DHCP-Snooping - Fehler bei Vergabe des Gateways
Hallo Leute,
wir möchten die Netzwerksicherheit durch DHCP-Snooping (darauf aufbauend dann auch später auch mittels dyn. ARP-Inspection bzw. RA-Guard) verbessern.
Wir verwenden Ruckus ICX Switches und haben seit ca. 1 Woche DHCP-Snooping in allen VLANs aktiviert. Seit jeher sind unsere Domänencontroller auch DHCP-Server. In den VLANs sind seit mehreren Jahren DHCP-Helper konfiguriert, die DHCP-Kommunikation an die DCs weiterleiten. Die Konfiguration läuft, mit Ausnahme von unserem VOIP-Netz, bisher fehlerfrei.
Im Gegensatz zum Rest des Netzwerks übernimmt unsere Mitel TK-Anlage den DHCP-Dienst im VOIP-Netz. Mit aktiviertem DHCP-Snooping im VOIP-Netz erhalten unsere Telefone zwar eine IP, es wird aber kein bzw. ein falsches Gateway (1.0.0.1) gesetzt- wenn ich DHCP-Snooping deaktiviere klappt wieder alles.
Könnt ihr mir einen Tipp geben wo ich ansetzten könnte?
Danke!
wir möchten die Netzwerksicherheit durch DHCP-Snooping (darauf aufbauend dann auch später auch mittels dyn. ARP-Inspection bzw. RA-Guard) verbessern.
Wir verwenden Ruckus ICX Switches und haben seit ca. 1 Woche DHCP-Snooping in allen VLANs aktiviert. Seit jeher sind unsere Domänencontroller auch DHCP-Server. In den VLANs sind seit mehreren Jahren DHCP-Helper konfiguriert, die DHCP-Kommunikation an die DCs weiterleiten. Die Konfiguration läuft, mit Ausnahme von unserem VOIP-Netz, bisher fehlerfrei.
Im Gegensatz zum Rest des Netzwerks übernimmt unsere Mitel TK-Anlage den DHCP-Dienst im VOIP-Netz. Mit aktiviertem DHCP-Snooping im VOIP-Netz erhalten unsere Telefone zwar eine IP, es wird aber kein bzw. ein falsches Gateway (1.0.0.1) gesetzt- wenn ich DHCP-Snooping deaktiviere klappt wieder alles.
Könnt ihr mir einen Tipp geben wo ich ansetzten könnte?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1231414204
Url: https://administrator.de/forum/dhcp-snooping-fehler-bei-vergabe-des-gateways-1231414204.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
15 Kommentare
Neuester Kommentar
Du redest von "VLANs" also Plural. Das lässt einen Verdacht aufkommen: Hat das Mitel VLAN Segment eine Layer 3 IP, sprich wird geroutet auf einem Layer 3 Switch ?
Wenn ja ist dort ggf. fälschlicherweise DHCP Helper konfiguriert worden ? Auf dem Voice VLAN Interface würde es dann zu solchen Problemen kommen, denn dort darf natürlich KEIN Helper konfiguriert werden.
Der Helper darf natürlich immer einzig nur in L2 Segmenten definiert werden wo kein DHCP Server aktiv ist.
Wenn ja ist dort ggf. fälschlicherweise DHCP Helper konfiguriert worden ? Auf dem Voice VLAN Interface würde es dann zu solchen Problemen kommen, denn dort darf natürlich KEIN Helper konfiguriert werden.
Der Helper darf natürlich immer einzig nur in L2 Segmenten definiert werden wo kein DHCP Server aktiv ist.
Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
Moin,
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Wie schaut die Konfiguration des VLAN- Interface auf dem Switch aus? Würden Helper-Adressen gesetzt? Sind vielleicht mehrere DHCP-Server im Netz?
Ich kenne von der Mitel MiVoice einen amoklaufenden DHCP Dienst, weiß aber nicht mehr welche Releasebuild das war. Meine war irgendwas um die Release 6.1
Grüße
Niklas
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Wie schaut die Konfiguration des VLAN- Interface auf dem Switch aus? Würden Helper-Adressen gesetzt? Sind vielleicht mehrere DHCP-Server im Netz?
Ich kenne von der Mitel MiVoice einen amoklaufenden DHCP Dienst, weiß aber nicht mehr welche Releasebuild das war. Meine war irgendwas um die Release 6.1
Grüße
Niklas
Würden Helper-Adressen gesetzt?
Er betreibt die Switches rein im L2 Mode ! (Siehe Thread Beschreibung) Da gibts dann logischerweise keine Helper auf den Switches da das eine L3 Funktion ist was ja die Firewall beim TO übernimmt.Lesen hilft...!
Ich halte euch auf dem laufenden
Wir sind gespannt !Sind auf der 08.09j
Gut aktuell ist der m Patch. Wäre einen Versuch wert auf einem Testsystem. Oder vorher mal in die Release Notes des m Patches sehen ob da was im Bereich DHCP gefixt wurde.Vermutlich ist das Problem aber nicht der Switch... Wartne wir mal auf den Kabelhai.
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Mmmhh, das mag aber daran liegen das der DHCP eine Lease in der Lease Database hat wenn du zuerst den Test ohne Snooping gemacht hast. Dann kommt immer nur ein ACK und kein Offer mehr. Man musste also fairerweise die Lease Detabase löschen und dann erst den Snooping Test machen.auf den zentralen DHCP-Server zu verlegen?
Wäre sicher sinnvoll. Du musst dann aber genau klären welche DHCP Options die Telefone zwingend brauchen. Meist wird damit der Server mitgegeben wo die Telefone sich die neuesten Images und Setups ziehen. Ein Blick ins Mitel Handbuch und/oder Anruf bei deren SEs kann da sicher nicht schaden. Ansonsten spricht aber natürlich nichts dagegen das auch vom zentralen DHCP Server mit erledigen zu lassen. Erleichtert das Management und ist eine mögliche Fehlerquelle weniger. Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.
dass da keine außergewöhnlichen Optionen mit angeboten werden
Da hast du Recht allerdings ist aus deiner Beschreibung oben nicht ganz klar ob du statt des Telefons den Laptop angeschlossen hast oder mit einem Tap den Telefon DHCP Traffic direkt selber belauscht hast.Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte.
Befragt man Dr. Google danach sind es, wie zu erwarten, ggf. ein paar Options mehr... Ganz speziell, wie immer, die Option 43 !
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.
Hatte den Laptop einfach so dran ohne TAP/TUN.
Du benutzt doch hervorragende Ruckus ICX Switches die einen Mirror Port (Spiegelport, RSPAN) supporten !! Das ist dir vermutlich entgangen, oder ?! Den aktivierst du und spiegelst dir den Telefonport auf einem freien Port des Switches. Damit kannst du dann original genau sehen wie sich das Telefon verhält ohne die Fruckelei mit einem TAP.
Guckst du hier: