DHCP Anfragen weiterleiten

[comet]

Hallo,

habe im Lancom folgende Konfiguration

Netz 1 (Clients) - LAN-1 und Schnittstellentag 0
Netz 2 (Server) - LAN-2 Schnittstellentag 1
DHCP Server für LAN-1 aktiviert

Unter DHCP Netzwerke wurde ein Eintrag für Netz 1 und Anfragen weiterleiten erstellt. Bei Weiterleiten von DHCP Anfragen wurde die Adresse des DHCP Servers angegeben.
Der Domänencontroller und der DHCP Server stehen im Netz 2.

Leider bekommt die Clients keine IP Adresse vom DHCP Server. An der Deny All Regel in der Firewall liegt es nicht. Diese wurde schon temporär deaktiviert.

[Bernie137]

Hallo,

Was sagt der DHCP Trace auf dem Lancom Router?

Viele Grüße
Heiko

[comet]

[IP-Router] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,964
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.2.88, SrcIP: 192.168.1.1, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Route: LAN-2 Tx (SERVER):

[Firewall] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
Packet matched rule ALLOW-VPN-ROUTING
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67

[IP-Router] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard

Vermute, dass das mit dem Schnitstellentag zusammenhängt? Jemand eine Idee?

[DHCP] 2013/10/28 10:05:06,205 Devicetime: 2013/10/28 10:05:00,902
DHCP Rx (LAN-1, CLIENTS):
DHCP Client Message (request) from 0.0.0.0: DHCPDISCOVER
Op = 01 | HType = 01 | HLen = 06 | Hops = 00
XId = 7536061F | Secs = 0300 | Flags = 0000
CIAdr = 0.0.0.0 | YIAdr = 0.0.0.0
SIAdr = 0.0.0.0 | GIAdr = 0.0.0.0
CHAdr = 3c 97 0e 54 72 37 00 00 00 00 00 00 00 00 00 00

Hostname: host01
=> forwarded to master server 192.168.2.88

[Bernie137]

Moin,

Vermute, dass das mit dem Schnitstellentag zusammenhängt? Jemand eine Idee?

Nö, aber wie sieht denn die Routing Tabelle aus?

Und was ist das für eine Firewall Regel?

[Firewall] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
Packet matched rule ALLOW-VPN-ROUTING
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67

Heißt die Regel nur "VPN", oder macht der Router auch noch eine VPN Tunnel? Warum greift hier keine Firewall Regel im Sinne "LAN-1 an LAN-2"?

Viele Grüße
Heiko

[comet]

ALLOW VPN Routing ist eine Standard Regel, die von Lancom per Script bereitgestellt wird (auch wenn noch kein VPN eingerichtet wurde).

Routing Tabelle sieht jungfräulich aus. Muss denn da noch was eingetragen werden?
Firewall Regel LAN1 an LAN2 ist meines Erachtens nicht notwendig, da LAN1 Tag 0 besitzt und somit in alle Netze darf.
Nur LAN2 mit Tag 1 kommt nicht nach LAN1.

[backslash]

Hi comet

das Problem ist, daß der DHCP-Relay-Agent im LANCOM bei der Weiterleitung als Absenderasdresse die Adresse des LANCOMs in Netz 1 (192.168.1.1) einträgt, weshalb die Antwort des DHCP-Servers von der Firewall geblockt wird:

[Firewall] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
Packet matched rule ALLOW-VPN-ROUTING
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67

[IP-Router] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard

weil die Antwort über Netz-2 mit Schnittstellen-Tag 1 reinkommt, die Zieladresse aber zu Netz 1 mit Schnittstellen-Tag 0 gehört, welche in Netz-2 nicht sichtbar ist... Hier mußt du tatsächlich für diese Pakete eine Allow-Regel in der Firewall erstellen, die ein passendes Tag zuweist:

Code: Alles auswählen

Name:         ALLOW-DHCP-REPLY
Routing-Tag:  65535
Aktion:       übertragen
Quelle:       192.168.2.88 (IP des DHCP-Servers)
Ziel:         192.168.1.1  (IP des LANCOMs in Netz 1)
Dienste:      UDP, Quellport 67, Zielport 67

Das Tag darf hier nicht 0 sondern muß 65535 sein, weil ein Tag 0 in der Regel bedeutet, daß ein etwaig an einem Paket heftende Tag nicht geändert wird. Daher gibt es den Sonderwert 65535 um das Setzen des Tags 0 zu erzwingen

Gruß
Backslash

[comet]

Habe die entsprechende Regel in der Firewall eingepflegt, aber das Ergebnis ist unverändert

[IP-Router] 2013/10/28 12:40:45,600 Devicetime: 2013/10/28 12:40:39,886
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard


bei der VOIP Regel brauchte ich das Routing Tag 1 auch nicht umbiegen, obwohl der VOIP Server im LAN2 und die Telefone in LAN1 stehen:
[IP-Router] 2013/10/28 12:43:42,375 Devicetime: 2013/10/28 12:43:36,789
IP-Router Rx (LAN-2, SERVER, RtgTag: 0):
DstIP: 192.168.1.200, SrcIP: 192.168.2.47, Len: 305, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5060, SrcPort: 5060
Route: LAN-1 Tx (CLIENTS):

[Bernie137]

Hast Du mal die Blocking Route 192.168.0.0 entfernt, die in der IPv4 Routing Tabelle zu sehen ist?

Die Meldung gefällt mir nicht:

[IP-Router] 2013/10/28 09:35:14,189 Devicetime: 2013/10/28 09:35:08,966
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard

Warum ist das Netzwerk für DHCP nicht erreichbar? Der Rest läuft doch, oder? Was hast stehen unter IPv4 -> DHCPv4 -> Port Tabelle, irgendwas nicht zugelassen?

Viele Grüße
Heiko

[comet]

hier mal der komplette trace

[DHCP] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,270
DHCP Rx (LAN-1, CLIENTS):
DHCP Client Message (request) from 0.0.0.0: DHCPDISCOVER
Op = 01 | HType = 01 | HLen = 06 | Hops = 00
XId = C9BFF618 | Secs = 0400 | Flags = 8000
CIAdr = 0.0.0.0 | YIAdr = 0.0.0.0
SIAdr = 0.0.0.0 | GIAdr = 0.0.0.0
CHAdr = 3c 97 0e 54 72 37 00 00 00 00 00 00 00 00 00 00

Hostname: host01
=> forwarded to master server 192.168.2.88

[IP-Router] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,270
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.2.88, SrcIP: 192.168.1.1, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Route: LAN-2 Tx (SERVER):

[Firewall] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,273
Packet matched rule ALLOW-VPN-ROUTING
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67

[IP-Router] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,273
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard

[comet]

Hast Du mal die Blocking Route 192.168.0.0 entfernt, die in der IPv4 Routing Tabelle zu sehen ist?

nein

Warum ist das Netzwerk für DHCP nicht erreichbar? Der Rest läuft doch, oder? Was hast stehen unter IPv4 -> DHCPv4 -> Port Tabelle, irgendwas nicht zugelassen?

Rechner in LAN2 bekommen eine IP vom DHCP, was ja auch keine Kunst ist

sehe aber gerade im Trace, dass manchmal auch bei VoIP die Route nicht funzt

[IP-Router] 2013/10/28 13:07:54,584 Devicetime: 2013/10/28 13:07:48,932
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.200, SrcIP: 192.168.2.47, Len: 632, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5060, SrcPort: 5060
Network unreachable (no route) => Discard

[Bernie137]

Jetzt hatten wir uns "überpostet". Dann schreibe ich es nochmal...

