DHCP Relay funktioniert nicht mit Windows DHCP Server und Source NAT konfiguriert

DHCP Relay funktioniert nicht mit Windows DHCP Server und Source NAT konfiguriert

54812
Created On 09/25/18 19:30 PM - Last Modified 06/06/23 19:50 PM


Resolution


Übersicht

Wenn das DHCP-Relais auf einem L3-Gerät konfiguriert ist, werden DHCP-Anfragen von diesem L3-Gerät an einen Windows-DHCP-Server als Unicast-Pakete gesendet. Dieser Unicast-Verkehr geht durch ein Palo Alto Networks-Gerät mit Source NAT. Endkunden erhalten keine IP-Adressen über DHCP-Protokoll.

Details

In diesem Setup arbeitet das L3-Gerät als DHCP-Relais für 172.30.14.0/24-Subnet, in dem sich die endrechner befinden. Die auf einem L3-Gerät konfigurierte IP-Adresse ist 172.30.14.1 und dieses L3-Gerät sendet DHCP-Unicast-Nachrichten an den Windows-DHCP-Server auf 10.145.0.200. Diese Nachrichten gehen über das Gerät Palo Alto Networks, das zwei L3-Schnittstellen in zwei verschiedenen Zonen hat. Eine Schnittstelle befindet sich im Segment 172.30.14.0/24 in der Treuhand Zone, das ist die gleiche Zone endrechner und L3-Gerät befinden sich. Das andere ist mit der IP-Adresse 10.145.0.106 in der Untrust Zone, die die gleiche Zone ist, in der sich der DHCP-Server befindet. Die Firewall erlaubt den gesamten Datenverkehr von jeder Zone, jeder beliebigen Kommunikation, und hat statische Quelle NAT mit bidirektionalem Traffic für die IP-Adresse auf L3-Gerät 172.30.14.1 aktiviert. Diese Adresse wird auf 10.145.0.101 übersetzt.

Endrechner sind nicht in der Lage, DHCP-Adresse vom DHCP-Server zu empfangen.

Die Paket Aufnahme wurde vom Windows DHCP-Server übernommen:

Screenshot 2014-08-04 um 4.24.13 Uhr. png

Die DHCP-Discover-Nachricht, Packet 13, wird auf dem Server mit der nierten Quelladresse 10.145.0.101 wie erwartet empfangen. Das DHCP-Angebot wird jedoch vom Server an die Zieladresse 172.30.14.1 anstelle von 10.145.0.101 gesendet. 172.30.14.1 ist Gateway IP-Adresse, die durch Relay (GIADDR) geschaltet wird. Dieser falsche Fluss wurde durch die Firewall gelöscht, was dazu führte, dass die endrechner die IP-Adresse nicht erhielten, weil das DHCP-Angebot nie das DHCP-Relais-Gerät erreichte.

Lösung

Um dieses Windows-DHCP-Server-Problem zu umgehen, sollte NAT nicht für die IP-Adresse eines L3-Geräts verwendet werden, das als DHCP-Relais funktioniert, das in diesem Beispiel 172.30.14.1 ist. Es handelt sich um Pakete, die auf dem Windows-DHCP-Server erfasst werden, wenn Source NAT nicht für die 172.30.14.1-Adresse auf Palo Alto Networks-Gerät konfiguriert ist

Screenshot 2014-08-04 um 4.22.29 Uhr. png

Alle oben genannten Nachrichten werden direkt zwischen dem L3-Gerät (DHCP-Relais Gerät-172.30.14.1) und dem Windows-DHCP-Server (10.145.0.200) ausgetauscht.

Besitzer: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZUCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language