7
Probleme mit DHCP Relay zwischen SBS 2003 und HP Procurve
Hallo Leute,
ich arbeite gerade daran unser Netzwerk zu überarbeiten. Das problem dabei ist, dass das derzeitige Netzwerk schrittweise in die neue Struktur übernommen werden soll.
Unser DHCP Server (SBS 2003) hat die IP Adresse 192.100.100.3 (ja ja ich weis. die ip ist doof, ich wills ja gerade ändern ^^) . Unser derzeitiges Gateway ist eine IPCOP Firewall mit der IP 192.100.100.254.
Unser Netzwerk besteht derzeit au einem LAN mit der IP 192.100.100.X
Ich möchte diese Struktur nun ändern. Dazu habe ich einen Layer 3 Switch gekauft (HP Procurve 2910al-24). Dieser hängt mit einem Bein (Port) im 192.100.100.252 Netz. Auf Port 2 und 3 habe ich ein VLan eingerichtet dass das spätere Server Lan bilden soll. Dies hat den IP Bereich 192.168.200.X. Der Layer 3 Switch hat auf dieser Seite die IP 192.168.200.254.
Soweit so gut.
Ich habe nun den Switch mit folgender Konfiguration konfiguriert: (DHCP-Relay ist eingeschaltet)
; J9145A Configuration Editor; Created on release #W.14.49
hostname "SWKR010"
module 1 type J9145A
ip default-gateway 192.100.100.254
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip helper-address 192.100.100.3
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
router rip
exit
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
vlan 1
ip rip 192.100.100.252
exit
vlan 2
ip rip 192.168.200.254
exit
no autorun
password manager
Im IPcop habe ich die Route:
route add -net 192.168.200.0/24 gw 192.100.100.252 eingetragen
Im SBS 2003 habe ich das den DHCP-Relay-Agent installiert und konfiguriert. Einen neuen DHCP Bereich 192.168.200.0 angelegt und eine entsprechende DNS Zone.
Die procurve Doku "Multicast and Routing habe ich gelesen.
Nun zum Problem: Ich bekomme keine DHCP Adresse und ich wei snun auch nicht mehr weiter wo ich nachschauen kann.
Zum besseren Verständnis hier noch ne Zeichnung.
Bin für jeden Tipp dankbar.
ich arbeite gerade daran unser Netzwerk zu überarbeiten. Das problem dabei ist, dass das derzeitige Netzwerk schrittweise in die neue Struktur übernommen werden soll.
Unser DHCP Server (SBS 2003) hat die IP Adresse 192.100.100.3 (ja ja ich weis. die ip ist doof, ich wills ja gerade ändern ^^) . Unser derzeitiges Gateway ist eine IPCOP Firewall mit der IP 192.100.100.254.
Unser Netzwerk besteht derzeit au einem LAN mit der IP 192.100.100.X
Ich möchte diese Struktur nun ändern. Dazu habe ich einen Layer 3 Switch gekauft (HP Procurve 2910al-24). Dieser hängt mit einem Bein (Port) im 192.100.100.252 Netz. Auf Port 2 und 3 habe ich ein VLan eingerichtet dass das spätere Server Lan bilden soll. Dies hat den IP Bereich 192.168.200.X. Der Layer 3 Switch hat auf dieser Seite die IP 192.168.200.254.
Soweit so gut.
Ich habe nun den Switch mit folgender Konfiguration konfiguriert: (DHCP-Relay ist eingeschaltet)
; J9145A Configuration Editor; Created on release #W.14.49
hostname "SWKR010"
module 1 type J9145A
ip default-gateway 192.100.100.254
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip helper-address 192.100.100.3
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
router rip
exit
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
vlan 1
ip rip 192.100.100.252
exit
vlan 2
ip rip 192.168.200.254
exit
no autorun
password manager
Im IPcop habe ich die Route:
route add -net 192.168.200.0/24 gw 192.100.100.252 eingetragen
Im SBS 2003 habe ich das den DHCP-Relay-Agent installiert und konfiguriert. Einen neuen DHCP Bereich 192.168.200.0 angelegt und eine entsprechende DNS Zone.
Die procurve Doku "Multicast and Routing habe ich gelesen.
Nun zum Problem: Ich bekomme keine DHCP Adresse und ich wei snun auch nicht mehr weiter wo ich nachschauen kann.
Zum besseren Verständnis hier noch ne Zeichnung.
Bin für jeden Tipp dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165805
Url: https://administrator.de/contentid/165805
Printed on: April 19, 2024 at 04:04 o'clock
7 Comments
Latest comment
Soweit hast du in der Switchkonfig alles absolut richtig gemacht. 3 Punkte sind aber unsinnig in der Switchkonfig und die solltest du besser entfernen:
Bedenke das der Relay Agent im Switch die DHCP Requests vom Client im Server Segment (VLAN 2) mit seiner eigenen VLAN IP als Absender sendet ! Du musst also daher zwingend dem DHCP Server in der lokalen Windows Firewall am Server den Zugriff aus externen Netzen erlauben andernfalls blockt die Firewall diesen Request und es ist klar das du keine IP bekommst.
Änder diese Punkte und dann sollte es fehlerfrei klappen. Klar sollte auch sein das der Client an Port 2 oder 3 des Switches hängt !!
Andernfalls installier dir den MS_Net_Monitor auf dem Server und checke ob dort DHCP Requests vom Switch Relay am Server ankommen !
- Eine ip helper Adresse (Relay) auf dem eigenen Interface ist Unsinn und kontraproduktiv, deshalb solltest du "ip helper-address 192.100.100.3" im VLAN 1 was ja selber das 192.100.100.0 /24 Netz ist unbedingt entfernen ! Denke ebenso daran das wenn du den Server final ins Serversegment (VLAN-2) umziehst dann der ip-helper an der VLAN-2 IP verschwinden muss aber im VLAN-2 (und allen weiteren VLANs die du evtl. noch einrichtest) dann wieder konfiguriert werden muss !! Diemals natürlich logischerweise dann mit der 192.168.200.x IP Adresse des Servers !
- Default Gateway und Default Route einzutragen ist ebenso unsinnig wie doppelt gemoppelt. Entferne also das Default Gateway aus der Konfig und belasse nur die Default Route !
- RIP zu aktivieren in VLAN 1 und VLAN-2 und dazu noch v1 ist auch überflüssig und eher kontraproduktiv und aus Netzwerk Sicherheits Sicht zudem sehr gefährlich. Auch das solltest du besser ausschalten denn du machst ja gar kein dynamisches Routing mit RIP, oder ?!
Bedenke das der Relay Agent im Switch die DHCP Requests vom Client im Server Segment (VLAN 2) mit seiner eigenen VLAN IP als Absender sendet ! Du musst also daher zwingend dem DHCP Server in der lokalen Windows Firewall am Server den Zugriff aus externen Netzen erlauben andernfalls blockt die Firewall diesen Request und es ist klar das du keine IP bekommst.
Änder diese Punkte und dann sollte es fehlerfrei klappen. Klar sollte auch sein das der Client an Port 2 oder 3 des Switches hängt !!
Andernfalls installier dir den MS_Net_Monitor auf dem Server und checke ob dort DHCP Requests vom Switch Relay am Server ankommen !
Hallo,
vielen lieben Dank für Deine ausführliche Antwort.
Ich werde alles am Montag direkt ausprobieren.
Ich bin noch nicht so tief im Netzwerkdesign drin und dachte mir dass ich mit RIP die ganzen statischen Routen zwischen den Vlans sparen kann. Muss ich denn statt dessen die statischen Routen anlegen oder reicht es wenn ich ip Routing einschalte und den Rest erledigt der Switch?
Vielen Dank und Gruß
vielen lieben Dank für Deine ausführliche Antwort.
Ich werde alles am Montag direkt ausprobieren.
Ich bin noch nicht so tief im Netzwerkdesign drin und dachte mir dass ich mit RIP die ganzen statischen Routen zwischen den Vlans sparen kann. Muss ich denn statt dessen die statischen Routen anlegen oder reicht es wenn ich ip Routing einschalte und den Rest erledigt der Switch?
Vielen Dank und Gruß
Alle VLAN IP Netze sind ja direkt am HP Switch dran und der HP bzw. dessen VLAN IPs ist ja für alle Clients das Default Gateway.
Der HP benötigt also keinerlei Routen oder dynamische Routing Protokolle...wozu auch denn er "kennt" ja alle IP Netze da sie direkt an ihm dran sind, kann also alle Pakete entsprechend problemlos zuordnen !!
Ausnahme natürlich die Default Route auf den IPCop...klar !
Es reicht also simpel und banal einfach das Routing zu aktivieren...fertisch ist der Lack !
Den restlichen überflüssigen Mist besser löschen....
