Re: [FRnOG] [TECH] CISCO DHCP WAN port UP/DOWN

[David Ponzone]

> Le 31 mai 2023 à 18:02, Sébastien 65 <sebastien...@live.fr> a écrit :
> 
> 7200s => DHCP Addresses leased from a server (show dhcp lease)
> 
> Je n'ai pas essayé 1800s, mais une valeur plus haute que 7200s sans succès.

On s’embrouille là….

Je te demande si le 7200 est donné par le serveur.
Si oui, et si tu veux éviter un forcerenew provoqué par le serveur, tu dois 
mettre de ton côté une valeur X inférieure à 7200 pour contraindre le Cisco à 
faire un renew au bout de X secondes.

> Sur Google j'ai trouvé des problématiques identiques par exemple ici 
> https://community.cisco.com/t5/routing/interface-being-restarted-by-dhcp-1841/td-p/2359494
>  
> <https://community.cisco.com/t5/routing/interface-being-restarted-by-dhcp-1841/td-p/2359494>
>  ou par ici 
> https://blog.ipspace.net/2009/09/expired-dhcp-lease-bounces-interface.html 
> <https://blog.ipspace.net/2009/09/expired-dhcp-lease-bounces-interface.html> 
> il y a une référence comme mon cas d'utilisation dans un commentaire plus bas.
> 
>> Le cisco avec ce ip nat inside, il arrive à pinger l’extérieur ?
> Non, le ping ne peut pas passer car le retour est forcé vers le firewall via 
> ip nat inside.
> Le Cisco envoi bien le ping mais cela rentrera vers le firewall qui lui ne 
> sait pas et va droper car il n'est pas l'initiateur/source du ping.

Oui je m’attendais à cette réponse.
Donc si le ping echo-reply passe pas parce que renvoyé vers le firewall, je 
pige pas pourquoi le DHCP Offer ne subirait pas le même sort.
Je pige donc même pas comment le Cisco peut récupérer une IP en DHCP au départ.

