petite precision j ai virer shorewall
j ai mis les regles iptables suivantes :
# Traitement diffusions requetes DHCP (DhcpRelay)
#
iptables -A INPUT -i eth0 -p udp -m multiport --destination-ports 68,67 -m state --state NEW -j ACCEPT
#
# Rule 1(eth0)
#
# Traitement des requetes retour DHCP (DHCP Relay)
#
iptables -A OUTPUT -o eth0 -p udp -m multiport --destination-ports 68,67 -m state --state NEW -j ACCEPT
#
# Rule 0(eth1)
#
# Traitement diffusions requetes DHCP (DhcpRelay)
#
iptables -A INPUT -i eth1 -p udp -m multiport --destination-ports 68,67 -m state --state NEW -j ACCEPT
#
# Rule 1(eth1)
#
# Traitement retour requetes DHCP (DHCP Relay)
#
iptables -A OUTPUT -o eth1 -p udp -m multiport --destination-ports 68,67 -m state --state NEW -j ACCEPT
merci
[RESOLU] Probleme avec DHCPRELAY
Modérateur: modos Ixus
24 messages
• Page 2 sur 2 • 1, 2
par ripounet2k » 20 Fév 2006 17:13
- ripounet2k
- Quartier Maître
- Messages: 14
- Inscrit le: 20 Oct 2005 15:20
par Jacques- » 20 Fév 2006 21:40
D'après ce qu'on voit dans les trames tcpdump, la réponse me parait conforme à la demande.
La requête venant du routeur (je suppose) demande une adresse en ne précisant pas l'adresse du sous-réseau concerné, la réponse est donc dans celui du routeur.
Je ne suis pas spécialiste du protocole et je n'ai pas les trames en tête, mais pour moi le routeur ne devrait pas renvoyer cette requête avec ces éléments d'information.
De mémoire, une requête de ce genre devrait mentionner le sous-réseau concerné et l'adresse du routeur du bon côté.
Donc, la configuration semble mauvaise, soit dans le serveur DHCP pour ce qui est des adresses retournées pour ces infos là, pas de raison de donner une adresse de routeur côté MNF alors que le client est ailleurs, soit le routeur est mal configuré et ne réemet pas les requêtes comme il faut.
En DHCP relay, le routeur encapsule les trames DHCP reçues et les envoie au serveur DHCP déclaré dans sa configuration.
Regarde bien la gestion du routeur, les infos me paraissent très curieuses de ce côté-là.
Jacques
Pour les règles MNF, si tuas un doute, il suffit de faire un tail -f /var/log/messages pendant une requête, le moindre paquet jeté par shorewall est inscrit dans ce fichier, tu le verras donc en temps réel.
La requête venant du routeur (je suppose) demande une adresse en ne précisant pas l'adresse du sous-réseau concerné, la réponse est donc dans celui du routeur.
Je ne suis pas spécialiste du protocole et je n'ai pas les trames en tête, mais pour moi le routeur ne devrait pas renvoyer cette requête avec ces éléments d'information.
De mémoire, une requête de ce genre devrait mentionner le sous-réseau concerné et l'adresse du routeur du bon côté.
Donc, la configuration semble mauvaise, soit dans le serveur DHCP pour ce qui est des adresses retournées pour ces infos là, pas de raison de donner une adresse de routeur côté MNF alors que le client est ailleurs, soit le routeur est mal configuré et ne réemet pas les requêtes comme il faut.
En DHCP relay, le routeur encapsule les trames DHCP reçues et les envoie au serveur DHCP déclaré dans sa configuration.
Regarde bien la gestion du routeur, les infos me paraissent très curieuses de ce côté-là.
Jacques
Pour les règles MNF, si tuas un doute, il suffit de faire un tail -f /var/log/messages pendant une requête, le moindre paquet jeté par shorewall est inscrit dans ce fichier, tu le verras donc en temps réel.
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par ripounet2k » 20 Fév 2006 21:53
et bien en fait je n'ai aucun paquet de bloqué c'est ca qui est curieux...aucun message d 'erreur nul part...
j'ai meme reussi a faire prendre la bonne adresse à un portable, le 2eme sur le meme segment a eu une adresse erroné...incomprehensible....
j'ai meme reussi a faire prendre la bonne adresse à un portable, le 2eme sur le meme segment a eu une adresse erroné...incomprehensible....
- ripounet2k
- Quartier Maître
- Messages: 14
- Inscrit le: 20 Oct 2005 15:20
par Jacques- » 21 Fév 2006 13:35
Qu'il n'y ait aucun paquet de bloqué, c'est normal.
Mais les réponses sont fausses donc ça ne marche pas.
Reste à définir qui est vraiment en cause, le routeur qui fait une demande erronée, ou le serveur qui répond n'importe quoi.
Vu les traces tcpdump, je doute pas mal du routeur mais vérifie tout de même que le serveur NT est bien géré et que les zones sont clairement définies avec surtout les bons masques de sous-réseau.
Regarde la gestion du routeur, ou configure le pour qu'il fasse du DHCP relay vraiment et non pas qu'il laisse passer les requêtes en y mettant son adresse.
Jacques
Mais les réponses sont fausses donc ça ne marche pas.
Reste à définir qui est vraiment en cause, le routeur qui fait une demande erronée, ou le serveur qui répond n'importe quoi.