Der HP benötigt also keinerlei Routen oder dynamische Routing Protokolle...wozu auch denn er "kennt" ja alle IP Netze da sie direkt an ihm dran sind, kann also alle Pakete entsprechend problemlos zuordnen !!
Ausnahme natürlich die Default Route auf den IPCop...klar !
Es reicht also simpel und banal einfach das Routing zu aktivieren...fertisch ist der Lack !
Den restlichen überflüssigen Mist besser löschen....
Hallo,
vielen dank für Deine Hilfe.
Ich habe nun folgense Konfiguration eingestellt:
; J9145A Configuration Editor; Created on release #W.14.49
hostname "SWKR010"
module 1 type J9145A
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
no autorun
password manager
Ich hab eim 192,168.200.X er Netz mein Laptop, dass auch prompt eine IP Adresse vom DHCP bekommt.
Im 192.100.100.X er Netz habe ich meinen PC. Ich kann mit meinem PC das Laptop anpingen. Ebenso vom Switch, Ipcop (Gateway), und Domänen controller.
Allerdings kann ich vom Laptop keinen anpingen. Ich versteh leider nicht wieso.
Ich kann allerdings den IPCop und den Switch anpingen, nur keine Clients/Server aus dem 192.100.100.X er netz.
Vom IPCop (default gateway der 192.100.100.x Client) ist ne statische route ins 192.168.200.x Netz zum 192.100.100.252 eingetragen.
Jemand ne Idee?
Danke und Gruß
vielen dank für Deine Hilfe.
Ich habe nun folgense Konfiguration eingestellt:
; J9145A Configuration Editor; Created on release #W.14.49
hostname "SWKR010"
module 1 type J9145A
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
no autorun
password manager
Ich hab eim 192,168.200.X er Netz mein Laptop, dass auch prompt eine IP Adresse vom DHCP bekommt.
Im 192.100.100.X er Netz habe ich meinen PC. Ich kann mit meinem PC das Laptop anpingen. Ebenso vom Switch, Ipcop (Gateway), und Domänen controller.
Allerdings kann ich vom Laptop keinen anpingen. Ich versteh leider nicht wieso.
Ich kann allerdings den IPCop und den Switch anpingen, nur keine Clients/Server aus dem 192.100.100.X er netz.
Vom IPCop (default gateway der 192.100.100.x Client) ist ne statische route ins 192.168.200.x Netz zum 192.100.100.252 eingetragen.
Jemand ne Idee?
Danke und Gruß
Hallo ich nochmal,
ich arbeite immernoch dran rum.
ich kann von meinem Arbeits PC 192.100.100.43 mein Laptop 192.168.200.11 anpingen, aber umgekehrt nicht. Ich habe mal Wireshark auf meinem Arbeitsplatz PC installiert und er zeigt mir folgenes an:
2193 101.361640 192.168.200.11 192.100.100.43 ICMP Echo (ping) request (id=0x0001, seq(be/le)=169/43264, ttl=127)
2194 101.361741 192.100.100.43 192.168.200.11 ICMP Echo (ping) reply (id=0x0001, seq(be/le)=169/43264, ttl=128)
Also kommt der Ping an und wird auch korrekt (glaube ich zumindest) zurückgesendet. Nur mein Laptop sagt "Zeitüberschreitung der Anforderung..."
Ein Ping vom Laptop auf 192.168.200.254 und 192.100.100.254 sind erfolgreich.
Gruß
ich arbeite immernoch dran rum.
ich kann von meinem Arbeits PC 192.100.100.43 mein Laptop 192.168.200.11 anpingen, aber umgekehrt nicht. Ich habe mal Wireshark auf meinem Arbeitsplatz PC installiert und er zeigt mir folgenes an:
2193 101.361640 192.168.200.11 192.100.100.43 ICMP Echo (ping) request (id=0x0001, seq(be/le)=169/43264, ttl=127)
2194 101.361741 192.100.100.43 192.168.200.11 ICMP Echo (ping) reply (id=0x0001, seq(be/le)=169/43264, ttl=128)
Also kommt der Ping an und wird auch korrekt (glaube ich zumindest) zurückgesendet. Nur mein Laptop sagt "Zeitüberschreitung der Anforderung..."
Ein Ping vom Laptop auf 192.168.200.254 und 192.100.100.254 sind erfolgreich.
Gruß
Vermutlich haben alle deine Geräte die du vom Laptop NICHT anpingen kannst ihr Default Gateway auf dem IPCop und dieser wiederum hat KEINE statische Route ins 192.168.200.0er Netz kann das sein ??
Oder der Laptop hat die Firewall aktiv und filtert ICMP Pakete (Ping). Bedneke das die Pings aus dem .200.0er Netz kommen und die lokale Winblows Firewall ALLES was nicht lokal (.100.0) ist gnadenlos blockt...wie jeder Winblows Anfänger weiss. Pass das also an in deiner lokalen Firewall unter ICMP und setze dort den Haken (Auf eingehende Echos (Ping) antworten" !
Das gleiche gilt für Dienste die du nutzen willst. Dort musst du unter Port und Bereich das .200.0er netz freischalten oder den Schrotschuss Button "Alle Geräte inkl. Internet" nutzen !
Falls die Route fehlt würden dann alle Pakete fürs 192.168.200er Netz ins Internet geroutet werden und verschwinden dort ...logisch !
Der IP Cop MUSS also zwangsweise eine statische Route:
Zielnetz: 192.168.200.0
Maske: 255.255.255.0
Gateway: 192.168.100.252
haben, sonst wird das nix !
Viel sinnvoller ist es du sagst dem DHCP Server für das 192.168.100.0er Netz er soll als Default Gateway den Switch mit der 192.168.100.252 einstellen, dann hast du das Problem gar nicht erst, denn der hat ja die Default Route zum IP Cop !
Ausnahme sind natürlich als statisch konfigurierten IP Adressen im 192.168.100er Netz die NICHT auf die Switch IP zeigen sondern auf den IP Cop !
Deshalb ist zusätzlich die default Route im IP Cop zwingend nötig !
Das gilt für alle zukünftigen VLAN IP Netze ebenso !!
Hier findest du ein Beispiel wie ein Packet Walkthrough dazu aussieht:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Der Router ist analog dein VLAN Switch Router !
Oder der Laptop hat die Firewall aktiv und filtert ICMP Pakete (Ping). Bedneke das die Pings aus dem .200.0er Netz kommen und die lokale Winblows Firewall ALLES was nicht lokal (.100.0) ist gnadenlos blockt...wie jeder Winblows Anfänger weiss. Pass das also an in deiner lokalen Firewall unter ICMP und setze dort den Haken (Auf eingehende Echos (Ping) antworten" !
Das gleiche gilt für Dienste die du nutzen willst. Dort musst du unter Port und Bereich das .200.0er netz freischalten oder den Schrotschuss Button "Alle Geräte inkl. Internet" nutzen !
Falls die Route fehlt würden dann alle Pakete fürs 192.168.200er Netz ins Internet geroutet werden und verschwinden dort ...logisch !
Der IP Cop MUSS also zwangsweise eine statische Route:
Zielnetz: 192.168.200.0
Maske: 255.255.255.0
Gateway: 192.168.100.252
haben, sonst wird das nix !
Viel sinnvoller ist es du sagst dem DHCP Server für das 192.168.100.0er Netz er soll als Default Gateway den Switch mit der 192.168.100.252 einstellen, dann hast du das Problem gar nicht erst, denn der hat ja die Default Route zum IP Cop !
Ausnahme sind natürlich als statisch konfigurierten IP Adressen im 192.168.100er Netz die NICHT auf die Switch IP zeigen sondern auf den IP Cop !
Deshalb ist zusätzlich die default Route im IP Cop zwingend nötig !
Das gilt für alle zukünftigen VLAN IP Netze ebenso !!
Hier findest du ein Beispiel wie ein Packet Walkthrough dazu aussieht:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Der Router ist analog dein VLAN Switch Router !
Hallo,
die Windows Firewalls sind ausgeschaltet. Die statische Route vom IPCop zu 192.168.200.0 Netz existiert auch schon. Ich habe bei meinem rechner das Default Gateway auf den Layer 3 Switch eingestellt. Nun geht's.
Es wird zwar einwenig arbeit sein alles umzustellen, aber mit der Lösung kann ich leben.
Ich danke dir vielmals. Hast mir sehr geholfen!
die Windows Firewalls sind ausgeschaltet. Die statische Route vom IPCop zu 192.168.200.0 Netz existiert auch schon. Ich habe bei meinem rechner das Default Gateway auf den Layer 3 Switch eingestellt. Nun geht's.
Es wird zwar einwenig arbeit sein alles umzustellen, aber mit der Lösung kann ich leben.
Ich danke dir vielmals. Hast mir sehr geholfen!
