WindowsServer-DHCP-Server vergibt IP-Adressen trotz UDM-DHCP-Server

    Hallo,

    um folgende Konfiguration geht es:

    UDM Pro (4.4.6)
    Network (9.5.21)
    USW-24-PoE (7.2.123)
    USW-48-PoE (7.2.123)
    USW-Lite-16-PoE (7.2.123)

    Netzwerke

    VLANNameIPDHCP-Server auf UDMWiFi
    1UniFi-Devices 192.168.22.0/24ja-
    2Buero192.168.19.0/24jaBUERO
    3Buero210.10.36.0/24 neinBUERO2
    4gast192.168.21.0/24jaGAST
    5Mixed 192.168.23.0/24 jaMIXEDDEVICES

    VLAN 4 "Gast" ist ein Gastnetzwerk
    VLAN 3 "Buero2" ist "isolated network".
    VLAN 3 "Buero2" hat aber über Firewallregel Zugriff auf VLAN "Mixed".
    VLAN 1,2,4,5 haben DHCP-Server auf UDM Pro aktiv.
    VLAN 3 "Buero2" hat einen eigenen DHCP-Server auf einem Windows-Server (AD) laufen.

    Alle Ports an allen Switchen sind einem nativem VLAN zugeordnet.
    Bei allen Ports ist "VLAN-Management mit Tag" auf "Alle zulassen".

    Alle Zugriffsbeschränkungen funktioniere auch:
    Host aus "Buero" können nicht auf "Buero2" zugreifen und umgekehrt.

    Zugriff auf die Drucker in "Mixed" ist von "Buero" und "Buero2" möglich.

    In VLAN1 sind nur die Unifi-Geräte drin.


    Problem:
    Wenn ich einen Host in einen Port mit nativem VLAN 2 "Buero" einstecke, bekommt er eine IP-Adresse vom Windows-Server aus dem isolierten VLAN 3, obwohl auf der UDM ein eigener DHCP-Server läuft. Der Host hat dann an einem Port mit "Buero" und einer IP aus "Buero2" keinen Zugriff auf irgendwas (was an sich ja korrekt ist, dass die Netze gegenseitig isoliert sind), auch nicht auf das Internet.
    Verbinde ich den gleichen Host (Notebook) mit dem WiFi "BUERO" erhalte ich immer eine korrekte IP-Adresse vom DHCP-Server aus dem VLAN 2 "Buero".

    Nur an den Ports (selbst an den Ports auf der UDM PRO) kommt der DHCP-Server des Windows-Servers (10.10.36.4) durch.
    Entferne ich den Windows-Server (Patchkabel ziehen), ziehen sich die Hosts korrekterweise eine IP vom UDM-DHCP-Server VLAN 2.
    Ich habe nochmals extra eine Firewallregel (10.10.36.4 darf nicht mit VLAN 2 "Büro" kommunizieren) eingerichtet. Ohne Erfolg.

    Die Unifi-Maschinen in VLAN 1 (UniFi-Devices=Default) ziehen sich die IP-Adresse korrekt vom UDM-Pro.

    VLAN 4 "Gast" läuft nur per WiFi. Da klappt ja alles.

    Ich verstehe nicht, wie der DHCP-Server auf dem WindowsServer durch die Firewallregel kommt. Und warum die Clients sich "lieber" eine 10.10.36.0 ziehen, anstatt eine 192.168.19.0.
    Und warum es nur auf den Switch-Ports passiert, aber im WiFi alles sauber und korrekt läuft.

    Hoffe, es kann mir jemand erklären :-)
    Wenn weitergehende Informationen benötigt werden, werde ich diese gerne nachliefern.

    Gruß
    Christian

    Ports von normalen Endgeräten gehören auf ein natives VLAN und BLOCK ALL.

    Einstellige VLAN IDs sollte man vermeiden, die werden gerne mal von Herstellern für irgendwelche Dinge genutzt.

    Bitte mal in die Funktionsweise von DHCP einlesen. DHCP funktioniert so nur in einem Layer 2 Segment, kann also niemals nicht über eine Firewall hinaus funktionieren. Dazu wäre Hilfe durch ein DHCP Relay erforderlich, dann müsste aber im Windows DHCP Server ein Scope mit dem korrekten IP Bereich existieren und die IP Adressen, die zugewiesen werden, würden auch passen.

    Clients ziehen sich keine IP. Ihnen wird vom DHCP Server eine angeboten, die sie dann im Normalfall auch nehmen. Sind mehrere DHCP Server vorhanden, dann antwortet einer als erstes (bei dir offenbar der Windows DHCP) und gewinnt. Das muss nicht immer der gleiche DHCP sein und somit hat der DHCP Client wechselnd IPs aus unterschiedlichen IP Bereichen.

    Für mich lässt das im Prinzip nur den Schluss zu, dass Du bei den VLAN Konfigurationen der Ports oder bei einer Patchverbindung VLAN2 und VLAN3 verbunden hast. Oder aber auf dem Server stimmt etwas nicht und der hängt wie auch immer in beiden VLANs. Denkbar wäre auch ein PC (oder anderes Gerät) mit 2 Netzwerkschnittstellen, je eine in den besagten VLANs. Und die beiden Netzwerkschnittstellen sind in einer Brdige.

    Man kann bei den VLANs übrigens auch DHCP Guarding einschalten und dort erlaubte DHCP Server eintragen. Theoretisch sollten die Switche und APs dann die DHCP Pakete aller anderen DHCP Server in diesem VLAN schlucken. Das könnte die Auswirkung kaschieren, behebt aber den eigentlichen Fehler nicht.

    Also besser Fehler suchen und beheben.

    Danke Dir für Deine Erläuterungen 👍

    Habe als erste Maßnahme alle Ports mit normalen Endgeräten auf "BLOCK ALL" gesetzt.

    Mit dem Admin des WindowsServers habe ich Kontakt aufgenommen. Mal schauen, wie er den DHCP-Server auf seiner Maschine konfiguriert hat.

    Die Verbindungen per Patchkabel habe ich überprüft. Da kann ich ein Bridging ausschließen.

    Die Notebooks sind größenteils sowohl per LAN als auch per WLAN verbunden. Die gehe ich nochmals einzeln durch. Die Maschinen sind nicht von mir aufgesetzt worden. Aber warum sollte man auf einem Büro-Notebook Bridging aktivieren? Egal, ich werd's checken.

    Das DHCP Guarding habe ich aktiviert und nur die IP des UDM-DHCP-Servers zugelassen.

    Die ganze Überprüfungen werden aber ein bisschen Zeit in Anspruch nehmen.

    Quote from UniFi05

    Mal schauen, wie er den DHCP-Server auf seiner Maschine konfiguriert hat.

    Fast unerheblich solange die Büchse nur in dem VLAN ist wo sie hingehört und nicht noch in anderen VLAN's ein Interface unterhält.
    Da ist also eher entscheidend wie das Grundlegende Netzwerk eingerichtet ist. Oder von der Switch Seite gesehen, der Port an dem die windows Büchse hängt, sollte nur die nötigen Netze Transportieren. in deinem fall vermutlich also nur Nativ VLAN 3 und Block all.

    Edited once, last by gierig (November 20, 2025 at 7:19 AM).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login