Проблема в работе DHCP через шифрованный туннель канального уровня (l2overip)

[Anton Gugnin]

Добрый день, коллеги.

Интересует, сталкивался ли кто-нибудь с подобной проблемой. 

Пользователи подключаются через шированный туннель канального уровня. Пользовательский VLAN должен "пробрасываться" до маршрутизатора Cisco. На маршрутизаторе прописан IP-адрес шлюза и helper-address для перенаправления запросов на DHCP сервер. 

Проблема проявляется следующим образом: при включении шифрования пользователи нормально работают в течении дня. На следующее утро, когда истекает срок аренды, ни один не может получить IP-адрес по DHCP. Сразу после отключения шифрования все пользователи получают адреса. 

Туннель организован по технологии L2overIP и строится между координаторами HW100 и HW2000. 

Поддержка утверждает, что проблем в прохождении сообщений для работы сервиса DHCP не видит. В журналах драйвера iplir пусто. На форуме обсуждались похожие вопросы касательно работы ViPNet клиента. Может кто-то сталкивался с подобной проблемой на координаторах HW?

[R.Sheyn]

Какие версии прошивок?

11 часов назад, Anton Gugnin сказал:

В журналах драйвера iplir пусто.

А Вы а настройках интерфейса все настройки регистрирования включили?

[Anton Gugnin]

9 hours ago, R.Sheyn said:

Какие версии прошивок?

А Вы а настройках интерфейса все настройки регистрирования включили?

Прошивка 4.2. Регистрация на интерфейсах включена.

[zero]

> L2overIP

 По этой технологии передаются сразу ethernet-кадры, iplir в них даже не смотрит, в журнале Вы увидите лишь строки типа "etherip". Что в самих кадрах HW не знает. Вы можете взять кадр анализатором до первого координатора и после второго, за которым dhcp-сервер? Сравните флаги во всех полях заголовка пакета и само содержимое, если оно тождественно, то проблема не в шифровании.

20 часов назад, Anton Gugnin сказал:

Пользовательский VLAN должен "пробрасываться" до маршрутизатора Cisco. На маршрутизаторе прописан IP-адрес шлюза и helper-address для перенаправления запросов на DHCP сервер. 

  Сам маршрутизатор с "другой"  стороны L2 доступен? Dhcp-сервер можно "подвинуть" к самому HW, минуя helper? Слишком много точек, где пакет можно потерять или отправить не туда.

[Anton Gugnin]

8 minutes ago, zero said:

> L2overIP

 По этой технологии передаются сразу ethernet-кадры, iplir в них даже не смотрит, в журнале Вы увидите лишь строки типа "etherip". Что в самих кадрах HW не знает. Вы можете взять кадр анализатором до первого координатора и после второго, за которым dhcp-сервер? Сравните флаги во всех полях заголовка пакета и само содержимое, если оно тождественно, то проблема не в шифровании.

  Сам маршрутизатор с "другой"  стороны L2 доступен? Dhcp-сервер можно "подвинуть" к самому HW, минуя helper? Слишком много точек, где пакет можно потерять или отправить не туда.

Маршрутизатор доступен. Если бы использовалась статическая адресация проблем бы не возникло. DHCP-сервер "подвинуть" не получится. Не совсем понимаю, где можно отправить ethernet-кадр "не туда", если на сообщения хоста будет отвечать маршрутизатор, передавая ответы от helper'а. Это прямая видимость через шифрованный канал. 

Было проверено, что при подключении нового хоста в сеть, он получал адрес по DHCP. Проблема наблюдается, когда несколько пользователей, около 20 пытаются одновременно обновить аренду IP-адресов. Я видел обсуждение похожих проблем с ViPNet клиентом на форуме. Описывалась точно такая же проблема, которая уходила после отключения клиента - хосты получали адреса по DHCP. У меня есть подозрение, что проблема как раз в координаторе, он то ли не может обрабатывать больше определённого количества широковещательных кадров одновременно (опция unsolicited выставлена в режим smart broadcast), то ли воспринимает эти кадры как "вредные". 

[R.Sheyn]

2 часа назад, Anton Gugnin сказал:

Я видел обсуждение похожих проблем с ViPNet клиентом на форуме

У vipnet клиента своя проблема с dhcp, там что то с драйвером при загрузке, то ли он блочит все пока не запустится, то ли еще что-то, а потом пытается работать с apipa адресом, короче не тот случай.

Что касается текущей проблемы, то во-первых какая из 4.2 прошивок? 4.2.0, 4.2.1 или 4.2.2? Во-вторых высказано разумное мнение посмотреть анализатором, а не гадать на кофейной гуще.

Ну и в-третьих, если прошивка у Вас свежая, значит с большой долей вероятности есть поддержка. Пишите в поддержку.

[Anton Gugnin]

Прошивка 4.2.1.

Поддержка есть и озадачена, но результаты обращения пока скромные. Они собрали стенд и, судя по всему, прогнали сценарий с одним хостом. 

[zero]

3 часа назад, Anton Gugnin сказал:

Не совсем понимаю, где можно отправить ethernet-кадр "не туда"

Имелось ввиду, что его "не туда" отправляет не координатор, ему это сложно сделать, действительно, а он начинает путешествовать по Вашей сети после координатора между маршрутизатором, шлюзом, helper-ом и самим dhcp-сервером. Еще и по VLAN. И  тогда самым разумным видится исключить "лишние" узлы и подключить dhcp-сервер прямо к координатору.

3 часа назад, Anton Gugnin сказал:

Проблема наблюдается, когда несколько пользователей, около 20 пытаются одновременно обновить аренду IP-адресов

 И никто не получает? Или получают 1-2, 5-10? У Вас за HW100 сколько таких клиентов всего находится? Миллион? Чтобы у 20 одновременно аренда закончилась, или Вы её на 1 секунду даете?  И HW 100 как-бы не самый флагманский координатор. Может все его возможности забивает какой-то другой трафик?

Элементарно можно проверить проблему, попутно  прижав ТП к стенке, двумя дампами трафика. Зашло 20 запросов, вышло 10.

А прошивку лучше использовать 4.2.2.