15
DHCP-Snooping - Fehler bei Vergabe des Gateways
Hallo Leute,
wir möchten die Netzwerksicherheit durch DHCP-Snooping (darauf aufbauend dann auch später auch mittels dyn. ARP-Inspection bzw. RA-Guard) verbessern.
Wir verwenden Ruckus ICX Switches und haben seit ca. 1 Woche DHCP-Snooping in allen VLANs aktiviert. Seit jeher sind unsere Domänencontroller auch DHCP-Server. In den VLANs sind seit mehreren Jahren DHCP-Helper konfiguriert, die DHCP-Kommunikation an die DCs weiterleiten. Die Konfiguration läuft, mit Ausnahme von unserem VOIP-Netz, bisher fehlerfrei.
Im Gegensatz zum Rest des Netzwerks übernimmt unsere Mitel TK-Anlage den DHCP-Dienst im VOIP-Netz. Mit aktiviertem DHCP-Snooping im VOIP-Netz erhalten unsere Telefone zwar eine IP, es wird aber kein bzw. ein falsches Gateway (1.0.0.1) gesetzt- wenn ich DHCP-Snooping deaktiviere klappt wieder alles.
Könnt ihr mir einen Tipp geben wo ich ansetzten könnte?
Danke!
wir möchten die Netzwerksicherheit durch DHCP-Snooping (darauf aufbauend dann auch später auch mittels dyn. ARP-Inspection bzw. RA-Guard) verbessern.
Wir verwenden Ruckus ICX Switches und haben seit ca. 1 Woche DHCP-Snooping in allen VLANs aktiviert. Seit jeher sind unsere Domänencontroller auch DHCP-Server. In den VLANs sind seit mehreren Jahren DHCP-Helper konfiguriert, die DHCP-Kommunikation an die DCs weiterleiten. Die Konfiguration läuft, mit Ausnahme von unserem VOIP-Netz, bisher fehlerfrei.
Im Gegensatz zum Rest des Netzwerks übernimmt unsere Mitel TK-Anlage den DHCP-Dienst im VOIP-Netz. Mit aktiviertem DHCP-Snooping im VOIP-Netz erhalten unsere Telefone zwar eine IP, es wird aber kein bzw. ein falsches Gateway (1.0.0.1) gesetzt- wenn ich DHCP-Snooping deaktiviere klappt wieder alles.
Könnt ihr mir einen Tipp geben wo ich ansetzten könnte?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1231414204
Url: https://administrator.de/contentid/1231414204
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
15 Kommentare
Neuester Kommentar
Du redest von "VLANs" also Plural. Das lässt einen Verdacht aufkommen: Hat das Mitel VLAN Segment eine Layer 3 IP, sprich wird geroutet auf einem Layer 3 Switch ?
Wenn ja ist dort ggf. fälschlicherweise DHCP Helper konfiguriert worden ? Auf dem Voice VLAN Interface würde es dann zu solchen Problemen kommen, denn dort darf natürlich KEIN Helper konfiguriert werden.
Der Helper darf natürlich immer einzig nur in L2 Segmenten definiert werden wo kein DHCP Server aktiv ist.
Wenn ja ist dort ggf. fälschlicherweise DHCP Helper konfiguriert worden ? Auf dem Voice VLAN Interface würde es dann zu solchen Problemen kommen, denn dort darf natürlich KEIN Helper konfiguriert werden.
Der Helper darf natürlich immer einzig nur in L2 Segmenten definiert werden wo kein DHCP Server aktiv ist.
Hi, schonmal vielen Dank für die Antwort!
Nein, Im Mitel-VLAN ist kein IP/DHCP-Helper konfiguriert. Die Ruckus-Geräte laufen alle mit einem L2-Image. L3 (und auch IP-Helper) macht bei uns eine Firewall/IPS die in jedem VLAN ein "Beinchen" hat.
Was mich wundert ist, dass die restlichen DHCP-Optionen einwandfrei durch kommen. Z.b. die NTP-Konfig oder die Option 66 zum Auto-Provisioning der Telefone...
Sorry, habe mich im Start-Post evtl. unverständlich ausgedrückt.
Nein, Im Mitel-VLAN ist kein IP/DHCP-Helper konfiguriert. Die Ruckus-Geräte laufen alle mit einem L2-Image. L3 (und auch IP-Helper) macht bei uns eine Firewall/IPS die in jedem VLAN ein "Beinchen" hat.
Was mich wundert ist, dass die restlichen DHCP-Optionen einwandfrei durch kommen. Z.b. die NTP-Konfig oder die Option 66 zum Auto-Provisioning der Telefone...
Sorry, habe mich im Start-Post evtl. unverständlich ausgedrückt.
Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
Moin,
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Wie schaut die Konfiguration des VLAN- Interface auf dem Switch aus? Würden Helper-Adressen gesetzt? Sind vielleicht mehrere DHCP-Server im Netz?
