13
VLAN DHCP Problem
Hallo,
Ich habe folgenden Aufbau, der bis vor 3 Tagen funktionierte.
DSL Box Vigor (Gateway für VLAN1, Gateway und DHCP für VLAN2)
Cisco SG Layer 2 Switch
Unifi Accesspoints mit einem Controller im VLAN 1
Der Vigor arbeitet ohne VLAN.
Unifi mit 2 SSID: Intern mit VLAN ID 1 und Gast mit VLAN ID 2
Im Cisco sind VLAN ID 1 und VLAN ID 2 angelegt.
Die Ports für die AP's sind als Trunk PVID 1 Admit All 1UP, 2T konfiguriert.
Der Port für den Vigor als VLAN 2 Trunk PVID 2 Admit All 2UP
Durch einen Umbau musste ich alles vom Strom nehmen. Jetzt habe ich folgendes kurioses Problem.
Das interne WLAN funktioniert. Das Gast nicht, da ich keine DHCP Adressen vom Vigor bekomme.
Der DHCP empfängt die Discover-Anfragen und reserviert die Adressen. Das seh ich im Webinterface.
Aber die kommen nicht zum Client.
Ich habe getestet:
Client direkt am Vigor...kein Problem. Bekomme sofort Adresse
Client im Internen WLAN fünktioniert weil eigener DHCP im Lan und Gateway
Client mit fester IP für VLAN 2 funktioniert im Gast-WLAN auch.
Client an einem Access-Port des Cisco, 2UP funktioniert nur mit fester IP bekommt auch kein DHCP
Für mich liegt daher das Problem in der Konfiguration des Cisco. Das VLAN scheint es aber nicht zu sein, wenn es doch mit fester IP funktioniert.
Es sind auch keine Einstellungen bei Security oder Access Control gemacht.
Den Port zum Vigor VLAN2 habe ich auch als Access Port 2UP konfiguriert getestet. Eigentlich soll dort doch alles untagged raus.
Hat jemand eine Idee?
Viele Grüße
Ich habe folgenden Aufbau, der bis vor 3 Tagen funktionierte.
DSL Box Vigor (Gateway für VLAN1, Gateway und DHCP für VLAN2)
Cisco SG Layer 2 Switch
Unifi Accesspoints mit einem Controller im VLAN 1
Der Vigor arbeitet ohne VLAN.
Unifi mit 2 SSID: Intern mit VLAN ID 1 und Gast mit VLAN ID 2
Im Cisco sind VLAN ID 1 und VLAN ID 2 angelegt.
Die Ports für die AP's sind als Trunk PVID 1 Admit All 1UP, 2T konfiguriert.
Der Port für den Vigor als VLAN 2 Trunk PVID 2 Admit All 2UP
Durch einen Umbau musste ich alles vom Strom nehmen. Jetzt habe ich folgendes kurioses Problem.
Das interne WLAN funktioniert. Das Gast nicht, da ich keine DHCP Adressen vom Vigor bekomme.
Der DHCP empfängt die Discover-Anfragen und reserviert die Adressen. Das seh ich im Webinterface.
Aber die kommen nicht zum Client.
Ich habe getestet:
Client direkt am Vigor...kein Problem. Bekomme sofort Adresse
Client im Internen WLAN fünktioniert weil eigener DHCP im Lan und Gateway
Client mit fester IP für VLAN 2 funktioniert im Gast-WLAN auch.
Client an einem Access-Port des Cisco, 2UP funktioniert nur mit fester IP bekommt auch kein DHCP
Für mich liegt daher das Problem in der Konfiguration des Cisco. Das VLAN scheint es aber nicht zu sein, wenn es doch mit fester IP funktioniert.
Es sind auch keine Einstellungen bei Security oder Access Control gemacht.
Den Port zum Vigor VLAN2 habe ich auch als Access Port 2UP konfiguriert getestet. Eigentlich soll dort doch alles untagged raus.
Hat jemand eine Idee?
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671496
Url: https://administrator.de/forum/vlan-dhcp-problem-671496.html
Ausgedruckt am: 21.02.2025 um 05:02 Uhr
13 Kommentare
Neuester Kommentar
Hat der Switch eventuell die Konfiguration verloren? Batterie tot?
