El firewall no envía la subred de red en el mensaje Discover para el perfil DHCP de Global Protect

El servidor tiene alcance IPV4

> Pool-1 172.16.30.10- 172.16.30.100 (este es el mismo pool de IP configurado en el perfil DHCP )

1 Configure el perfil del servidor DHCP en una interfaz FW.
2 Habilite la IP basada en DHCP asignada para clientes GP.
3 Inicie la conexión VPN desde el cliente GP.

Cuando la IP del relé se establece en 172.16.30.1 (a través de la ruta de servicio para GP IP Mgmt), la IP proviene del grupo 1

Cuando la IP del relé se establece en 192.168.50.1 u otra interfaz (a través de la ruta de servicio para GP IP Mgmt), el proceso falla porque no hay un grupo de subredes para esta red en el servidor DHCP y el cortafuegos vuelve a la IP estática en el nivel de puerta de enlace.

El nivel de depuración en gpsvc.log muestra que el cortafuegos no recibió una OFERTA del servidor

{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635705493-08:00","message":"HasFeatureSupport: query feature: dhcp, result: %!d(bool=true)"}
{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635947646-08:00","message":"CIAM or DHCP is enabled, trying to get an IP from IPSvc..."}
{"level":"debug","time":"2024-11-13T09:20:42.63598157-08:00","message":"[IPSVC]-[Request]: received a DHCP request, the request is {Action:allocate ProjectName: ProjectGUID: Location: GatewayName:Test-GW UserDomain:nk Username:Nk HostID:0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 MACAddr:78-e9-07-c9-86-04 Computer:E895D7D7-AD62-4 JoinedDomain: PreferredIP:10.10.150.1 ClientIP:10.46.224.87 ClientAppVer:6.0.10-814 IP: XID: Sequence: Allocator: AllocatorIP:}"}
{"level":"debug","time":"2024-11-13T09:20:42.635995701-08:00","message":"[IPSVC]-[Request]: Trying 0 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636511425-08:00","message":"[IPSVC]-[Request]: Request Timeout on Primary Server(s), req is {allocate   Test-GW Test-GW nk Nk 0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 78-e9-07-c9-86-04 E895D7D7-AD62-4  10.10.150.1 10.46.224.87 6.0.10-814     }"}
{"level":"debug","time":"2024-11-13T09:20:47.636560003-08:00","message":"[IPSVC]-[Request]: Trying 1 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636573808-08:00","message":"[IPSVC]-[SendReceive]: DHCP DORA context timeout, request details: DHCPv4(xid=0x511e0f4f hwaddr=78:e9:07:c9:86:04 msg_type=DISCOVER, your_ip=0.0.0.0, server_ip=0.0.0.0)"}
{"level":"warn","time":"2024-11-13T09:20:47.63660764-08:00","message":"[IPSVC]-[AllocateIP]: DHCP OFFER is nil, cannot continue to send DHCP REQUEST..."}
{"level":"error","time":"2024-11-13T09:20:47.636617753-08:00","message":"[IPSVC]-[AllocateIP]: failed to received the DHCP ACK from DHCP Server"}

• NFGW
• Puerta de enlace de protección global
• perfil DHCP de GP

El servidor DHCP se basa en la dirección IP de origen del mensaje Discover (ruta de servicio para GP IP Mgmt) para emitir la Dirección IP.

Cuando la IP de origen del mensaje DISCOVER no tiene un grupo de IP en el servidor DHCP , el servidor no emite un mensaje OFFER y el proceso falla. Así funciona el servicio DHCP .

DHCP es un protocolo de red interno. El servicio DHCP solo funciona para la misma subred. Un ámbito en la configuración DHCP de Windows se puede considerar como una subred en líneas generales.
Para seleccionar una IP hay dos pasos.

• Una solicitud llega a un ámbito. Esto significa que la IP de origen de una solicitud está en el rango de IP de un ámbito.
• Después de alcanzar un alcance, este coincidirá con las políticas de solicitud para seleccionar una IP.

Si la dirección IP de origen del mensaje DISCOVER no tiene un grupo de direcciones IP en el servidor DHCP , la solicitud no llegará a ningún ámbito y, por lo tanto, solicitud .

• Configure el grupo de IP en el servidor DHCP para la IP de origen del mensaje DISCOVER (esta servirá como IP de puerta de enlace y se configurará a través de la ruta de servicio)
• Para asignar direcciones IP entre subredes, los proveedores de servidores DHCP tienen distintas soluciones. La solución para el servidor DHCP de Windows es superscope.
  Un superámbito combina ámbitos. Por lo tanto, si una dirección IP de origen de DESCUBRIMIENTO se encuentra en uno de los ámbitos, llegará al superámbito. El superámbito puede captar direcciones IP en todos los ámbitos.
• 

Configurar el perfil DHCP para la puerta de enlace GP