[IP-Router] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,270
IP-Router Rx (intern, RtgTag: 0):
DstIP: 192.168.2.88, SrcIP: 192.168.1.1, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Route: LAN-2 Tx (SERVER):

= bedeutet, die hinroute von 192.168.1.1 an 192.168.2.88 funktioniert.

[IP-Router] 2013/10/28 13:02:11,042 Devicetime: 2013/10/28 13:02:05,273
IP-Router Rx (LAN-2, SERVER, RtgTag: 1):
DstIP: 192.168.1.1, SrcIP: 192.168.2.88, Len: 328, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 67, SrcPort: 67
Network unreachable (no route) => Discard

= bedeutet, die Rückroute passt nicht von 192.168.2.88 an 192.168.1.1. Lässt die Firewall den Rückweg zu? Kann der Server 192.168.2.88 denn schön pingen nach 192.168.1.x? Ist am Server 192.168.2.88 der Gateway Eintrag korrekt gesetzt?

Viele Grüße
Heiko

[comet]

Der DHCP Server hat als Gateway den Router auf 192.168.2.1 eingetragen und kann diesen auch mit Response anpingen.
Den Router auf 192.168.1.1 erreicht er nicht per Ping.

[Bernie137]

Der DHCP Server hat als Gateway den Router auf 192.168.2.1 eingetragen und kann diesen auch mit Response anpingen.
Den Router auf 192.168.1.1 erreicht er nicht per Ping.

Dann können wir schon mal festhalten: Der Server 192.168.2.88 kann nicht mit dem Netzwerk 192.168.1.x kommunizieren. Als Folge dessen geht eben auch die DHCP Weiterleitung nicht. Wie sieht es mit anderen Servern im Netz 192.168.2.x aus, erreichen diese das 192.168.1.x Netz, Ping?

Gibt es eine Firewall Regel im Lancom im Sinne: Erlaube vom Netz 192.168.2.x sämtlichen (oder speziellen=DHCP,Ping...) Traffic nach 192.168.1.x? Sind die beiden Netze physikalisch getrennte Netzwerke?

Viele Grüße
Heiko

[comet]

Dann können wir schon mal festhalten: Der Server 192.168.2.88 kann nicht mit dem Netzwerk 192.168.1.x kommunizieren.

Das soll ja auch per default, bis auf wenige Ausnahmen so sein, daher das Schnittstellentag 1 für LAN2 (192.168.2.x).

Gibt es eine Firewall Regel im Lancom im Sinne: Erlaube vom Netz 192.168.2.x sämtlichen (oder speziellen=DHCP,Ping...) Traffic nach 192.168.1.x?

nein, es gibt nur Allow Regeln für die wichtigsten Dienste (HTTP, DNS, IPSEC, RDP, ILO, TELNET, NTP ...) und eine Deny All Regel.

Sind die beiden Netze physikalisch getrennte Netzwerke?

beide Netze hängen am selben Lancom Router, LAN1 an ETH1 und angebundenem physikalischen Switch und LAN2 an ETH2 und anderem physikalischen Switch

[Bernie137]

Das soll ja auch per default, bis auf wenige Ausnahmen so sein, daher das Schnittstellentag 1 für LAN2 (192.168.2.x).

Bei 2 IP-Kreisen braucht man abe r nicht noch zusätzlich die Schnittstellen Tags, wenn es doch physikalisch getrennt ist.

nein, es gibt nur Allow Regeln für die wichtigsten Dienste (HTTP, DNS, IPSEC, RDP, ILO, TELNET, NTP ...) und eine Deny All Regel.

Naja, dann muss halt DHCP und vielleicht Ping mal erlaubt werden.

beide Netze hängen am selben Lancom Router, LAN1 an ETH1 und angebundenem physikalischen Switch und LAN2 an ETH2 und anderem physikalischen Switch

Also physikalisch getrennt, wie oben.

Jetzt werde ich langsam neugierig. Warum macht ihr das so mit 2 Netzen?