Die Firewall sendet das Netzwerksubnetz nicht in der Erkennungsnachricht für das Global Protect DHCP Profil

Der Server hat IPV4-Bereich

> Pool-1 172.16.30.10- 172.16.30.100 (Dies ist derselbe IP-Pool, der im DHCP Profil konfiguriert ist)

1 Konfigurieren Sie das DHCP Profil auf einer FW- Schnittstelle.
2 Aktivieren Sie die DHCP-basierte IP-Zuweisung für GP-Clients.
3 VPN Verbindung vom GP-Client aus initiieren.

Wenn die Relay-IP auf 172.16.30.1 eingestellt ist (über Dienstroute für GP IP Mgmt), kommt die IP aus Pool 1

Wenn die Relay-IP auf 192.168.50.1 oder eine andere Schnittstelle (über die Dienstroute für GP IP Mgmt) eingestellt ist, schlägt der Vorgang fehl, da auf dem DHCP -Server kein Subnetzpool für dieses Netzwerk vorhanden ist und die Firewall auf der Gateway-Ebene auf eine statische IP zurückgreift.

Der Debug-Level in gpsvc.log zeigt, dass die Firewall kein ANGEBOT vom Server erhalten hat

{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635705493-08:00","message":"HasFeatureSupport: query feature: dhcp, result: %!d(bool=true)"}
{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635947646-08:00","message":"CIAM or DHCP is enabled, trying to get an IP from IPSvc..."}
{"level":"debug","time":"2024-11-13T09:20:42.63598157-08:00","message":"[IPSVC]-[Request]: received a DHCP request, the request is {Action:allocate ProjectName: ProjectGUID: Location: GatewayName:Test-GW UserDomain:nk Username:Nk HostID:0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 MACAddr:78-e9-07-c9-86-04 Computer:E895D7D7-AD62-4 JoinedDomain: PreferredIP:10.10.150.1 ClientIP:10.46.224.87 ClientAppVer:6.0.10-814 IP: XID: Sequence: Allocator: AllocatorIP:}"}
{"level":"debug","time":"2024-11-13T09:20:42.635995701-08:00","message":"[IPSVC]-[Request]: Trying 0 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636511425-08:00","message":"[IPSVC]-[Request]: Request Timeout on Primary Server(s), req is {allocate   Test-GW Test-GW nk Nk 0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 78-e9-07-c9-86-04 E895D7D7-AD62-4  10.10.150.1 10.46.224.87 6.0.10-814     }"}
{"level":"debug","time":"2024-11-13T09:20:47.636560003-08:00","message":"[IPSVC]-[Request]: Trying 1 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636573808-08:00","message":"[IPSVC]-[SendReceive]: DHCP DORA context timeout, request details: DHCPv4(xid=0x511e0f4f hwaddr=78:e9:07:c9:86:04 msg_type=DISCOVER, your_ip=0.0.0.0, server_ip=0.0.0.0)"}
{"level":"warn","time":"2024-11-13T09:20:47.63660764-08:00","message":"[IPSVC]-[AllocateIP]: DHCP OFFER is nil, cannot continue to send DHCP REQUEST..."}
{"level":"error","time":"2024-11-13T09:20:47.636617753-08:00","message":"[IPSVC]-[AllocateIP]: failed to received the DHCP ACK from DHCP Server"}

• NFGW
• Globales Protect-Gateway
• GP DHCP Profil

Der DHCP Server verlässt sich auf die Discover-Nachrichtenquell-IP (Dienstroute für GP IP Mgmt), um die IP-Adresse auszugeben

Wenn die SRC-IP der DISCOVER-Nachricht keinen IP-Pool im DHCP -Server hat. Der Server gibt keine OFFER-Nachricht aus und der Vorgang schlägt fehl. So funktioniert der DHCP Dienst.

DHCP ist ein internes Netzwerkprotokoll. Der DHCP Dienst funktioniert nur für dasselbe Subnetz. Ein Bereich in den Windows- DHCP Einstellungen kann grob als Subnetz betrachtet werden.
Die Auswahl einer IP erfolgt in zwei Schritten.

• eine anfordern/Anforderung trifft einen Bereich. Das bedeutet, dass die Quell-IP einer anfordern/Anforderung im IP-Bereich eines Bereichs liegt
• Nachdem ein Bereich erreicht wurde, entspricht dieser den anfordern/Anforderung , um eine IP abzurufen.

Wenn die Quell-IP der DISCOVER-Nachricht keinen IP-Pool im DHCP Server hat, trifft die anfordern/Anforderung auf keinen Bereich. Dann schlägt die anfordern/Anforderung fehl.

• Konfigurieren Sie den IP-Pool im DHCP Server für die SRC-IP der DISCOVER-Nachricht (diese dient als Gateway-IP und wird über die Dienstroute festgelegt).
• Um IP-Adressen über Subnetze hinweg zuzuweisen, bieten DHCP -Server-Anbieter unterschiedliche Lösungen an. Die Lösung für Windows DHCP Server ist Superscope.
  Ein Superscope kombiniert Bereiche miteinander. Wenn sich eine DISCOVER SRC-IP in einem der Bereiche befindet, trifft sie auf den Superscope. Der Superscope kann IPs aus allen Bereichen erfassen.
• 

DHCP Profil für GP-Gateway konfigurieren