8
Kein DCHP im VLAN trotz DHCP-Relay
Hallo,
habe folgendes Problem. Ich habe an einem HP 2626 VLANs eingerichtet. Diese benutze ich für NAP und der DHCP soll in allen drei VLANs aktiv sein ohne Scope.
Alle VLANs sind tagged. Der DHCP befindet sich in VLAN 1 und für VLAN 2+3 ist die IP-helper-address eingetragen.
Leider wird keine IP im VLAN 2+3 verteilt. Allerdings ist im NPS zu sehen, dass es mit der Anmeldung glatt läuft. Client bekommt auch vollzugriff, nur eben keine IP per DHCP.
Mir gehen grad so die Ideen aus, da ich mich auch neu in das Thema einarbeite. Übrigens der NPS ist nach nach dem Step by Step Guide NAP Enforcement Test Lab konfiguriert.
Vielen Dank schonmal!!
Viele Grüße
easyfisi
habe folgendes Problem. Ich habe an einem HP 2626 VLANs eingerichtet. Diese benutze ich für NAP und der DHCP soll in allen drei VLANs aktiv sein ohne Scope.
Alle VLANs sind tagged. Der DHCP befindet sich in VLAN 1 und für VLAN 2+3 ist die IP-helper-address eingetragen.
Leider wird keine IP im VLAN 2+3 verteilt. Allerdings ist im NPS zu sehen, dass es mit der Anmeldung glatt läuft. Client bekommt auch vollzugriff, nur eben keine IP per DHCP.
Mir gehen grad so die Ideen aus, da ich mich auch neu in das Thema einarbeite. Übrigens der NPS ist nach nach dem Step by Step Guide NAP Enforcement Test Lab konfiguriert.
Vielen Dank schonmal!!
Viele Grüße
easyfisi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162872
Url: https://administrator.de/contentid/162872
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Du wirst nicht umhin kommen, für jedes VLAN einen eigenen Scope im DHCP einrichten.
Hier noch ein paar Fragen:
Wie ist die Struktur Deines Netzes, nur ein Switch oder mehrere ?
IP-Struktur Deines Netzes ?
DHCP Server OS ?
Gib mal ein paar mehr Infos.
Übrigens sagt eine Skizze Deines Netzes mehr als tausend Worte.
Danke
Gruß
Anton
Du wirst nicht umhin kommen, für jedes VLAN einen eigenen Scope im DHCP einrichten.
Hier noch ein paar Fragen:
Wie ist die Struktur Deines Netzes, nur ein Switch oder mehrere ?
IP-Struktur Deines Netzes ?
DHCP Server OS ?
Gib mal ein paar mehr Infos.
Übrigens sagt eine Skizze Deines Netzes mehr als tausend Worte.
Danke
Gruß
Anton
Hallo Anton,
ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.
Hier die Config des HPs:
snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator
Vielen Dank!
Gruß
easyfisi
ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.
Hier die Config des HPs:
snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator
Vielen Dank!
Gruß
easyfisi
Hallo,
hast du schon mal geprüft, ob der DHCP Discover überhaupt beim Server ankommt?
Benutz dafür am Besten Wireshark...
MfG
adks
hast du schon mal geprüft, ob der DHCP Discover überhaupt beim Server ankommt?
Benutz dafür am Besten Wireshark...
MfG
adks
Hallo,
ja das Discover kommt aus vlan 3 durch und der DHCP antwortet auch aus vlan 1 mit einem offer, allerdings kommt dieser wohl nicht am client an, da kein request erfolgt. Muss ich sowas wie ne Rückroute am DHCP eintragen oder komme ich um Multiscope selbst in der testumgebung nicht drum rum?
Ich bin echt ratlos...
Viele Grüße
easyfisi
ja das Discover kommt aus vlan 3 durch und der DHCP antwortet auch aus vlan 1 mit einem offer, allerdings kommt dieser wohl nicht am client an, da kein request erfolgt. Muss ich sowas wie ne Rückroute am DHCP eintragen oder komme ich um Multiscope selbst in der testumgebung nicht drum rum?
Ich bin echt ratlos...
Viele Grüße
easyfisi
Zitat von @easyfisi:
Hallo Anton,
ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die
notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung
eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf
verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach
wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.
Hallo Anton,
ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die
notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung
eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf
verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach
wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.
