3
Vlan PC bekommt keine IP vom DHCP
Hallo Zusammen,
es gibt einen Test PC der über mehrere Switche per Vlan mit der FW verbunden ist. Der PC im Vlan 20 fordert vom DHCP (FW) eine IP an. Auf der FW sehe ich im tcpdump, dass die Anfrage vom PC eintrifft. Die FW gibt eine IP aus dem Pool zurück. Leider bekommt der PC keine IP mitgeteilt. Nehme ich den PC aus dem Vlan 20 und bringe ihn in das Core Netz Vlan1, klappt es. Der PC bekommt eine IP von einem anderen DHCP. Grundsätzlich funktioniert der PC und empfängt seine IP. Dieser Testaufbau hatte schon einmal funktioniert. Jetzt sollte das Netz segmentiert werden, was natürlich nonsens ist, wenn der Test PC keine IP bekommt. Ich finde meinen Fehler nicht.
Konfig
FW Sophos 9
- DHCP 10.10.20.254 (Vlan 20 - IPs: 10.10.20.100 - 10.10.20.200)
TP Link Switch Port 1 (FW) Tagged Vlan 20, Port 26 Vlan 20 Tagged (Glas)
- L3 DHCP Relay aktiv
HP Switch Port 25 Tagged -> Port 26 Tagged (Glas)
HP Switch Port 25 Tagged -> Port 29 Untagged -> PC
PC 7c:5a:1c:7e:91:53
FW 7c:d3:0a:c5:02:34
tcpdump auf der FW:
11:02:09.921551 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
11:02:20.762313 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
Wo ist der Fehler beim Übermitteln der IP? Warum bekommt der PC die IP 10.10.20.102 nicht zurück?
DANKE
Ciao thomas
es gibt einen Test PC der über mehrere Switche per Vlan mit der FW verbunden ist. Der PC im Vlan 20 fordert vom DHCP (FW) eine IP an. Auf der FW sehe ich im tcpdump, dass die Anfrage vom PC eintrifft. Die FW gibt eine IP aus dem Pool zurück. Leider bekommt der PC keine IP mitgeteilt. Nehme ich den PC aus dem Vlan 20 und bringe ihn in das Core Netz Vlan1, klappt es. Der PC bekommt eine IP von einem anderen DHCP. Grundsätzlich funktioniert der PC und empfängt seine IP. Dieser Testaufbau hatte schon einmal funktioniert. Jetzt sollte das Netz segmentiert werden, was natürlich nonsens ist, wenn der Test PC keine IP bekommt. Ich finde meinen Fehler nicht.
Konfig
FW Sophos 9
- DHCP 10.10.20.254 (Vlan 20 - IPs: 10.10.20.100 - 10.10.20.200)
TP Link Switch Port 1 (FW) Tagged Vlan 20, Port 26 Vlan 20 Tagged (Glas)
- L3 DHCP Relay aktiv
HP Switch Port 25 Tagged -> Port 26 Tagged (Glas)
HP Switch Port 25 Tagged -> Port 29 Untagged -> PC
PC 7c:5a:1c:7e:91:53
FW 7c:d3:0a:c5:02:34
tcpdump auf der FW:
11:02:09.921551 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
11:02:20.762313 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
Wo ist der Fehler beim Übermitteln der IP? Warum bekommt der PC die IP 10.10.20.102 nicht zurück?
DANKE
Ciao thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 662327
Url: https://administrator.de/contentid/662327
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
3 Kommentare
Neuester Kommentar
Mmmhhh...
Sieht man sich das DHCP Request Paket von 11:02:20 einmal an:
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
Fällt auf das dieser DHCP Request, also die Anforderung einer DHCP Adresse, von der Firewall selber kommt und nicht, wie eigentlich zu erwarten, vom Client. Absender dieses Broadcasts ist ja die Mac Adresse 7c:d3:0a:c5:02:34.
