ファイアウォールは、グローバル保護DHCPプロファイルの検出メッセージでネットワーク サブネットを送信しません。
Symptom
サーバーにはIPV4スコープがあります
> プール 1 172.16.30.10- 172.16.30.100(これはDHCPプロファイルで設定されている IP プールと同じです)
1 FWインターフェイスでDHCPサーバープロファイルを設定します。
2 GP クライアントに割り当てられたDHCPベースの IP を有効にします。
3 GP クライアントからVPN接続を開始します。
リレーIPが172.16.30.1に設定されている場合(GP IP Mgmtのサービス ルート経由)、IPはプール1から取得されます。
リレー IP が 192.168.50.1 または別のインターフェイス(GP IP Mgmt のサービス ルート経由) に設定されている場合、 DHCPサーバーにこのネットワークのサブネット プールがないため、プロセスは失敗し、ファイアウォールはゲートウェイ レベルで静的 IP にフォールバックします。
gpsvc.logのデバッグレベルは、ファイアウォールがサーバーからOFFERを受信しなかったことを示しています。
{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635705493-08:00","message":"HasFeatureSupport: query feature: dhcp, result: %!d(bool=true)"}
{"level":"warn","task":"37-20","time":"2024-11-13T09:20:42.635947646-08:00","message":"CIAM or DHCP is enabled, trying to get an IP from IPSvc..."}
{"level":"debug","time":"2024-11-13T09:20:42.63598157-08:00","message":"[IPSVC]-[Request]: received a DHCP request, the request is {Action:allocate ProjectName: ProjectGUID: Location: GatewayName:Test-GW UserDomain:nk Username:Nk HostID:0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 MACAddr:78-e9-07-c9-86-04 Computer:E895D7D7-AD62-4 JoinedDomain: PreferredIP:10.10.150.1 ClientIP:10.46.224.87 ClientAppVer:6.0.10-814 IP: XID: Sequence: Allocator: AllocatorIP:}"}
{"level":"debug","time":"2024-11-13T09:20:42.635995701-08:00","message":"[IPSVC]-[Request]: Trying 0 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636511425-08:00","message":"[IPSVC]-[Request]: Request Timeout on Primary Server(s), req is {allocate Test-GW Test-GW nk Nk 0e9d32e4-daeb-4eb9-87a0-d1c64f19f0b9 78-e9-07-c9-86-04 E895D7D7-AD62-4 10.10.150.1 10.46.224.87 6.0.10-814 }"}
{"level":"debug","time":"2024-11-13T09:20:47.636560003-08:00","message":"[IPSVC]-[Request]: Trying 1 Primary DHCP Server..."}
{"level":"warn","time":"2024-11-13T09:20:47.636573808-08:00","message":"[IPSVC]-[SendReceive]: DHCP DORA context timeout, request details: DHCPv4(xid=0x511e0f4f hwaddr=78:e9:07:c9:86:04 msg_type=DISCOVER, your_ip=0.0.0.0, server_ip=0.0.0.0)"}
{"level":"warn","time":"2024-11-13T09:20:47.63660764-08:00","message":"[IPSVC]-[AllocateIP]: DHCP OFFER is nil, cannot continue to send DHCP REQUEST..."}
{"level":"error","time":"2024-11-13T09:20:47.636617753-08:00","message":"[IPSVC]-[AllocateIP]: failed to received the DHCP ACK from DHCP Server"}
Environment
- NFGW
- グローバル保護ゲートウェイ
- GP DHCPプロファイル
Cause
DHCPサーバーは、 IPアドレスを発行するために、DiscoverメッセージのソースIP(GP IP Mgmtのサービス ルート)に依存します。
DISCOVER メッセージの SRC IP がDHCPサーバーに IP プールを持っていない場合、サーバーは OFFER メッセージを発行せず、プロセスは失敗します。これがDHCPサービスの動作方法です。
DHCPは内部ネットワーク プロトコルです。DHCP サービスは同じサブネットに対してのみ機能します。Windows DHCP設定のスコープは、大まかにサブネットと見なすことができます。
IP を取得するには 2 つの手順があります。
- 要求がスコープにヒットします。これは、要求の送信元 IP がスコープの IP 範囲内にあることを意味します。
- スコープに到達すると、スコープは要求ポリシーと一致させて IP を取得します。
DISCOVER メッセージの src IP にDHCPサーバー内の IP プールがない場合、要求はどのスコープにもヒットしません。その場合、要求は失敗します。
Resolution
- DISCOVERメッセージのSRC IP用にDHCPサーバーのIPプールを設定します(これはゲートウェイIPとして機能し、サービス ルート経由で設定されます)
- サブネット間で IP を割り当てるために、 DHCPサーバー ベンダーはさまざまなソリューションを提供しています。Windows DHCPサーバーの場合、ソリューションはスーパースコープです。
スーパースコープはスコープを結合します。したがって、DISCOVER SRC IP がスコープの 1 つにある場合、スーパースコープにヒットします。スーパースコープは、スコープ間で IP を取得できます。