Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein DCHP im VLAN trotz DHCP-Relay

Frage Netzwerke

Mitglied: easyfisi

easyfisi (Level 1) - Jetzt verbinden

17.03.2011, aktualisiert 15:45 Uhr, 11455 Aufrufe, 8 Kommentare

Hallo,

habe folgendes Problem. Ich habe an einem HP 2626 VLANs eingerichtet. Diese benutze ich für NAP und der DHCP soll in allen drei VLANs aktiv sein ohne Scope.
Alle VLANs sind tagged. Der DHCP befindet sich in VLAN 1 und für VLAN 2+3 ist die IP-helper-address eingetragen.
Leider wird keine IP im VLAN 2+3 verteilt. Allerdings ist im NPS zu sehen, dass es mit der Anmeldung glatt läuft. Client bekommt auch vollzugriff, nur eben keine IP per DHCP.
Mir gehen grad so die Ideen aus, da ich mich auch neu in das Thema einarbeite. Übrigens der NPS ist nach nach dem Step by Step Guide NAP Enforcement Test Lab konfiguriert.

Vielen Dank schonmal!!

Viele Grüße

easyfisi
Mitglied: Anton28
17.03.2011 um 19:32 Uhr
Hallo,

Du wirst nicht umhin kommen, für jedes VLAN einen eigenen Scope im DHCP einrichten.

Hier noch ein paar Fragen:

Wie ist die Struktur Deines Netzes, nur ein Switch oder mehrere ?
IP-Struktur Deines Netzes ?
DHCP Server OS ?

Gib mal ein paar mehr Infos.

Übrigens sagt eine Skizze Deines Netzes mehr als tausend Worte.

Danke

Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
18.03.2011 um 09:06 Uhr
Hallo Anton,

ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.

Hier die Config des HPs:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator




Vielen Dank!

Gruß

easyfisi
Bitte warten ..
Mitglied: adks
20.03.2011 um 14:14 Uhr
Hallo,

hast du schon mal geprüft, ob der DHCP Discover überhaupt beim Server ankommt?
Benutz dafür am Besten Wireshark...


Mit freundlichen Grüßen
adks
Bitte warten ..
Mitglied: easyfisi
21.03.2011 um 10:55 Uhr
Hallo,

ja das Discover kommt aus vlan 3 durch und der DHCP antwortet auch aus vlan 1 mit einem offer, allerdings kommt dieser wohl nicht am client an, da kein request erfolgt. Muss ich sowas wie ne Rückroute am DHCP eintragen oder komme ich um Multiscope selbst in der testumgebung nicht drum rum?
Ich bin echt ratlos...

Viele Grüße

easyfisi
Bitte warten ..
Mitglied: Anton28
23.03.2011 um 11:06 Uhr
Zitat von easyfisi:
Hallo Anton,

ich habe hier lediglich eine Testumgebung mit einem W2k8 R2 Standard, einem Switch und 2 XP-Clients. Auf dem Server laufen die
notwendigen Dienste. Nach erfolgreichem Test soll dies mit dem HP IDM erweitert werden und dann in die Produktivumgebung
eingpflegt werden. In der Produktivumgebung hat natürlich jedes VLAN sein eigenes Scope. Wollte nur zum testen darauf
verzichten.
Dies ist auch mein Abschlussprojekt bei der IHK :o
Ich habe das Verhalten mal genau beobachtet. Der Client bekommt kurzfristig die richtige IP im VLAN 1 (10.11.20.201) und nach
wenigen Sekunden, wenn in VLAN 3 geswitcht kommt die eingeschränkte Konnektivität, weil APIPA vergeben wurde.

Wer teilt dem Client mit, in welches VLAN er muss ?

Wer schaltet das VLAN-tagging am Client ein ?

Oder wird am Switchport dann das richtige VLAN auf untagged gestellt ?


Hier die Config des HPs:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address dhcp-bootp
ip helper-address 10.11.20.195
exit
vlan 3
name "healthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address dhcp-bootp
ip helper-address 10.11.20.195
tagged 1-26
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator



Ich würde mal vermuten, Du brauchst für jedes VLAN eine eigene DHCP Helper Adresse,
Und Du brauchst einen Router oder einen L3 Switch mit Routingfunktionalität,

Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
23.03.2011 um 12:46 Uhr
Hallo Anton,

der NPS veranlasst, welchem VLAN der Client beitritt. Das ist abhängig von der "Gesundheitsprüfung" des Clients. Alle Clients kommen standardmässig in VLAN 1. Ist der Client gesund, kommt er in VLAN 3 und erhält Vollzugriff. Ist das Patchlevel nicht aktuell, kommt der Client zum updaten ins VLAN 2. Nach erfolgreichem Update wird der Client wieder in VLAN 3 geswitcht.
Mittlerweile habe ich drei DHCP-Adressbereiche erstellt und es funktioniert soweit...

10.11.20.0 für VLAN 1
10.12.30.0 für VLAN 2
10.13.40.0 für VLAN 3

Die aktuelle config des Switch (ist ein L3) sieht jetzt so aus:

snmp-server community "public" Unrestricted
snmp-server host 10.11.20.195 "public" All
vlan 1
name "fremd"
untagged 1-26
ip address 10.11.20.200 255.255.0.0
exit
vlan 3
name "healthy"
ip address 10.13.40.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
vlan 2
name "unhealthy"
ip address 10.12.30.200 255.255.0.0
ip helper-address 10.11.20.195
tagged 1-26
exit
interface 19
monitor
exit
aaa authentication port-access eap-radius
radius-server key radiustest
radius-server host 10.11.20.195 key radiustest
include-credentials radius-tacacs-only
aaa port-access authenticator 13-23
aaa port-access authenticator active
password manager
password operator


Die Sache ist jetzt aber, dass sobald der Client von VLAN 1 nach VLAN 3 bzw VLAN 2 geswitcht wird, kommt vom Client das DHCP-Discover und vom DHCP aus VLAN 1 (10.11.20.195) das Offer anstatt von dem DHCP (10.13.40.195) aus VLAN 3 kommt. Der Request des Clients wird dann mit einem DHCP-NAK verworfen.

Auszug aus Wireshark:

1
2
3
4
5

Nehme ich den ip helper aus der config, kommt zwar das offer vom DHCP, aber es erfolgt kein request des Clients.

Was übersehe ich bzw denke ich nicht dran???

Viele Grüße

easyfisi

Edit sagt noch:

Fehler liegt anscheinend in der NPS config...

Meldung des NPS bei Anmeldung des Clients in VLAN 1:


Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.

Benutzer:
Sicherheits-ID: TEST\user1
Kontoname: TEST\user1
Kontodomäne: TEST
Vollqualifizierter Kontoname: TEST\user1

Clientcomputer:
Sicherheits-ID: TEST\CLIENT1$
Kontoname: client1.test.local
Vollqualifizierter Kontoname: TEST\CLIENT1$
Betriebssystemversion: 5.1.2600 3.0 x86 Arbeitsstation
Empfänger-ID: 00-1d-b3-a8-38-00
Anrufer-ID: 00-13-72-6b-e7-34

NAS:
NAS-IPv4-Adresse: 10.11.20.200
NAS-IPv6-Adresse: -
NAS-ID: ProCurve Switch 2626-PWR
NAS-Porttyp: Ethernet
NAS-Port: 19

RADIUS-Client:
Clientanzeigename: Fremd
Client-IP-Adresse: 10.11.20.200

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Kompatibel
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Quarantäneinformationen:
Ergebnis: Vollzugriff
Sitzungs-ID: {F9145F2C-A3E6-4376-815A-DE623F8A7896} - 2011-03-23 11:28:42.343Z


Nach dem wechsel in VLAN 3 kommt diese Meldung:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: client1
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 10.13.0.0
Anrufer-ID: 0013726BE734

NAS:
NAS-IPv4-Adresse: 10.11.20.195
NAS-IPv6-Adresse: -
NAS-ID: DC1
NAS-Porttyp: Ethernet
NAS-Port: -

RADIUS-Client:
Clientanzeigenname: -
Client-IP-Adresse: -

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NAP 802.1X (verkabelt)
Netzwerkrichtlinienname: NAP 802.1X (verkabelt) Nicht NAP-fähig
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC1.test.local
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 313531343432353437
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

Dieser Guide wurde zur erstellung des NPS genutzt: 6
Bitte warten ..
Mitglied: Anton28
23.03.2011 um 15:42 Uhr
Hallo nochmal,

du mußt jedem VLAN eine eigene Helper Adresse zuweisen, meißt ist das die IP-Adresse des Routers im VLAN.

Dann sollte es funktionieren.


Gruß

Anton
Bitte warten ..
Mitglied: easyfisi
24.03.2011 um 11:43 Uhr
Hallo,

Problem ist gelöst! Alle Einstellung am Switch sind korrekt. Problem war die Computergruppe in der Netzwerkrichtlinie des NPS. Diese Einstellung darf nicht getätigt werden.

Vielen Dank für die gegebenen Tipps!!

Viele Grüße

easyfisi
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst HP 1920 24G Switch QOS-Problem bei Portzuweisung mit DHCP Relay (2)

Frage von farbschmelz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst Kein DHCP-Relay am Sub-Switch HP (20)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Router & Routing
Ein gemeinsamer Internetzugang - Netzwerk Aufteilen (DHCP -VLAN) (15)

Frage von pingii zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst PFsense DHCP arbeitet nicht im VLAN (5)

Frage von sleeplessnight zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...