7
DHCP Relay Agent und Sophos UTM
Hallo zusammen,
ich möchte mein VLAN 10, welches an einer Sophos UTM9 bereitgestellt wird, mit meinem Windows DHCP Server versorgen.
Den DHCP Reley Agent dazu habe ich auf der Sophos angelegt und nun stehen in dem Scope auch meine Maschinen.
Leider erreiche ich diese aber seitdem nicht mehr und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt. ( Aufruf der Website eines Servers)
Setze ich die Sophos als DHCP Server ein, so funktioniert der Zugriff auf die Geräte einwandfrei.
Teilweise sind die Geräte am Micrsoft DHCP-Server wieder verschwunden nach LeaseAblauf.
Aktuell habe ich den Sophos DHCP wieder auf dem Interface laufen und es funktioniert.
Habt ihr eine Idee, wo das Problem liegen könnte? Routingproblem?
Aufbau ist wie folgt:
Sophos VLAN 10->
Cisco Switchport 1 Tagged ->
3COM Switch ->
Client
Vielen Dank im Vorraus!
ich möchte mein VLAN 10, welches an einer Sophos UTM9 bereitgestellt wird, mit meinem Windows DHCP Server versorgen.
Den DHCP Reley Agent dazu habe ich auf der Sophos angelegt und nun stehen in dem Scope auch meine Maschinen.
Leider erreiche ich diese aber seitdem nicht mehr und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt. ( Aufruf der Website eines Servers)
Setze ich die Sophos als DHCP Server ein, so funktioniert der Zugriff auf die Geräte einwandfrei.
Teilweise sind die Geräte am Micrsoft DHCP-Server wieder verschwunden nach LeaseAblauf.
Aktuell habe ich den Sophos DHCP wieder auf dem Interface laufen und es funktioniert.
Habt ihr eine Idee, wo das Problem liegen könnte? Routingproblem?
Aufbau ist wie folgt:
Sophos VLAN 10->
Cisco Switchport 1 Tagged ->
3COM Switch ->
Client
Vielen Dank im Vorraus!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394528
Url: https://administrator.de/forum/dhcp-relay-agent-und-sophos-utm-394528.html
Ausgedruckt am: 01.04.2025 um 07:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
vielleicht das selbe Problem, dass dieser Kollege mit nem Zyxel hatte:
Problem mit Zyxel USG60 als DHCP Relay
Gruß
Looser
vielleicht das selbe Problem, dass dieser Kollege mit nem Zyxel hatte:
Problem mit Zyxel USG60 als DHCP Relay
Gruß
Looser
Moin,
mal "dumm" gefragt:
wie hast du den Scope definiert:
wie lautet due Subnetmask?
Wie lautet das Default-Gateway, welches du dem VClient mitgibst.
vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.
Und was ergibt ein ipconfig /all am Client (sofern es eine Windows-Kiste ist)
Gruß
em-pie
mal "dumm" gefragt:
wie hast du den Scope definiert:
wie lautet due Subnetmask?
Wie lautet das Default-Gateway, welches du dem VClient mitgibst.
vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.
Und was ergibt ein ipconfig /all am Client (sofern es eine Windows-Kiste ist)
Gruß
em-pie
und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt.
Das ist natürlich völliger Quatsch sofern das VLAN 10 direkt an deine UTM angeschlossen ist, sprich die UTM auch das gateway für dieses IP Netz ist !Damit "kennt" sie ja das Netzwerk und eine Route wäre Unsinn !
Anders sieht es aus wenn der VLAN Router oder L3 Switch ein externer ist und NICHT die UTM aber leider machst du hier ja keinerlei Angaben zu deinem Layer 3 Netzdesign so das wir hier nur im freien Fall raten können
Bedenken solltest du natürlich auch noch die Firewall Regeln an der UTM !
Dort musst du natürl DHCP UDP 67 und 68 passieren lassen.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
Wie immer:
Lasse einen Paket Sniffer (Wireshark, tcpdump etc.) auf dem DHCP Server laufen und checke ob die geforwardeten DHCP Pakete von der UTM dort überhaupt ankommen und ob der DHCP Server darauf antwortet.
So kannst du wenigstens sicher sein wie weit die DHCP Pakete kommen und WO genau sie hängen bleiben.
Kommt man als Netzwerker aber eigentlich auch von selber drauf
Das gleiche Problem hatten wir übrigens kürzlich hier schon mal:
Problem mit Zyxel USG60 als DHCP Relay
Die Suchfunktion lässt grüßen
Genau so, wie vorher von der Sophos verteilt wurde.
Gateway und DNS ist die Schnittstelle an der Sophos
vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.
Seltsam ist eben, dass nach einen Wartezeit fast alle Systeme eine IP bekommen und ansprechbar sind. Nach ein paar Stunden verschwinden diese wieder aus dem MS DHCP Server und sind nicht ansprechbar.
Gruß
em-pie
Gateway und DNS ist die Schnittstelle an der Sophos
wie lautet due Subnetmask?
Schnittstelle Sophos /24Wie lautet das Default-Gateway, welches du dem VClient mitgibst.
Sophos VLAN Schnitstelle 10.9.20.1vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.
Und was ergibt ein ipconfig /all am Client (sofern es eine Windows-Kiste ist)
Habe dort leider aktuell nur ILO und MGMT Schnittstellen dran. Würde ich aber noch mit untersuchen.Seltsam ist eben, dass nach einen Wartezeit fast alle Systeme eine IP bekommen und ansprechbar sind. Nach ein paar Stunden verschwinden diese wieder aus dem MS DHCP Server und sind nicht ansprechbar.
Gruß
em-pie
Zitat von @aqui:
Ja, so sehe ich das auch. Seltsamerweise wird es aber eben angeziegt.und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt.
Das ist natürlich völliger Quatsch sofern das VLAN 10 direkt an deine UTM angeschlossen ist, sprich die UTM auch das gateway für dieses IP Netz ist !Damit "kennt" sie ja das Netzwerk und eine Route wäre Unsinn !
Anders sieht es aus wenn der VLAN Router oder L3 Switch ein externer ist und NICHT die UTM aber leider machst du hier ja keinerlei Angaben zu deinem Layer 3 Netzdesign so das wir hier nur im freien Fall raten können
Bedenken solltest du natürlich auch noch die Firewall Regeln an der UTM !
Dort musst du natürl DHCP UDP 67 und 68 passieren lassen.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
Wie immer:
Lasse einen Paket Sniffer (Wireshark, tcpdump etc.) auf dem DHCP Server laufen und checke ob die geforwardeten DHCP Pakete von der UTM dort überhaupt ankommen und ob der DHCP Server darauf antwortet.
So kannst du wenigstens sicher sein wie weit die DHCP Pakete kommen und WO genau sie hängen bleiben.
Kommt man als Netzwerker aber eigentlich auch von selber drauf
Das gleiche Problem hatten wir übrigens kürzlich hier schon mal:
Problem mit Zyxel USG60 als DHCP Relay
Die Suchfunktion lässt grüßen
Anders sieht es aus wenn der VLAN Router oder L3 Switch ein externer ist und NICHT die UTM aber leider machst du hier ja keinerlei Angaben zu deinem Layer 3 Netzdesign so das wir hier nur im freien Fall raten können
Bedenken solltest du natürlich auch noch die Firewall Regeln an der UTM !
Dort musst du natürl DHCP UDP 67 und 68 passieren lassen.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...
Wie immer:
Lasse einen Paket Sniffer (Wireshark, tcpdump etc.) auf dem DHCP Server laufen und checke ob die geforwardeten DHCP Pakete von der UTM dort überhaupt ankommen und ob der DHCP Server darauf antwortet.
So kannst du wenigstens sicher sein wie weit die DHCP Pakete kommen und WO genau sie hängen bleiben.
Kommt man als Netzwerker aber eigentlich auch von selber drauf
Das gleiche Problem hatten wir übrigens kürzlich hier schon mal:
Problem mit Zyxel USG60 als DHCP Relay
Die Suchfunktion lässt grüßen
Wireshark läuft und gibt mir als Info, dass die Syns und Acks durchkommen. Nach ca 30 - 60 min sieht das aber anders aus. Ich bekomme nichts mehr von den Clients im VLAN zu sehen.
Ich hänge nun mal ein Windows Rechner an den Switch und prüfe, was mit der Konfig nach der Zeit passiert.
Vielen Dank schon makl!
Mein Windows Client bekommt keine IP, seltsamerweise sind aber über Nacht einige Geräte im MS DHCP aufgetaucht und sind aktuell auch ansprechbar über die vergebene IP.
Wireshark läuft und gibt mir als Info, dass die Syns und Acks durchkommen. Nach ca 30 - 60 min sieht das aber anders aus.
Mmmhhh... Es klappt also alles fehlerlos für 30-60 Minuten und danach von Geisterhand nicht mehr ?Da gibts dann nur 2 mögliche Ursachen:
- Du hast eine zeitgesteuerte ACL auf der FW
- Ein Bug in der Firmware
Aktuellste Firmware hast du installiert ?
Ansonsten Case aufmachen bei Sophos !
