DHCP Server antwortet nicht auf Unicast

[zimbodan]

Hallo zusammen,

ich versuch hier mal meine Frage zu stellen, da der technische Support / Störungsannahme das nicht richtig weiterleiten konnte.

Situation: Wir haben einen Business Red Internet Anschluß mit fester IPv4 und das Modem im Bridge Mode. Am Modem Port 1 ist eine Firewall (pfsense) angeschlossen.

Vom VF DHCP Server (88.134.230.2) bekommen wir eine IP (die feste) mit folgenden Beispielwerten:

interface "igb0";
fixed-address [gelöscht];
option subnet-mask 255.255.255.252;
option routers [gelöscht];
option domain-name-servers 88.134.230.33,88.134.230.97;
option broadcast-address 255.255.255.255;
option dhcp-lease-time 5400;
option dhcp-message-type 5;
option dhcp-server-identifier 88.134.230.2;
renew 2 2017/11/14 10:12:14;
rebind 2 2017/11/14 10:45:59;
expire 2 2017/11/14 10:57:14;

Bei Ablauf der Lease versucht die Firewall beim angegebenen DHCP Server (88.134.230.2) eine neue Lease anzufragen, der aber nicht antwortet. Nach 5 Time Outs stellt die Firewall dann eine Broadcast Anfrage (255.255.255.255). Darauf antwortet der Server endlich und vergibt eine neue Lease.

Das Problem ist, wegen der Time Outs geht das Interface für einige Minuten auf Down und alle Verbindungen werden unterbrochen.

Dazu nun meine Frage:
Wir würden gerne verstehen, ob es sich hier um einen Fehler (keine Antwort auf Unicast) oder eine gewollte Einstellung seitens VF handelt?

Dann könnten wir unsere Firewalls entsprechend patchen (was wir bei einem Fehler gerne vermeiden würden).

Grüsse
zimbodan

[Samchen]

Naja, die Konfiguration deiner Endgeräte ist deine Sache. Seitens Vodafone wird da nichts geblockt.

[Abraxxas]

Firewalls bekommen keine IP Adressen und fragen auch keine an. Das machen Schnittstellen.
Aber egal. Zwei Lösungsmöglichkeiten
- Da die IP fest ist könnt ihr sie auch fest eintragen und damit entfällt die Nachfrage nach renew.
- Ihr bringt der Schnittstellen Konfiguration bei schon eine Weile vor Ablauf der lease nachzufragen oder eben, dass sofort ein broadcast erfolgt.
Wie auch immer, VF ist hier nur Klient.

[zimbodan]

OK, dass der DHCP Deamon bei FreeBSD das macht ist logisch - darauf basiert ja die pfsense. Feste IP auf dem Interface vergeben funktioniert nicht, da dann das GW auf VF Seite (30er Subnetz) nicht mag.
Die Lösung mit der RENEW statt auf die DHCP Adresse gleich auf den Broadcast ist eine unsauberer Patch. Das Problem, der ist soweit außerhalb des DHCP Standards und RFC, dass man den DHCP Client (dhclient.c) selbst patchen muss. Bei jedem Versionswechsel / Update von FreeBSD kann das dann wieder rausfliegen. Bei aktuell 17 FWs wäre das kein besonders erstrebenswerte Lösung. Ich hab spaßeshalber mal eine Cisco Firepower drangehangen - gleiches Phänomen. Mit SNORT lässt es sich auch erkennen - Schweigen im Walde auf die Unicasts. Daher die Vermutung, das vielleicht doch etwas bei VF nicht richtig konfiguriert ist.

Die Versuche bei VF jemanden zu erreichen, der mehr als eine Hotline Skript ablesen kann sind bis jetzt leider fehlgeschlagen. Daher meine Frage ob jemand hier Erfahrung mit KDG an professionellen FWs hat. Kann doch nicht sein, dass ich der erste bin, dem das auffällt

[reneromann]

VFKDG und professionelle Firewalls? Was hast du geraucht?

