen Dank vorab!

VG
Valexus
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 259648

Url: https://administrator.de/forum/dhcp-relay-agent-funktioniert-nicht-259648.html

Ausgedruckt am: 01.05.2025 um 23:05 Uhr

SlainteMhath
SlainteMhath 13.01.2015 um 10:54:03 Uhr
Goto Top
Moin,

Hab ich irgend etwas falsch verstanden in Bezug auf DHCP Relay oder wo liegt mein Fehler?
DHCP arbeite mit Broadcasts... wenn du die Interfaces deaktivierst bekommen die Clients auch keine IP Adressen zugewiesen.

Dazu habe ich die Interfaces für VLAN40 und VLAN42 am Server deaktiviert um alles über die 192.168.60.250 zu vergeben.
Das verstehe ihc nicht ganz... die Clients sollen doch sicher immer eine IP Adresse aus dem Subnetz/VLAN bekommen in dem sie sich gerade befinden, oder?

lg,
Slainte
emeriks
emeriks 13.01.2015 um 11:08:19 Uhr
Goto Top
Hi,
Zitat von @119944:

Leider bekommen mein Clients an einem Untagged VLAN40 Port am Switch dann keine IP Adresse mehr.
Die Gegenprobe hast Du gemacht? Also ein tagged Client in VLAN40 bekommt eine Adresse vom DHCP?
Falls ja, dann muss das am Router liegen.
Falls auch nein, dann sniffer mal am DHCP-Server, ob da überhaupt entsprechene Anfragen ankommen.

Die Scopes auf dem DHCP-Server sind aber ok? Also Adressbereich + Maske je Scope?
Und der DHCP Server ist an das Interface im LAN60 gebunden?

E.
119944
119944 13.01.2015 um 11:09:59 Uhr
Goto Top
Hallo Slainte,

DHCP arbeite mit Broadcasts... wenn du die Interfaces deaktivierst bekommen die Clients auch keine IP Adressen zugewiesen.
Das ist mir bewusst, jedoch müsste ja dann in diesem Fall das Relay, sprich der Router, mit dem DHCP Server kommunizieren oder?

Das verstehe ihc nicht ganz... die Clients sollen doch sicher immer eine IP Adresse aus dem Subnetz/VLAN bekommen in dem sie sich gerade befinden, oder?
Genau! Ich kann am Router für jedes VLAN einen DHCP Server sowie eine Agent IP konfigurieren, damit der DHCP weis von welchem VLAN/Subnetz die Anfrage kommt.
So hab ich das Thema DHCP Relay zumindest verstanden.

VG
Valexus
119944
119944 13.01.2015 um 11:14:10 Uhr
Goto Top
Hallo emeriks,

Die Gegenprobe hast Du gemacht? Also ein tagged Client in VLAN40 bekommt eine Adresse vom DHCP?
Falls ja, dann muss das am Router liegen.
Falls auch nein, dann sniffer mal am DHCP-Server, ob da überhaupt entsprechene Anfragen ankommen.
Nein hab leider keine Clients die ich tagged testen kann.
Hast du eine kurze Anleitung zu dem Thema DHCP Sniffen?

Die Scopes auf dem DHCP-Server sind aber ok? Also Adressbereich + Maske je Scope?
Und der DHCP Server ist an das Interface im LAN60 gebunden?
Dürfte passen ja, bzw. funktioniert es ja auch wenn der Server direkt mit einem Interface in den VLANs ist.

VG
Valexus
Pjordorf
Lösung Pjordorf 13.01.2015, aktualisiert am 28.04.2015 um 14:59:58 Uhr
Goto Top
Hallo,

Zitat von @119944:
Hast du eine kurze Anleitung zu dem Thema DHCP Sniffen?
Mit Wireshark ein Capture auf die UDP Ports 67 (Server / DHCP Relay) und UDP 68 (Client) machen. Dem DHCP Server kannst du aber auch noch Protokolle entnehmen sofern eingestellt.

Gruß,
Peter
119944
119944 13.01.2015 um 11:50:32 Uhr
Goto Top
Hallo Pjordorf,

Mit Wireshark ein Capture auf die UDP Ports 67 (Server / DHCP Relay) und UDP 68 (Client) machen. Dem DHCP Server kannst du aber
auch noch Protokolle entnehmen sofern eingestellt.
Ich sehe leider nur "DHCP Discover Transactions" und somit keine Antwort vom Relay face-sad

Ist denn der Grundgedanke von mir Richtig? Slainte hat mich da jetzt etwas verwirrt...

VG
Valexus
SlainteMhath
Lösung SlainteMhath 13.01.2015 aktualisiert um 13:09:44 Uhr
Goto Top
Ok nochmal langsam.

