Traskalata Posted March 31, 2022 Posted March 31, 2022 (edited) Freebsd 12 stable на текущий момент выполняет роль DHCP, DNS сервера, NAT-а, сервер подключен к 14 порту cisco 3750. Порт этот находится в режиме access vlan 27. Пользователь подключен к 23 порту Сisco 3750 и ему выдается ip адрес из пула DHCP с freebsd. Ниже текущие конфигурации Freebsd и Cisco и Mikrotik как я пробовал. Увы такое повторить на Mikrotik routerboard не удается. Подскажите где ошибка? сisco 3750 конфиг spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10,27 ! ! vlan 199 name customers ! vlan 201 name 1mkMosk74 ! vlan 202-233 ! interface Loopback201 ip address 10.100.0.2 255.255.0.0 no ip redirects ip route-cache policy ! ! interface GigabitEthernet1/0/13 work test switchport access vlan 27 switchport mode access interface GigabitEthernet1/0/14 work test switchport access vlan 27 switchport mode access ! !interface GigabitEthernet1/0/23 switchport access vlan 199 switchport mode access ! interface GigabitEthernet1/0/24 switchport access vlan 199 switchport mode access ! interface Vlan1 no ip address ! ! interface Vlan27 ip address 10.20.0.2 255.255.255.0 ! interface Vlan199 description OFIS ip unnumbered Loopback201 ip helper-address 10.20.0.1 no ip redirects no ip proxy-arp ! ! ip classless ip route 0.0.0.0 0.0.0.0 10.20.0.1 no ip http server ip http secure-server ! ! ip sla enable reaction-alerts ! ! ! line con 0 ! end Freebsd rc.conf - интерфейсы hostname="office.server" ifconfig_igb0="inet x netmask 255.255.255.252" defaultrouter="x" ifconfig_igb1="inet 10.20.0.1 netmask 255.255.255.0" static_routes="net1 switches" route_net1="-net 10.100.0.0/16 10.20.0.2" sshd_enable="YES" background_fsck="NO" firewall_enable="YES" gateway_enable="YES" fsck_y_enable="YES" pf_enable="YES"amd_enable="YES" mpd_enable="YES" sshguard_enable="YES" dhcpd_enable=YES dhcpd_withuser=root local_unbound_enable="YES" Конфиг DHCP freebsd log-facility local7; option domain-name-servers 10.20.0.1; subnet 10.100.0.0 netmask 255.255.0.0 { range 10.100.64.0 10.100.80.255; interface igb1; option routers 10.100.0.2; default-lease-time 1200; max-lease-time 1500; Вот конфиг Mikrotik # mar/31/2022 19:02:06 by RouterOS 6.49.5 # software id = G6BF-YTS4 # # model = 750 # serial number = 56600400A541 /interface bridge add admin-mac=4C:5E:0C:7D:C8:26 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name="Pool Cisco3750" ranges=10.100.64.0/18 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf add address-pool="Pool Cisco3750" disabled=no interface=ether5 name=\ "Looking to Cisco3750" /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=\ 192.168.88.0 add address=real ip.22/8 interface=ether1 network=real.0.0.0 add address=10.20.0.1 interface=ether5 network=10.20.0.2 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=10.100.64.0/32 dns-server=8.8.8.8,8.8.4.4 gateway=10.100.0.2 \ netmask=18 add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\ 192.168.88.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN /ip route add distance=1 gateway=realip.21 add distance=1 dst-address=10.100.0.0/16 gateway=10.20.0.2 /system clock set time-zone-name=Asia/Pekin /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN Edited March 31, 2022 by Traskalata Вставить ник Quote
Traskalata Posted March 31, 2022 Author Posted March 31, 2022 В 31.03.2022 в 20:45, Traskalata сказал: Freebsd 12 stable на текущий момент выполняет роль DHCP, DNS сервера, NAT-а, сервер подключен к 14 порту cisco 3750. Порт этот находится в режиме access vlan 27. Пользователь подключен к 23 порту Сisco 3750 и ему выдается ip адрес из пула DHCP с freebsd. Ниже текущие конфигурации Freebsd и Cisco и Mikrotik как я пробовал. Увы такое повторить на Mikrotik routerboard не удается. Подскажите где ошибка? сisco 3750 конфиг spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 10,27 ! vlan 199 name customers ! vlan 201 name 1mkMosk74 ! vlan 202-233 ! interface Loopback201 ip address 