Ich kenne von der Mitel MiVoice einen amoklaufenden DHCP Dienst, weiß aber nicht mehr welche Releasebuild das war. Meine war irgendwas um die Release 6.1
Grüße
Niklas
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Wie schaut die Konfiguration des VLAN- Interface auf dem Switch aus? Würden Helper-Adressen gesetzt? Sind vielleicht mehrere DHCP-Server im Netz?
Ich kenne von der Mitel MiVoice einen amoklaufenden DHCP Dienst, weiß aber nicht mehr welche Releasebuild das war. Meine war irgendwas um die Release 6.1
Grüße
Niklas
Zitat von @aqui:
Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.
Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.
Wäre jetzt auch mein Plan! Ich halte euch auf dem laufenden - komme erst Ende der Woche dazu...
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
Ich kann es mir auch nicht wirklich erklären. Das deaktivieren der DHCP-Snooping-Funktion war so das letzte was mir eingefallen ist. Sind auf der 08.09j.
Würden Helper-Adressen gesetzt?
Er betreibt die Switches rein im L2 Mode ! (Siehe Thread Beschreibung) Da gibts dann logischerweise keine Helper auf den Switches da das eine L3 Funktion ist was ja die Firewall beim TO übernimmt.Lesen hilft...!
Ich halte euch auf dem laufenden
Wir sind gespannt !Sind auf der 08.09j
Gut aktuell ist der m Patch. Wäre einen Versuch wert auf einem Testsystem. Oder vorher mal in die Release Notes des m Patches sehen ob da was im Bereich DHCP gefixt wurde.Vermutlich ist das Problem aber nicht der Switch... Wartne wir mal auf den Kabelhai.
Sooo...der Kabelhai hat "gesprochen" 
Habe mein Notebook einfach mal an das Kabel eines IP-Telefons angeschlossen und den Kabelhai angeschmissen:
Ohne Snooping:
Mit Snooping:
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Das Log des Switches ist auch soweit "sauber" - Man sieht relativ deutlich wie ich das Telefon abstecke und den Computer anstecke. Danach ist's ruhig...
Auch in der DHCP-Lease-Tabelle wird mein Notebook sauber eingetragen. Aber per ipconfig ist von einem Gateway weit und breit nichts zu sehen...
Ich schätze, dass die Mitel-Anlage da irgendwie zickt.
Macht es Sinn den DHCP-Dienst, wie bei den anderen VLANs, auf den zentralen DHCP-Server zu verlegen? So wie ich das sehe kommt von der Mitel-Anlage über DHCP eh so gut wie keine Konfig (SIP etc.) rüber. Bin jetzt kein Mitel-Spezi aber dann wird die endgültige Konfig wohl irgendwie über einen L2-Broadcast oder so verteilt.
Habe mein Notebook einfach mal an das Kabel eines IP-Telefons angeschlossen und den Kabelhai angeschmissen:
Ohne Snooping:
Mit Snooping:
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Das Log des Switches ist auch soweit "sauber" - Man sieht relativ deutlich wie ich das Telefon abstecke und den Computer anstecke. Danach ist's ruhig...
Auch in der DHCP-Lease-Tabelle wird mein Notebook sauber eingetragen. Aber per ipconfig ist von einem Gateway weit und breit nichts zu sehen...
Ich schätze, dass die Mitel-Anlage da irgendwie zickt.
Macht es Sinn den DHCP-Dienst, wie bei den anderen VLANs, auf den zentralen DHCP-Server zu verlegen? So wie ich das sehe kommt von der Mitel-Anlage über DHCP eh so gut wie keine Konfig (SIP etc.) rüber. Bin jetzt kein Mitel-Spezi aber dann wird die endgültige Konfig wohl irgendwie über einen L2-Broadcast oder so verteilt.
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Mmmhh, das mag aber daran liegen das der DHCP eine Lease in der Lease Database hat wenn du zuerst den Test ohne Snooping gemacht hast. Dann kommt immer nur ein ACK und kein Offer mehr. Man musste also fairerweise die Lease Detabase löschen und dann erst den Snooping Test machen.auf den zentralen DHCP-Server zu verlegen?
Wäre sicher sinnvoll. Du musst dann aber genau klären welche DHCP Options die Telefone zwingend brauchen. Meist wird damit der Server mitgegeben wo die Telefone sich die neuesten Images und Setups ziehen. Ein Blick ins Mitel Handbuch und/oder Anruf bei deren SEs kann da sicher nicht schaden. Ansonsten spricht aber natürlich nichts dagegen das auch vom zentralen DHCP Server mit erledigen zu lassen. Erleichtert das Management und ist eine mögliche Fehlerquelle weniger. Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.
Zitat von @aqui:
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Mmmhh, das mag aber daran liegen das der DHCP eine Lease in der Lease Database hat wenn du zuerst den Test ohne Snooping gemacht hast. Dann kommt immer nur ein ACK und kein Offer mehr. Man musste also fairerweise die Lease Detabase löschen und dann erst den Snooping Test machen.Hab im DHCP-Bereich der TK-Anlage den Lease-Eintrag für mein Notebook vor Aktivierung des Snooping gelöscht. Müsste also theoretisch eine mehr oder weniger "frische" IP-Lease gewesen sein.
