NeMeSiS 10 Geschrieben 27. August 2002 Melden Teilen Geschrieben 27. August 2002 hallo, kennt jemand ne moeglichkeit wie ich es rechnern in verschiedenen ip-netzen abgewoehnen kann sich eine ip beim "falschen" WinNT4-DHCP-server zu holen ? ...sowas wie eine DHCP-Grenze am Router ! (2 ip-netze / jedes hat seinen DHCP-Server / durch CiscoRouter getrennt) die netze sind durch cisco-router "getrennt" wobei broadcast fuer verschiedene netzdienste durchgelassen werden muss ! Danke fuer die Antworten ! -=NeMeSiS=- Zitieren Link zu diesem Kommentar
Vanhon 10 Geschrieben 27. August 2002 Melden Teilen Geschrieben 27. August 2002 Sperre einfach ports 68 und 67 auf dem Router. Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 28. August 2002 Autor Melden Teilen Geschrieben 28. August 2002 @VanHon DANKE fuer die Antwort - ich werde mich heute gleich mal mit dem Theme AccessListen belesen und es dann ausprobieren. Das Ergebnis werde ich dann fuer ALLE hier reinstellen ! -=NeMeSiS=- Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 29. August 2002 Autor Melden Teilen Geschrieben 29. August 2002 mit access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootps access-list 101 deny udp 192.168.111.0 0.0.0.255 any eq bootpc access-list 101 permit udp any any schiesse ich mir den ganzen router ab, sprich ich bin mit meiner telnet-sitzung sofort gekappt, wenn ich die access-group 101 auf das ethernet-interface lege ! ich werde mich jetzt weiter in die ACL-problematik rein-lesen. evntl. sieht ja jemand noch nen fehler in meiner ACL D-A-N-K-E -=NeMeSiS=- Zitieren Link zu diesem Kommentar
HenryNo1 10 Geschrieben 29. August 2002 Melden Teilen Geschrieben 29. August 2002 Hi, Du musst am Ende der Access-List noch ein access-list 101 permit tcp any any eq 23 (explizit nur telnet) oder access-list 101 permit ip any any (jeglicher IP-Verkehr) Letzterer Befehl ist nur anzuraten, wenn nichts anderes gesperrt werden soll. Der Router arbeitet die ACL von oben nach unten ab. Sobald ein Match gefunden wird, wird der Rest ignoriert. Deshalb muß am Ende auch explizit ein permit telnet gesetzt werden, da Du ja eine deny-ACL geschrieben hast. *hoffegeholfenzuhaben CYa Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 29. August 2002 Melden Teilen Geschrieben 29. August 2002 Ohje, verstehe nur Bahnhof - ich verzieh mich mal wieder zu den MS-Foren ;) Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 29. August 2002 Autor Melden Teilen Geschrieben 29. August 2002 @HenryNo1 danke fuer den tip - war natuerlich b***d von mir anzunehmen wenn "nur" -deny udp- dann auch letzte zeile "nur" -permit udp any any- :p die matches der access-list zeigen schon erfolge :) nur die dhcp-clients scheinen noch nicht ganz die sache "zu verstehen" :mad: nach jedem 2. boot haben die ploetzlich wieder ne "falsche" ip ich werde mal noch etwas an den ACL´s umherschrauben und meine erfahrungen dann hier reinschreiben :suspect: -=NeMeSiS=- P.S.: DANKE fuer die Hilfe hier im Board - ich hoffe diese auch mal zurueck geben zu koennen !!! Zitieren Link zu diesem Kommentar
HenryNo1 10 Geschrieben 29. August 2002 Melden Teilen Geschrieben 29. August 2002 Achja.... mit dem Befehl ip helper-address ipaddress im interface-config mode kannst Du noch explizit den Server (z.B. Bootp-Server) angeben, der hinter diesem Interface hängt. Damit werden UDP Broadcasts weitergeleitet. Viel Erfolg CYa HenryNo1 Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 2. September 2002 Autor Melden Teilen Geschrieben 2. September 2002 @HenryNo1 ...das mit der "helper-addr." muss ich mir mal ansehen, aber ich will ja KEIN bootps/bootpc zw. den netzen austauschen ! ...ich sehe auch das die ACL´s greifen, aber scheinbar nicht richtig, denn die DHCP-Adr. werden immer noch wild vergeben ...im I-Net habe ich jetzt noch gelesen, dass nicht nur udp (67/68) DHCP... ist sondern auch tcp (67/68), aber wenn ich die ACL mit den gleichen zeilen erweitere und nur tcp fuer udb eintrage "mekert" das ios ...von wegen bootpc/ps geht nicht zu sperren ***ip access-list 101 deny tcp any eq bootpc any ************^* % Invalid input detected at '^' marker.*** Fragen ueber Fragen und ich bin fuer jeden Tip dankbar !!! :( ------------------------------------------------------------------------------------ deny udp 172.20.0.0 0.0.255.255 eq bootps any deny udp any eq bootps 172.20.0.0 0.0.255.255 (2 matches) deny udp 172.20.0.0 0.0.255.255 eq bootpc any deny udp any eq bootpc 172.20.0.0 0.0.255.255 permit ip any any (1931680 matches) deny udp 192.168.111.0 0.0.0.255 eq bootps any (2334 matches) deny udp 192.168.111.0 0.0.0.255 eq bootpc any (143 matches) permit ip any any (11261652 matches) ------------------------------------------------------------------------------------ -=NeMeSiS=- Zitieren Link zu diesem Kommentar
HenryNo1 10 Geschrieben 3. September 2002 Melden Teilen Geschrieben 3. September 2002 @NeMeSiS: Ich weiß leider nicht genau, wie Dein Netz aussieht bzw. aussehen soll. Das mit der helper-adresse kannst Du bleiben lassen, Du willst ja sperren (hab ich irgendwie überlesen...sorry) Aber interessant wäre schon, wie Du die ACL aktiviert hast, sprich an welches Interface gebunden...incoming oder outgoing usw. Vor allem, welche Einträge in der 101er drin stehen. Gruß HenryNo1 Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 4. September 2002 Autor Melden Teilen Geschrieben 4. September 2002 @HenryNo1 ich fasse mal meinen ist-stand zusammen: - 2 cisco 26xx - beide physisch ueber switche im ethernet verbunden *router1* IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1) interface Ethernet0/0 ip address 172.20.20.111 255.255.0.0 secondary ip address 192.168.111.1 255.255.255.0 ip access-group 102 in ip access-group 101 out ! ip classless ip route 0.0.0.0 0.0.0.0 172.20.20.1 no ip http server ! access-list 101 deny udp any eq bootps any access-list 101 deny udp any eq bootpc any access-list 101 deny udp any any eq bootps access-list 101 deny udp any any eq bootpc access-list 101 permit ip any any access-list 102 deny udp any eq bootps any access-list 102 deny udp any eq bootpc any access-list 102 deny udp any any eq bootps access-list 102 deny udp any any eq bootpc access-list 102 permit ip any any sh ip access-lists Extended IP access list 101 deny udp any eq bootps any deny udp any eq bootpc any deny udp any any eq bootps deny udp any any eq bootpc permit ip any any (8270267 matches) Extended IP access list 102 deny udp any eq bootps any (2727 matches) deny udp any eq bootpc any (3216 matches) deny udp any any eq bootps deny udp any any eq bootpc permit ip any any (17603850 matches) *router2* IOS C2600 Software (C2600-I-M), Version 12.1(3), RELEASE SOFTWARE (fc1) interface Ethernet0/0 ip address 172.20.20.1 255.255.0.0 ip access-group 102 in ip access-group 101 out ! ip default-gateway 172.20.0.78 ip classless ip route 0.0.0.0 0.0.0.0 172.20.0.78 permanent ip route 172.20.0.0 255.255.0.0 Ethernet0/0 ip route 172.20.20.1 255.255.255.255 Ethernet0/0 ip route 192.168.111.0 255.255.255.0 172.20.20.111 no ip http server ! access-list 101 deny udp any eq bootps any access-list 101 deny udp any eq bootpc any access-list 101 deny udp any any eq bootps access-list 101 deny udp any any eq bootpc access-list 101 permit ip any any access-list 102 deny udp any eq bootps any access-list 102 deny udp any eq bootpc any access-list 102 deny udp any any eq bootps access-list 102 deny udp any any eq bootpc access-list 102 permit ip any any sh ip access-lists Extended IP access list 101 deny udp any eq bootps any deny udp any eq bootpc any deny udp any any eq bootps deny udp any any eq bootpc permit ip any any (3485320 matches) Extended IP access list 102 deny udp any eq bootps any (2774 matches) deny udp any eq bootpc any (3272 matches) deny udp any any eq bootps deny udp any any eq bootpc permit ip any any (7643959 matches) das ist der stand der dinge ...nach den matches koennte ich einige ACL-zeilen wieder loeschen, aber so lange die cpu noch ueber die ACLs "lacht" ...lasse ich sie erstmal mein problem ist immer noch, dass diese ip-netze DHCP-technisch getrennt sein sollen, aber immer noch (trotz ACLs) die dhcp-ip´s wild gegenseitig vergeben werden !!! ich danke fuer die muehe !!! -=NeMeSiS=- Zitieren Link zu diesem Kommentar
Echo 10 Geschrieben 6. September 2002 Melden Teilen Geschrieben 6. September 2002 Hallo NeMeSiS ich möchte mal etwas ganz trivial fragen: Wie sehen denn die Clientadressen aus? kommen die aus dem entsprechendem IP-range des "falschen" DHCP-Servers? (gehe fast davon aus). Und es wechselt jedes zweite Mal? wie sieht denn die Verbindung der Clients zum DHCP-Server aus? Haben beidseitig Clients die Probleme? Bin im Kopf mal so die Vorgehrensweise bei konfiguration zu DHCP durchgegangen (frage nur auf der Suche der Fehlerbeseitigung). Gruß Echo Zitieren Link zu diesem Kommentar
Sairakis 10 Geschrieben 6. September 2002 Melden Teilen Geschrieben 6. September 2002 hi bin neu hier , aber ich denke noch im gedächtnis zu haben daß der nt4.0 client bei einem dhcp request (nach dem discover)seine schon vorhadene ip behält,wenn der quell dhcp erreichbar ist! bzw wenn er schon eine ip vom dhcp hat spricht er diesen dhcp immer direkt an ohne einen discover zu senden weil ja schon ein dhcp bekannt ist. sprich netz mal am wochenende physikalisch trennen clients starten und sie sollten von nun an bei jedem bootup ihre bereits vergebene ip behalten. falls rechner hin und her switchen ist es natürlich sinnlos. hoffe wenigstens in die richtige richtung gewiesen zu haben falls es keine hilfe war sorry im voraus :( Zitieren Link zu diesem Kommentar
NeMeSiS 10 Geschrieben 9. September 2002 Autor Melden Teilen Geschrieben 9. September 2002 @ALL DANKE fuer die Antworten ! Das Problem hat sich erstmal geloest. Nachdem mir das DHCP-Vergabe-Problem zu merkwuerdig wurde, habe ich mal ein SNIFFER-Tool "befragt" und dort ging mir dann schnell ein Licht auf. Die DHCP-Clients bekommen ihre ersten NetzInfos ueber SourceAddress 0.0.0.0 und Dest.Address 255.255.255.255 (DHCP-Request und DHCP-Discover). Da dieser globale Broadcast ueber ALLE Switchports geht (beide Router haben nur ein EthernetInterface und sind ueber Switche verbunden) greifen "natuerlich" die ACL´s hier nicht :shock: Um ueber den globale Broadcast Herr zu werden, warte ich jetzt auf ein zusaetzliches EthernetInterface und habe nach dessen Einbau "wieder" 2 Broadcast-Domain´s und auch zwei unabhaengige IP-Netze ! :D Ein extraDANKE an HenryNo1, mit ihm haben wir hier im Board wirklich einen angagierten Mod !!! -=NeMeSiS=- Zitieren Link zu diesem Kommentar
Echo 10 Geschrieben 9. September 2002 Melden Teilen Geschrieben 9. September 2002 Hallo NeMeSiS Freut mich, daß sich dein Problem erledigt hat. Dahin gehend deshalb auch meine Fragen. Bei Routingproblemen sind Sniffer oft eine gute Hilfe. Ich denke mal, es würde schon reichen, dein BOOTP (DHCP-Relayagents) zu konfigurieren. Grundsätzliches zu den Relayagents findet du hier: http://www.ietf.org/rfc/rfc1542.txt?number=1542 Ansonsten würde ich mal schauen, was Cisco dazu sagt. Unter anderem 2600er Serie: http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121t/121t2/dt_dhcpu.htm Gruß Echo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.