Vlan PC bekommt keine IP vom DHCP
Hallo Zusammen,
es gibt einen Test PC der über mehrere Switche per Vlan mit der FW verbunden ist. Der PC im Vlan 20 fordert vom DHCP (FW) eine IP an. Auf der FW sehe ich im tcpdump, dass die Anfrage vom PC eintrifft. Die FW gibt eine IP aus dem Pool zurück. Leider bekommt der PC keine IP mitgeteilt. Nehme ich den PC aus dem Vlan 20 und bringe ihn in das Core Netz Vlan1, klappt es. Der PC bekommt eine IP von einem anderen DHCP. Grundsätzlich funktioniert der PC und empfängt seine IP. Dieser Testaufbau hatte schon einmal funktioniert. Jetzt sollte das Netz segmentiert werden, was natürlich nonsens ist, wenn der Test PC keine IP bekommt. Ich finde meinen Fehler nicht.
Konfig
FW Sophos 9
- DHCP 10.10.20.254 (Vlan 20 - IPs: 10.10.20.100 - 10.10.20.200)
TP Link Switch Port 1 (FW) Tagged Vlan 20, Port 26 Vlan 20 Tagged (Glas)
- L3 DHCP Relay aktiv
HP Switch Port 25 Tagged -> Port 26 Tagged (Glas)
HP Switch Port 25 Tagged -> Port 29 Untagged -> PC
PC 7c:5a:1c:7e:91:53
FW 7c:d3:0a:c5:02:34
tcpdump auf der FW:
11:02:09.921551 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
11:02:20.762313 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
Wo ist der Fehler beim Übermitteln der IP? Warum bekommt der PC die IP 10.10.20.102 nicht zurück?
DANKE
Ciao thomas
es gibt einen Test PC der über mehrere Switche per Vlan mit der FW verbunden ist. Der PC im Vlan 20 fordert vom DHCP (FW) eine IP an. Auf der FW sehe ich im tcpdump, dass die Anfrage vom PC eintrifft. Die FW gibt eine IP aus dem Pool zurück. Leider bekommt der PC keine IP mitgeteilt. Nehme ich den PC aus dem Vlan 20 und bringe ihn in das Core Netz Vlan1, klappt es. Der PC bekommt eine IP von einem anderen DHCP. Grundsätzlich funktioniert der PC und empfängt seine IP. Dieser Testaufbau hatte schon einmal funktioniert. Jetzt sollte das Netz segmentiert werden, was natürlich nonsens ist, wenn der Test PC keine IP bekommt. Ich finde meinen Fehler nicht.
Konfig
FW Sophos 9
- DHCP 10.10.20.254 (Vlan 20 - IPs: 10.10.20.100 - 10.10.20.200)
TP Link Switch Port 1 (FW) Tagged Vlan 20, Port 26 Vlan 20 Tagged (Glas)
- L3 DHCP Relay aktiv
HP Switch Port 25 Tagged -> Port 26 Tagged (Glas)
HP Switch Port 25 Tagged -> Port 29 Untagged -> PC
PC 7c:5a:1c:7e:91:53
FW 7c:d3:0a:c5:02:34
tcpdump auf der FW:
11:02:09.921551 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
11:02:20.762313 7c:5a:1c:7e:91:53 (oui Unknown) > 7c:d3:0a:c5:02:34 (oui Unknown), ethertype IPv4 (0x0800), length 342: fw.local.bootps > 10.10.20.102.bootpc: BOOTP/DHCP, Reply, length 300
Wo ist der Fehler beim Übermitteln der IP? Warum bekommt der PC die IP 10.10.20.102 nicht zurück?
DANKE
Ciao thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 662327
Url: https://administrator.de/contentid/662327
Ausgedruckt am: 08.11.2024 um 09:11 Uhr
3 Kommentare
Neuester Kommentar
Mmmhhh...
Sieht man sich das DHCP Request Paket von 11:02:20 einmal an:
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
Fällt auf das dieser DHCP Request, also die Anforderung einer DHCP Adresse, von der Firewall selber kommt und nicht, wie eigentlich zu erwarten, vom Client. Absender dieses Broadcasts ist ja die Mac Adresse 7c:d3:0a:c5:02:34.
Sollte also deine Angabe oben "FW: 7c:d3:0a:c5:02:34" stimmen dann schickt die Firewall selber den Request raus im VLAN 20 was den schlimmen Verdacht erhärtet das das VLAN 20 IP Interface der Firewall fälschlicherweise als DHCP Client konfiguriert wurde statt ihm eine statische IP zu geben wie es für Firewalls und Router üblich ist.
Ein aktiver DHCP Server wird dann vermutlich im VLAN 20 auch nicht laufen auf der Firewall. Klar, denn ein Interface kann nicht gleichzeitig DHCP Server und DHCP Client sein.
Da solltest du dir also die VLAN 20 Interface IP Konfig der Firewall nochmal genauer ansehen !
Sieht man sich das DHCP Request Paket von 11:02:20 einmal an:
11:02:20.762073 7c:d3:0a:c5:02:34 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 7c:d3:0a:c5:02:34 (oui Unknown), length 300
Fällt auf das dieser DHCP Request, also die Anforderung einer DHCP Adresse, von der Firewall selber kommt und nicht, wie eigentlich zu erwarten, vom Client. Absender dieses Broadcasts ist ja die Mac Adresse 7c:d3:0a:c5:02:34.
Sollte also deine Angabe oben "FW: 7c:d3:0a:c5:02:34" stimmen dann schickt die Firewall selber den Request raus im VLAN 20 was den schlimmen Verdacht erhärtet das das VLAN 20 IP Interface der Firewall fälschlicherweise als DHCP Client konfiguriert wurde statt ihm eine statische IP zu geben wie es für Firewalls und Router üblich ist.
Ein aktiver DHCP Server wird dann vermutlich im VLAN 20 auch nicht laufen auf der Firewall. Klar, denn ein Interface kann nicht gleichzeitig DHCP Server und DHCP Client sein.
Da solltest du dir also die VLAN 20 Interface IP Konfig der Firewall nochmal genauer ansehen !