7
Win DHCP mit Multiplen VLANS Pfsense als DHCP Relay
Hallo zusammen,
ich versuche aktuell mehrere VLAN's aufzubauen. Im groben:
Vlan 1 Ip Bereich 192.168.1.XXX
Vlan 11 Ip Bereich 192.168.11.XXX
Vlan 12 Ip Bereich 192.168.12.XXX
Vlan 13 Ip Bereich 192.168.13.XXX
Vlan 14 Ip Bereich 192.168.14.XXX
Die Adressverteilung soll via Win Server DHCP laufen.
Wie folgt ist konfiguriert:
Win Server an Switch Port 1 -> (Port 1 auf VLAN 1)
Client 1 an Switch Port 2 -> (Port 2 auf VLAN 13)
Pfsense Firewall an Switch Port 23 -> (Port 23 hat VLAN 1 und 13)
Die Firewall hat in den VLAN's die folgende IP:
VLAN 1 192.168.1.3
VLAN 11 192.168.11.1
VLAN 12 192.168.12.1
VLAN 13 192.168.13.1
VLAN 14 192.168.14.1
Der Windows Server hat die IP 192.168.1.10
Im DHCP Server sind die Bereiche (Scope's) alle definiert
In der Firewall wurde das DHCP Relay und die Server adresse 192.168.1.10 eingetragen.
Sämtliche Rules wurden so eingestellt das ip4&6 mit sämtlichen Protokollen frei ist.
Stecke ich den Clienten um in VLAN 1 erhalte ich eine IP-Adresse, in den restlichen nicht.
Ich hoffe mir kann jemand erklären was genau ich falsch mache oder wie ich an die ganze Sache rangehen kann um das Problem zu finden.
Mit dem Clienten kann ich die Firewall mit der entsprechenden VLAN adresse immer anpingen. Der DHCP-Server kann auch die Firewall anpingen.
ich versuche aktuell mehrere VLAN's aufzubauen. Im groben:
Vlan 1 Ip Bereich 192.168.1.XXX
Vlan 11 Ip Bereich 192.168.11.XXX
Vlan 12 Ip Bereich 192.168.12.XXX
Vlan 13 Ip Bereich 192.168.13.XXX
Vlan 14 Ip Bereich 192.168.14.XXX
Die Adressverteilung soll via Win Server DHCP laufen.
Wie folgt ist konfiguriert:
Win Server an Switch Port 1 -> (Port 1 auf VLAN 1)
Client 1 an Switch Port 2 -> (Port 2 auf VLAN 13)
Pfsense Firewall an Switch Port 23 -> (Port 23 hat VLAN 1 und 13)
Die Firewall hat in den VLAN's die folgende IP:
VLAN 1 192.168.1.3
VLAN 11 192.168.11.1
VLAN 12 192.168.12.1
VLAN 13 192.168.13.1
VLAN 14 192.168.14.1
Der Windows Server hat die IP 192.168.1.10
Im DHCP Server sind die Bereiche (Scope's) alle definiert
In der Firewall wurde das DHCP Relay und die Server adresse 192.168.1.10 eingetragen.
Sämtliche Rules wurden so eingestellt das ip4&6 mit sämtlichen Protokollen frei ist.
Stecke ich den Clienten um in VLAN 1 erhalte ich eine IP-Adresse, in den restlichen nicht.
Ich hoffe mir kann jemand erklären was genau ich falsch mache oder wie ich an die ganze Sache rangehen kann um das Problem zu finden.
Mit dem Clienten kann ich die Firewall mit der entsprechenden VLAN adresse immer anpingen. Der DHCP-Server kann auch die Firewall anpingen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 368023
Url: https://administrator.de/contentid/368023
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @TheRealLife:
Stecke ich den Clienten um in VLAN 1 erhalte ich eine IP-Adresse, in den restlichen nicht.
Nimm einen Wireshark oder den MS Message Analyzer und schau dir deine Pakete mit deinen DHCP Anforderungen und Antworten an. Entweder bekommt dein DHCP keine Anfrage oder sendet die Antwort woanders hin. Dein Server (DHCP) darf auch IPs aus andere IP Netze annehmen?Stecke ich den Clienten um in VLAN 1 erhalte ich eine IP-Adresse, in den restlichen nicht.
Ich hoffe mir kann jemand erklären was genau ich falsch mache oder wie ich an die ganze Sache rangehen kann um das Problem zu finden.
Nach dem was du so erzählst hast du ja anscheinend alles getan (aber das dem nicht so ist bewisst dir DHCP), ergo ist Wireshark (oder MS Message Analyzer) dein Freund und Helfer.Gruß,
Peter
Hi Peter danke dir für die Hilfe,
Dein Server (DHCP) darf auch IPs aus andere IP Netze annehmen? Was genau meinst du hier?
Ich habe die Bereiche eingetragen, ist es das was du meinst?
Dein Server (DHCP) darf auch IPs aus andere IP Netze annehmen? Was genau meinst du hier?
Ich habe die Bereiche eingetragen, ist es das was du meinst?
Zitat von @TheRealLife:
Dein Server (DHCP) darf auch IPs aus andere IP Netze annehmen? Was genau meinst du hier?
Die Einstellung deiner lokalen Firewall. Die blockt erstmal alles aus anderen IP Netzen. Nur ihr eigenes IP Netz darf....Dein Server (DHCP) darf auch IPs aus andere IP Netze annehmen? Was genau meinst du hier?
Gruß,
Peter
Die war komplett aus,
folgendes Problem:
DHCP Anfrage kam rein aber nicht raus -> Standardgateway im Server auf die Firewall gesetzt. Nun gehts
folgendes Problem:
DHCP Anfrage kam rein aber nicht raus -> Standardgateway im Server auf die Firewall gesetzt. Nun gehts
Pfsense Firewall an Switch Port 23 -> (Port 23 hat VLAN 1 und 13)
Damit ist die Firewall ja nur in 2 Netzwerken !Warum hast du ihr dann die IP Adressen gegeben in den anderen VLANs. Die kann die Firewall ja niemals erreichen wenn auf dem Uplink Port 23 nur 2 VLANs konfiguriert sind ?
Das kann ja niemals klappen...
Stecke ich den Clienten um in VLAN 1 erhalte ich eine IP-Adresse, in den restlichen nicht.
Ist ja auch klar, denn in dem Netz ist ja auch der DHCP Server da ist die pfSense gar nicht involviert.Den DHCP Relay muss du nur an den VLAN Interfaces definieren mit Zieladresse DHCP Server.
Es sieht irgendwi so aus als ob der Relay nicht funktioniert.
Kollege Pjordorf hat Recht am DHCP Server mal mit dem Wireshark nachsehen ob die DHCP Requests aus den anderen IP Netze dahin geforwardet werden. Das zeigt dann das der Relay funktioniert.
Wie gesagt, mit der fehlerhaften Konfig, das nur VLAN 1 und 13 an der pfSense anliegen geht das auch erstmal nur einzig in diesen IP Netzen.
Was du auch prüfen solltest um eine Fehlkonfiguration der Switches sicher ausschliessen zu können, ist ob du vom Client in VLAN 13 die pfSense IP in VLAN 13 und die in VLAN 1 pingen kannst. Auch den DHCP Server solltest du pingen können !!
Ebenso andersrum vom DHCP Server.
Bedenke das die lokale Firewall ggf. Requests aus anderen IP Netzen blockt wenn es ein Winblows OS ist. Dort musst du dann die lokale Firewall entsprechend customizen.
Ein gegenseitiger Ping auf alle o.a. Adressen muss klappen !
Danke dir für deine Tipps,
wie kurz zuvor geschrieben hatte sich das Problem bereits erledigt, es lag an der fehlenden Route um zum Subnetz zu kommen.
Das die anderen Ports nicht freigeschaltet waren, war komplett beabsichtigt. Ich habe mich da lediglich ungünstig ausgedrückt, genannt war das Ziel wo es hingehen sollte. Bin aber so an die Sache rangegangen das ich erst ein VLAN mit DHCP zum laufen bringen wollte bevor ich die anderen dazu schalte.
Jedenfalls funktioniert nun alles, danke euch für eure Mühen
wie kurz zuvor geschrieben hatte sich das Problem bereits erledigt, es lag an der fehlenden Route um zum Subnetz zu kommen.
Das die anderen Ports nicht freigeschaltet waren, war komplett beabsichtigt. Ich habe mich da lediglich ungünstig ausgedrückt, genannt war das Ziel wo es hingehen sollte. Bin aber so an die Sache rangegangen das ich erst ein VLAN mit DHCP zum laufen bringen wollte bevor ich die anderen dazu schalte.
Jedenfalls funktioniert nun alles, danke euch für eure Mühen
Bin aber so an die Sache rangegangen das ich erst ein VLAN mit DHCP zum laufen bringen wollte bevor ich die anderen dazu schalte.
Das ist auch der absolut richtige Weg ! Hatte ich falsch verstanden, sorry !Klasse wenn's nun rennt wie es soll.