Der Switch war kurz vom Strom. Hat aber seine Konfiguration behalten.
Kann aber nicht ausschließen, dass in der Startkonfig. ein Fehler ist im Vergleich zu bisher funktionierenden Runnig-Konfig.
Kann aber nicht ausschließen, dass in der Startkonfig. ein Fehler ist im Vergleich zu bisher funktionierenden Runnig-Konfig.
Deine Schilderung oben ist leider verwirrend und widersprüchlich! 
Einerseits schreibst du (Zitat) "Der Vigor arbeitet ohne VLAN" dann wiederum (Zitat) "DSL Box Vigor (Gateway für VLAN1, Gateway und DHCP für VLAN2)"
Da fragt man sich: Ja was denn nun? 😉
Das eine widerspricht diametral dem anderen?
Nur so viel:
Einerseits schreibst du (Zitat) "Der Vigor arbeitet ohne VLAN" dann wiederum (Zitat) "DSL Box Vigor (Gateway für VLAN1, Gateway und DHCP für VLAN2)"
Da fragt man sich: Ja was denn nun? 😉
Das eine widerspricht diametral dem anderen?
Der Port für den Vigor als VLAN 2 Trunk PVID 2 Admit All 2UP
Das ist vermutlich falsch bzw. kann man wegen des o.a. Widerspruchs in der technischen Schilderung nicht beantworten.Nur so viel:
- Gilt die Aussage das der Vigor kein VLAN Handling supportet ist der Switchport falsch konfiguriert!
- Kein VLAN Support am Router bedingt dann das ein VLAN Tagging des Routers explizit unmöglich ist. Daraus resiltiert dann wieder das der Switchport nur als UNtagged Endgeräte Port arbeiten kann. Sprich also: Mode Access und PVID 1
- Gilt die Aussage das der Vigor doch VLAN Handling supportet ist der Switchport auch falsch konfiguriert!
- Trunk Mode ist zum Vigor Router wäre dann richtig aber die PVID muss hier 1 sein (Native VLAN) und 2 Tagged, den sehr wahrscheinlich wird der Vigor sein Native VLAN 1 nicht taggen wie das allgemein bei Routern und Firewalls auf dem Parent Interface üblich ist und das zusätzliche VLAN 2 wird mit einem Tag versehen. Siehe dazu auch HIER.
- Daraus folgt dann für den Trunk Port: 1UP, 2T (1=Untagged u. PVID, 2=tagged)
Im Cisco sind VLAN ID 1 und VLAN ID 2 angelegt.
Auch das ist leider ebenso widersprüchlich beschrieben, denn das VLAN 1 ist bekanntlich generell das Default VLAN auf einem Switch. Auch auf allen Cisco Switches! Dieses Default VLAN 1 kann man bekanntlich nicht anlegen (und löschen) als Admin weil es per Default immer da ist.Kann aber nicht ausschließen, dass in der Startkonfig. ein Fehler ist im Vergleich zu bisher funktionierenden Runnig-Konfig.
Das wäre auch meine Vermutung. Grade wenn das ein älteres Gerät ist was auf Arbeit "über" war kann die Batterie tot sein und dann passiert das schon mal.
Das Setup durchblicke ich auch noch nicht ganz aber wenn es vorher funktioniert hat, müsste es das ja eigentlich auch sonst wieder laufen. Nichts desto trotz erstmal alle VLAN Configs durch schauen ob das alles so stimmig ist.
1
Würde gern den Widerspruch auflösen.
Der Vigor kann VLAN, nutze ich aber so nicht.
Der soll nur DHCP und Gateway für das Gästenetz sein und an einem anderen Port ist der auch Gateway für das private Lan.
Daher hatte ich ja schon vermutet, dass Trunk nicht richtig ist.
Habe ihn daher jetzt als Accessport 2UP.
PVID 1 kann ich gar nicht ändern. Sobald ich den Port dem VLAN 2 zuordne bekommt er PVID 2 operativ als auch produktiv.
Die Ports mit den AP's sind Trunk PVID1, 1UP und 2T
Und wie geschrieben funktioniert es wenn ich mit fester IP teste.
