El relé DHCP no funciona con el servidor DHCP de Windows y el NAT de origen configurado

El relé DHCP no funciona con el servidor DHCP de Windows y el NAT de origen configurado

54818
Created On 09/25/18 19:30 PM - Last Modified 06/06/23 19:50 PM


Resolution


Resumen

Cuando el relé DHCP está configurado en un dispositivo L3, las solicitudes DHCP se envían desde este dispositivo L3 a un servidor DHCP de Windows como paquetes unicast. Este tráfico de Unicast pasa a través de un dispositivo de redes de palo alto con Source NAT. Los clientes finales no reciben direcciones IP mediante el protocolo DHCP.

Detalles

En esta configuración, el dispositivo L3 funciona como un relé DHCP para la subred 172.30.14.0/24 donde se encuentran los hosts finales. La dirección IP configurada en un dispositivo L3 es 172.30.14.1 y este dispositivo L3 envía mensajes de unidifusión DHCP al servidor DHCP de Windows en 10.145.0.200. Estos mensajes están pasando por el dispositivo de redes palo alto, que tiene dos interfaces L3 en dos zonas diferentes. Una interfaz se encuentra en el segmento 172.30.14.0/24 de la zona Trust, que es la misma zona donde se encuentran los hosts end y el dispositivo L3. La otra es con la dirección IP 10.145.0.106 en la zona Untrust, que es la misma zona donde se encuentra el servidor DHCP. El Firewall permite todo el tráfico desde cualquier zona, cualquier comunicación, y tiene NAT fuente estática con tráfico bidireccional habilitado para la dirección IP en el dispositivo L3 172.30.14.1. Esa dirección se traduce a 10.145.0.101.

Los hosts finales no pueden recibir la dirección DHCP del servidor DHCP.

La captura de paquetes se ha tomado desde el servidor DHCP de Windows:

Screen Shot 2014-08-04 en 4.24.13 PM. png

El mensaje de descubrimiento DHCP, paquete 13, se recibe en el servidor con la dirección de origen nated 10.145.0.101 como se esperaba. Sin embargo, la oferta DHCP se envía desde el servidor a la dirección de destino 172.30.14.1, en lugar de 10.145.0.101. 172.30.14.1 es la dirección IP de la puerta de enlace cambiada por Relay (GIADDR). Este flujo incorrecto fue soltado por el firewall, lo que causó que los hosts finales no recibieran la dirección IP porque la oferta DHCP nunca llegó al dispositivo de retransmisión DHCP.

Resolución

Para solucionar este problema del servidor DHCP de Windows, NAT no debe utilizarse para la dirección IP de un dispositivo L3 que funciona como relé DHCP, que se 172.30.14.1 en este ejemplo. Se trata de paquetes capturados en el servidor DHCP de Windows cuando Source NAT no está configurado para la dirección 172.30.14.1 en el dispositivo Palo Alto Networks:

Screen Shot 2014-08-04 en 4.22.29 PM. png

Todos los mensajes anteriores se intercambian directamente entre el dispositivo L3 (DHCP Relay Device-172.30.14.1) y el servidor DHCP de Windows (10.145.0.200).

Propietario: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClZUCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language