DHCP не шлет DHCP ACK

Обсуждение ПО и его настройки
Ответить
Streemer
Сообщения: 3
Зарегистрирован: 01 июн 2016, 14:16

Добрый день! Столкнулся с проблемой. Есть такая схема взаимодействия с DHCP сервером, который на RouterOS:
Клиент -> VPN сервер -> RouterOS (DHCP тут)
То есть, клиент запрашивает при подключении ip адрес у VPN сервера, тот работает как DHCP relay и шлет запрос на выдачу адреса RouterOS.
Для первого клиента, который пытается подключиться, все проходит хорошо и ему выдается аренда ip адреса

Код: Выделить всё

12:02:01 dhcp,debug,packet vpn-dhcp received discover with id 1246955413 from 10.0
.10.2
12:02:01 dhcp,debug,packet     flags = broadcast
12:02:01 dhcp,debug,packet     ciaddr = 0.0.0.0
12:02:01 dhcp,debug,packet     chaddr = 7A:A7:6D:51:4E:FC
12:02:01 dhcp,debug,packet     Msg-Type = discover
12:02:01 dhcp,debug,packet     Client-Id = 62-6F-72-74-6E-69-6B-6F-76-40-65-74-65-
63-61-72-2E-72-75
12:02:01 dhcp,debug,packet     Parameter-List = Domain-Server,NETBIOS-Name-Server
12:02:01 dhcp,info vpn-dhcp deassigned 10.0.10.6 from 7A:A7:6D:51:4E:FC
12:02:01 dhcp,debug,packet vpn-dhcp sending offer with id 1246955413 to 255.255.25
5.255
12:02:01 dhcp,debug,packet     flags = broadcast
12:02:01 dhcp,debug,packet     ciaddr = 0.0.0.0
12:02:01 dhcp,debug,packet     yiaddr = 10.0.10.6
12:02:01 dhcp,debug,packet     siaddr = 10.0.10.1
12:02:01 dhcp,debug,packet     chaddr = 7A:A7:6D:51:4E:FC
12:02:01 dhcp,debug,packet     Msg-Type = offer
12:02:01 dhcp,debug,packet     Server-Id = 10.0.10.1
12:02:01 dhcp,debug,packet     Address-Time = 86400
12:02:01 dhcp,debug,packet     Domain-Server = 10.0.10.1
12:02:07 dhcp,debug,packet vpn-dhcp received request with id 1246955413 from 10.0.
10.2
12:02:07 dhcp,debug,packet     flags = broadcast
12:02:07 dhcp,debug,packet     ciaddr = 0.0.0.0
12:02:07 dhcp,debug,packet     chaddr = 7A:A7:6D:51:4E:FC
12:02:07 dhcp,debug,packet     Msg-Type = request
12:02:07 dhcp,debug,packet     Client-Id = 62-6F-72-74-6E-69-6B-6F-76-40-65-74-65-
63-61-72-2E-72-75
12:02:07 dhcp,debug,packet     Address-Request = 10.0.10.6
12:02:07 dhcp,debug,packet     Server-Id = 10.0.10.1
12:02:07 dhcp,debug,packet     Parameter-List = Domain-Server,NETBIOS-Name-Server
12:02:07 dhcp,info vpn-dhcp assigned 10.0.10.6 to 7A:A7:6D:51:4E:FC
12:02:07 dhcp,debug,packet vpn-dhcp sending ack with id 1246955413 to 255.255.255.
255
12:02:07 dhcp,debug,packet     flags = broadcast
12:02:07 dhcp,debug,packet     ciaddr = 0.0.0.0
12:02:07 dhcp,debug,packet     yiaddr = 10.0.10.6
12:02:07 dhcp,debug,packet     siaddr = 10.0.10.1
12:02:07 dhcp,debug,packet     chaddr = 7A:A7:6D:51:4E:FC
12:02:07 dhcp,debug,packet     Msg-Type = ack
12:02:07 dhcp,debug,packet     Server-Id = 10.0.10.1
12:02:07 dhcp,debug,packet     Address-Time = 86400
12:02:07 dhcp,debug,packet     Domain-Server = 10.0.10.1


А вот со следующим, кто пытается попросить адрес, происходит небольшая мистика. Ему выдается аренда DHCP OFFER, но RouterOS не посылает DHCP ACK. Соответственно, клиент не получает подтверждения, а поскольку без адреса подключение запрещено, то и соединиться с VPN сервером он не может.

