leo-le
Goto Top

DHCP Relay Agent und Sophos UTM

Hallo zusammen,

ich möchte mein VLAN 10, welches an einer Sophos UTM9 bereitgestellt wird, mit meinem Windows DHCP Server versorgen.
Den DHCP Reley Agent dazu habe ich auf der Sophos angelegt und nun stehen in dem Scope auch meine Maschinen.
Leider erreiche ich diese aber seitdem nicht mehr und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt. ( Aufruf der Website eines Servers)
Setze ich die Sophos als DHCP Server ein, so funktioniert der Zugriff auf die Geräte einwandfrei.

Teilweise sind die Geräte am Micrsoft DHCP-Server wieder verschwunden nach LeaseAblauf.

Aktuell habe ich den Sophos DHCP wieder auf dem Interface laufen und es funktioniert.

Habt ihr eine Idee, wo das Problem liegen könnte? Routingproblem?

Aufbau ist wie folgt:
Sophos VLAN 10->
Cisco Switchport 1 Tagged ->
3COM Switch ->
Client


Vielen Dank im Vorraus!

Content-Key: 394528

Url: https://administrator.de/contentid/394528

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Looser27
Looser27 03.12.2018 um 12:40:19 Uhr
Goto Top
Moin,

vielleicht das selbe Problem, dass dieser Kollege mit nem Zyxel hatte:

Problem mit Zyxel USG60 als DHCP Relay

Gruß

Looser
Mitglied: em-pie
em-pie 03.12.2018 um 19:12:05 Uhr
Goto Top
Moin,

mal "dumm" gefragt:
wie hast du den Scope definiert:
wie lautet due Subnetmask?
Wie lautet das Default-Gateway, welches du dem VClient mitgibst.

vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.
Und was ergibt ein ipconfig /all am Client (sofern es eine Windows-Kiste ist)

Gruß
em-pie
Mitglied: aqui
aqui 04.12.2018 aktualisiert um 09:56:49 Uhr
Goto Top
und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt.
Das ist natürlich völliger Quatsch sofern das VLAN 10 direkt an deine UTM angeschlossen ist, sprich die UTM auch das gateway für dieses IP Netz ist !
Damit "kennt" sie ja das Netzwerk und eine Route wäre Unsinn !
Anders sieht es aus wenn der VLAN Router oder L3 Switch ein externer ist und NICHT die UTM aber leider machst du hier ja keinerlei Angaben zu deinem Layer 3 Netzdesign so das wir hier nur im freien Fall raten können face-sad
Bedenken solltest du natürlich auch noch die Firewall Regeln an der UTM !
Dort musst du natürl DHCP UDP 67 und 68 passieren lassen.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...

Wie immer:
Lasse einen Paket Sniffer (Wireshark, tcpdump etc.) auf dem DHCP Server laufen und checke ob die geforwardeten DHCP Pakete von der UTM dort überhaupt ankommen und ob der DHCP Server darauf antwortet.
So kannst du wenigstens sicher sein wie weit die DHCP Pakete kommen und WO genau sie hängen bleiben.
Kommt man als Netzwerker aber eigentlich auch von selber drauf face-wink
Das gleiche Problem hatten wir übrigens kürzlich hier schon mal:
Problem mit Zyxel USG60 als DHCP Relay
Die Suchfunktion lässt grüßen face-wink
Mitglied: Leo-le
Leo-le 05.12.2018 um 15:06:34 Uhr
Goto Top
Zitat von @em-pie:

Moin,

mal "dumm" gefragt:
wie hast du den Scope definiert:
Genau so, wie vorher von der Sophos verteilt wurde.
Gateway und DNS ist die Schnittstelle an der Sophos
wie lautet due Subnetmask?
Schnittstelle Sophos /24
Wie lautet das Default-Gateway, welches du dem VClient mitgibst.
Sophos VLAN Schnitstelle 10.9.20.1

vergleiche das mal mit dem DHCP-Settings des Windows-Servers sowie mit denen der UTM.

Und was ergibt ein ipconfig /all am Client (sofern es eine Windows-Kiste ist)
Habe dort leider aktuell nur ILO und MGMT Schnittstellen dran. Würde ich aber noch mit untersuchen.
Seltsam ist eben, dass nach einen Wartezeit fast alle Systeme eine IP bekommen und ansprechbar sind. Nach ein paar Stunden verschwinden diese wieder aus dem MS DHCP Server und sind nicht ansprechbar.

Gruß
em-pie
Mitglied: Leo-le
Leo-le 05.12.2018 um 15:11:30 Uhr
Goto Top
Zitat von @aqui:

und es kommt der Fehler auf der Sophos, dass wohl die Route nicht stimmt.
Das ist natürlich völliger Quatsch sofern das VLAN 10 direkt an deine UTM angeschlossen ist, sprich die UTM auch das gateway für dieses IP Netz ist !
Ja, so sehe ich das auch. Seltsamerweise wird es aber eben angeziegt.
Damit "kennt" sie ja das Netzwerk und eine Route wäre Unsinn !
Anders sieht es aus wenn der VLAN Router oder L3 Switch ein externer ist und NICHT die UTM aber leider machst du hier ja keinerlei Angaben zu deinem Layer 3 Netzdesign so das wir hier nur im freien Fall raten können face-sad
Bedenken solltest du natürlich auch noch die Firewall Regeln an der UTM !
Dort musst du natürl DHCP UDP 67 und 68 passieren lassen.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_R ...

Wie immer:
Lasse einen Paket Sniffer (Wireshark, tcpdump etc.) auf dem DHCP Server laufen und checke ob die geforwardeten DHCP Pakete von der UTM dort überhaupt ankommen und ob der DHCP Server darauf antwortet.
So kannst du wenigstens sicher sein wie weit die DHCP Pakete kommen und WO genau sie hängen bleiben.
Kommt man als Netzwerker aber eigentlich auch von selber drauf face-wink
Das gleiche Problem hatten wir übrigens kürzlich hier schon mal:
Problem mit Zyxel USG60 als DHCP Relay
Die Suchfunktion lässt grüßen face-wink

Wireshark läuft und gibt mir als Info, dass die Syns und Acks durchkommen. Nach ca 30 - 60 min sieht das aber anders aus. Ich bekomme nichts mehr von den Clients im VLAN zu sehen.
Ich hänge nun mal ein Windows Rechner an den Switch und prüfe, was mit der Konfig nach der Zeit passiert.

Vielen Dank schon makl!
Mitglied: Leo-le
Leo-le 06.12.2018 um 08:09:27 Uhr
Goto Top
Mein Windows Client bekommt keine IP, seltsamerweise sind aber über Nacht einige Geräte im MS DHCP aufgetaucht und sind aktuell auch ansprechbar über die vergebene IP.
Mitglied: aqui
aqui 06.12.2018 aktualisiert um 10:43:17 Uhr
Goto Top
Wireshark läuft und gibt mir als Info, dass die Syns und Acks durchkommen. Nach ca 30 - 60 min sieht das aber anders aus.
Mmmhhh... Es klappt also alles fehlerlos für 30-60 Minuten und danach von Geisterhand nicht mehr ?
Da gibts dann nur 2 mögliche Ursachen:
  • Du hast eine zeitgesteuerte ACL auf der FW
  • Ein Bug in der Firmware
Tippe auf Letzteres !
Aktuellste Firmware hast du installiert ?
Ansonsten Case aufmachen bei Sophos !