Kuriose DHCP Probleme im LAN

[Sebbi]

Hallo zusammen,

ich habe hier gerade ein ganz kurioses Problem mit einen DHCP Server.

Folgender Aufbau

Internetrouter an NUK an unmanged Switch. Auf den NUK läuft ein DHCP Server. Auf den NUK habe ich aber auch keinen Zugriff.

An den ungemaneden Switch wird eine Verbindung zu einen FirmenLAN hergestellt und die Verbindung zu diesem LAN via VLAN an die diverse APs verteilt und mit einer gesonderten SSID ausgestrahlt.
Laptops von Fremdfirmen können sich da mit einen speziellen Key einwählen und haben dann einen freien Internetzugang.

Das Vlan beginnt erst ab den Firmennetzwerk.

Und jetzt mein Problem:
Es sind manchmal einige zeitkritische (also von der Latenz her) Sachen zu erledigen, die nicht via Wlan möglich sind. Dafür kann man ja den LAN Port an dem Switch nutzen. Doch anstatt das man sich an dem Port des Switches (via Patchfeld und gepatcht in entsprechendes Büro) und anstöpseln und loslegen kann, bekommt der angeschlossene Rechner / PC nur eine APIPA Adressse.
Via Wlan klappt das mit den gleichen Geräten dagegen komplett problemlos.

Nun meine Frage, wie kann das sein, das das per WLAN funktoniert und per LAN nicht und wie könnte man das ganze beheben.

Feste IP mit den entsprechenden Daten von einen WLAN Gerät oder eine manuelle MAC Festlegung helfen nicht. Port wie auch der Switch wurden ebenso getauscht.

 

[madmax2010]

An den ungemaneden Switch wird eine Verbindung zu einen FirmenLAN hergestellt und die Verbindung zu diesem LAN via VLAN an die diverse APs verteilt und mit einer gesonderten SSID ausgestrahlt.
Laptops von Fremdfirmen können sich da mit einen speziellen Key einwählen und haben dann einen freien Internetzugang.

Welcher unmanaged switch ist das?
wo sind die VLANs konfiguriert?
hast du mal tcpdump / wireshark auf gemacht um zu schauen, wann mit den DHCP Paketen passiert?
Wo und wie funktioniert das mit dem Key? 802.11X? Braucht es ggf. auch authentifizierung wenn du kabelgebunden rein willst?

 

[eYc]

Doch anstatt das man sich an dem Port des Switches (via Patchfeld und gepatcht in entsprechendes Büro) und anstöpseln und loslegen kann, bekommt der angeschlossene Rechner / PC nur eine APIPA Adressse.

Es gibt da nur einen LAN-Port? Und der ist nur mit einer Dose in einem Büro verbunden? Wechselweise vielleicht?
Hat angeschlossene Rechner denn dann eine Verbindung, wenn man manuell eine passende IP-Konfiguration dort einträgt?

 

[kartoffelpü]

Kommen die DHCP-Antworten evtl. durch deine VLAN-Config nicht in dein Netzwerk zurück?

 

[Helge01]

Bist du dir sicher das der DHCP Server nicht die Adressbereiche für das jeweilige Netz getaggt überträgt? Das könnte bedeuten, dass ungetaggt kein DHCP läuft. Vielleicht ist es ja doch ein L2 Switch.

 

[bubu9]

Vielleicht läuft der DHCP-Server auf den APs und die haben wegen VLAN keinen Zugriff aufs LAN. So würde ich zumindest mein WLAN absichern. Fürs eigentliche LAN braucht man ja nicht zwingend einen DHCP-Server.

 

[Sebbi]

Wo und wie funktioniert das mit dem Key? 802.11X? Braucht es ggf. auch authentifizierung wenn du kabelgebunden rein willst?

im Wlan:

man loggt sich in das offene Wlan ein, es öffnet sich die Einwahlwebsite und dort gibt man den Key ein, den man erhalten hat und man hat 24h freies Internet zur Verfügung. Das ganze hat auch, bis der vorherige Router gegen den NUK ausgetauscht wurde, problemlos mit dem LAN funktioniert.

@bubu9 . @Helge01 . @kartoffelpü

nette Ideen, aber das ganze funktionierte schon einmal bis zu dem Austausch. An der Firmennetzwerk Konfig wurde nichts geändert, lediglich der Austausch von den vorherigen Router zu den NUK wurde durch die Betreiber vollzogen.

Vielleicht ist es ja doch ein L2 Switch.

Welcher unmanaged switch ist das?

vorher war da ein 4 Port Modell (keine Ahnung mehr was das für einer war), jetzt ist da ein NETGEAR GS108GE Switch 8 Port.