Ne, im Ernst: Die Leitungen von KabelDeutschland/VFKDG kann man zum Surfen verwenden - aber für ernsthaften produktiven Einsatz sind die absolut untauglich.
Das fängt damit an, dass dir keine Bandbreiten garantiert werden (mit dem Wisch von der Transparenzverordnung kannst du dir bestenfalls den Hintern abwischen, aber wenn das Segment dicht ist, garantiert dir VFKDG nichts mehr) -über- eine völlig unzureichende Fehlerbehebung (was bringen mir 12 Stunden "Premiumentstörung", wenn dort explizit die Nachtstunden und das Wochenende ausgenommen werden -und- Fehler im Tiefbau sowieso nicht erfasst sind) -und- ein komplett fehlendes Monitoring bis hin zu völlig untauglichen Endgeräten [die Fritten ohne Bridge-Modus, die statt dem vertraglich zugesicherten /56er-Netz "nur" ein /62er-Netz anfordern -bis hin zu- den CBNs, die im Bridge-Modus nicht mit IPSec klarkommen und in den Paketen rumfuhrwerken]...

VFKDG ist halt kein Business-Provider, sondern hat das "Business"-Modell eher als Geldscheffelmodell mit eingebaut, ohne wirklich ernsthaft einen Plan zu haben, wie man damit auch nur ansatzweise stabilen Betrieb gewährleisten kann.

By the way: Es ist ein Armutszeugnis, wenn VFKDG nach einem Stromausfall mehr als eine Stunde braucht, um die Dienste wieder bereitzustellen - noch dazu das TV-Signal deutlich vor dem I&P-Signal wieder anliegt. Das ist für einen Business-Kunden einfach mal völlig unzureichend, zumindest wenn man diese Leitung produktiv benutzen will.

[wittmann]

@zimbodan:

mal ins Blaue gesprochen: Du beschreibst, dass der DHCP-Client der pfsense bei Ablauf der Lease-Time ein Renew (via Unicast) anfordert. Hier habe ich eine Frage: Hattest Du die Moeglichkeit den DHCP-Handshake zu sniffen? Es waehre hier interessant ob der DHCP-Renew-Request wirklich erst nach dem Lease-Timeout geschickt worden ist, bzw. knapp davor.
AFAIK sollte der DHCP-Renew-Request ca. zu 1/2 der Lease-Time erfolgen. Also bei einer Lease-Time von 5400 Sekunden bei 2700 Sekunden. In diesem Zeitfenster erlaubt das Feature DHCP-Source-Verify auf dem CMTS auch Unicast-Messages und alles sollte normal funktionieren, wie z.B. der Renew der IP Adresse via DHCP.
Wenn nun aber der DHCP-Renew-Request als Unicast-Message am Ende der Lease-Time oder sogar kurz danach von dem DHCP-Client gesendet wird, ist es moeglich das DHCP-Source-Verify zuschlaegt und die Unicast-Message nicht mehr zugelassen wird, weil das CMTS denkt der Client ist nicht mehr online, weil ja die Lease-Time ausgelaufen ist.

Dann muss der DHCP-Handshake wieder komplett von vorne anfangen, wie hier mit dem DHCP-Request an die Broadcast Adresse und den damit leider verbundenen Ausfall der Connection.

Eine andere Moeglichkeit koennte sein, dass aus irgendwelchen Gruenden die Kommunikation zwischen deinem Client und dem DHCP geblockt ist aber der Umweg um das CMTS mittels des Broadcast-Traffics nicht. Leider antworten die DHCP-Server in der Regel nicht auf das boese Ping aber was zeigt eventuell ein Traceroute, solange die IP Adresse aktiv ist?

[robert_s]

VFKDG ist halt kein Business-Provider, sondern hat das "Business"-Modell eher als Geldscheffelmodell mit eingebaut, ohne wirklich ernsthaft einen Plan zu haben, wie man damit auch nur ansatzweise stabilen Betrieb gewährleisten kann.

Naja, das ist halt das gleiche wie die "Business" Anschlüsse bei der Telekom, die auch nur über die gleiche Technik realisiert werden wie Privatkundenanschlüsse und von den gleichen überlasteten Technikern betreut werden.

Die von Dir genannten Ansprüche lassen sich eigentlich nur von PtP-Glasfaseranbietern erfüllen - zu entsprechend deutlich höheren Preisen.