Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Probleme mit DHCP Relay zwischen SBS 2003 und HP Procurve

Frage Netzwerke Netzwerkmanagement

Mitglied: gagagu

gagagu (Level 1) - Jetzt verbinden

06.05.2011, aktualisiert 18.10.2012, 7841 Aufrufe, 7 Kommentare

Hallo Leute,

ich arbeite gerade daran unser Netzwerk zu überarbeiten. Das problem dabei ist, dass das derzeitige Netzwerk schrittweise in die neue Struktur übernommen werden soll.
Unser DHCP Server (SBS 2003) hat die IP Adresse 192.100.100.3 (ja ja ich weis. die ip ist doof, ich wills ja gerade ändern ^^) . Unser derzeitiges Gateway ist eine IPCOP Firewall mit der IP 192.100.100.254.
Unser Netzwerk besteht derzeit au einem LAN mit der IP 192.100.100.X

Ich möchte diese Struktur nun ändern. Dazu habe ich einen Layer 3 Switch gekauft (HP Procurve 2910al-24). Dieser hängt mit einem Bein (Port) im 192.100.100.252 Netz. Auf Port 2 und 3 habe ich ein VLan eingerichtet dass das spätere Server Lan bilden soll. Dies hat den IP Bereich 192.168.200.X. Der Layer 3 Switch hat auf dieser Seite die IP 192.168.200.254.

Soweit so gut.

Ich habe nun den Switch mit folgender Konfiguration konfiguriert: (DHCP-Relay ist eingeschaltet)

; J9145A Configuration Editor; Created on release #W.14.49
hostname "SWKR010"
module 1 type J9145A
ip default-gateway 192.100.100.254
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip helper-address 192.100.100.3
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
router rip
exit
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
vlan 1
ip rip 192.100.100.252
exit
vlan 2
ip rip 192.168.200.254
exit
no autorun
password manager

Im IPcop habe ich die Route:
route add -net 192.168.200.0/24 gw 192.100.100.252 eingetragen

Im SBS 2003 habe ich das den DHCP-Relay-Agent installiert und konfiguriert. Einen neuen DHCP Bereich 192.168.200.0 angelegt und eine entsprechende DNS Zone.
Die procurve Doku "Multicast and Routing habe ich gelesen.

Nun zum Problem: Ich bekomme keine DHCP Adresse und ich wei snun auch nicht mehr weiter wo ich nachschauen kann.
Zum besseren Verständnis hier noch ne Zeichnung.


161e7848b3ca97bdd80c6d99fe80c921 - Klicke auf das Bild, um es zu vergrößern

Bin für jeden Tipp dankbar.
Mitglied: aqui
06.05.2011 um 16:21 Uhr
Soweit hast du in der Switchkonfig alles absolut richtig gemacht. 3 Punkte sind aber unsinnig in der Switchkonfig und die solltest du besser entfernen:
  • Eine ip helper Adresse (Relay) auf dem eigenen Interface ist Unsinn und kontraproduktiv, deshalb solltest du "ip helper-address 192.100.100.3" im VLAN 1 was ja selber das 192.100.100.0 /24 Netz ist unbedingt entfernen ! Denke ebenso daran das wenn du den Server final ins Serversegment (VLAN-2) umziehst dann der ip-helper an der VLAN-2 IP verschwinden muss aber im VLAN-2 (und allen weiteren VLANs die du evtl. noch einrichtest) dann wieder konfiguriert werden muss !! Diemals natürlich logischerweise dann mit der 192.168.200.x IP Adresse des Servers !
  • Default Gateway und Default Route einzutragen ist ebenso unsinnig wie doppelt gemoppelt. Entferne also das Default Gateway aus der Konfig und belasse nur die Default Route !
  • RIP zu aktivieren in VLAN 1 und VLAN-2 und dazu noch v1 ist auch überflüssig und eher kontraproduktiv und aus Netzwerk Sicherheits Sicht zudem sehr gefährlich. Auch das solltest du besser ausschalten denn du machst ja gar kein dynamisches Routing mit RIP, oder ?!