Mit den vorherigen funktionierte es problemlos vor dem Austausch mit dem NUK, daher hatten wir den gegen den Netgear getauscht um Kompatibilitätsprobleme auszuschließen

hast du mal tcpdump / wireshark auf gemacht um zu schauen, wann mit den DHCP Paketen passiert?

Dazu benötige ich die Erlaubnis unseres NOCs, Anfrage liegt vor, aber noch keine Antwort.

 

[bubu9]

im Wlan:

man loggt sich in das offene Wlan ein, es öffnet sich die Einwahlwebsite und dort gibt man den Key ein, den man erhalten hat und man hat 24h freies Internet zur Verfügung. Das ganze hat auch, bis der vorherige Router gegen den NUK ausgetauscht wurde, problemlos mit dem LAN funktioniert.

@bubu9 . @Helge01 . @kartoffelpü

nette Ideen, aber das ganze funktionierte schon einmal bis zu dem Austausch. An der Firmennetzwerk Konfig wurde nichts geändert, lediglich der Austausch von den vorherigen Router zu den NUK wurde durch die Betreiber vollzogen.

Das ändert doch nichts an der Vermutung, dass es durch den Austausch des Routers einfach keinen DHCP Server mehr im LAN gibt. Versuch doch mal rauszufinden, in welchem Subnetz der neue Router arbeitet und gib dann eine feste IP auf deinem Gerät ein.

 

[kartoffelpü]

Dazu benötige ich die Erlaubnis unseres NOCs, Anfrage liegt vor, aber noch keine Antwort.

Wenn es sogar ein NOC gibt, wieso wird denen nicht die Aufgabe gegeben, das Problem zu lösen?

Und was verstehst du unter der Abkürzung NUK? Laut deiner Beschreibung hängt es zwischen Router und Switch. Dafür konnte ich irgendwie kein sinnvolles Wort finden...

 

[madmax2010]

NUK -> NUC Intels Antwort auf den RasPI

Ergänzung (9. Juni 2021)

https://www.intel.com/content/www/us/en/products/details/nuc.html

 

[kartoffelpü]

Die heißen doch NUC.

 

[t-6]

Was zum Geier ist ein NUK? Zu dem Begriff find ich nur Babyphones und irgendwann auf der 3. Seiten diesen Thread hier.

Aber wie auch immer:

Dazu benötige ich die Erlaubnis unseres NOCs, Anfrage liegt vor, aber noch keine Antwort.

Du hast keinen Zugriff auf nichts weil es sich offensichtlich um eine (streng) verwaltete IT handelt, und dann fragst du hier?

 

[Sebbi]

Wenn es sogar ein NOC gibt, wieso wird denen nicht die Aufgabe gegeben, das Problem zu lösen?

die sind nur für das Firmennetzwerk ansich zuständig, müssen aber die Erlaubnis geben, wenn ein man etwas für Problembeseitigung innerhalb wie auch in der direkten Nähe des Firmennetzwerkes scannen will.

Du hast keinen Zugriff auf nichts weil es sich offensichtlich um eine (streng) verwaltete IT handelt, und dann fragst du hier?

weil die Bereitstellung diese freien Zugangs Standort Aufgabe ist und wie oben erklärt das ganze sich aber in der Nähe des Firmennetzwerkes befindet. Daher benötige ich die Freigabe von NOC.
Der NUC ansich wird wieder von einer anderen Firma betreut, den zwar ungehinderten, aber kontrollierten Zugang zum Internet ermöglicht. Sprich ansich sitze ich zwischen 2 Stühlen und muss kucken, wo nun der Fehler zu suchen ist. Und bevor ich die Firma, die den NUC betreut aber aufscheuche, wollte ich erst einmal abchecken, ob ggf von euch jemand ne Idee hat, was da schieflaufen könnte, weil ich es mit nicht vorstellen kann, warum nur der LAN Part nicht funktioniert, der WLAN Part aber schon wenn kein VLAN etc. auf dem NUC eingerichtet sein sollte.

NUK -> NUC

stimmt das Teil meine ich ...

Das ändert doch nichts an der Vermutung, dass es durch den Austausch des Routers einfach keinen DHCP Server mehr im LAN gibt.

das der NUC den DHCP Server spielt ist sicher. Denn sobald dieser getrennt wird, kann man sich zwar mit den WLAN verbinden, bekommt aber wie aktuell im LAN keine IP aus dem entsprechenden Bereich mehr zugewiesen.
Wenn man den NUC wieder anschließt, wird die Vergabe wieder gemacht.

Das VLAN stellt sogesehen nur den Tunnel sicher zwischen ankommenden Port auf den Firmennetzwerkswitch bis zum Endgerät.

Dies war auch vorher schon so konfiguriert mit den alten Router, da hatten die WLAN und LAN Geräte übrigens beide die gleiche IP Konfiguration bekommen.

 

[eYc]

Und der am Switch per LAN-Kabel angeschlossene PC funktioniert (Netzwerk, Intranet oder Internet), wenn man ihm manuell eine passende, feste IP-Adresse vergibt.

 

[bubu9]

das der NUC den DHCP Server spielt ist sicher. Denn sobald dieser getrennt wird, kann man sich zwar mit den WLAN verbinden, bekommt aber wie aktuell im LAN keine IP aus dem entsprechenden Bereich mehr zugewiesen.
Wenn man den NUC wieder anschließt, wird die Vergabe wieder gemacht.

Dann versuch doch einfach mal rauszufinden in welchem Subnetz der Router arbeitet. Ist doch nicht schwer. Im WLAN Subnetz offensichtlich nicht. Nur zur Info... Router mit mehr als einem Lan Port können auch mehr als ein Subnet bedienen. Mit VLAN sogar noch viel mehr.

 

[Sebbi]

Und der am Switch per LAN-Kabel angeschlossene PC funktioniert (Netzwerk, Intranet oder Internet), wenn man ihm manuell eine passende, feste IP-Adresse vergibt.

witzigerweise nicht, sonst wäre das wohl weniger ein Problem. Die haben den NUC wohl so konfiguriert, das der fest vergebene IPs ignoriert.

Dann versuch doch einfach mal rauszufinden in welchem Subnetz der Router arbeitet. Ist doch nicht schwer.

sry aber ich scheine auf den Schlauch zu stehen, warum soll ich das Subnetz von Router herausfinden, wenn der NUC wohl das Gateway darstellt?

Ich glaube du hast das nicht so ganz verstanden. Der NUC hat 2 NICs, an der einen hängt der Internetzugangsrouter, an der anderen hängt der unmanaged Switch. Der NUC stellt entweder ne VPN Verbindung über den Internetzugangsrouter zu der betreuenden Firma her oder machst das selbst als Proxy Logging und Filterung für den freien Zugang nach Vorgaben.. Wie die das genau konfiguriert haben, ist mir nicht bekannt.

Ansonsten wenn du dir daraus was denken kannst: Der DHCP gibt den Geräte im diesem WLAN eine IP Adresse 172.25.x.x mit der Subnet Maske 255.255.0.0, Gateway: 172.25.25.25 DNS: 172.25.25.25

Heißt der NUC sollte auf der NIC mit dem Switch die IP 172.25.25.25 haben.

 

[Helge01]

Auf dem NUC ist außer dem DHCP Server nicht noch so was wie ein Radius Server installiert? Nicht das die Clients sich mit dem "speziellen Key" am Radius authentifizieren und erst dann den Zugang zum Netzwerk/Internet bekommen.

 

[h00bi]

Die haben den NUC wohl so konfiguriert, das der fest vergebene IPs ignoriert.

Das spricht evtl. schon für Radius.
Mir wäre jetzt spontan (ist allerdings nicht mein Fachgebiet) keine FW bekannt, der man sagen kann "blocke alle IP Adressen außer die per DHCP vergebenen".
Zumal man DHCP ja nur auf Lease gültig/lease ungültig prüfen kann.
Welche FW Software ist denn auf dem NUC im Einsatz?

 

[eYc]

witzigerweise nicht, sonst wäre das wohl weniger ein Problem.

Netz-ID, Gateway und Subnet Mask, sowie DNS-Server, sind aber schon bekannt, oder?
Sind der GW und DHCP/DNS-Server damit anpingbar?
Dann wird etwas ganz anderes die Adresszuweisung per DHCP verhindern, als nur "DHCP Probleme im LAN". Routing, Firewall, Port Security, ...

 

[Sebbi]

zum NUC selbst kann ich euch leider nichts sagen, der ist von der Firma da administriert und für und nicht zugänglich im Sinne was darauf läuft.

Netz-ID, Gateway und Subnet Mask, sowie DNS-Server, sind aber schon bekannt, oder?
Sind der GW und DHCP/DNS-Server damit anpingbar?

ja (siehe #16) und ja im WLAN, mit LAN habe ich mit fester IP aber noch nicht probiert zu pingen auf Gateway etc, hatte dazu heute aber auch keine Zeit.

Dann wird etwas ganz anderes die Adresszuweisung per DHCP verhindern, als nur "DHCP Probleme im LAN". Routing, Firewall, Port Security, ...

das glaube ich auch, nur ich kann mich nicht vorstellen was bei diesem Aufbau