Wer teilt dem Client mit, in welches VLAN er muss ?
Wer schaltet das VLAN-tagging am Client ein ?
Oder wird am Switchport dann das richtige VLAN auf untagged gestellt ?
Hier die Config des HPs:
snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator
Ich würde mal vermuten, Du brauchst für jedes VLAN eine eigene DHCP Helper Adresse,
Und Du brauchst einen Router oder einen L3 Switch mit Routingfunktionalität,
Gruß
Anton
Hallo Anton,
der NPS veranlasst, welchem VLAN der Client beitritt. Das ist abhängig von der "Gesundheitsprüfung" des Clients. Alle Clients kommen standardmässig in VLAN 1. Ist der Client gesund, kommt er in VLAN 3 und erhält Vollzugriff. Ist das Patchlevel nicht aktuell, kommt der Client zum updaten ins VLAN 2. Nach erfolgreichem Update wird der Client wieder in VLAN 3 geswitcht.
Mittlerweile habe ich drei DHCP-Adressbereiche erstellt und es funktioniert soweit...
10.11.20.0 für VLAN 1
10.12.30.0 für VLAN 2
10.13.40.0 für VLAN 3
Die aktuelle config des Switch (ist ein L3) sieht jetzt so aus:
snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address 10.11.20.200 255.255.0.0
exit
vlan 3
name "healthy"
ip address 10.13.40.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address 10.12.30.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
interface 19
monitor
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator
Die Sache ist jetzt aber, dass sobald der Client von VLAN 1 nach VLAN 3 bzw VLAN 2 geswitcht wird, kommt vom Client das DHCP-Discover und vom DHCP aus VLAN 1 (10.11.20.195) das Offer anstatt von dem DHCP (10.13.40.195) aus VLAN 3 kommt. Der Request des Clients wird dann mit einem DHCP-NAK verworfen.
Auszug aus Wireshark:
1
2
3
4
5
Nehme ich den ip helper aus der config, kommt zwar das offer vom DHCP, aber es erfolgt kein request des Clients.
Was übersehe ich bzw denke ich nicht dran???
Viele Grüße
easyfisi
Edit sagt noch:
Fehler liegt anscheinend in der NPS config...
Meldung des NPS bei Anmeldung des Clients in VLAN 1:
Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.
Benutzer:
Sicherheits-ID: TEST\user1
Kontoname: TEST\user1
Kontodomäne: TEST
Vollqualifizierter Kontoname: TEST\user1
Clientcomputer:
Sicherheits-ID: TEST\CLIENT1$
Kontoname: client1.test.local
Vollqualifizierter Kontoname: TEST\CLIENT1$
Betriebssystemversion: 5.1.2600 3.0 x86 Arbeitsstation
Empfänger-ID: 00-1d-b3-a8-38-00
Anrufer-ID: 00-13-72-6b-e7-34
NAS:
NAS-IPv4-Adresse: 10.11.20.200
NAS-IPv6-Adresse: -
NAS-ID: ProCurve Switch 2626-PWR
NAS-Porttyp: Ethernet
NAS-Port: 19
RADIUS-Client:
Clientanzeigename: Fremd
Client-IP-Adresse: 10.11.20.200
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Kompatibel
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Quarantäneinformationen:
Ergebnis: Vollzugriff
Sitzungs-ID: {F9145F2C-A3E6-4376-815A-DE623F8A7896} - 2011-03-23 11:28:42.343Z
Nach dem wechsel in VLAN 3 kommt diese Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Vollqualifizierter Kontoname: -
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: client1
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 10.13.0.0
Anrufer-ID: 0013726BE734
NAS:
NAS-IPv4-Adresse: 10.11.20.195
NAS-IPv6-Adresse: -
NAS-ID: DC1
NAS-Porttyp: Ethernet
NAS-Port: -
RADIUS-Client:
Clientanzeigenname: -
Client-IP-Adresse: -
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Nicht NAP-fähig
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 313531343432353437
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.
Dieser Guide wurde zur erstellung des NPS genutzt: 6
der NPS veranlasst, welchem VLAN der Client beitritt. Das ist abhängig von der "Gesundheitsprüfung" des Clients. Alle Clients kommen standardmässig in VLAN 1. Ist der Client gesund, kommt er in VLAN 3 und erhält Vollzugriff. Ist das Patchlevel nicht aktuell, kommt der Client zum updaten ins VLAN 2. Nach erfolgreichem Update wird der Client wieder in VLAN 3 geswitcht.
