Jump to content

WinNT4-DHCP und Cisco-Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo,

 

kennt jemand ne moeglichkeit wie ich es rechnern in verschiedenen ip-netzen abgewoehnen kann sich eine

ip beim "falschen" WinNT4-DHCP-server zu holen ?

...sowas wie eine DHCP-Grenze am Router !

 

(2 ip-netze / jedes hat seinen DHCP-Server / durch CiscoRouter getrennt)

 

die netze sind durch cisco-router "getrennt" wobei broadcast

fuer verschiedene netzdienste durchgelassen werden muss !

 

Danke fuer die Antworten !

 

-=NeMeSiS=-

Link zu diesem Kommentar

mit

 

access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootps

access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootpc

access-list 101 permit udp any any

 

schiesse ich mir den ganzen router ab, sprich ich bin mit meiner

telnet-sitzung sofort gekappt, wenn ich die access-group 101

auf das ethernet-interface lege !

 

ich werde mich jetzt weiter in die ACL-problematik rein-lesen.

 

evntl. sieht ja jemand noch nen fehler in meiner ACL :confused:

 

D-A-N-K-E

 

-=NeMeSiS=-

Link zu diesem Kommentar

Hi,

 

Du musst am Ende der Access-List noch ein

 

access-list 101 permit tcp any any eq 23 (explizit nur telnet)

 

oder

 

access-list 101 permit ip any any (jeglicher IP-Verkehr)

 

Letzterer Befehl ist nur anzuraten, wenn nichts anderes gesperrt werden soll. Der Router arbeitet die ACL von oben nach unten ab. Sobald ein Match gefunden wird, wird der Rest ignoriert. Deshalb muß am Ende auch explizit ein permit telnet gesetzt werden, da Du ja eine deny-ACL geschrieben hast.

 

*hoffegeholfenzuhaben

 

CYa

Link zu diesem Kommentar

@HenryNo1

 

danke fuer den tip - war natuerlich b***d von mir anzunehmen

wenn "nur" -deny udp- dann auch letzte zeile "nur" -permit udp

any any- :p

 

die matches der access-list zeigen schon erfolge :) nur die

dhcp-clients scheinen noch nicht ganz die sache "zu verstehen" :mad:

 

nach jedem 2. boot haben die ploetzlich wieder ne "falsche" ip

 

ich werde mal noch etwas an den ACL´s umherschrauben und

meine erfahrungen dann hier reinschreiben :suspect:

 

-=NeMeSiS=-

 

P.S.: DANKE fuer die Hilfe hier im Board - ich hoffe diese auch

mal zurueck geben zu koennen !!!

Link zu diesem Kommentar

@HenryNo1

 

...das mit der "helper-addr." muss ich mir mal ansehen,

aber ich will ja KEIN bootps/bootpc zw. den netzen austauschen !

 

...ich sehe auch das die ACL´s greifen, aber scheinbar nicht

richtig, denn die DHCP-Adr. werden immer noch wild vergeben :cry:

 

...im I-Net habe ich jetzt noch gelesen, dass nicht nur udp (67/68)

DHCP... ist sondern auch tcp (67/68), aber wenn ich die ACL mit

den gleichen zeilen erweitere und nur tcp fuer udb eintrage

"mekert" das ios ...von wegen bootpc/ps geht nicht zu sperren

 

***ip access-list 101 deny tcp any eq bootpc any

************^*

% Invalid input detected at '^' marker.***

 

Fragen ueber Fragen und ich bin fuer jeden Tip dankbar !!! :(

 

------------------------------------------------------------------------------------

deny udp 172.20.0.0 0.0.255.255 eq bootps any

deny udp any eq bootps 172.20.0.0 0.0.255.255 (2 matches)

deny udp 172.20.0.0 0.0.255.255 eq bootpc any

deny udp any eq bootpc 172.20.0.0 0.0.255.255

permit ip any any (1931680 matches)

 

deny udp 192.168.111.0 0.0.0.255 eq bootps any (2334 matches)

deny udp 192.168.111.0 0.0.0.255 eq bootpc any (143 matches)

permit ip any any (11261652 matches)

------------------------------------------------------------------------------------

 

-=NeMeSiS=-

Link zu diesem Kommentar

@NeMeSiS:

 

Ich weiß leider nicht genau, wie Dein Netz aussieht bzw. aussehen soll.

Das mit der helper-adresse kannst Du bleiben lassen, Du willst ja sperren (hab ich irgendwie überlesen...sorry)

Aber interessant wäre schon, wie Du die ACL aktiviert hast, sprich an welches Interface gebunden...incoming oder outgoing usw.

Vor allem, welche Einträge in der 101er drin stehen.

 

Gruß HenryNo1

Link zu diesem Kommentar

@HenryNo1

 

ich fasse mal meinen ist-stand zusammen:

 

- 2 cisco 26xx

- beide physisch ueber switche im ethernet verbunden

 

*router1*

 

IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)

 

interface Ethernet0/0

ip address 172.20.20.111 255.255.0.0 secondary

ip address 192.168.111.1 255.255.255.0

ip access-group 102 in

ip access-group 101 out

!

ip classless

ip route 0.0.0.0 0.0.0.0 172.20.20.1

no ip http server

!

access-list 101 deny udp any eq bootps any

access-list 101 deny udp any eq bootpc any

access-list 101 deny udp any any eq bootps

access-list 101 deny udp any any eq bootpc

access-list 101 permit ip any any

access-list 102 deny udp any eq bootps any

access-list 102 deny udp any eq bootpc any

access-list 102 deny udp any any eq bootps

access-list 102 deny udp any any eq bootpc

access-list 102 permit ip any any

 

sh ip access-lists

Extended IP access list 101

deny udp any eq bootps any

deny udp any eq bootpc any

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (8270267 matches)

