andreas377
Goto Top

DHCP Server und DHCP Relay Konfiguration - Grundlagen

Guten Tag,

Ich bekomme aus dem Subnetz keine IP Adresse vom DHCP Server. Bin durch die lange Fehlersuche nun auch verunsichert wie der DHCP und der Relay Agent konfiguriert werden muss.
Der DHCP Relay Agent ist eine Securepoint UTM. Ich habe folgende Konfiguration.

Es besteht eine S2S Verbindung über den Tunnel in das Netz 192.168.2.0/24
Das Netz hinter der Firewall ist 192.168.100.0/24 ->Transfernetz->192.168.2.0/24
Die UTM selbst hat die 192.168.100.1.
Die Regeln stehen aktuell noch auf ANY zur Fehlersuche.

Der DHCP Server ist virtuell und hat 2 NIC.
1. NIC 192.168.2.10 verbunden mit dem virtuellen Switch.
2. NIC 192.168.100.11 nicht verbunden.

DHCP Server IP 192.168.2.10/24
Auf dem Server ist ein weiterer Bereich eingerichtet der dann die IP Adressen aus dem 100er Netz vergeben soll und wie folgt an die Clients vergeben soll.
IP Range 192.168.100.15 bis 192.168.100.50
DNS 192.168.100.1
Gateway 192.168.100.1

In der UTM ist der DHCP Relay Agent wie folgt konfiguriert.
192.168.2.10 (DHCP Server)

Was muss ich an dem DHCP Server einstellen? Kann ich mit Bereichsgruppen arbeiten?
Ich bin nicht sicher ob ich ein Design Fehler habe. Denn es hat schon einmal (wirklich nur einmal) funktionert.
Es wurde nichts verändert.

Da nun langsam der Securepoint Support (welcher echt gut ist) und ich an meine Grenzen stoßen, wollte ich gerne über das Forum abklären ob es so funktionieren kann.
Oder auch wie es richtig eingerichtet wird. Ich muss sicherstellen das meine Konstellation funktioniert oder auch nicht funktioniert.

Gruß
Andreas

Content-ID: 571482

Url: https://administrator.de/forum/dhcp-server-und-dhcp-relay-konfiguration-grundlagen-571482.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

gammelobst
gammelobst 13.05.2020 aktualisiert um 23:53:13 Uhr
Goto Top
Hallo,

gibt es auch genauere Infos über den DHCP-Server?
Wieso die 2. Netzwerkkarte mit dem 100er Subnetz, die ned angeschlossen ist?
Wie ist das 192.168.2.0/24 Subnetz an das Netz angebunden? -> ok, per VPN.
Ist ein Ping auf den DHCP aus dem 100er-Subnetz möglich?

cya
Andreas377
Andreas377 14.05.2020 um 01:13:17 Uhr
Goto Top
Zitat von @gammelobst:

Hallo,

gibt es auch genauere Infos über den DHCP-Server?
Es handelt sich um einen Windows Server 2012 R2
Wieso die 2. Netzwerkkarte mit dem 100er Subnetz, die ned angeschlossen ist?
Die war schon vorhanden um intern auf den Hyper-V Host zu kommen. Das die aus dem 100er Netz eine IP hat ist Zufall.
Wie ist das 192.168.2.0/24 Subnetz an das Netz angebunden? -> ok, per VPN.
Nein per VPN ist das 100er Netz angebunden, und zwar über eine S2S Verbindung in das 2er Netz wo auch der DHCP Server steht.
Das 2er Netz ist die Zentrale also das Firmennetz wo auch einige Clients stehen. Die IP Adressenvergabe im 2er Netz ist kein Problem.
Ist ein Ping auf den DHCP aus dem 100er-Subnetz möglich?
Das habe ich noch nicht ausprobiert.
Die Hauptfrage ist eigentlich auf was muss ich achten? Wie werden die Bereiche konfiguriert und benötige ich überhaupt eine 2. Netzwerkkarte.
Oder kann ich der 1 NIC eine IP Adresse aus dem 100er Netz geben?
Liegt das Problem an dem Aufbau oder an einer falschen Konfiguration der UTM?

Vielen Dank.

cya
lcer00
lcer00 14.05.2020 um 07:23:07 Uhr
Goto Top
Hallo,

teste wenn möglich mit einem PC im 192.168.2.0er Netz ob der DHCP Server überhaupt arbeitet.

Dann: welcher Switch ist dazwischen?

Grüße

lcer
BernhardMeierrose
BernhardMeierrose 14.05.2020 um 08:35:44 Uhr
Goto Top
Moin,

ich würde vom Grundsatz erstmal ein Wireshark o.Ä. auf die Verbindung zwischen DHCP-Server und -Relay setzen. Dann siehst Du, ob da Requests laufen bzw. beantwortet werden. Wenn da keine Requests flie
Die 100er IP auf dem DHCP-Server sieht irgendwie störend aus, auch wenn die nicht verbunden ist. Die würde ich einfach mal testhalber rausnehmen.

Gruß
Bernhard
Andreas377
Andreas377 14.05.2020 um 10:12:31 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

teste wenn möglich mit einem PC im 192.168.2.0er Netz ob der DHCP Server überhaupt arbeitet.
Ja der DHCP Server vergibt im 2er Netz Adressen. Das passt soweit.

Dann: welcher Switch ist dazwischen?
Normaler Switch ohne Konfiguration. Keine VLANS eingerichtet.

Grüße

lcer
Andreas377
Andreas377 14.05.2020 um 10:14:39 Uhr
Goto Top
Zitat von @BernhardMeierrose:

Moin,

ich würde vom Grundsatz erstmal ein Wireshark o.Ä. auf die Verbindung zwischen DHCP-Server und -Relay setzen. Dann siehst Du, ob da Requests laufen bzw. beantwortet werden. Wenn da keine Requests flie
Ja da laufen DHCP Request. Aber es werden keine IP´s aus dem 100er Netz vergeben.
Ist denn mein Aufbau korrekt? Zweifel hier noch.
Die 100er IP auf dem DHCP-Server sieht irgendwie störend aus, auch wenn die nicht verbunden ist. Die würde ich einfach mal testhalber rausnehmen.
Auch ohne diese IP funktioniert es nicht.

Gruß
Bernhard
gammelobst
gammelobst 14.05.2020 um 10:36:00 Uhr
Goto Top
Hallo,

das 100er Subnetz ist ja ausserhalb, des 2er Subnetzes, hast du da auch an die Edgeausnahme in der DHCP-Firewall-Regel gedacht?

cya
aqui
Lösung aqui 14.05.2020 aktualisiert um 10:42:33 Uhr
Goto Top
Ist denn mein Aufbau korrekt? Zweifel hier noch.
Ja, ist er.
Der Relay Agent ist immer auf dem Routing Device in dem Netz was keinen DHCP Server hat.
Der Relay Agent ersetzt dann die Absender IP Adresse des DHCP Clients mit seiner eigenen und forwardet den Request per Unicast dann an den DHCP Server der im Relay Agent konfiguriert ist.
Kommt der am DHCP Server an erkennt der am DHCP Relay Feld das Subnetz und antwortet mit einem Unicast Reply. Siehe dazu auch hier Punkt 3.1:
https://www.netmanias.com/en/post/techdocs/6000/dhcp-network-protocol/un ...

Wie Kollege @BernhardMeierrose oben schon richtig sagt solltest du am DHCP Server mal einen Wireshark oder Microsoft Network Monitor laufen lassen und dir mal genau ansehen ob an deinem Wireshark überhaupt die DHCP Requests des UTM Relay Agents ankommen.
Wenn diese gar nicht erst ankommen, kann natürlich keine IP Adresse vergeben werden.
Aber auch wenn die DHCP Reply Pakete vom Server in der Firewall durch falsche Regeln blockiert werden hast du natürlich auch ein Problem.
Fazit: Messen und den Fehler dann eingrenzen !
BernhardMeierrose
Lösung BernhardMeierrose 14.05.2020 um 10:56:15 Uhr
Goto Top
Zitat von @Andreas377:
Ja da laufen DHCP Request. Aber es werden keine IP´s aus dem 100er Netz vergeben.

Was bedeutet das genau?
Kommen aus dem 100er-Netz Requests am DHCP-Server an, die vom DHCP-Relay stammen?
Wenn ja, werden die gar nicht oder falsch vom DHCP-Server beantwortet ? (darfst auch gerne Infos aus dem Wireshark posten)

Und irgendwo zwischden dem entferntem UTM in der Zweigestelle und dem DHCP-Server steht ja noch eine Firewall, die lässt auch die DHCP-Relay-Pakete durch?