10.100.0.2 255.255.0.0 no ip redirects ip route-cache policy ! interface GigabitEthernet1/0/13 work test switchport access vlan 27 switchport mode access interface GigabitEthernet1/0/14 work test switchport access vlan 27 switchport mode access ! !interface GigabitEthernet1/0/23 switchport access vlan 199 switchport mode access ! interface GigabitEthernet1/0/24 switchport access vlan 199 switchport mode access ! interface Vlan1 no ip address ! interface Vlan27 ip address 10.20.0.2 255.255.255.0 ! interface Vlan199 description OFIS ip unnumbered Loopback201 ip helper-address 10.20.0.1 no ip redirects no ip proxy-arp ip classless ip route 0.0.0.0 0.0.0.0 10.20.0.1 ! ip sla enable reaction-alerts Freebsd rc.conf - интерфейсы hostname="office.server" ifconfig_igb0="inet x netmask 255.255.255.252" defaultrouter="x" ifconfig_igb1="inet 10.20.0.1 netmask 255.255.255.0" static_routes="net1 switches" route_net1="-net 10.100.0.0/16 10.20.0.2" sshd_enable="YES" background_fsck="NO" firewall_enable="YES" gateway_enable="YES" fsck_y_enable="YES" pf_enable="YES"amd_enable="YES" mpd_enable="YES" sshguard_enable="YES" dhcpd_enable=YES dhcpd_withuser=root local_unbound_enable="YES" Конфиг DHCP freebsd Вот конфиг Mikrotik # mar/31/2022 19:02:06 by RouterOS 6.49.5 # software id = G6BF-YTS4 # # model = 750 # serial number = 56600400A541 /interface bridge add admin-mac=4C:5E:0C:7D:C8:26 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name="Pool Cisco3750" ranges=10.100.64.0/18 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf add address-pool="Pool Cisco3750" disabled=no interface=ether5 name=\ "Looking to Cisco3750" /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=bridge network=\ 192.168.88.0 add address=real ip.22/8 interface=ether1 network=real.0.0.0 add address=10.20.0.1 interface=ether5 network=10.20.0.2 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=10.100.64.0/32 dns-server=8.8.8.8,8.8.4.4 gateway=10.100.0.2 \ netmask=18 add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\ 192.168.88.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=192.168.88.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN /ip route add distance=1 gateway=realip.21 add distance=1 dst-address=10.100.0.0/16 gateway=10.20.0.2 /system clock set time-zone-name=Asia/Pekin /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN Вставить ник Quote
jffulcrum Posted March 31, 2022 Posted March 31, 2022 У вас на Cisco DHCP Relay настроен? Тогда на Mikrotik в свойствах DHCP сервера в поле relay должен быть IP релея. По дефолту, DHCP сервер Mikrotik принимает запрос только от клиентов непосредственно (пакеты с src 0.0.0.0). Вставить ник Quote
Traskalata Posted March 31, 2022 Author Posted March 31, 2022 В 31.03.2022 в 23:29, jffulcrum сказал: У вас на Cisco DHCP Relay настроен? Тогда на Mikrotik в свойствах DHCP сервер в поле relay должен быть IP релея. По дефолту, DHCP сервер Mikrotik принимает запрос только от клиентов непосредственно. Mikrotik DHCP раздает IP адреса, а циско передает их дальше. Соотвественно нужно указывать на cisco вроже бы адресс Mikrotik на интерфейсах. Я указал ip-helper 10.20.0.1. Я немного неверно понимаю логику? Вставить ник Quote
jffulcrum Posted March 31, 2022 Posted March 31, 2022 На mikrotik на интерфейсе ether5 включите Torch и посмотрите, с каким src адресом прилетатют DHCP-пакеты c Cisco. Этот адрес и должен быть указан в свойствах DHCP сервера как relay Вставить ник Quote
Traskalata Posted March 31, 2022 Author Posted March 31, 2022 В 31.03.2022 в 23:45, jffulcrum сказал: На mikrotik на интерфейсе ether5 включите Torch и посмотрите, с каким src адресом прилетатют DHCP-пакеты c Cisco. Этот адрес и должен быть указан в свойствах DHCP сервера как relay Проверил такм показывает 10.100.0.2, но когда я его указываю в качестве релея в настройках DHCP в логах пишется Detected Conflicting arp response И в lease таблице DHCP вместо маков нули и она быстро заполняется. Вставить ник Quote