Der Vigor kann VLAN, nutze ich aber so nicht.
Der soll nur DHCP und Gateway für das Gästenetz sein und an einem anderen Port ist der auch Gateway für das private Lan.
Daher hatte ich ja schon vermutet, dass Trunk nicht richtig ist.
Habe ihn daher jetzt als Accessport 2UP.
PVID 1 kann ich gar nicht ändern. Sobald ich den Port dem VLAN 2 zuordne bekommt er PVID 2 operativ als auch produktiv.
Die Ports mit den AP's sind Trunk PVID1, 1UP und 2T
Und wie geschrieben funktioniert es wenn ich mit fester IP teste.
Der Vigor kann VLAN, nutze ich aber so nicht.
OK, dann ist dein Switchport de facto FALSCH konfiguriert!Der muss dann im Mode "Access" betrieben werden und PVID 1 oder 2 je nachdem in welchem VLAN er arbeiten soll.
Daher hatte ich ja schon vermutet, dass Trunk nicht richtig ist.
Richtig vermutet! 😉 👍bekommt er PVID 2 operativ als auch produktiv.
Jepp, das kommt weil du einen Cisco hast und der das sinnvolle Feature Auto PVID supportet. 
Nur mal nebenbei: Wie führst du denn die 2 Netze auf den L2 VLAN Switch? Etwas altbacken mit 2 separaten Patchstrippen wie HIER am Beispiel einer nicht VLAN fähigen Fritte?
DHCP funktioniert auch in der nun richtigen Konfiguration nicht.
Die Anfrage kommt beim Vigor an.
Der gibt die Adresse raus.
Aber die Pakete kommen nicht zum Client zurück.
Und ja...ich führe die Netze altbacken zum Vigor mit 2 kurzen Kabeln wie in dem Beispiel
Die Anfrage kommt beim Vigor an.
Der gibt die Adresse raus.
Aber die Pakete kommen nicht zum Client zurück.
Und ja...ich führe die Netze altbacken zum Vigor mit 2 kurzen Kabeln wie in dem Beispiel
Aber die Pakete kommen nicht zum Client zurück.
Wie erkennst du das? Wireshark Trace?Letztlich würde es bedeuten das der Client selber ein Problem hat! Wenn der ein DHCP Offer vom Server mit seiner IP bekommt aber nicht reagiert stimmt da ja was nicht.
Wenn der DHCP Request des Clients rausgeht via Switch am Vigor ankommt und der einen DHCP Reply an den Client zurücksendet hast du auf der Switchinfrastruktur und Vigor alles richtig gemacht.
Wäre dem nicht so würde entweder kein Ethernet Paket am Vigor ankommen oder keins vom Vigor zurück zum Client gehen.
Am Vigor sehe ich in der GUI, dass eine Adresse angelegt wurde.
Wireshark an einem Freien Port am Vigor zeigt mir Pakete:
DHCP Discover von meiner Telefon-Mac als Broadcast
dann ein
DHCP Offer vom Vigor an meine Telefon-MAC mit der reservierten IP
das ganze ein paar mal, bis ich abbreche.
Laptop, 2 Tablets und 2 Telefone.... ist also nicht nur ein Klient betroffen.
Wireshark an einem Freien Port am Vigor zeigt mir Pakete:
DHCP Discover von meiner Telefon-Mac als Broadcast
dann ein
DHCP Offer vom Vigor an meine Telefon-MAC mit der reservierten IP
das ganze ein paar mal, bis ich abbreche.
Laptop, 2 Tablets und 2 Telefone.... ist also nicht nur ein Klient betroffen.
DHCP Offer vom Vigor an meine Telefon-MAC mit der reservierten IP
Kannst du sehen ob der Offer vom Server auch am Client ankommt? Das wäre wichtig, denn der könnte noch auf dem Weg via Switch zum Client steckenbleiben.Wenn du Windows hast reicht dafür auch ein kleines CLI Tool wie tcpdump ohne gleich den großen Bruder Wireshark bemühen zu müssen.
Ein tcpdump -i 1 -n port 67 or 68 zeigt dir alles an was DHCPtechnisch abgeht am Client.