Bedenke das der Relay Agent im Switch die DHCP Requests vom Client im Server Segment (VLAN 2) mit seiner eigenen VLAN IP als Absender sendet ! Du musst also daher zwingend dem DHCP Server in der lokalen Windows Firewall am Server den Zugriff aus externen Netzen erlauben andernfalls blockt die Firewall diesen Request und es ist klar das du keine IP bekommst.
Änder diese Punkte und dann sollte es fehlerfrei klappen. Klar sollte auch sein das der Client an Port 2 oder 3 des Switches hängt !!
Andernfalls installier dir den MS_Net_Monitor auf dem Server und checke ob dort DHCP Requests vom Switch Relay am Server ankommen !
Bitte warten ..
Mitglied: gagagu
06.05.2011 um 20:00 Uhr
Hallo,
vielen lieben Dank für Deine ausführliche Antwort.
Ich werde alles am Montag direkt ausprobieren.

Ich bin noch nicht so tief im Netzwerkdesign drin und dachte mir dass ich mit RIP die ganzen statischen Routen zwischen den Vlans sparen kann. Muss ich denn statt dessen die statischen Routen anlegen oder reicht es wenn ich ip Routing einschalte und den Rest erledigt der Switch?

Vielen Dank und Gruß
Bitte warten ..
Mitglied: aqui
06.05.2011 um 22:15 Uhr
Alle VLAN IP Netze sind ja direkt am HP Switch dran und der HP bzw. dessen VLAN IPs ist ja für alle Clients das Default Gateway.
Der HP benötigt also keinerlei Routen oder dynamische Routing Protokolle...wozu auch denn er "kennt" ja alle IP Netze da sie direkt an ihm dran sind, kann also alle Pakete entsprechend problemlos zuordnen !!
Ausnahme natürlich die Default Route auf den IPCop...klar !
Es reicht also simpel und banal einfach das Routing zu aktivieren...fertisch ist der Lack !
Den restlichen überflüssigen Mist besser löschen....
Bitte warten ..
Mitglied: gagagu
09.05.2011 um 10:37 Uhr
Hallo,

vielen dank für Deine Hilfe.
Ich habe nun folgense Konfiguration eingestellt:

; J9145A Configuration Editor; Created on release #W.14.49

hostname "SWKR010"
module 1 type J9145A
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1,4-24
ip address 192.100.100.252 255.255.255.0
no untagged 2-3
exit
vlan 2
name "Server"
untagged 2-3
ip helper-address 192.100.100.3
ip address 192.168.200.254 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.100.100.254
snmp-server community "public" unrestricted
snmp-server location "Serverraum"
no autorun
password manager


Ich hab eim 192,168.200.X er Netz mein Laptop, dass auch prompt eine IP Adresse vom DHCP bekommt.
Im 192.100.100.X er Netz habe ich meinen PC. Ich kann mit meinem PC das Laptop anpingen. Ebenso vom Switch, Ipcop (Gateway), und Domänen controller.
Allerdings kann ich vom Laptop keinen anpingen. Ich versteh leider nicht wieso.
Ich kann allerdings den IPCop und den Switch anpingen, nur keine Clients/Server aus dem 192.100.100.X er netz.

Vom IPCop (default gateway der 192.100.100.x Client) ist ne statische route ins 192.168.200.x Netz zum 192.100.100.252 eingetragen.

Jemand ne Idee?

Danke und Gruß
Bitte warten ..
Mitglied: gagagu
09.05.2011 um 16:16 Uhr
Hallo ich nochmal,

ich arbeite immernoch dran rum.

ich kann von meinem Arbeits PC 192.100.100.43 mein Laptop 192.168.200.11 anpingen, aber umgekehrt nicht. Ich habe mal Wireshark auf meinem Arbeitsplatz PC installiert und er zeigt mir folgenes an:

2193 101.361640 192.168.200.11 192.100.100.43 ICMP Echo (ping) request (id=0x0001, seq(be/le)=169/43264, ttl=127)
2194 101.361741 192.100.100.43 192.168.200.11 ICMP Echo (ping) reply (id=0x0001, seq(be/le)=169/43264, ttl=128)

Also kommt der Ping an und wird auch korrekt (glaube ich zumindest) zurückgesendet. Nur mein Laptop sagt "Zeitüberschreitung der Anforderung..."

