philipp711
Goto Top

DHCP-Snooping - Fehler bei Vergabe des Gateways

Hallo Leute,

wir möchten die Netzwerksicherheit durch DHCP-Snooping (darauf aufbauend dann auch später auch mittels dyn. ARP-Inspection bzw. RA-Guard) verbessern.

Wir verwenden Ruckus ICX Switches und haben seit ca. 1 Woche DHCP-Snooping in allen VLANs aktiviert. Seit jeher sind unsere Domänencontroller auch DHCP-Server. In den VLANs sind seit mehreren Jahren DHCP-Helper konfiguriert, die DHCP-Kommunikation an die DCs weiterleiten. Die Konfiguration läuft, mit Ausnahme von unserem VOIP-Netz, bisher fehlerfrei.

Im Gegensatz zum Rest des Netzwerks übernimmt unsere Mitel TK-Anlage den DHCP-Dienst im VOIP-Netz. Mit aktiviertem DHCP-Snooping im VOIP-Netz erhalten unsere Telefone zwar eine IP, es wird aber kein bzw. ein falsches Gateway (1.0.0.1) gesetzt- wenn ich DHCP-Snooping deaktiviere klappt wieder alles.

Könnt ihr mir einen Tipp geben wo ich ansetzten könnte?

Danke!

Content-ID: 1231414204

Url: https://administrator.de/forum/dhcp-snooping-fehler-bei-vergabe-des-gateways-1231414204.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

aqui
aqui 06.09.2021 aktualisiert um 10:42:39 Uhr
Goto Top
Du redest von "VLANs" also Plural. Das lässt einen Verdacht aufkommen: Hat das Mitel VLAN Segment eine Layer 3 IP, sprich wird geroutet auf einem Layer 3 Switch ?
Wenn ja ist dort ggf. fälschlicherweise DHCP Helper konfiguriert worden ? Auf dem Voice VLAN Interface würde es dann zu solchen Problemen kommen, denn dort darf natürlich KEIN Helper konfiguriert werden.
Der Helper darf natürlich immer einzig nur in L2 Segmenten definiert werden wo kein DHCP Server aktiv ist.
Philipp711
Philipp711 06.09.2021 aktualisiert um 13:39:15 Uhr
Goto Top
Hi, schonmal vielen Dank für die Antwort!

Nein, Im Mitel-VLAN ist kein IP/DHCP-Helper konfiguriert. Die Ruckus-Geräte laufen alle mit einem L2-Image. L3 (und auch IP-Helper) macht bei uns eine Firewall/IPS die in jedem VLAN ein "Beinchen" hat.

Was mich wundert ist, dass die restlichen DHCP-Optionen einwandfrei durch kommen. Z.b. die NTP-Konfig oder die Option 66 zum Auto-Provisioning der Telefone...

Sorry, habe mich im Start-Post evtl. unverständlich ausgedrückt.
aqui
Lösung aqui 06.09.2021 aktualisiert um 17:36:33 Uhr
Goto Top
Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.
Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?
niklasschaefer
Lösung niklasschaefer 06.09.2021 um 18:53:09 Uhr
Goto Top
Moin,

Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.

Wie schaut die Konfiguration des VLAN- Interface auf dem Switch aus? Würden Helper-Adressen gesetzt? Sind vielleicht mehrere DHCP-Server im Netz?

Ich kenne von der Mitel MiVoice einen amoklaufenden DHCP Dienst, weiß aber nicht mehr welche Releasebuild das war. Meine war irgendwas um die Release 6.1

Grüße
Niklas
Philipp711
Philipp711 06.09.2021 um 20:21:42 Uhr
Goto Top
Zitat von @aqui:

Klemm mal den Kabelhai an und schneide mal einen DHCP Request und auch die Antwort mit. Einmal mit aktiviertem Snooping und einmal ohne. Da sollte man ja dann sehen was dort passiert.

Wäre jetzt auch mein Plan! Ich halte euch auf dem laufenden - komme erst Ende der Woche dazu...

Es ist eigentlich technisch unmöglich das die Funktion bestimmte Teile im Paket verändert. Switches auf der recommendeten 08.09er mit dem latest Patch Level ?

Ich kann es mir auch nicht wirklich erklären. Das deaktivieren der DHCP-Snooping-Funktion war so das letzte was mir eingefallen ist. Sind auf der 08.09j.
aqui
Lösung aqui 06.09.2021 aktualisiert um 21:24:31 Uhr
Goto Top
Würden Helper-Adressen gesetzt?
Er betreibt die Switches rein im L2 Mode ! (Siehe Thread Beschreibung) Da gibts dann logischerweise keine Helper auf den Switches da das eine L3 Funktion ist was ja die Firewall beim TO übernimmt.
Lesen hilft...! face-wink
Ich halte euch auf dem laufenden
Wir sind gespannt !
Sind auf der 08.09j
Gut aktuell ist der m Patch. Wäre einen Versuch wert auf einem Testsystem. Oder vorher mal in die Release Notes des m Patches sehen ob da was im Bereich DHCP gefixt wurde.
Vermutlich ist das Problem aber nicht der Switch... Wartne wir mal auf den Kabelhai. face-wink
Philipp711
Philipp711 09.09.2021 aktualisiert um 10:19:18 Uhr
Goto Top
Sooo...der Kabelhai hat "gesprochen" face-big-smile

Habe mein Notebook einfach mal an das Kabel eines IP-Telefons angeschlossen und den Kabelhai angeschmissen:

Ohne Snooping:

ohne snooping

Mit Snooping:

aktiviertes snooping

Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !

Das Log des Switches ist auch soweit "sauber" - Man sieht relativ deutlich wie ich das Telefon abstecke und den Computer anstecke. Danach ist's ruhig...

log

Auch in der DHCP-Lease-Tabelle wird mein Notebook sauber eingetragen. Aber per ipconfig ist von einem Gateway weit und breit nichts zu sehen...

zuordnung

Ich schätze, dass die Mitel-Anlage da irgendwie zickt.

Macht es Sinn den DHCP-Dienst, wie bei den anderen VLANs, auf den zentralen DHCP-Server zu verlegen? So wie ich das sehe kommt von der Mitel-Anlage über DHCP eh so gut wie keine Konfig (SIP etc.) rüber. Bin jetzt kein Mitel-Spezi aber dann wird die endgültige Konfig wohl irgendwie über einen L2-Broadcast oder so verteilt.
aqui
Lösung aqui 09.09.2021 um 10:38:43 Uhr
Goto Top
Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Mmmhh, das mag aber daran liegen das der DHCP eine Lease in der Lease Database hat wenn du zuerst den Test ohne Snooping gemacht hast. Dann kommt immer nur ein ACK und kein Offer mehr. Man musste also fairerweise die Lease Detabase löschen und dann erst den Snooping Test machen.
auf den zentralen DHCP-Server zu verlegen?
Wäre sicher sinnvoll. Du musst dann aber genau klären welche DHCP Options die Telefone zwingend brauchen. Meist wird damit der Server mitgegeben wo die Telefone sich die neuesten Images und Setups ziehen. Ein Blick ins Mitel Handbuch und/oder Anruf bei deren SEs kann da sicher nicht schaden. Ansonsten spricht aber natürlich nichts dagegen das auch vom zentralen DHCP Server mit erledigen zu lassen. Erleichtert das Management und ist eine mögliche Fehlerquelle weniger. face-wink
Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.
Philipp711
Philipp711 09.09.2021 aktualisiert um 11:34:46 Uhr
Goto Top
Zitat von @aqui:

Also mit aktivierten Snooping fehlt da tatsächlich einiges - kein Offer etc. !
Mmmhh, das mag aber daran liegen das der DHCP eine Lease in der Lease Database hat wenn du zuerst den Test ohne Snooping gemacht hast. Dann kommt immer nur ein ACK und kein Offer mehr. Man musste also fairerweise die Lease Detabase löschen und dann erst den Snooping Test machen.

Hab im DHCP-Bereich der TK-Anlage den Lease-Eintrag für mein Notebook vor Aktivierung des Snooping gelöscht. Müsste also theoretisch eine mehr oder weniger "frische" IP-Lease gewesen sein.

Wäre sicher sinnvoll. Du musst dann aber genau klären welche DHCP Options die Telefone zwingend brauchen. Meist wird damit der Server mitgegeben wo die Telefone sich die neuesten Images und Setups ziehen. Ein Blick ins Mitel Handbuch und/oder Anruf bei deren SEs kann da sicher nicht schaden. Ansonsten spricht aber natürlich nichts dagegen das auch vom zentralen DHCP Server mit erledigen zu lassen. Erleichtert das Management und ist eine mögliche Fehlerquelle weniger. face-wink
Außerdem, und das ist nicht zu unterschätzen, integriert es die Telefon IPs in das Firmen zentrale DNS.
Letztlich also die bessere Option.

Hmh, also aus dem von mir geposteten Offer der TK-Anlage geht ja hervor, dass da keine außergewöhnlichen Optionen mit angeboten werden oder sehe ich das falsch? Scheint so, als ob die Telefone einen anderen Mechanismus zur Konfiguration haben - vielleicht irgendwas auf L2-Broadcast-Basis (aber das kann ich über den Mitel Support klären).
aqui
Lösung aqui 09.09.2021 aktualisiert um 11:45:53 Uhr
Goto Top
dass da keine außergewöhnlichen Optionen mit angeboten werden
Da hast du Recht allerdings ist aus deiner Beschreibung oben nicht ganz klar ob du statt des Telefons den Laptop angeschlossen hast oder mit einem Tap den Telefon DHCP Traffic direkt selber belauscht hast.
Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte. face-wink
Befragt man Dr. Google danach sind es, wie zu erwarten, ggf. ein paar Options mehr... Ganz speziell, wie immer, die Option 43 !
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.
Philipp711
Philipp711 09.09.2021 aktualisiert um 12:54:04 Uhr
Goto Top
Zitat von @aqui:

