Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Aussage "Router macht DHCP ins Netz" - was soll das bedeuten?

Frage Netzwerke Router & Routing

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

03.11.2014 um 15:09 Uhr, 1332 Aufrufe, 4 Kommentare

Hallo,

ein Mitarbeiter unseres Providers war soeben bei uns im Büro und hat geschimpft, dass von uns aus "DHCP ins Netz" gespeist wird und dadurch andere Kunden verwirrt sind. Er meinte, dass er Port 67 nun am DSLAM gesperrt habe.

Als Router ist bei uns ein Cisco 1921 ISR im Einsatz. DHCP ist aktiviert um Gastgeräte mit Adressen zu versorgen. Aber dass die DHCP-Adressen auch in das WAN gehen Wir haben hier nie etwas bemerkt und auch keine Probleme nach der Sperrung des Ports.

Kann mir vielleicht jemand sagen, was der Mitarbeiter gemeint hat?
Mitglied: killtec
03.11.2014, aktualisiert um 15:27 Uhr
Hi,
ggf ist das DHCP Binding auf ein Interface nicht erfolgt...

Edit: Hier ist ein Link zur DHCP-Configuration: http://www.cisco.com/c/en/us/td/docs/routers/access/1800/1801/software/ ...

Gruß
Bitte warten ..
Mitglied: aqui
03.11.2014, aktualisiert um 16:42 Uhr
Das bedeutet das der Cisco Router einen DHCP Server in Richtung Providerport konfiguriert hat. Klar das der Kollege dann etwas ungehalten ist, denn das ist natürlich falsch konfiguriert von deiner Seite, klar ! Es zeigt aber auch die fehlerhafte Konfig des Providers, denn der blockt generell solche ungewollten Protokolle wie DHCP, Spanning-Tree, CDP, LLDP usw. usw. in seinen Netze.

Leider hast du hier ja nicht die Konfig des Routers mal gepostet was hilfreich wäre um dir zu helfen. So zwingst du uns zum wilden Raten im freien Fall

Im folgenden Tutorial kannst du eine saubere Cisco Standard Konfig für sowas sehen und wie man das für den Provider wasserdicht und ohne DHCP auf seinem Port umsetzt:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Bitte warten ..
Mitglied: ef8619
05.11.2014 um 10:03 Uhr
Hallo,

anbei die Konfiguration:

01.
Using 9677 out of 262136 bytes 
02.
03.
! Last configuration change at 15:22:16 Berlin Thu Feb 20 2014 by admin 
04.
version 15.2 
05.
no service pad 
06.
service tcp-keepalives-in 
07.
service tcp-keepalives-out 
08.
service timestamps debug datetime msec localtime show-timezone 
09.
service timestamps log datetime msec localtime show-timezone 
10.
service password-encryption 
11.
service sequence-numbers 
12.
13.
hostname DE001-SYS-81-1 
14.
15.
boot-start-marker 
16.
boot system flash:c1900-universalk9-mz.SPA.152-4.M5.bin 
17.
boot-end-marker 
18.
19.
20.
security authentication failure rate 3 log 
21.
logging buffered 51200 warnings 
22.
logging console critical 
23.
enable secret 4  
24.
25.
aaa new-model 
26.
27.
28.
aaa authentication login ciscocp_vpn_xauth_ml_1 local 
29.
aaa authentication ppp default local 
30.
aaa authorization network default if-authenticated 
31.
aaa authorization network ciscocp_vpn_group_ml_1 local 
32.
33.
34.
35.
36.
37.
aaa session-id common 
38.
clock timezone Berlin 1 0 
39.
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 
40.
41.
no ip source-route 
42.
ip cef 
43.
44.
45.
46.
47.
 
48.
 
49.
50.
ip dhcp excluded-address 10.80.1.1 10.80.1.99 
51.
ip dhcp excluded-address 10.80.10.1 10.80.10.139 
52.
ip dhcp excluded-address 10.80.10.170 10.80.10.254 
53.
ip dhcp excluded-address 10.80.20.1 10.80.20.179 
54.
ip dhcp excluded-address 10.80.20.200 10.80.20.254 
55.
ip dhcp excluded-address 10.80.30.1 10.80.30.199 
56.
ip dhcp excluded-address 10.80.30.230 10.80.30.254 
57.
ip dhcp excluded-address 10.80.40.1 10.80.40.179 
58.
ip dhcp excluded-address 10.80.40.200 10.80.40.254 
59.
ip dhcp excluded-address 10.80.50.1 10.80.50.199 
60.
ip dhcp excluded-address 10.80.50.230 10.80.50.254 
61.
ip dhcp excluded-address 10.80.99.1 10.80.99.99 
62.
ip dhcp excluded-address 10.80.99.130 10.80.99.254 
63.
ip dhcp excluded-address 10.80.90.1 10.80.90.99 
64.
ip dhcp excluded-address 10.80.90.130 10.80.90.254 
65.
ip dhcp excluded-address 10.80.1.130 10.80.1.254 
66.
67.
ip dhcp pool Worker-Network 
68.
 network 10.80.10.0 255.255.255.0 
69.
 default-router 10.80.10.254 
70.
 domain-name domain.internal 
71.
 dns-server 10.80.10.254 
72.
73.
ip dhcp pool VoIP 
74.
 network 10.80.20.0 255.255.255.0 
75.
 default-router 10.80.20.254 
76.
 domain-name domain.internal 
77.
 dns-server 10.80.20.254 
78.
79.
ip dhcp pool Peripheral-Devices 
80.
 network 10.80.30.0 255.255.255.0 
81.
 default-router 10.80.30.254 
82.
 domain-name domain.internal 
83.
 dns-server 10.80.30.254 
84.
85.
ip dhcp pool Data-Center-Components 
86.
 network 10.80.40.0 255.255.255.0 
87.
 default-router 10.80.40.254 
88.
 domain-name domain.internal 
89.
 dns-server 10.80.40.254 
90.
91.
ip dhcp pool IA 
92.
 network 10.80.50.0 255.255.255.0 
93.
 default-router 10.80.50.254 
94.
 domain-name domain.internal 
95.
 dns-server 10.80.50.254 
96.
97.
ip dhcp pool Guest-WLAN 
98.
 network 10.80.99.0 255.255.255.0 
99.
 default-router 10.80.99.254 
100.
 domain-name domain.internal 
101.
 dns-server 10.80.99.254 
102.
103.
ip dhcp pool Management 
104.
 network 10.80.1.0 255.255.255.0 
105.
 default-router 10.80.1.254 
106.
 domain-name domain.internal 
107.
 dns-server 10.80.1.254 
108.
109.
ip dhcp pool Experimental 
110.
 network 10.80.90.0 255.255.255.0 
111.
 default-router 10.80.90.254 
112.
 domain-name domain.internal 
113.
 dns-server 10.80.90.254 
114.
115.
116.
117.
no ip bootp server 
118.
ip domain name domain.internal 
119.
ip host DE001-PFA-01-1 10.80.10.22 
120.
ip host DE001-SYS-41-1 10.80.10.190 
121.
ip host DE001-SYS-44-1 10.80.10.230 
122.
ip host DE001-SYS-51-1 10.80.30.50 
123.
ip host DE001-SYS-51-2 10.80.30.51 
124.
ip host DE001-SYS-52-1 10.80.30.100 
125.
ip host DE001-SYS-53-1 10.80.30.150 
126.
ip host DE001-SYS-81-1 10.80.1.254 
127.
ip host DE001-SYS-82-1 10.80.1.253 
128.
ip host DE001-SYS-82-3 10.80.1.252 
129.
ip host DE001-SYS-83-1 10.80.1.251 
130.
ip host DE001-SYS-84-1 10.80.1.200 
131.
ip host DE001-AVE-V02-1 10.80.10.60 
132.
ip host DE001-APE-V02-1 10.80.10.61 
133.
ip host DE001-EFR-V02-1 10.80.10.63 
134.
ip host DE001-GKA-V02-1 10.80.10.64 
135.
ip host DE001-CBO-V02-1 10.80.10.65 
136.
ip host DE001-AVE-01-1 10.80.10.20 
137.
ip host DE001-APE-01-1 10.80.10.21 
138.
ip host DE001-EFR-01-1 10.80.10.23 
139.
ip host DE001-GKA-01-1 10.80.10.24 
140.
ip host DE001-CBO-01-1 10.80.10.25 
141.
ip host DE001-SYS-V42-1 10.80.10.210 
142.
ip name-server x.x.x.x 
143.
ip name-server x.x.x.x 
144.
no ipv6 cef 
145.
146.
multilink bundle-name authenticated 
147.
148.
vpdn enable 
149.
150.
151.
crypto pki trustpoint TP-self-signed-2083690069 
152.
 enrollment selfsigned 
153.
 subject-name cn=IOS-Self-Signed-Certificate-2083690069 
154.
 revocation-check none 
155.
 rsakeypair TP-self-signed-2083690069 
156.
157.
158.
crypto pki certificate chain TP-self-signed-2083690069 
159.
 certificate self-signed 01 nvram:IOS-Self-Sig#1.cer 
160.
license udi pid CISCO1921/K9 sn FGL1704224A 
161.
license boot module c1900 technology-package securityk9 
162.
license boot module c1900 technology-package datak9 
163.
164.
165.
username admin privilege 15 secret 4  
166.
username CBO secret 4  
167.
username AVE password 7  
168.
username EFR password 7  
169.
username APE password 7  
170.
username PFA password 7  
171.
username NVE password 7  
172.
173.
redundancy 
174.
175.
176.
177.
178.
179.
ip tcp synwait-time 10 
180.
ip ssh time-out 60 
181.
ip ssh authentication-retries 2 
182.
183.
184.
crypto isakmp policy 1 
185.
 encr aes 256 
186.
 hash md5 
187.
 authentication pre-share 
188.
 group 2 
189.
190.
crypto isakmp client configuration group GROUP 
191.
 key s7F5o9PHc008vn8F 
192.
 dns 10.80.1.254 
193.
 domain domain.local 
194.
 pool SDM_POOL_1 
195.
 acl 101 
196.
 save-password 
197.
 netmask 255.255.0.0 
198.
crypto isakmp profile ciscocp-ike-profile-1 
199.
   match identity group GROUP 
200.
   client authentication list ciscocp_vpn_xauth_ml_1 
201.
   isakmp authorization list ciscocp_vpn_group_ml_1 
202.
   client configuration address respond 
203.
   virtual-template 3 
204.
205.
206.
crypto ipsec transform-set Default_TS esp-aes 256 esp-md5-hmac 
207.
 mode tunnel 
208.
209.
crypto ipsec profile CiscoCP_Profile1 
210.
 set transform-set Default_TS 
211.
 set isakmp-profile ciscocp-ike-profile-1 
212.
213.
214.
215.
crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 
216.
 connect auto 
217.
 group Default_Authentication key  
218.
 mode client 
219.
 peer 10.80.1.254 
220.
 virtual-interface 2 
221.
 username admin password  
222.
 xauth userid mode local 
223.
224.
225.
226.
227.
228.
229.
interface Embedded-Service-Engine0/0 
230.
 no ip address 
231.
 shutdown 
232.
233.
interface GigabitEthernet0/0 
234.
 description Management$ETH-LAN$ 
235.
 ip address 10.80.1.254 255.255.255.0 
236.
 ip nat inside 
237.
 ip virtual-reassembly in 
238.
 ip tcp adjust-mss 1452 
239.
 duplex auto 
240.
 speed auto 
241.
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside 
242.
243.
interface GigabitEthernet0/0.10 
244.
 description Worker Network 
245.
 encapsulation dot1Q 10 
246.
 ip address 10.80.10.254 255.255.255.0 
247.
 ip nat inside 
248.
 ip virtual-reassembly in 
249.
 no cdp enable 
250.
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 inside 
251.
252.
interface GigabitEthernet0/0.20 
253.
 description VoIP 
254.
 encapsulation dot1Q 20 
255.
 ip address 10.80.20.254 255.255.255.0 
256.
 ip nat inside 
257.
 ip virtual-reassembly in 
258.
 no cdp enable 
259.
260.
interface GigabitEthernet0/0.30 
261.
 description Peripheral Devices 
262.
 encapsulation dot1Q 30 
263.
 ip address 10.80.30.254 255.255.255.0 
264.
 ip nat inside 
265.
 ip virtual-reassembly in 
266.
 no cdp enable 
267.
268.
interface GigabitEthernet0/0.40 
269.
 description Data Center Components 
270.
 encapsulation dot1Q 40 
271.
 ip address 10.80.40.254 255.255.255.0 
272.
 no cdp enable 
273.
274.
interface GigabitEthernet0/0.50 
275.
 description IA 
276.
 encapsulation dot1Q 50 
277.
 ip address 10.80.50.254 255.255.255.0 
278.
 ip nat inside 
279.
 ip virtual-reassembly in 
280.
 no cdp enable 
281.
282.
interface GigabitEthernet0/0.90 
283.
 description Experimental 
284.
 encapsulation dot1Q 90 
285.
 ip address 10.80.90.254 255.255.255.0 
286.
 no cdp enable 
287.
288.
interface GigabitEthernet0/0.99 
289.
 description Guest WLAN 
290.
 encapsulation dot1Q 99 
291.
 ip address 10.80.99.254 255.255.255.0 
292.
 ip nat inside 
293.
 ip virtual-reassembly in 
294.
 no cdp enable 
295.
296.
interface GigabitEthernet0/1 
297.
 description VDSL Internet Verbindung$FW_OUTSIDE$ 
298.
 ip address dhcp 
299.
 no ip redirects 
300.
 no ip proxy-arp 
301.
 ip flow ingress 
302.
 ip flow egress 
303.
 ip nat outside 
304.
 ip virtual-reassembly in 
305.
 duplex auto 
306.
 speed auto 
307.
 crypto ipsec client ezvpn CISCOCP_EZVPN_CLIENT_1 
308.
309.
interface Virtual-Template2 type tunnel 
310.
 no ip address 
311.
 tunnel mode ipsec ipv4 
312.
313.
interface Virtual-Template3 type tunnel 
314.
 description $FW_OUTSIDE$ 
315.
 ip unnumbered GigabitEthernet0/1 
316.
 tunnel mode ipsec ipv4 
317.
 tunnel protection ipsec profile CiscoCP_Profile1 
318.
319.
ip local pool SDM_POOL_1 10.80.100.100 10.80.100.199 
320.
ip forward-protocol nd 
321.
322.
ip http server 
323.
ip http authentication local 
324.
no ip http secure-server 
325.
326.
ip dns server 
327.
ip nat inside source list 101 interface GigabitEthernet0/1 overload 
328.
ip nat inside source list 110 interface GigabitEthernet0/1 overload 
329.
ip nat inside source list 120 interface GigabitEthernet0/1 overload 
330.
ip nat inside source list 130 interface GigabitEthernet0/1 overload 
331.
ip nat inside source list 150 interface GigabitEthernet0/1 overload 
332.
ip nat inside source list 190 interface GigabitEthernet0/1 overload 
333.
ip nat inside source list 199 interface GigabitEthernet0/1 overload 
334.
335.
logging trap notifications 
336.
logging host 10.80.10.230 
337.
access-list 101 remark CCP_ACL Category=22 
338.
access-list 101 permit ip 10.80.1.0 0.0.0.255 any 
339.
access-list 101 permit ip 10.80.10.0 0.0.0.255 10.80.100.0 0.0.0.255 
340.
access-list 110 permit ip 10.80.10.0 0.0.0.255 any 
341.
access-list 120 permit ip 10.80.20.0 0.0.0.255 any 
342.
access-list 130 permit ip 10.80.30.0 0.0.0.255 any 
343.
access-list 150 permit ip 10.80.50.0 0.0.0.255 any 
344.
access-list 190 permit ip 10.80.90.0 0.0.0.255 any 
345.
access-list 199 permit ip 10.80.99.0 0.0.0.255 any 
346.
no cdp run 
347.
348.
349.
350.
351.
352.
control-plane 
353.
354.
355.
line con 0 
356.
line aux 0 
357.
line 2 
358.
 no activation-character 
359.
 no exec 
360.
 transport preferred none 
361.
 transport output ssh 
362.
 stopbits 1 
363.
line vty 0 4 
364.
 access-class 23 in 
365.
 privilege level 15 
366.
 transport input ssh 
367.
line vty 5 15 
368.
 access-class 23 in 
369.
 privilege level 15 
370.
 transport input ssh 
371.
372.
no scheduler allocate 
373.
374.
end
Bitte warten ..
Mitglied: aqui
05.11.2014, aktualisiert um 19:20 Uhr
Nach deiner Konfiguration (und wenn diese authentisch ist) bist du ganz sicher NICHT der Verursacher der DHCP Pakete !
Es sei denn du bekommst am Interface GigabitEthernet0/1 was ja dein Provider Interface ist auch einen 10.88er IP was vermutlich aber nicht der Fall ist.
Zudem würde der Cisco dann über "duplicate IPs" meckern !

5 Tips zu deiner Konfig:
1.) Auf dem Provider Interface solltest du zwingend auch CDP deaktivieren, da sonst jeder in der Welt weiss wessen Router mit allen Daten an dem Port hängt !

2.) Deine ip nat inside source list Definition ist mit Verlaub gesagt etwas unsinnig.
Sinnvollerweise zieht man das in ein gemeinsames ACL Statement zusammen so das es nachher so aussieht:
access-list 101 permit ip 10.80.1.0 0.0.0.255 any
access-list 101 permit ip 10.80.10.0 0.0.0.255 any
access-list 101 permit ip 10.80.20.0 0.0.0.255 any
access-list 101 permit ip 10.80.30.0 0.0.0.255 any
access-list 101 permit ip 10.80.50.0 0.0.0.255 any
access-list 101 permit ip 10.80.90.0 0.0.0.255 any
access-list 101 permit ip 10.80.99.0 0.0.0.255 any
!
ip nat inside source list 101 interface GigabitEthernet0/1 overload

Es reicht dann ein einziges NAT Statement um das gleiche zu bewirken !
Das access-list 101 permit ip ip 10.80.10.0 0.0.0.255 10.80.100.0 0.0.0.255 ist dabei auch völlig überflüssig, denn es wird logischerweise schon mit dem Statement access-list 101 permit ip 10.80.10.0 0.0.0.255 any mit erschlagen !
Willst du es noch einfacher haben geht es auch noch weit übersichtlicher mit nur 2 simplen Konfig Zeilen:
access-list 101 permit ip 10.80.0.0 0.0.127.255 any
!
ip nat inside source list 101 interface GigabitEthernet0/1 overload

Das erreicht dann das gleiche und NATet alle internen IP Netze von 10.80.0.0 bis 10.80.127.254 !
Also warum umständlich machen wenns einfacher auch geht

3.) Ein HTTP Server auf einem Internet Router ist eigentlich ein NoGo ! Wenn überhaupt dann nur HTTPS !

4.) Besser und sicherer wäre es noch wenn du ein Firewall Image hast die SPI Firewall zu aktivieren (ip inspect xyz) und mit CBAC am WAN/Provider Port zu arbeiten. Beispiel zeigt das o.a. Tutorial.

5.) Die Sommerzeit Umschaltung ist falsch ! Richtig ist:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

Ist aber nur kosmetisch... Wenn du die genaue Zeit haben willst fürs Router log solltest du mit ntp server 130.149.17.8 source GigabitEthernet 0/1 immer einen Zeitserver konfigurieren.
Ggf. auf eine interne IP ändern solltest du einen eigenen Zeitserver (z.B. Winblows Server) im Netz betreiben !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Gäste WLAN vom eigenen Netz trennen mit einem eigenen Port am Router? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Proxmox Netzwerk: LAN Netz ohne Router (2)

Frage von sebastian2608 zum Thema Router & Routing ...

Windows Server
DHCP-Server vor Änderung schützen (1)

Frage von cuilster zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...