Ein Ping vom Laptop auf 192.168.200.254 und 192.100.100.254 sind erfolgreich.

Gruß
Bitte warten ..
Mitglied: aqui
09.05.2011, aktualisiert 18.10.2012
Vermutlich haben alle deine Geräte die du vom Laptop NICHT anpingen kannst ihr Default Gateway auf dem IPCop und dieser wiederum hat KEINE statische Route ins 192.168.200.0er Netz kann das sein ??
Oder der Laptop hat die Firewall aktiv und filtert ICMP Pakete (Ping). Bedneke das die Pings aus dem .200.0er Netz kommen und die lokale Winblows Firewall ALLES was nicht lokal (.100.0) ist gnadenlos blockt...wie jeder Winblows Anfänger weiss. Pass das also an in deiner lokalen Firewall unter ICMP und setze dort den Haken (Auf eingehende Echos (Ping) antworten" !
Das gleiche gilt für Dienste die du nutzen willst. Dort musst du unter Port und Bereich das .200.0er netz freischalten oder den Schrotschuss Button "Alle Geräte inkl. Internet" nutzen !

Falls die Route fehlt würden dann alle Pakete fürs 192.168.200er Netz ins Internet geroutet werden und verschwinden dort ...logisch !
Der IP Cop MUSS also zwangsweise eine statische Route:
Zielnetz: 192.168.200.0
Maske: 255.255.255.0
Gateway: 192.168.100.252

haben, sonst wird das nix !

Viel sinnvoller ist es du sagst dem DHCP Server für das 192.168.100.0er Netz er soll als Default Gateway den Switch mit der 192.168.100.252 einstellen, dann hast du das Problem gar nicht erst, denn der hat ja die Default Route zum IP Cop !
Ausnahme sind natürlich als statisch konfigurierten IP Adressen im 192.168.100er Netz die NICHT auf die Switch IP zeigen sondern auf den IP Cop !
Deshalb ist zusätzlich die default Route im IP Cop zwingend nötig !
Das gilt für alle zukünftigen VLAN IP Netze ebenso !!
Hier findest du ein Beispiel wie ein Packet Walkthrough dazu aussieht:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Der Router ist analog dein VLAN Switch Router !
Bitte warten ..
Mitglied: gagagu
10.05.2011 um 08:54 Uhr
Hallo,
die Windows Firewalls sind ausgeschaltet. Die statische Route vom IPCop zu 192.168.200.0 Netz existiert auch schon. Ich habe bei meinem rechner das Default Gateway auf den Layer 3 Switch eingestellt. Nun geht's.
Es wird zwar einwenig arbeit sein alles umzustellen, aber mit der Lösung kann ich leben.

Ich danke dir vielmals. Hast mir sehr geholfen!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
DHCP Relay Agent auf HP ProCurve 2920
gelöst Frage von snboy2010Router & Routing6 Kommentare

Hallo, nach langer Suche im Netz bin ich auf dieses Forum gestoßen und erhoffe mir hier Hilfe bei meinem ...

LAN, WAN, Wireless
Kein DHCP-Relay am Sub-Switch HP
gelöst Frage von westberlinerLAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier eine Sterntopologie am Laufen. Core-Switch Access-Switch Wlan-AP/Clients/Endgeräte Nun habe ich das Problem: Am Core-Switch funktioniert ...

Netzwerkprotokolle
DHCP Snooping und DHCP Relay Verständnisfrage
Frage von Marco-83Netzwerkprotokolle3 Kommentare

Guten Abend zusammen, ich hätte da einmal eine klitzekleine Verständnisfrage zu DHCP Snooping / DHCP Relay. Ich habe in ...

Switche und Hubs
HP ProCurve 2650 J4899B Switch - Probleme mit OS
Frage von DataDieb54Switche und Hubs4 Kommentare

Hallo, ich hab vor kurzen nen ProCurve 2650 J4899B Switch geschenkt bekommen und wollte dieses jetzt konfigurieren. Allerdings schreib ...

Neue Wissensbeiträge
Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 16 MinutenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless10 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...