dass da keine außergewöhnlichen Optionen mit angeboten werden
Da hast du Recht allerdings ist aus deiner Beschreibung oben nicht ganz klar ob du statt des Telefons den Laptop angeschlossen hast oder mit einem Tap den Telefon DHCP Traffic direkt selber belauscht hast.
Wenn es Ersteres war dann siehst du hier natürlich nur was dein Laptop requestet aber NICHT was ein Telefon an dem Port requestst hätte. face-wink

Ach wieder was gelernt...Hatte den Laptop einfach so dran ohne TAP/TUN. Dachte auch der DHCP bietet grundsätzlich alles an was er hat und der Client sucht sich dann seinen "Kram" raus - Danke!

Befragt man Dr. Google danach sind es, wie zu erwarten, ggf. ein paar Options mehr... Ganz speziell, wie immer, die Option 43 !
http://unixwiz.net/techtips/mitel-ipphone-networking.html
https://www.inflowcomm.com/2019/12/how-to-configure-dhcp-for-mitel-ip-ph ...
http://www.mitelforums.com/articles/3300/Mitel-3300-DHCP-Options.php
usw. usw.

Hab den DHCP-Scope auf unserem zentralen DHCP mal schnell angelegt, DHCP auf der TK ausgeschaltet, IP-Helper aktiviert und einen Factory-Reset am IP-Phone durchgeführt (inkl. Neuanlage des Gerätes in der TK-Anlage). Ergebnis: Zieht sich die Konfig (bisher) einwandfrei.

Habe Dr. Google auch schon angestrengt aber bin bei den Anleitungen immer bei der tftp-Konfig stutzig geworden. Unsere TK-Anlage bietet die Konfig über HTTPS an und nicht über TFTP - aber das Ganze werde ich dann beim Hersteller/Händler in Erfahrung bringen!

Beispiel-Konfig eines IP-Phones

unbenannt

Ich höre auch mal nach ob es bekannte Probleme mit DHCP-Snooping gibt in Verbindung mit der Mitel Anlage gibt. Allerdings würde ich die Anfrage dennoch schließen, da der "Workaround" mit dem zentralen DHCP doch "schöner" ist.

Vielen Dank!!
Philipp711
Philipp711 09.09.2021 um 12:53:16 Uhr
Goto Top
Zitat von @niklasschaefer:

Moin,

Also grundsätzlich kann auch ein Windows-DHCP-Server für die Mitel Anlage spielen habe ich auch schon konfiguriert. Könnte dir die DHCP Konfig raussuchen.


Vielleicht wäre die Konfig von dir dennoch hilfreich...
aqui
aqui 09.09.2021 um 15:37:02 Uhr
Goto Top
Hatte den Laptop einfach so dran ohne TAP/TUN.
Du benutzt doch hervorragende Ruckus ICX Switches die einen Mirror Port (Spiegelport, RSPAN) supporten !! Das ist dir vermutlich entgangen, oder ?! face-wink

Den aktivierst du und spiegelst dir den Telefonport auf einem freien Port des Switches. Damit kannst du dann original genau sehen wie sich das Telefon verhält ohne die Fruckelei mit einem TAP.
Guckst du hier:
Philipp711
Philipp711 09.09.2021 aktualisiert um 16:26:53 Uhr
Goto Top
Zitat von @aqui:

Hatte den Laptop einfach so dran ohne TAP/TUN.
Du benutzt doch hervorragende Ruckus ICX Switches die einen Mirror Port (Spiegelport, RSPAN) supporten !! Das ist dir vermutlich entgangen, oder ?! face-wink


Neee natürlich nichtface-smile Aber wie oben beschrieben war ich mir ziemlich sicher, dass der DHCP einfach alles raus haut und der Client sich dann an den Infos bedient. Daher war es für mich am einfachsten das Kabel zu ziehen face-big-smile - zu Faul um zum Switch zu latschen...wie gesagt, dachte ich bekomme ja so alle Infos abgefischt. Du machst mir ein schlechtes Gewissen! face-big-smile

Danke! face-wink
niklasschaefer
niklasschaefer 09.09.2021, aktualisiert am 21.04.2022 um 17:01:28 Uhr
Goto Top
Moin in die Runde,

anbei wie gewünscht, hat leider ein bisschen gedauert.

dhcp - windows

Wenn du DECT Sender hast brauchst du zusätzlich noch eine Richtline, das ist wie hier bebildert zu konfigurieren.

dhcp - dect sender

dhcp - dect sender - omm ip1

224 - magic string

Grüße
Niklas