Este artículo aborda un problema común en dispositivos FortiGate, donde no logran obtener un arrendamiento DHCP, resultando en un mensaje de «DHCP Decline». Comprender esta situación es crucial, ya que afecta la conectividad y la funcionalidad de la red. El artículo proporcionará un análisis detallado, un diagnóstico paso a paso y una solución recomendada para resolver este problema.
Índice
Descripción del problema
Este artículo describe cómo resolver un escenario donde el FortiGate no logra obtener un arrendamiento DHCP, y se observa un «DHCP Decline» en un PCAP.
Alcance
FortiOS.
Diagnóstico paso a paso
En ciertas circunstancias, el FortiGate puede fallar en obtener una IP de un servidor DHCP, incluso cuando el apretón de manos DHCP se completa correctamente.
El FortiGate envió un DHCP ACK al servidor DHCP, indicando que el proceso de apretón de manos se completó. Después de esto, el FortiGate envía un DHCP Decline y no hay una IP presente en el FortiGate.
Siempre que el FortiGate adquiera un arrendamiento DHCP, enviará un ARP con esa IP para confirmar si algún otro dispositivo tiene esa IP en la interfaz donde está configurado el DHCP. Esto puede causar un problema si hay un pool de IP que incluye esa IP arrendada y existe una topología donde la VLAN WAN está configurada dos veces.
Por ejemplo, si se utiliza un FortiSwitch para distribuir la conexión WAN única entre un par de FortiGates en alta disponibilidad (HA), esa VLAN podría existir tanto en la interfaz FortiLink como en la interfaz WAN configurada.
El ARP saldrá de la interfaz WAN, pero también llegará a la interfaz FortiLink. Dado que la IP que se solicita mediante ARP coincide con un pool de IP, el FortiGate responderá a sí mismo. Por ejemplo, ‘port10’ está configurado en este FortiGate para DHCP. El FortiGate adquiere un arrendamiento para 100.64.0.4 y se envía un ARP.
Solución recomendada
El siguiente paso es revisar la configuración de su pool de IP. Si está configurado correctamente y se desactiva la opción ‘ARP Reply’, este problema no ocurrirá.
A continuación se muestra el pool de IP configurado en este FortiGate. Al desactivar ‘ARP Reply’, el problema se resolverá.
En ‘port9’, ahora no se da respuesta a los ARP. La única MAC que se ve en el sniffer pertenece a ‘port10’.
El FortiGate ha podido obtener el arrendamiento con éxito.
Comandos CLI utilizados
En este proceso, puede usar los siguientes comandos CLI para verificar el estado de las interfaces y la configuración de DHCP:
show firewall address– Muestra la configuración de las direcciones en el firewall.get system arp– Lista las entradas ARP actuales.get dhcp lease– Muestra la información de los arrendamientos DHCP.
Buenas prácticas y recomendaciones
Para evitar problemas similares en el futuro, considere las siguientes recomendaciones:
- Revise y actualice regularmente las configuraciones de VLAN y DHCP.
- Desactive la respuesta ARP en pools de IP donde no sea necesaria.
- Utilice herramientas de monitoreo de red para detectar configuraciones incorrectas y problemas de conectividad.
Notas adicionales
Es importante estar al tanto de las configuraciones de red y realizar auditorías periódicas para garantizar que todas las interfaces y funciones estén operativas y correctamente optimizadas.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!