Problem mit Zyxel USG60 als DHCP Relay
Hallo Leute
Nach langem versuchen das ganze selbst zu konfigurieren muss ich mich doch geschlagen geben. /-:
Ich versuche gerade ein Subnetz (192.168.30.0) mit der DHCP Relay funktion der Zyxel USG60 mit IP Adressen zu versorgen.
Mein DHCP Server steht in einem anderem Subnetz (192.168.168.0) und ist ein Windows Server 2012 der auch beide Bereiche kennt, auch die USG60 kennt die beiden Netze, an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Die USG60 hat im 192.168.30.0 Interface die Funktion DHCP Relay aktiviert und die richtige Ip Adresse des DHCP Servers eingestellt.
Allerdings bekommt kein Gerät eine Ip Adrsse in 192.168.30.0 Netz.
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Allerdings auch mit abgeschalteter Firewall funktioniert dies nicht.
Wäre wirklich toll wenn mir jemand weiterhelfen könnte.
Mit freundlich Grüßen aus Luxemburg
Mike C
Nach langem versuchen das ganze selbst zu konfigurieren muss ich mich doch geschlagen geben. /-:
Ich versuche gerade ein Subnetz (192.168.30.0) mit der DHCP Relay funktion der Zyxel USG60 mit IP Adressen zu versorgen.
Mein DHCP Server steht in einem anderem Subnetz (192.168.168.0) und ist ein Windows Server 2012 der auch beide Bereiche kennt, auch die USG60 kennt die beiden Netze, an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Die USG60 hat im 192.168.30.0 Interface die Funktion DHCP Relay aktiviert und die richtige Ip Adresse des DHCP Servers eingestellt.
Allerdings bekommt kein Gerät eine Ip Adrsse in 192.168.30.0 Netz.
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Allerdings auch mit abgeschalteter Firewall funktioniert dies nicht.
Wäre wirklich toll wenn mir jemand weiterhelfen könnte.
Mit freundlich Grüßen aus Luxemburg
Mike C
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392412
Url: https://administrator.de/forum/problem-mit-zyxel-usg60-als-dhcp-relay-392412.html
Ausgedruckt am: 02.04.2025 um 15:04 Uhr
13 Kommentare
Neuester Kommentar
Das hier schon probiert?
https://community.ubnt.com/t5/UniFi-Routing-Switching/DHCP-relay/td-p/20 ...
https://community.ubnt.com/t5/UniFi-Routing-Switching/DHCP-relay/td-p/20 ...
an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Ja und ???Siehst du denn auch das die USG es an das Relay Interface wo der DHCP Server dranhängt auch forwardet ???
DAS wäre doch eine relevante Aussage !
Wireshark ist hier wie immer dein bester Freund
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Gut möglich ! WAS hast du denn für Regeln dort konfiguriert ?? Leider schweigst du dazu ja und zwingst und zum Raten UDP 67 und 68 solltest du da schon passieren lassen...
Also mit Wireshark kenne ich mich leider nicht aus
Musst du auch nicht, das rennt direkt "out of the box". Installieren, starten, fertig.Du kannst dann direkt die Pakete samt Inhalt sehen die auf deinem Netzwerk rumschwirren.
Bedenke bei den Firewall Regeln das DHCP Clients ohne IP eine Absender IP von 0.0.0.0 und eine Ziel IP von 255.255.255.255 hat. Das musst du im Regelwerk beachten ! Die IP muss also auf Source und Destination Any stehen für die Ports UDP 67 und 68.
Wie gesagt..: Checke mit dem Wireshark ob die DHCP Pakete überhaupt am DHCP Server ankommen und falls ja ob der antwortet.
Wenn dort erst gar keine DHCP Requests ankommen ist die USG der böse Buhmann.
scheint aber so als würde sie es nicht ins 192.168.168.0 Netz weitersenden.
Scheint ?? Oder ist so ?!Wenn es am Ziel nicht ankommt, dann ist in der Tat der Relay defekt, oder falsch konfiguriert !
Also wohl Routing Problem.
Nein, das ist Blödsinn !Seit wann hat denn DHCP Relay was mit Routing zu tun ? Bitte mal etwas nachdenken...!
Wie gesagt...
- Mit dem Wireshark auf dem DHCP Server checken ob dort der Relay bzw. Discover vom .30.0er Netz ankommt.
- Tut er das klappt das Relay und es ist ggf. eine inbound Blocking Regel für UDP 67/68 im .168.0er Segment.
- Kommt der Discovery gar nicht erst an dann kann es eine inbound Blocking Regel für UDP 67/68 im .30.0er Segment sein oder... der DHCP Relay ist falsch konfiguriert !
allerdings kommt die nicht mehr am Gerät im 30.0er Netz an.
Das sieht ja bis auf den o.a. Punkt schon mal sehr gut aus ! Damit bist du dann sicher das das DHCP Relay klappt.Dann bleibt nur die Frage warum das DHCP Offer Paket die USG nicht erreicht.
Das kann eigentlich nur noch an einer falschen Inbound Firewall Regel am 192.168.168er Segment liegen in dem auch der Server ist !!
Hier solltest du dir also nochmal ganz genau dein Regelwerk an der USG ansehen !!
Das Offer Paket nutz einen Quellport (Source) mit UDP 67 und einen Zielport (Destination) von UDP 68.
Zu 98% filterst du am .168.168er Segment diese Server Pakete an der Firewall das die dort nicht mehr ankommen !
Ich habe nun herausgefunden was das Problem war!
Glückwunsch ! nutze ich die Firewall momentan noch nicht als Internet Gateway, das macht momentan noch die Fritzbox.
Grrr...wir ahnen schon das (Anfänger) Problem...falsche Gateway IP...dass die DHCP Anfrage von der USG60 kommt, der DHCP Server aber die Antwort an die Fritzbox sendet.
Das kann niemals sein !Oder der DHCP Server hat einen Bug.
Der DHCP Relay Host (hier die USG) ersetzt die Absender IP mit ihrer eigenen IP. Genau so hast du es ja im Wireshark auch gesehen.
Der DHCP Server MUSS aber als Ziel IP dann die USG IP Adresse verwenden, logisch, denn das ist ja auch die Absender IP gewesen.
Die USG IP Adresse kommt aber aus einem anderen Segment und deshalb muss der Server sie an den Router senden, sprich die FB die es dann weitersenden müsste an die USG.
Anders könnte der DHCP Server das IP Paket ja nicht ans Ziel senden. Normales Routing also.
Den Fehler hast DU gemacht, denn du hast vergessen in der FritzBox als statische Route die USG einzutragenb für das USG Absender IP Zielnetz !!! Anfängerfehler !
Hättest du diese statische Route eingetragen wäre alles gut gewesen.
Das kommt dabei raus wenn man nicht nachdenkt und sich den Layer 3 Paket Flow mal vors geistige Auge führt
Aber eltztlich lernst du auch damit mal wie hilfreich der Wireshark sein kann um diese Flows dann zu verstehen !
Case closed !