DHCP Relaying mit Cisco - DHCP Discover ja, DHCP Offer nein

[dgr243]

Moin,

folgendes (Labor)setup:

Client(s) - Cisco 1841 -PPPoE- WAN - Cisco 871 - Server

Kein NAT aktiv, es wird direkt gerouted. Keine öffentlichen IPs, da MPLS VPN.

IOS Image: C1841-ADVIPSERVICESK9-M), Version 12.4(9)T5,

Interface Config auf der 1841 ist Ideal Standard:

WAN Seite

interface FastEthernet0/0

 description Uplink

 no ip address

 duplex auto

 speed auto

 pppoe enable group global

 pppoe-client dial-pool-number 1

!

interface Dialer1

 description Uplink-Dialer

 ip address negotiated

 no ip redirects

 no ip proxy-arp

 ip mtu 1492

 ip virtual-reassembly

 encapsulation ppp

 dialer pool 1

 no cdp enable

 ppp pap sent-username <username> password <password>

LAN Seite

interface FastEthernet0/1

 description LAN

 ip address 172.25.3.1 255.255.255.0

 ip helper-address 172.25.0.2

 ip mtu 1452

 ip tcp adjust-mss 1452

 duplex auto

 speed auto

Sonst ist ausser Konsolenzugang und co. nichts konfiguriert.

Auf der 871 sieht es mit entsprechend anderen IPs und ohne die IP Helper Adresse 1:1 genauso aus.

Nun hab ich das Phänomen, dass ich am LAN der 1841 mit meinem Labornotebook (Win XP) wunderbar eine IP bekomme. Standardablauf:

- DHCP Discover

- DHCP Offer

- DHCP Request

- DHCP ACK

Hänge ich stattdessen einen Analogtelefonadapter (Audiocodes MP-112), der in einer rein geswitchten Umgebung problemlos eine IP bekommt, bekommt dieser keine IP.

Ich habe mir also den Traffic an 3 Stellen angesehen:

1. Am DHCP Server per Wireshark: Hier kommt das DHCP Discover an und es wird eine DHCP Offer geantwortet

2. Auf der WAN Seite der 1841 (Network TAP zwischen fa0/0 und der entsprechenden Gegenseite): Hier sehe ich auch sowohl Discover, als auch Offer

3. Auf der LAN Seite der 1841 (Network TAP zwischen fa0/1 und dem Audiocodes): Hier sehe ich NUR das Discover, nicht jedoch das Offer.

Schlussfolgerung: Der DHCP Relay Agent der Cisco verschluckt irgendwie das Offer.

Das einzige was ich an Unterschieden in den Offers ausmachen kann ist, dass

- Windows als BootP Flag "Unicast" setzt

- der Audiocodes als BootP Flag "Broadcast" verwendet

Ansonsten scheint sich da nix zu unterscheiden.

Testweise die 1841 gegen eine 871 zu tauschen hat ebensowenig eine Änderung gebracht wie die Kiste mal komplett zu aufzusetzen.

Ein debug ip packet Detail gegen eine Access Liste die nur die UDP Ports 67 und 68 permitted zeigt übrigens, dass die Kiste im Audiocodes Fall der Meinung ist, dass sie das Offerpaket nicht bekommt, obwohl, es laut der Network TAP eine Kabellänge vor dem Router noch "im Kabel ist" :beagolisc

Irgendjemand eine Idee?

Mir gehen hier komplett die Ansätze aus...

Gruß

Dgr

[dgr243]

Ich bin ein wenig weitergekommen und mir ziemlich sicher einen IOS Bug gefunden zu haben -.-

Das DHCP offer kommt ja an fa4 an. Was ich übersehen hatte: Ich sehe es da zweimal.

Nämlich 1. das reinkommende und 2. einen ausgehenden Broadcast

Heisst also, dass der Relay Agent hier einen mit BootP Flag Broadcast gesendeten DHCP Request zwar von LAN zu WAN weiterleitet, die Antwort aber auf demselben Interface auf dem das DHCP Offer reinkam wieder broadcasted.

Jemand sowas schon gehabt?

Der Vollständigkeit halber mal die ganze Konfig:

router#sh run

Building configuration...


Current configuration : 3024 bytes

!

! No configuration change since last restart

!

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname router

!

boot-start-marker

boot-end-marker

!

logging buffered 10000 debugging

enable secret password

!

aaa new-model

!

aaa authentication login default local

aaa authorization exec default local

!

aaa session-id common

!

resource policy

!

clock timezone CET 1

clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

ip cef

!

no ip domain lookup

ip domain name labor.local

!

no spanning-tree vlan 1

no spanning-tree vlan 334

username hans password wurst

!

interface FastEthernet0

 switchport access vlan 334

!

interface FastEthernet1

 switchport access vlan 334

!

interface FastEthernet2

 switchport access vlan 334

!

interface FastEthernet3

 switchport access vlan 334

!

interface FastEthernet4

 description Uplink

 no ip address

 duplex auto

 speed auto

 pppoe enable group global

 pppoe-client dial-pool-number 1

!

interface Vlan1

 no ip address

!

interface Vlan334

 description Kunden-LAN

 ip address 172.25.3.1 255.255.255.0

 ip helper-address 172.25.0.2

 no ip redirects

 no ip proxy-arp

 ip tcp adjust-mss 1452

!

interface Dialer1

 description Uplink-Dialer

 mtu 1492

 ip address negotiated

 encapsulation ppp

 dialer pool 1

 no cdp enable

 ppp pap sent-username user@realm password password

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

no ip http server

no ip http secure-server

!

logging trap debugging

logging facility local2

access-list 90 remark Reglementiert den SNMP-Zugriff

access-list 154 permit udp any any eq bootps

access-list 154 permit udp any any eq bootpc

access-list 199 remark Reglementiert den Telnet- und SSH-Zugriff

access-list 199 permit tcp x.y.z.0 0.0.0.255 any log-input

access-list 199 permit tcp a.b.c.0 0.0.0.255 any log-input

access-list 199 permit tcp d.e.f.g 0.0.0.3 any log-input

access-list 199 permit tcp h.i.0.0 0.0.255.255 any log-input

access-list 199 remark Reglementiert den Telnet- und SSH-Zugriff

snmp-server community community RW 90

snmp-server ifindex persist

snmp-server location router

snmp-server enable traps snmp linkdown linkup coldstart warmstart

snmp-server enable traps tty

snmp-server enable traps flash insertion removal

snmp-server enable traps config-copy

snmp-server enable traps config

snmp-server enable traps entity

snmp-server enable traps hsrp

snmp-server enable traps cpu threshold

!

control-plane

!

line con 0

 logging synchronous

 no modem enable

line aux 0

line vty 0 4

 access-class 199 in

 exec-timeout 120 0

 transport input telnet ssh

 escape-character 27

!

scheduler max-task-time 5000

ntp clock-period 17183647

ntp server a.b.c.d

ntp server e.f.g.h

end

Was funktioniert ist, dass der Broadcast im LAN landet, sobald ich den Dialer auf ip unnumbered vlan1 (statt ip address negotiated) setze. Allerdings hat ip unnumbered ja doch einige andere Bugs, so dass das für einen Livebetrieb nicht in Frage kommt

*seufz*

dgr