Gruß
Bernhard
Andreas377
Andreas377 14.05.2020 um 14:53:47 Uhr
Goto Top
Zitat von @aqui:

Ist denn mein Aufbau korrekt? Zweifel hier noch.
Ja, ist er.
Der Relay Agent ist immer auf dem Routing Device in dem Netz was keinen DHCP Server hat.
Der Relay Agent ersetzt dann die Absender IP Adresse des DHCP Clients mit seiner eigenen und forwardet den Request per Unicast dann an den DHCP Server der im Relay Agent konfiguriert ist.
Kommt der am DHCP Server an erkennt der am DHCP Relay Feld das Subnetz und antwortet mit einem Unicast Reply. Siehe dazu auch hier Punkt 3.1:
https://www.netmanias.com/en/post/techdocs/6000/dhcp-network-protocol/un ...

Wie Kollege @BernhardMeierrose oben schon richtig sagt solltest du am DHCP Server mal einen Wireshark oder Microsoft Network Monitor laufen lassen und dir mal genau ansehen ob an deinem Wireshark überhaupt die DHCP Requests des UTM Relay Agents ankommen.
Hier lag der Hund begraben, durch eine Fehlkonfiguration der UTM Schnittstelle wurde das falsche Subnetz mitgeschickt. Es war das Transfernetz mit der IP Adresse 200.X. Dafür exisitiert auf dem DHCP Server aber kein Bereich und deshalb wurden die auch nicht beantwortet.
Wenn diese gar nicht erst ankommen, kann natürlich keine IP Adresse vergeben werden.
Aber auch wenn die DHCP Reply Pakete vom Server in der Firewall durch falsche Regeln blockiert werden hast du natürlich auch ein Problem.
Fazit: Messen und den Fehler dann eingrenzen !
Andreas377
Andreas377 14.05.2020 um 14:55:12 Uhr
Goto Top
Zitat von @BernhardMeierrose:

Zitat von @Andreas377:
Ja da laufen DHCP Request. Aber es werden keine IP´s aus dem 100er Netz vergeben.

Was bedeutet das genau?
Kommen aus dem 100er-Netz Requests am DHCP-Server an, die vom DHCP-Relay stammen?
Nein hier lag der Fehler. Es sind keine DHCP Request aus dem 100er Netz am DHCP angekommen.
Wenn ja, werden die gar nicht oder falsch vom DHCP-Server beantwortet ? (darfst auch gerne Infos aus dem Wireshark posten)

Und irgendwo zwischden dem entferntem UTM in der Zweigestelle und dem DHCP-Server steht ja noch eine Firewall, die lässt auch die DHCP-Relay-Pakete durch?

Gruß
Bernhard
aqui
aqui 14.05.2020 aktualisiert um 16:11:49 Uhr
Goto Top
...und bitte nicht immer in unübersichtlichen Einzelthreads antworten im Minutenabstand ! face-sad
Das kann man auch intelligent in einem einzigen zusammen fassen wenn man @_Nickname benutzt !
Hier lag der Hund begraben, durch eine Fehlkonfiguration der UTM Schnittstelle wurde das falsche Subnetz mitgeschickt.
Klassischer Flüchtigkeitsfehler wenn man die Konfig nicht kontrolliert face-wink
Andreas377
Andreas377 14.05.2020 um 20:45:18 Uhr
Goto Top
Zitat von @aqui:

...und bitte nicht immer in unübersichtlichen Einzelthreads antworten im Minutenabstand ! face-sad
Das kann man auch intelligent in einem einzigen zusammen fassen wenn man @_Nickname benutzt !
Ich werde es berücksichtigen - bin nicht so oft hier face-smile
Hier lag der Hund begraben, durch eine Fehlkonfiguration der UTM Schnittstelle wurde das falsche Subnetz mitgeschickt.
Klassischer Flüchtigkeitsfehler wenn man die Konfig nicht kontrolliert face-wink
Oder noch ganz am Anfang steht und nicht weiß welche Pakete am DHCP Server ankommen müssen.
Mit eurer Hilfe habe ich es aber dann lösen können.

Dickes Danke an Alle.
aqui
aqui 15.05.2020 um 15:38:54 Uhr
Goto Top
und nicht weiß welche Pakete am DHCP Server ankommen müssen.
Wireshark ist wie immer dein bester Freund hier ! face-wink