Mittlerweile habe ich drei DHCP-Adressbereiche erstellt und es funktioniert soweit...
10.11.20.0 für VLAN 1
10.12.30.0 für VLAN 2
10.13.40.0 für VLAN 3
Die aktuelle config des Switch (ist ein L3) sieht jetzt so aus:
snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address 10.11.20.200 255.255.0.0
exit
vlan 3
name "healthy"
ip address 10.13.40.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address 10.12.30.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
interface 19
monitor
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator
Die Sache ist jetzt aber, dass sobald der Client von VLAN 1 nach VLAN 3 bzw VLAN 2 geswitcht wird, kommt vom Client das DHCP-Discover und vom DHCP aus VLAN 1 (10.11.20.195) das Offer anstatt von dem DHCP (10.13.40.195) aus VLAN 3 kommt. Der Request des Clients wird dann mit einem DHCP-NAK verworfen.
Auszug aus Wireshark:
1
2
3
4
5
Nehme ich den ip helper aus der config, kommt zwar das offer vom DHCP, aber es erfolgt kein request des Clients.
Was übersehe ich bzw denke ich nicht dran???
Viele Grüße
easyfisi
Edit sagt noch:
Fehler liegt anscheinend in der NPS config...
Meldung des NPS bei Anmeldung des Clients in VLAN 1:
Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.
Benutzer:
Sicherheits-ID: TEST\user1
Kontoname: TEST\user1
Kontodomäne: TEST
Vollqualifizierter Kontoname: TEST\user1
Clientcomputer:
Sicherheits-ID: TEST\CLIENT1$
Kontoname: client1.test.local
Vollqualifizierter Kontoname: TEST\CLIENT1$
Betriebssystemversion: 5.1.2600 3.0 x86 Arbeitsstation
Empfänger-ID: 00-1d-b3-a8-38-00
Anrufer-ID: 00-13-72-6b-e7-34
NAS:
NAS-IPv4-Adresse: 10.11.20.200
NAS-IPv6-Adresse: -
NAS-ID: ProCurve Switch 2626-PWR
NAS-Porttyp: Ethernet
NAS-Port: 19
RADIUS-Client:
Clientanzeigename: Fremd
Client-IP-Adresse: 10.11.20.200
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Kompatibel
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Quarantäneinformationen:
Ergebnis: Vollzugriff
Sitzungs-ID: {F9145F2C-A3E6-4376-815A-DE623F8A7896} - 2011-03-23 11:28:42.343Z
Nach dem wechsel in VLAN 3 kommt diese Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Vollqualifizierter Kontoname: -
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: client1
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 10.13.0.0
Anrufer-ID: 0013726BE734
NAS:
NAS-IPv4-Adresse: 10.11.20.195
NAS-IPv6-Adresse: -
NAS-ID: DC1
NAS-Porttyp: Ethernet
NAS-Port: -
RADIUS-Client:
Clientanzeigenname: -
Client-IP-Adresse: -
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Nicht NAP-fähig
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 313531343432353437
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.
Dieser Guide wurde zur erstellung des NPS genutzt: 6
Hallo nochmal,
du mußt jedem VLAN eine eigene Helper Adresse zuweisen, meißt ist das die IP-Adresse des Routers im VLAN.
Dann sollte es funktionieren.
Gruß
Anton
du mußt jedem VLAN eine eigene Helper Adresse zuweisen, meißt ist das die IP-Adresse des Routers im VLAN.
Dann sollte es funktionieren.
Gruß
Anton
Hallo,
Problem ist gelöst! Alle Einstellung am Switch sind korrekt. Problem war die Computergruppe in der Netzwerkrichtlinie des NPS. Diese Einstellung darf nicht getätigt werden.
Vielen Dank für die gegebenen Tipps!!
Viele Grüße
easyfisi
Problem ist gelöst! Alle Einstellung am Switch sind korrekt. Problem war die Computergruppe in der Netzwerkrichtlinie des NPS. Diese Einstellung darf nicht getätigt werden.
Vielen Dank für die gegebenen Tipps!!
Viele Grüße
easyfisi