Wäre sicher sinnvoll. Du musst dann aber genau klären welche DHCP Options die Telefone zwingend brauchen. Meist wird damit der Server mitgegeben wo die Telefone sich die neuesten Images und Setups ziehen. Ein Blick ins Mitel Handbuch und/oder Anruf bei deren SEs kann da sicher nicht schaden. Ansonsten spricht aber natürlich nichts dagegen das auch vom zentralen DHCP Server mit erledigen zu lassen. Erleichtert das Management und ist eine mögliche Fehlerquelle weniger.
Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.
Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.
Hmh, also aus dem von mir geposteten Offer der TK-Anlage geht ja hervor, dass da keine außergewöhnlichen Optionen mit angeboten werden oder sehe ich das falsch? Scheint so, als ob die Telefone einen anderen Mechanismus zur Konfiguration haben - vielleicht irgendwas auf L2-Broadcast-Basis (aber das kann ich über den Mitel Support klären).
dass da keine außergewöhnlichen Optionen mit angeboten werden
Da hast du Recht allerdings ist aus deiner Beschreibung oben nicht ganz klar ob du statt des Telefons den Laptop angeschlossen hast oder mit einem Tap den Telefon DHCP Traffic direkt selber belauscht hast.Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte.
Befragt man Dr. Google danach sind es, wie zu erwarten, ggf. ein paar Options mehr... Ganz speziell, wie immer, die Option 43 !
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.
Zitat von @aqui:
Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte.
dass da keine außergewöhnlichen Optionen mit angeboten werden
Da hast du Recht allerdings ist aus deiner Beschreibung oben nicht ganz klar ob du statt des Telefons den Laptop angeschlossen hast oder mit einem Tap den Telefon DHCP Traffic direkt selber belauscht hast.Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte.
Ach wieder was gelernt...Hatte den Laptop einfach so dran ohne TAP/TUN. Dachte auch der DHCP bietet grundsätzlich alles an was er hat und der Client sucht sich dann seinen "Kram" raus - Danke!
Befragt man Dr. Google danach sind es, wie zu erwarten, ggf. ein paar Options mehr... Ganz speziell, wie immer, die Option 43 !
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.
Hab den DHCP-Scope auf unserem zentralen DHCP mal schnell angelegt, DHCP auf der TK ausgeschaltet, IP-Helper aktiviert und einen Factory-Reset am IP-Phone durchgeführt (inkl. Neuanlage des Gerätes in der TK-Anlage). Ergebnis: Zieht sich die Konfig (bisher) einwandfrei.
Habe Dr. Google auch schon angestrengt aber bin bei den Anleitungen immer bei der tftp-Konfig stutzig geworden. Unsere TK-Anlage bietet die Konfig über HTTPS an und nicht über TFTP - aber das Ganze werde ich dann beim Hersteller/Händler in Erfahrung bringen!
Beispiel-Konfig eines IP-Phones
Ich höre auch mal nach ob es bekannte Probleme mit DHCP-Snooping gibt in Verbindung mit der Mitel Anlage gibt. Allerdings würde ich die Anfrage dennoch schließen, da der "Workaround" mit dem zentralen DHCP doch "schöner" ist.
Vielen Dank!!
Zitat von @niklasschaefer:
Moin,
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Moin,
Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.
Vielleicht wäre die Konfig von dir dennoch hilfreich...
Hatte den Laptop einfach so dran ohne TAP/TUN.
Du benutzt doch hervorragende Ruckus ICX Switches die einen Mirror Port (Spiegelport, RSPAN) supporten !! Das ist dir vermutlich entgangen, oder ?! Den aktivierst du und spiegelst dir den Telefonport auf einem freien Port des Switches. Damit kannst du dann original genau sehen wie sich das Telefon verhält ohne die Fruckelei mit einem TAP.
Guckst du hier:
Zitat von @aqui:
Hatte den Laptop einfach so dran ohne TAP/TUN.
Du benutzt doch hervorragende Ruckus ICX Switches die einen Mirror Port (Spiegelport, RSPAN) supporten !! Das ist dir vermutlich entgangen, oder ?! Neee natürlich nicht
Aber wie oben beschrieben war ich mir ziemlich sicher, dass der DHCP einfach alles raus haut und der Client sich dann an den Infos bedient. Daher war es für mich am einfachsten das Kabel zu ziehen - zu Faul um zum Switch zu latschen...wie gesagt, dachte ich bekomme ja so alle Infos abgefischt. Du machst mir ein schlechtes Gewissen! Danke!
Moin in die Runde,
anbei wie gewünscht, hat leider ein bisschen gedauert.
Wenn du DECT Sender hast brauchst du zusätzlich noch eine Richtline, das ist wie hier bebildert zu konfigurieren.
Grüße
Niklas
anbei wie gewünscht, hat leider ein bisschen gedauert.
Wenn du DECT Sender hast brauchst du zusätzlich noch eine Richtline, das ist wie hier bebildert zu konfigurieren.
Grüße
Niklas