Am Client sehe ich nur die Brodcasts an 255.255.255.255 als DHCP Discover
Ahaaa... Dann kommen also die Offer Replys vom DHCP Server des Vigors gar nicht an am Client. Da wundert es dann nicht das der keine IP bekommt.
Normalerweise sollte das so aussehen:
.254 ist der DHCP Server und man sieht dessen Reply und dann mit dem Offer und ACK die zugewiesene IP Adresse .181!
Das lässt ja nur den Schluss zu das du an den beteiligten Switchports doch noch etwas falsch konfiguriert hast.
Bevor du da aber rangehst mache erstmal den Gegencheck indem du am Vigor VLAN 2 Port deinen Testclient direkt, also ohne Switch anschliesst.
Dann ist der Switch nicht mehr als Fehlerquelle dazwischen und der Client sollte dann problemlos dort eine IP bekommen.
Wenn das der Fall ist dann musst du dir deine Switchportconfig nochmal ganz genau ansehen!
Client und Routerport müssen im Accessmode und mit PVID 2 laufen also "Access, 2UP".
Normalerweise sollte das so aussehen:
C:\User>tcpdump.exe -i 3 -n port 67 or 68
tcpdump.exe: verbose output suppressed, use -v or -vv for full protocol decode
listening on \Device\{F12345}, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:23:45:67:89:0a, length 300
IP 192.168.1.254.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:23:45:67:89:0a, length 300
IP 192.168.1.254.67 > 192.168.1.181.68: BOOTP/DHCP, Reply, length 309
IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:23:45:67:89:0a, length 316
IP 192.168.1.254.67 > 192.168.1.181.68: BOOTP/DHCP, Reply, length 309 Das lässt ja nur den Schluss zu das du an den beteiligten Switchports doch noch etwas falsch konfiguriert hast.
Bevor du da aber rangehst mache erstmal den Gegencheck indem du am Vigor VLAN 2 Port deinen Testclient direkt, also ohne Switch anschliesst.
Dann ist der Switch nicht mehr als Fehlerquelle dazwischen und der Client sollte dann problemlos dort eine IP bekommen.
Wenn das der Fall ist dann musst du dir deine Switchportconfig nochmal ganz genau ansehen!
Client und Routerport müssen im Accessmode und mit PVID 2 laufen also "Access, 2UP".
Es funktioniert wieder! 
Wireshark am Vigor Port2 zeigte DHCP wie es wohl sein soll. Discover, Request, ACK
Das hatte ich ja auch zuvor schon probiert und dachte ok...Vigor funktioniert.
Dann den Port4 der zum Cisco geht genommen. Es wurden nur Discover-Pakete aufgezeichnet.
Port2 vom Vigor an den Cisco.....und es funktioniert.
Der Cisco Port ist 2UP. Im Vigor war VLAN die ganze Zeit deaktiviert.
Vielen Dank! für die Geduld und die Führung. Ich hab jetzt einiges wieder gelernt. Vor allem sich an Wireshark zu trauen.
Aber es bleibt mir ein Rätsel warum der Port spinnt. Der Vigor ist alt. Ok. Hätte mich nicht gewundert wenn der komplett tot wäre. Aber dass der Port funktioniert wenn man den mit fester IP betreibt?
Wireshark am Vigor Port2 zeigte DHCP wie es wohl sein soll. Discover, Request, ACK
Das hatte ich ja auch zuvor schon probiert und dachte ok...Vigor funktioniert.
Dann den Port4 der zum Cisco geht genommen. Es wurden nur Discover-Pakete aufgezeichnet.
Port2 vom Vigor an den Cisco.....und es funktioniert.
Der Cisco Port ist 2UP. Im Vigor war VLAN die ganze Zeit deaktiviert.
Vielen Dank! für die Geduld und die Führung. Ich hab jetzt einiges wieder gelernt. Vor allem sich an Wireshark zu trauen.
Aber es bleibt mir ein Rätsel warum der Port spinnt. Der Vigor ist alt. Ok. Hätte mich nicht gewundert wenn der komplett tot wäre. Aber dass der Port funktioniert wenn man den mit fester IP betreibt?