Vu les traces tcpdump, je doute pas mal du routeur mais vérifie tout de même que le serveur NT est bien géré et que les zones sont clairement définies avec surtout les bons masques de sous-réseau.
Regarde la gestion du routeur, ou configure le pour qu'il fasse du DHCP relay vraiment et non pas qu'il laisse passer les requêtes en y mettant son adresse.
Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par ripounet2k » 21 Fév 2006 17:34
J'ai tester avec un serveur DHCP sous windows 2003 et sous linux
j ai defini les scopes necessaires
et pourtant toujours le meme phenomene
j ai tester egalement avec 2 versions du DHCP-RELAy la 3.0 et la 3.1....
les zones sont définies comme suit dans le serveur DHCP :
192.168.16.0 masq 255.255.255.0
192.168.5.0 masq 255.255.255.0
192.168.4.0 masq 255.255.255.0
dans les trames capturées je vois comme adresses de dhcp relay 192.168.16.78 c'est a dire l'adresse de l'interface ou se trouve le serveur DHCP.
ne devrais pas plutot voir comme adresse celle ou se trouve le client exemple 192.168.4.1 ou 192.168.5.1 selon le lan?
Merci de vos reponses et de votre aide si précieuses....
j ai defini les scopes necessaires
et pourtant toujours le meme phenomene
j ai tester egalement avec 2 versions du DHCP-RELAy la 3.0 et la 3.1....
les zones sont définies comme suit dans le serveur DHCP :
192.168.16.0 masq 255.255.255.0
192.168.5.0 masq 255.255.255.0
192.168.4.0 masq 255.255.255.0
dans les trames capturées je vois comme adresses de dhcp relay 192.168.16.78 c'est a dire l'adresse de l'interface ou se trouve le serveur DHCP.
ne devrais pas plutot voir comme adresse celle ou se trouve le client exemple 192.168.4.1 ou 192.168.5.1 selon le lan?
Merci de vos reponses et de votre aide si précieuses....
- ripounet2k
- Quartier Maître
- Messages: 14
- Inscrit le: 20 Oct 2005 15:20
par Jacques- » 21 Fév 2006 22:14
LE DHCP Relay, c'est définir sur un routeur de générer une requête DHCP vers un serveur connu, en y encapsulant les demandes reçues d'un client sur un segment du LAN où il n'y a pas de serveur.
Le serveur DHCP répond au routeur, qui transmet en jouant le rôle de serveur DHCP la réponse au client.
Le but est de permettre de passer le routeur sans laisser passer les trames de broadcast.
Seules les requêtes DHCP sont transmises et c'est le routeur qui assure les demandes et les réponses.
Dans ton cas, si tu n'as pas eu à préciser à ton routeur l'adresse d'un serveur DHCP, ce n'est pas du DHCP relay, mais le routeur qui est transparent aux requêtes DHCP; Je dis peut être une $%#&!, il y a longtemps que je n'ai pas joué avec ça, mais si ma mémoire ne me joue pas trop de tours, cela devrait être à peu près juste.
Regarde la config et le manuel du routeur, s'il joue le rôle de relais DHCP, les trames transmises entre le routeur et le serveur ne sont pas en diffusion mais possèdent bien l'adresse du routeur et du serveur en origine / destination.
Le contenu par contre est à destination du client.
Jacques
Le serveur DHCP répond au routeur, qui transmet en jouant le rôle de serveur DHCP la réponse au client.
Le but est de permettre de passer le routeur sans laisser passer les trames de broadcast.
Seules les requêtes DHCP sont transmises et c'est le routeur qui assure les demandes et les réponses.
Dans ton cas, si tu n'as pas eu à préciser à ton routeur l'adresse d'un serveur DHCP, ce n'est pas du DHCP relay, mais le routeur qui est transparent aux requêtes DHCP; Je dis peut être une $%#&!, il y a longtemps que je n'ai pas joué avec ça, mais si ma mémoire ne me joue pas trop de tours, cela devrait être à peu près juste.
Regarde la config et le manuel du routeur, s'il joue le rôle de relais DHCP, les trames transmises entre le routeur et le serveur ne sont pas en diffusion mais possèdent bien l'adresse du routeur et du serveur en origine / destination.
Le contenu par contre est à destination du client.
Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par ripounet2k » 22 Fév 2006 19:01
Youhou le probleme est résolu!!!
Pour ceux qui ont le meme voici les points essentiels a prendre en compte
- Authoriser les ports 67 et 68 UDP dans le firewall entre le Lan client et le Lan serveur également entre le serveur dhcp et le Lan client
- Vérifier que le serveur dispose de la bonne route vers le Lan client
- Le serveur DHCP doit avoir les bons scopes correspondant à tout les sous reseaux
- Lancer le relais dhcp avec la commande suivantes :
dhcrelay -i eth0 -i eth1 -m replace "adresse ip du serveur DHCP" -d
(eth0 et eth1 correspondent aux sous reseaux client, et -d c'est pour le lancer en mode daemon)
Pour le debugage vous pouvez utiliser tcpdump avec la commande suivante :
tcpdump -n -i eth0 'udp and (port 67 or port 68)'
note : j'ai utiliser la version 3.0 de dhcprelais
Encore merci de vos réponses
Apres tests les clients prennent bien la bonne adresse du sous reseaux ou ils sont connectés
- ripounet2k
- Quartier Maître
- Messages: 14
- Inscrit le: 20 Oct 2005 15:20
24 messages
• Page 2 sur 2 • 1, 2
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité