13
Problem mit Zyxel USG60 als DHCP Relay
Hallo Leute
Nach langem versuchen das ganze selbst zu konfigurieren muss ich mich doch geschlagen geben. /-:
Ich versuche gerade ein Subnetz (192.168.30.0) mit der DHCP Relay funktion der Zyxel USG60 mit IP Adressen zu versorgen.
Mein DHCP Server steht in einem anderem Subnetz (192.168.168.0) und ist ein Windows Server 2012 der auch beide Bereiche kennt, auch die USG60 kennt die beiden Netze, an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Die USG60 hat im 192.168.30.0 Interface die Funktion DHCP Relay aktiviert und die richtige Ip Adresse des DHCP Servers eingestellt.
Allerdings bekommt kein Gerät eine Ip Adrsse in 192.168.30.0 Netz.
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Allerdings auch mit abgeschalteter Firewall funktioniert dies nicht.
Wäre wirklich toll wenn mir jemand weiterhelfen könnte.
Mit freundlich Grüßen aus Luxemburg
Mike C
Nach langem versuchen das ganze selbst zu konfigurieren muss ich mich doch geschlagen geben. /-:
Ich versuche gerade ein Subnetz (192.168.30.0) mit der DHCP Relay funktion der Zyxel USG60 mit IP Adressen zu versorgen.
Mein DHCP Server steht in einem anderem Subnetz (192.168.168.0) und ist ein Windows Server 2012 der auch beide Bereiche kennt, auch die USG60 kennt die beiden Netze, an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Die USG60 hat im 192.168.30.0 Interface die Funktion DHCP Relay aktiviert und die richtige Ip Adresse des DHCP Servers eingestellt.
Allerdings bekommt kein Gerät eine Ip Adrsse in 192.168.30.0 Netz.
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Allerdings auch mit abgeschalteter Firewall funktioniert dies nicht.
Wäre wirklich toll wenn mir jemand weiterhelfen könnte.
Mit freundlich Grüßen aus Luxemburg
Mike C
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 392412
Url: https://administrator.de/contentid/392412
Printed on: April 19, 2024 at 12:04 o'clock
13 Comments
Latest comment
Kennt der Switchport an dem die USG hängt, denn auch beide Netze? Ist ein Ping von einem in das andere Netz möglich? In beide Richtungen?
Gruß
Looser
Gruß
Looser
Ja der Switch ist richtig konfiguriert, stecke ich z.B. ein PC an einen Port dem dem Netz 192.168.30.0 angehört und stelle eine feste IP am PC ein, kann ich ohne Probleme surfen.
DNS wird allerdings auch über die USG60 zum Windows Server geroutet, was auch funktioniert.
Ping in jedes Netz funktioniert auch.
Danke für deine Antwort.
Wie erwähnt vielleicht ein Routing Ding?!
DNS wird allerdings auch über die USG60 zum Windows Server geroutet, was auch funktioniert.
Ping in jedes Netz funktioniert auch.
Danke für deine Antwort.
Wie erwähnt vielleicht ein Routing Ding?!
Erstelle eine Firewall Regel, die alles in beide Richtungen erlaubt und prüfe dann nochmal.
Das hier schon probiert?
https://community.ubnt.com/t5/UniFi-Routing-Switching/DHCP-relay/td-p/20 ...
https://community.ubnt.com/t5/UniFi-Routing-Switching/DHCP-relay/td-p/20 ...
an der USG60 sehe ich auch dass ein DHCP Discover an der USG60 ankommt.
Ja und ???Siehst du denn auch das die USG es an das Relay Interface wo der DHCP Server dranhängt auch forwardet ???
DAS wäre doch eine relevante Aussage !
Wireshark ist hier wie immer dein bester Freund
Wahrscheinlich hängt es an den Firewall und Routing einstellungen der USG60.
Gut möglich ! WAS hast du denn für Regeln dort konfiguriert ?? Leider schweigst du dazu ja und zwingst und zum Raten 
UDP 67 und 68 solltest du da schon passieren lassen...
Also mit Wireshark kenne ich mich leider nicht aus, müsste mich mal etwas in Wireshark einarbeiten.
Momentan gibt es eine Regel die den Port 67 und 68 auf die USG60 zulässt, dass ist auch OK denn sonst werden DHCP Discovers geblockt. Dann hab ich noch eine zwischen den beiden Netze erstellt mit den gleichen Ports.
Zum Routing hab ich schon von Lan zu Lan versucht und von Lan wieder zur USG, leider fehlt mir dabei allerdings das Verständnis wie DHCP genau von der USG gehandhabt wird.
Momentan gibt es eine Regel die den Port 67 und 68 auf die USG60 zulässt, dass ist auch OK denn sonst werden DHCP Discovers geblockt. Dann hab ich noch eine zwischen den beiden Netze erstellt mit den gleichen Ports.
Zum Routing hab ich schon von Lan zu Lan versucht und von Lan wieder zur USG, leider fehlt mir dabei allerdings das Verständnis wie DHCP genau von der USG gehandhabt wird.
Also mit Wireshark kenne ich mich leider nicht aus
Musst du auch nicht, das rennt direkt "out of the box". Installieren, starten, fertig.Du kannst dann direkt die Pakete samt Inhalt sehen die auf deinem Netzwerk rumschwirren.
Bedenke bei den Firewall Regeln das DHCP Clients ohne IP eine Absender IP von 0.0.0.0 und eine Ziel IP von 255.255.255.255 hat. Das musst du im Regelwerk beachten ! Die IP muss also auf Source und Destination Any stehen für die Ports UDP 67 und 68.
Wie gesagt..: Checke mit dem Wireshark ob die DHCP Pakete überhaupt am DHCP Server ankommen und falls ja ob der antwortet.
Wenn dort erst gar keine DHCP Requests ankommen ist die USG der böse Buhmann.
Hallo
Habe gestern mit Wireshark in beide Netze mitgelauscht, DHCP Discover kommt an der USG60 auch an (Netz 192.168.30.0), scheint aber so als würde sie es nicht ins 192.168.168.0 Netz weitersenden.
Also wohl Routing Problem. Hat vielleicht einer eine Idee wie die Routing Regel zu setzen ist, denn in der Auswahl der Quellen kann ich die USG selbst nicht auswählen.
Für mich sollte es ungefähr so aussehen:
DHCP Dis. -> 192.168.30.0 -> USG60 (192.168.30.1) -> USG60 (192.168.168.200) -> DHCP Server
Und evtl. gleiche Abfolge nur rückwärts für die Antwort.?
Habe gestern mit Wireshark in beide Netze mitgelauscht, DHCP Discover kommt an der USG60 auch an (Netz 192.168.30.0), scheint aber so als würde sie es nicht ins 192.168.168.0 Netz weitersenden.
Also wohl Routing Problem. Hat vielleicht einer eine Idee wie die Routing Regel zu setzen ist, denn in der Auswahl der Quellen kann ich die USG selbst nicht auswählen.
Für mich sollte es ungefähr so aussehen:
DHCP Dis. -> 192.168.30.0 -> USG60 (192.168.30.1) -> USG60 (192.168.168.200) -> DHCP Server
Und evtl. gleiche Abfolge nur rückwärts für die Antwort.?
scheint aber so als würde sie es nicht ins 192.168.168.0 Netz weitersenden.
Scheint ?? Oder ist so ?!Wenn es am Ziel nicht ankommt, dann ist in der Tat der Relay defekt, oder falsch konfiguriert !
Also wohl Routing Problem.
Nein, das ist Blödsinn !Seit wann hat denn DHCP Relay was mit Routing zu tun ? Bitte mal etwas nachdenken...!
Wie gesagt...
- Mit dem Wireshark auf dem DHCP Server checken ob dort der Relay bzw. Discover vom .30.0er Netz ankommt.
- Tut er das klappt das Relay und es ist ggf. eine inbound Blocking Regel für UDP 67/68 im .168.0er Segment.
- Kommt der Discovery gar nicht erst an dann kann es eine inbound Blocking Regel für UDP 67/68 im .30.0er Segment sein oder... der DHCP Relay ist falsch konfiguriert !
Hallo nochmals
Das war mir schon fast klar, allerdings nach Stunden des Suchens glaubt man schon an das unmögliche. (-:
Ich kann nun aber mit 100% sagen dass die USG60 ihre Arbeit verrichtet, alle DHCP Anfragen werden zum DHCP Server (192.168.168.210) weitergeleitet, der gibt auch eine Antwort raus (Offer) allerdings kommt die nicht mehr am Gerät im 30.0er Netz an.
Auch mit abgeschalteter Firewall kommt die Antwort nicht an.
Siehe Foto von Wireshark auf dem DHCP Server. 192.168.30.1 Ist die USG60
Also wohl Routing Problem.
Nein, das ist Blödsinn !Das war mir schon fast klar, allerdings nach Stunden des Suchens glaubt man schon an das unmögliche. (-:
Ich kann nun aber mit 100% sagen dass die USG60 ihre Arbeit verrichtet, alle DHCP Anfragen werden zum DHCP Server (192.168.168.210) weitergeleitet, der gibt auch eine Antwort raus (Offer) allerdings kommt die nicht mehr am Gerät im 30.0er Netz an.
Auch mit abgeschalteter Firewall kommt die Antwort nicht an.
Siehe Foto von Wireshark auf dem DHCP Server. 192.168.30.1 Ist die USG60
allerdings kommt die nicht mehr am Gerät im 30.0er Netz an.
Das sieht ja bis auf den o.a. Punkt schon mal sehr gut aus ! Damit bist du dann sicher das das DHCP Relay klappt.Dann bleibt nur die Frage warum das DHCP Offer Paket die USG nicht erreicht.
Das kann eigentlich nur noch an einer falschen Inbound Firewall Regel am 192.168.168er Segment liegen in dem auch der Server ist !!
Hier solltest du dir also nochmal ganz genau dein Regelwerk an der USG ansehen !!
Das Offer Paket nutz einen Quellport (Source) mit UDP 67 und einen Zielport (Destination) von UDP 68.
Zu 98% filterst du am .168.168er Segment diese Server Pakete an der Firewall das die dort nicht mehr ankommen !
Hallo
Ich habe nun herausgefunden was das Problem war!
Da ich momentan noch dabei bin die Firewall zu konfigurieren, nutze ich die Firewall momentan noch nicht als Internet Gateway, das macht momentan noch die Fritzbox.
Und mit Wireshark konnte ich herausfinden dass die DHCP Anfrage von der USG60 kommt, der DHCP Server aber die Antwort an die Fritzbox sendet. Wohl weil die Fritzbox als Gateway im Server eingetragen ist. !? Ist aber nicht die gleiche IP.
Ist merkwürdig, weil ja auch Switches und andere Geräte als DHCP Relay dienen können die nicht als Gateway nutzbar sind.?!
Da die USG60 aber schon eine Internetverbindung hat (Fritzbox im Bridge-Mode) habe ich die USG als Gateway im Server eingetragen und werde es wohl so lassen.
Ich danke aber jedem für seine Hilfe, besonders „aqui“ hat mir doch sehr weitergeholfen.
Danke an euch alle.
Ich habe nun herausgefunden was das Problem war!
Da ich momentan noch dabei bin die Firewall zu konfigurieren, nutze ich die Firewall momentan noch nicht als Internet Gateway, das macht momentan noch die Fritzbox.
Und mit Wireshark konnte ich herausfinden dass die DHCP Anfrage von der USG60 kommt, der DHCP Server aber die Antwort an die Fritzbox sendet. Wohl weil die Fritzbox als Gateway im Server eingetragen ist. !? Ist aber nicht die gleiche IP.
Ist merkwürdig, weil ja auch Switches und andere Geräte als DHCP Relay dienen können die nicht als Gateway nutzbar sind.?!
Da die USG60 aber schon eine Internetverbindung hat (Fritzbox im Bridge-Mode) habe ich die USG als Gateway im Server eingetragen und werde es wohl so lassen.
Ich danke aber jedem für seine Hilfe, besonders „aqui“ hat mir doch sehr weitergeholfen.
Danke an euch alle.
Ich habe nun herausgefunden was das Problem war!
Glückwunsch ! 
nutze ich die Firewall momentan noch nicht als Internet Gateway, das macht momentan noch die Fritzbox.
Grrr...wir ahnen schon das (Anfänger) Problem...falsche Gateway IP...dass die DHCP Anfrage von der USG60 kommt, der DHCP Server aber die Antwort an die Fritzbox sendet.
Das kann niemals sein !Oder der DHCP Server hat einen Bug.
Der DHCP Relay Host (hier die USG) ersetzt die Absender IP mit ihrer eigenen IP. Genau so hast du es ja im Wireshark auch gesehen.
Der DHCP Server MUSS aber als Ziel IP dann die USG IP Adresse verwenden, logisch, denn das ist ja auch die Absender IP gewesen.
Die USG IP Adresse kommt aber aus einem anderen Segment und deshalb muss der Server sie an den Router senden, sprich die FB die es dann weitersenden müsste an die USG.
Anders könnte der DHCP Server das IP Paket ja nicht ans Ziel senden. Normales Routing also.
Den Fehler hast DU gemacht, denn du hast vergessen in der FritzBox als statische Route die USG einzutragenb für das USG Absender IP Zielnetz !!! Anfängerfehler !
Hättest du diese statische Route eingetragen wäre alles gut gewesen.
Das kommt dabei raus wenn man nicht nachdenkt und sich den Layer 3 Paket Flow mal vors geistige Auge führt
!Aber eltztlich lernst du auch damit mal wie hilfreich der Wireshark sein kann um diese Flows dann zu verstehen !
Case closed !