Du musst...
... am Server für jedes VLAN einen Scope mit korrekter Subnetzmaske konfigueiren.
... am Router für jedes VLAN einen Agent konfigurieren der auf den DHCP Server "zeigt"

/EDIT: Die IP des Relay Agents muss dabei aus dem gleichen Subnetz stammen wie die IPs die vergeben werden sollen.

Nur dann bekommen die Clients in den VLAN ihre (korrekten) IPs zugewiesen.
emeriks
Lösung emeriks 13.01.2015 aktualisiert um 13:09:44 Uhr
Goto Top
Slainte hat mich da jetzt etwas verwirrt...
Ja, mich auch .... face-wink

Ist denn der Grundgedanke von mir Richtig?
Ja.
Ich kenne jetzt diesen Draytek nicht, aber ich vermute, er wird wirklich nur innerhalb des jeweiligen VLAN DHCP Relay spielen.

Dabei fällt mir ein:
Was meinst Du eigentlich mit ...?
an einem Untagged VLAN40 Port
Hast Du den Port jetzt fest einem VLAN zugeordnet oder meinst Du, dass die Zuweisung über die am Client eingetragene VLAN-ID erfolgen soll?

E.
119944
119944 13.01.2015 um 12:48:57 Uhr
Goto Top
Du musst...
... am Server für jedes VLAN einen Scope mit korrekter Subnetzmaske konfigueiren.
... am Router für jedes VLAN einen Agent konfigurieren der auf den DHCP Server "zeigt"

/EDIT: Die IP des Relay Agents muss dabei aus dem gleichen Subnetz stammen wie die IPs die vergeben werden sollen.

Nur dann bekommen die Clients in den VLAN ihre (korrekten) IPs zugewiesen.
Also ich hab folgendes Eingestellt:

Windows Server 2012R2:
VLAN40
IPs: 192.168.40.11-100
GW: 192.168.40.10
SN: 255.255.255.0
NS: 192.168.60.250

VLAN42
IPs: 192.168.42.11-100
GW: 192.168.42.10
SN: 255.255.255.0
NS: 192.168.60.250

VLAN60
IPs: 192.168.60.11-20
GW: 192.168.60.10
SN: 255.255.255.0
NS: 192.168.60.250

DrayTek:
Relay VLAN40
DHCP Server Location VLAN60
DHCP Server IP: 192.168.60.250
DHCP Relay Agent IP: 192.168.40.1

Relay VLAN42
DHCP Server Location VLAN60
DHCP Server IP: 192.168.60.250
DHCP Relay Agent IP: 192.168.42.1

Dabei fällt mir ein:
Was meinst Du eigentlich mit ...?
> an einem Untagged VLAN40 Port
Hast Du den Port jetzt fest einem VLAN zugeordnet oder meinst Du, dass die Zuweisung über die am Client eingetragene VLAN-ID
erfolgen soll?
Der Port ist am Switch fest dem VLAN40 zugeordnet, nur eben untagged damit jeder Client dort funktioniert.

Das Gateway in allen VLANs ist bei mir der Netgear Switch, damit das VLAN Routing funktioniert. Dieser kann aber kein DHCP Relay.
Könnte es sein, dass es damit Probleme gibt und ich dafür einen Layer3 Switch benötige?

VG
Valexus
119944
119944 13.01.2015 aktualisiert um 13:08:57 Uhr
Goto Top
Verdammt ich hab das Problem gefunden!

Wenn das GW auf dem DHCP Server sowie in den DHCP-Bereichsoptionen auf den Switch gestellt ist, dann funktioniert es nicht.
Stelle ich das GW in beiden fällen auf den Router funktioniert es...
Leider funktioniert dann das VLAN Routing nicht mehr und der ganze Traffic zwischen den VLANs wird über den Router geleitet face-sad

Dann komme ich wohl nicht um einen zentralen Layer3 Switch herum.
SlainteMhath
SlainteMhath 13.01.2015 um 13:10:14 Uhr
Goto Top
Evtl. hat der Switch "Schutz"Funktionen gg. DHCP spoofing oder ähnliches? oder er hat selbst einen DHCP Agent/Helper?
119944
119944 13.01.2015 aktualisiert um 13:48:31 Uhr
Goto Top
Hat er prinzipiell, diese waren aber deaktiviert, eine DHCP Relay Funktion hat er leider nicht.
Sobald der DHCP Server als GW den Switch eingetragen hat ist keine IP Vergabe über den Router möglich.
Da werde ich mit meinen 3 Virtuellen Interfaces in jedes VLAN erstmal leben müssen und in Zukunft einen Cisco SG300 kaufen.
Danke für eure Antworten und Hilfe!