> Pour que le ping fonctionne il faut faire une ACL avec une IP autre en 
> Loopback ou avoir un subnet d'interco/mgmt. C'est une autre histoire.
> ________________________________
> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
> Envoyé : mercredi 31 mai 2023 17:44
> À : Sébastien 65 <sebastien...@live.fr <mailto:sebastien...@live.fr>>
> Cc : frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> <frnog-t...@frnog.org 
> <mailto:frnog-t...@frnog.org>>
> Objet : Re: [FRnOG] [TECH] CISCO DHCP WAN port UP/DOWN
> 
> 7200, c’est quoi ? Le lease-time par défaut du serveur DHCP ?
> Si tu forces à 1800 de ton côté, ça aide pas ?
> 
> Jamais entendu parler d’un automatisme de ce genre chez Cisco à cause d’un ip 
> nat inside, mais je fais jamais ça.
> Je renvoie que les ports 1024-6535, 443 et 500.
> 
> Le cisco avec ce ip nat inside, il arrive à pinger l’extérieur ?
> 
> Le 31 mai 2023 à 17:23, Sébastien 65 <sebastien...@live.fr 
> <mailto:sebastien...@live.fr><mailto:sebastien...@live.fr 
> <mailto:sebastien...@live.fr>>> a écrit :
> 
> David,
> 
> Pas si évident que ça 🙂 Comme j'ai dit dans le mail précédent le problème 
> n'est présent qu'avec l'utilisation du 'ip nat inside' pour pousser le flux 
> du WAN vers un autre équipement (équipement local type firewall connecté 
> derrière le CISCO).
> 
> De base la configuration du DHCP lease est de 7200s, dès que la commande 'ip 
> nat inside ...' est présente dans le routeur bin toutes les 2H j'ai droit à :
> 
> May 30 23:29:34.302: %DHCP-5-RESTART: Interface GigabitEthernet8 is being 
> restarted by DHCP
> 
> May 30 23:29:36.302: %LINK-5-CHANGED: Interface GigabitEthernet8, changed 
> state to administratively down
> May 30 23:29:37.302: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
> GigabitEthernet8, changed state to down
> May 30 23:29:39.330: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed 
> state to down
> May 30 23:29:42.938: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed 
> state to up
> May 30 23:29:43.938: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
> GigabitEthernet8, changed state to up
> May 30 23:29:46.522: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet8 
> assigned DHCP address X.X.X.X, mask 255.255.255.0, hostname 892FSP-XXXXX
> 
> Sur le même principe de l'interface WAN en mode DHCP, j'ai des routeurs sur 
> lesquels le 'ip nat inside' n'est pas utilisé, magie ou pas aucun problème 
> sur le DOWN/UP du port WAN.
> J'ai un routeur qui a reboot il y a 2 jours, le show log indique la récup de 
> l'adresse DHCP le 29/05 et depuis rien de plus dans les logs... Pourtant même 
> serveur DHCP en face.
> 
> 
> Sébastien
> 
> ________________________________
> De : David Ponzone <david.ponz...@gmail.com 
> <mailto:david.ponz...@gmail.com><mailto:david.ponz...@gmail.com 
> <mailto:david.ponz...@gmail.com>>>
> Envoyé : mercredi 31 mai 2023 16:14
> À : Sébastien 65 <sebastien...@live.fr 
> <mailto:sebastien...@live.fr><mailto:sebastien...@live.fr 
> <mailto:sebastien...@live.fr>>>
> Cc : frnog-t...@frnog.org 
> <mailto:frnog-t...@frnog.org><mailto:frnog-t...@frnog.org 
> <mailto:frnog-t...@frnog.org>> <frnog-t...@frnog.org 
> <mailto:frnog-t...@frnog.org><mailto:frnog-t...@frnog.org 
> <mailto:frnog-t...@frnog.org>>>
> Objet : Re: [FRnOG] [TECH] CISCO DHCP WAN port UP/DOWN
> 
> Seb,
> 
> Hmm dans mon monde à moi, le DHCP renew est à l’initiative du client, sauf si 
> le serveur implémente FORCERENEW, et que le Cisco l’honore.
> Donc tu devrais pas avoir de problème si tu forces un lease plus court sur le 
> Cisco avec « ip dhcp client lease 0 0 5 » ou un truc du genre.
> 
>> Le 31 mai 2023 à 15:52, Sébastien 65 <sebastien...@live.fr 
>> <mailto:sebastien...@live.fr><mailto:sebastien...@live.fr 
>> <mailto:sebastien...@live.fr>>> a écrit :
>> 
>> Bonjour à tous,
>> 
>> Sur des routeurs CISCO (88X/89X/etc...) ayant le port WAN en mode DHCP et 
>> utilisant la règle 'ip nat inside source static ip-lan-du-firewall 
>> ip-wan-loopback extendable' lors de la fin du lease DHCP l'IOS fait tomber 
>> le port WAN (Down/Up)...
>> 
>> La commande 'ip nat inside source X X extendable' remplie bien la fonction 
>> car tout ce qui arrive sur le port WAN est automatiquement renvoyé sur l'IP 
>> indiquée. Aucun problème à ce niveau.
>> 
>> Le problème est que dès que la renégo du DHCP arrive, la requête est 
>> transférée sur l'équipement ip-lan-firewall et pas sur l'interface WAN du 
>> CISCO. La conséquence est que l'IOS fait tomber le port UP/DOWN pour pouvoir 
>> récupérer "enfin" une IP sur son interface WAN.
>> 
>> J'ai essayé de forcer les requêtes provenant du serveur DHCP à rester sur 
>> l'interface WAN (ici GE8) mais sans succès :
>> ip nat inside source static udp X.X.X.X 67 interface GigabitEthernet8 67
>> ip nat inside source static udp X.X.X.X 68 interface GigabitEthernet8 68
>> 
>> Le phénomène est que toutes les 2H le port WAN GE8 fait DOWN/UP. La 
>> modification du lease n'est pas la solution car cela reporte uniquement le 
>> problème sans le résoudre...
>> 
>> Est-ce que quelqu'un connait le phénomène et la solution ?
>> 
>> Merci 🙂
>> 
>> Sébastien
>> 
>> 
>> 
>> 
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/ <http://www.frnog.org/>

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/