FMC/FTD Remote access i zewnętrzny serwer DHCP
FMC/FTD Remote access i zewnętrzny serwer DHCP
Hej,
Mam problem z konfiguracją zewnętrznego serwer dhcp dla Remote Access w FMC/FTD.
FTD - Cisco Firepower 2110 Threat Defense (77) Version 6.4.0.4
Robie wszystko zgodnie z doc - https://www.cisco.com/c/en/us/td/docs/s ... ht_qb2_5gb
I niestety adresu nie dostaje z serwera,
W logach nawet nie ma próby połączenia z serwerem dhcp.
Może jakieś pomysły?
Mam problem z konfiguracją zewnętrznego serwer dhcp dla Remote Access w FMC/FTD.
FTD - Cisco Firepower 2110 Threat Defense (77) Version 6.4.0.4
Robie wszystko zgodnie z doc - https://www.cisco.com/c/en/us/td/docs/s ... ht_qb2_5gb
I niestety adresu nie dostaje z serwera,
W logach nawet nie ma próby połączenia z serwerem dhcp.
Może jakieś pomysły?
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Hej,
sprawdz ustawienia group policy dla tego polacznia RAVPN. Interesuja cie 2 rzeczy:
1. serwer DHCP musi byc zdefiniowany jako obiekt i wybrany/ustawiony w profilu anyconnect do przyznawania adresow IP klientom (zamiast lokalnej puli adresow IPv4)
2. w profilu polaczenia (group policy), sekcja DNS/WINS masz cos takiego jak "dhcp network scope" - musisz zdefiniowac to lokalnie jako obiekt IPv4 w object manager, zeby zapytanie do serwera DHCP bylo wyslane o adres IP z tego wlasnie zakresu
Pozdruffka!
sprawdz ustawienia group policy dla tego polacznia RAVPN. Interesuja cie 2 rzeczy:
1. serwer DHCP musi byc zdefiniowany jako obiekt i wybrany/ustawiony w profilu anyconnect do przyznawania adresow IP klientom (zamiast lokalnej puli adresow IPv4)
2. w profilu polaczenia (group policy), sekcja DNS/WINS masz cos takiego jak "dhcp network scope" - musisz zdefiniowac to lokalnie jako obiekt IPv4 w object manager, zeby zapytanie do serwera DHCP bylo wyslane o adres IP z tego wlasnie zakresu
Pozdruffka!
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Dzięki,
Pierwszy punkt rozumiem
Drugi - nie wiem czy dobrze rozumiem. Powiedzmy ze mam pule 10.10.10.0/24, zdefiniowałem ten (w polu dhcp network scope) obiekt jako 10.10.10.2/32. Teraz widzę w logach komunikację pomiędzy serwerem dhcp a obiektem 10.10.10.2 ale nadal nie dostaje adresów.
Coś na pewno źle robię tylko co
Pierwszy punkt rozumiem
Drugi - nie wiem czy dobrze rozumiem. Powiedzmy ze mam pule 10.10.10.0/24, zdefiniowałem ten (w polu dhcp network scope) obiekt jako 10.10.10.2/32. Teraz widzę w logach komunikację pomiędzy serwerem dhcp a obiektem 10.10.10.2 ale nadal nie dostaje adresów.
Coś na pewno źle robię tylko co
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
A na tym serwerze DHCP masz ten scope oczywiscie skonfigurowany, right? Poza tym, zajrzyj w FMC / Device Management / Device (twoj FTD), masz tam tez zakladke DHCP/DHCP-Relay...
Pozdruffka!
Pozdruffka!
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
tak tak skonfigurowany to on jest na pewno
A czy relay nie działa dla całości ruchu ? - mam tam skonfigurowanych kilka grup - i chciałbym najpierw testowo dla jednej zrobić dhcp na zewnętrznym serwerze.
M
A czy relay nie działa dla całości ruchu ? - mam tam skonfigurowanych kilka grup - i chciałbym najpierw testowo dla jednej zrobić dhcp na zewnętrznym serwerze.
M
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Czyli nie masz relay?
Skoro widzisz ruch serwer DHCP <> adres 10.10.10.2, to może NAT?
Skoro widzisz ruch serwer DHCP <> adres 10.10.10.2, to może NAT?
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Hej,
jest kilka mozliwosci, polecam wykorzystanie dostepnych narzedzi jak np. packet tracer czy capture, bedziesz widzial co sie dzieje. Masz mozliwosc capture na tym serwerze (lub konfiguracje SPAN na przelaczniku gdzie ten serwer jest podpiety)?
Pozdruffka!
jest kilka mozliwosci, polecam wykorzystanie dostepnych narzedzi jak np. packet tracer czy capture, bedziesz widzial co sie dzieje. Masz mozliwosc capture na tym serwerze (lub konfiguracje SPAN na przelaczniku gdzie ten serwer jest podpiety)?
Pozdruffka!
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
na 90% problemem jest brak routy dla zakresu DHCP do internetu.. ale jakoś sie teraz cykam żeby ją dodać - ostatnio przy czymś takim wysadziłem firewalla
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Hej myszasty, sorki, ale to co piszesz nie ma sensu. Rob troubleshooting po kolei - czy DHCP dziala i klient otrzymuje adres z danej puli? Tak/Nie? Jesli tak i kolejnym problemem jest dostep do internetu dla tejze puli, stanowi to zupelnie inny problem. Wiec jak jest?
Pozdruffka!
Pozdruffka!
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
DHCP działa, widzę w logach ruch pomiedzy DHCP a adresem zdefiniowanym między "dhcp network scope". Capture zapięte na serwer dhcp pokazuje pakiety pomiedzy tymi dwoma adresami. PT pokazuje alow na ruchu, a klient jak nie dostawał adresu to nie dostaje za bardzo nie wiem co jeszcze moze być skopane.
W międzyczasie case w Cisco otwarty - czekam na kogoś kto zajmuje się VPN FTD.
M
W międzyczasie case w Cisco otwarty - czekam na kogoś kto zajmuje się VPN FTD.
M
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
A sprawdzales date /ntp na serwerze DHCP?
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Hej myszasty,
To daj znac co bylo problemen jak rozwiazesz sprawe z TAC.
Pozdruffka!
To daj znac co bylo problemen jak rozwiazesz sprawe z TAC.
Pozdruffka!
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
Sprawy narazie nie rozwiązałem, ale przydatną rzecz wklejam
copy /pcap capture:capin ftp:/
TAC ( a VPNonowa część) mocno robotą obłożona
copy /pcap capture:capin ftp:/
TAC ( a VPNonowa część) mocno robotą obłożona
Re: FMC/FTD Remote access i zewnętrzny serwer DHCP
brakowało route-lookup w nacie do klientów.. 4 dni psu..