Extended IP access list 102

deny udp any eq bootps any (2727 matches)

deny udp any eq bootpc any (3216 matches)

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (17603850 matches)

 

*router2*

 

IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1)

 

interface Ethernet0/0

ip address 172.20.20.1 255.255.0.0

ip access-group 102 in

ip access-group 101 out

!

ip default-gateway 172.20.0.78

ip classless

ip route 0.0.0.0 0.0.0.0 172.20.0.78 permanent

ip route 172.20.0.0 255.255.0.0 Ethernet0/0

ip route 172.20.20.1 255.255.255.255 Ethernet0/0

ip route 192.168.111.0 255.255.255.0 172.20.20.111

no ip http server

!

access-list 101 deny udp any eq bootps any

access-list 101 deny udp any eq bootpc any

access-list 101 deny udp any any eq bootps

access-list 101 deny udp any any eq bootpc

access-list 101 permit ip any any

access-list 102 deny udp any eq bootps any

access-list 102 deny udp any eq bootpc any

access-list 102 deny udp any any eq bootps

access-list 102 deny udp any any eq bootpc

access-list 102 permit ip any any

 

 

sh ip access-lists

Extended IP access list 101

deny udp any eq bootps any

deny udp any eq bootpc any

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (3485320 matches)

Extended IP access list 102

deny udp any eq bootps any (2774 matches)

deny udp any eq bootpc any (3272 matches)

deny udp any any eq bootps

deny udp any any eq bootpc

permit ip any any (7643959 matches)

 

das ist der stand der dinge ...nach den matches koennte ich

einige ACL-zeilen wieder loeschen, aber so lange die cpu noch

ueber die ACLs "lacht" ...lasse ich sie erstmal

 

mein problem ist immer noch, dass diese ip-netze DHCP-technisch

getrennt sein sollen, aber immer noch (trotz ACLs) die dhcp-ip´s

wild gegenseitig vergeben werden :confused:

 

!!! ich danke fuer die muehe !!!

 

-=NeMeSiS=-

Link zu diesem Kommentar

Hallo NeMeSiS

 

ich möchte mal etwas ganz trivial fragen:

 

Wie sehen denn die Clientadressen aus? kommen die aus dem entsprechendem IP-range des "falschen" DHCP-Servers? (gehe fast davon aus). Und es wechselt jedes zweite Mal? wie sieht denn die Verbindung der Clients zum DHCP-Server aus? Haben beidseitig Clients die Probleme?

Bin im Kopf mal so die Vorgehrensweise bei konfiguration zu DHCP durchgegangen (frage nur auf der Suche der Fehlerbeseitigung).

 

 

Gruß Echo

Link zu diesem Kommentar

hi bin neu hier ,

 

aber ich denke noch im gedächtnis zu haben daß der nt4.0 client

bei einem dhcp request (nach dem discover)seine schon vorhadene ip behält,wenn der quell dhcp erreichbar ist! bzw wenn er schon eine ip vom dhcp hat spricht er diesen dhcp immer direkt an ohne einen discover zu senden weil ja schon ein dhcp bekannt ist.

 

sprich netz mal am wochenende physikalisch trennen clients starten und sie sollten von nun an bei jedem bootup ihre bereits vergebene ip behalten.

falls rechner hin und her switchen ist es natürlich sinnlos.

 

hoffe wenigstens in die richtige richtung gewiesen zu haben falls es keine hilfe war sorry im voraus :(

Link zu diesem Kommentar

@ALL

 

DANKE fuer die Antworten !

 

Das Problem hat sich erstmal geloest.

 

Nachdem mir das DHCP-Vergabe-Problem zu merkwuerdig

wurde, habe ich mal ein SNIFFER-Tool "befragt" und dort

ging mir dann schnell ein Licht auf.

 

Die DHCP-Clients bekommen ihre ersten NetzInfos ueber

SourceAddress 0.0.0.0 und Dest.Address 255.255.255.255

(DHCP-Request und DHCP-Discover).

 

Da dieser globale Broadcast ueber ALLE Switchports geht (beide

Router haben nur ein EthernetInterface und sind ueber Switche

verbunden) greifen "natuerlich" die ACL´s hier nicht :shock:

 

Um ueber den globale Broadcast Herr zu werden, warte ich jetzt

auf ein zusaetzliches EthernetInterface und habe nach dessen

Einbau "wieder" 2 Broadcast-Domain´s und auch zwei unabhaengige IP-Netze ! :D

 

Ein extraDANKE an HenryNo1, mit ihm haben wir hier im Board

wirklich einen angagierten Mod !!!

 

-=NeMeSiS=-

Link zu diesem Kommentar

Hallo NeMeSiS

 

Freut mich, daß sich dein Problem erledigt hat.

 

Dahin gehend deshalb auch meine Fragen. Bei Routingproblemen sind Sniffer oft eine gute Hilfe.

 

Ich denke mal, es würde schon reichen, dein BOOTP (DHCP-Relayagents) zu konfigurieren.

 

Grundsätzliches zu den Relayagents findet du hier:

 

http://www.ietf.org/rfc/rfc1542.txt?number=1542

 

 

Ansonsten würde ich mal schauen, was Cisco dazu sagt. Unter anderem 2600er Serie:

 

http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121t/121t2/dt_dhcpu.htm

 

 

Gruß Echo

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...