Sollte also deine Angabe oben "FW: 7c:d3:0a:c5:02:34" stimmen dann schickt die Firewall selber den Request raus im VLAN 20 was den schlimmen Verdacht erhärtet das das VLAN 20 IP Interface der Firewall fälschlicherweise als DHCP Client konfiguriert wurde statt ihm eine statische IP zu geben wie es für Firewalls und Router üblich ist.
Ein aktiver DHCP Server wird dann vermutlich im VLAN 20 auch nicht laufen auf der Firewall. Klar, denn ein Interface kann nicht gleichzeitig DHCP Server und DHCP Client sein.
Da solltest du dir also die VLAN 20 Interface IP Konfig der Firewall nochmal genauer ansehen !
Sieht man sich das DHCP Request Paket von 11:02:20 einmal an:
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
Fällt auf das dieser DHCP Request, also die Anforderung einer DHCP Adresse, von der Firewall selber kommt und nicht, wie eigentlich zu erwarten, vom Client. Absender dieses Broadcasts ist ja die Mac Adresse 7c:d3:0a:c5:02:34.
Sollte also deine Angabe oben "FW: 7c:d3:0a:c5:02:34" stimmen dann schickt die Firewall selber den Request raus im VLAN 20 was den schlimmen Verdacht erhärtet das das VLAN 20 IP Interface der Firewall fälschlicherweise als DHCP Client konfiguriert wurde statt ihm eine statische IP zu geben wie es für Firewalls und Router üblich ist.
Ein aktiver DHCP Server wird dann vermutlich im VLAN 20 auch nicht laufen auf der Firewall. Klar, denn ein Interface kann nicht gleichzeitig DHCP Server und DHCP Client sein.
Da solltest du dir also die VLAN 20 Interface IP Konfig der Firewall nochmal genauer ansehen !
Ja du hast natürlich RECHT!! Meine Güte, ich schau seit STunden auf die Requests und sehe den Wald vor lauter Bäumen nicht.
Die Vlan20 Schnittstelle hat eine eigene IP 10.10.20.254. Dahinter wartet der DHCP. Dieser hat als Standartgateway 10.10.20.254. Der Test PC hat übrigens 78:AC:C0:BB:24:0E und die taucht nicht auf. Die 7c:d3:0a:c5:02:34 (eth0) ist vom Server auf dem ein DHCP für das Vlan 20 noch aktiv war. Ursprünglich sollte dort der DHCP laufen. Jedenfalls schweigt der DHCP jetzt! Also alles wieder auf Anfang. Der Test PC meldet sich nicht am DHCP der FW, was beudeutet - da stimmt die Config in den Switchen nicht mehr. Das hat vor 2 Wochen funktioniert, die FW hatte dem Test PC eine IP geliefert. Heute ist eben nicht vor zwei Wochen ...
eth0.20 Link encap:Ethernet HWaddr 7C:5A:1C:7E:91:53
inet addr:10.10.20.254 Bcast:10.10.20.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:127711 errors:0 dropped:0 overruns:0 frame:0
TX packets:111616 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:17618731 (16.8 Mb) TX bytes:14295232 (13.6 Mb)Die Vlan20 Schnittstelle hat eine eigene IP 10.10.20.254. Dahinter wartet der DHCP. Dieser hat als Standartgateway 10.10.20.254. Der Test PC hat übrigens 78:AC:C0:BB:24:0E und die taucht nicht auf. Die 7c:d3:0a:c5:02:34 (eth0) ist vom Server auf dem ein DHCP für das Vlan 20 noch aktiv war. Ursprünglich sollte dort der DHCP laufen. Jedenfalls schweigt der DHCP jetzt! Also alles wieder auf Anfang. Der Test PC meldet sich nicht am DHCP der FW, was beudeutet - da stimmt die Config in den Switchen nicht mehr. Das hat vor 2 Wochen funktioniert, die FW hatte dem Test PC eine IP geliefert. Heute ist eben nicht vor zwei Wochen ...
Da musst du dann wohl nochmal deine Tagged Uplinks zwischen den Switches und der Firewall ganz genau checken und die UNtagged Portzuweisungen des oder der VLAN 20 Endgeräte... 