Код: Выделить всё

12:04:14 dhcp,debug,packet vpn-dhcp received discover with id 3591468449 from 10.0.10.2
12:04:14 dhcp,debug,packet     flags = broadcast
12:04:14 dhcp,debug,packet     ciaddr = 0.0.0.0
12:04:14 dhcp,debug,packet     chaddr = 7A:A7:E4:62:05:09
12:04:14 dhcp,debug,packet     Msg-Type = discover
12:04:14 dhcp,debug,packet     Client-Id = 67-75-73-68-63-68-69-6E-40-65-74-65-63-61-72-2E-72-75
12:04:14 dhcp,debug,packet     Parameter-List = Domain-Server,NETBIOS-Name-Server
12:04:15 dhcp,debug,packet vpn-dhcp sending offer with id 3591468449 to 255.255.255.255
12:04:15 dhcp,debug,packet     flags = broadcast
12:04:15 dhcp,debug,packet     ciaddr = 0.0.0.0
12:04:15 dhcp,debug,packet     yiaddr = 10.0.10.8
12:04:15 dhcp,debug,packet     siaddr = 10.0.10.1
12:04:15 dhcp,debug,packet     chaddr = 7A:A7:E4:62:05:09
12:04:15 dhcp,debug,packet     Msg-Type = offer
12:04:15 dhcp,debug,packet     Server-Id = 10.0.10.1
12:04:15 dhcp,debug,packet     Address-Time = 86400
12:04:15 dhcp,debug,packet     Domain-Server = 10.0.10.1


Как побороть эту проблему или, возможно, кто-нибудь знает, чем она вызвана?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Повестьте наверх EoIP и будет вам счастье. Он же специально для этих целей придуман... С ним точно работает как надо, сам проверял


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Streemer
Сообщения: 3
Зарегистрирован: 01 июн 2016, 14:16

Мне не надо EoIP, у меня уже есть VPN сервер на strongswan, куда пользователи подключаются по смарт-картам, а авторизация идет по EAP через Windows NAP. Сейчас назначение ip адресов идет тем же strongswan и он неплохо справляется, но для большей прозрачности и удобства управления, хочу повесить выдачу адресов ВПН клиентам на микротик, который будет авторизовываться на том же NAP. Попытавшись сделать такое, наткнулся на вышеописанную ошибку. Был бы признателен за любую помощь идеей.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я вот только ни как в голове не могу увязать дхцп и впн. Радиус и впн могу, а вот дхцп и впн ну ни как. Учитывая что тот же pptp он л3


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Streemer писал(а):Мне не надо EoIP

Ну раз не надо, значит не надо. Рад буду услышать другие варианты реализации данной задачи.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Streemer
Сообщения: 3
Зарегистрирован: 01 июн 2016, 14:16

vqd писал(а):Я вот только ни как в голове не могу увязать дхцп и впн. Радиус и впн могу, а вот дхцп и впн ну ни как. Учитывая что тот же pptp он л3

Я использую IKEv2, тоже L3 в принципе. У сервера strongswan есть возможность выдачи виртуальных ip адресов, причем эти адреса могут быть выданы другим сервером. Сервер strongswan и mikrotik находятся в одном l2 сегменте сети, соответственно такие штуки как broadcast вполне реальны. В моем случае, strongswan представляется для mikrotik как DHCP relay и мой первый вопрос был именно о том, что он (микротик) не совсем корректно обрабатывает запрос ip адреса от 2+ клиентов.
Разработчик сервера strongswan придерживается того же мнения:
"OK. Looks like a problem with your DHCP server. From the log it is not clear why it doesn't react to the DHCP_REQUEST. Actually, in the unsuccessful case we don't see that the server receives the request - did it log anything regarding that?"
Возможно, у кого-то возникала похожая ситуация?
Сегодня вечером буду пытаться обновить mikrotik до последней версии и напишу в техподдержку.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

терь понятно.
Обновляйтесь и отправьте запрос в саппорт и не забудьте supout.rif им приложить.
Просьба отписаться об ответе саппорта


Есть интересная задача и бюджет? http://mikrotik.site
Ответить