SUrov_IBM Posted March 31, 2022 Posted March 31, 2022 (edited) Traskalata, здравствуйте. В 01.04.2022 в 00:21, Traskalata сказал: Проверил такм показывает 10.100.0.2 Может глупость скажу, попробуйте перенести в конфигурации CISCO helper-address 10.20.0.1 с interface Vlan199 на interface Loopback201. Edited April 2, 2022 by SUrov_IBM Вставить ник Quote
Traskalata Posted March 31, 2022 Author Posted March 31, 2022 В 01.04.2022 в 00:47, SUrov_IBM сказал: Может глупость скажу, попробуйте перенести в конфигурации CISCO helper-address 10.20.0.1 с interface Vlan199 на interface Loopback201 Конфигурацию cisco мне менять не разрешают. Да и зачем? Если с freebsd все работает, а вот с Mikrotik увы, что-то я упускаю Вставить ник Quote
SUrov_IBM Posted March 31, 2022 Posted March 31, 2022 (edited) В 01.04.2022 в 00:54, Traskalata сказал: Да и зачем? Если с freebsd все работает, а вот с Mikrotik увы Отзеркалировать бы порт CISCO и посмотреть через Wireshark, что происходит. Попробую завтра, если будет время, реализовать похожую с Вашей схему на стенде. Моё предположение, что у DHCP сервера MIKROTIK и FreeBSD разная реализация в понимании эээ… запросов что ли , поэтому и предположил, что перенос перенос helper на Loopback, может на это повлиять. Так же, я бы попробовал включить на interface Vlan199 ip proxy-arp, хотя меня тапками закидают и скажут, что включение ip proxy-arp, это дырка в безопасности. Edited April 2, 2022 by SUrov_IBM Вставить ник Quote
Traskalata Posted April 1, 2022 Author Posted April 1, 2022 DHCP Mikrotik стал раздавать IP после того как в Relay прописал 255.255.255.255 Вставить ник Quote
SUrov_IBM Posted April 2, 2022 Posted April 2, 2022 Traskalata, здравствуйте. В 01.04.2022 в 20:09, Traskalata сказал: DHCP Mikrotik стал раздавать IP после того как в Relay прописал 255.255.255.255 Большое Вам спасибо, за вклад в копилку знаний! Я планировал тестовый стенд из MikroTik hEX и Catalyst собрать, а Вы уже разрешили проблему, думаю, ответ поможет следом идущим, кто столкнётся с подобной задачей и придёт на форум. ;) Вставить ник Quote
Traskalata Posted April 3, 2022 Author Posted April 3, 2022 В 02.04.2022 в 12:40, SUrov_IBM сказал: Большое Вам спасибо, за вклад в копилку знаний! Я планировал тестовый стенд из MikroTik hEX и Catalyst собрать, а Вы уже разрешили проблему, думаю, ответ поможет следом идущим, кто столкнётся с подобной задачей и придёт на форум. ;) Делаю уточнение. Суть в том, что на самом деле проблема решилась не указанием релея 255.255.255.255 (что означает принимать/отправлять запросы с любых IP). Если посмотрите мою конфигурацию Cisco 3750 там видно, что Cisco выступает DHCP релеем для DHCP - сервера Mikrotik, строчка в конфигурации Cisco ip helper-address 10.20.0.1. В настройках DHCP сервера Mikrotik есть пункт Relay, но это видимо не DHCP relay, а лишь IP куда Mikrotik-у можно отправлять запросы, если указываем 255.255.255.255,то куда угодно. Так вот реально пользователи не получали IP от DHCP сервера потому, что активирован пункт Conflict Detection. После того как я его убрал все заработало. Дальше я указал в Relay IP адрес loopback интерфейса Cisco 10.100.0.2 И конечно же нужен обратный статический маршрут маршрут для диапазона 10.100.xx.xx/xx на шлюз 10.20.0.2 Вставить ник Quote
sol Posted April 3, 2022 Posted April 3, 2022 В 03.04.2022 в 19:59, Traskalata сказал: строчка в конфигурации Cisco ip helper-address 10.20.0.1. Это не DHCP релей. Это намного страшнее. Это указание адреса куда пересылать БРОАДКАСТ из сегмента в котором торчит этот интерфейс. И если в качестве адреса указать броадкаст адрес другого сегмента (а можно и не один, а несколько) то всё может заиграть другими красками ))) По умолчанию кроме BOOTP/DHCP пересылаются броадкасты Time (udp 37) TACACS (udp 49) DNS (udp 53) TFTP (udp 69) NetBIOS name service (udp 137) NetBIOS datagram service (udp 138) Список настраивается ip forward-protocol Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.