DHCP Lease Problem

noone100 · 2020-07-07T19:05:24+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

noone100

Wie schon vor Jahren hier und hier und hier beschrieben wird bei bei meiner FRITZ!Box die Verbindung ca. alle 12 Stunden wegen eines DHCP-Lease-Timeouts unterbrochen. Das nervt bei grossen Downloads und VoIP-Telefonaten, die dann einfach unterbrochen werden. UPC scheint die DHCP-Leases nach wie vor nicht standardgemäss umzusetzen und je nach dem, welchen DHCP-Server man erwischt, funktioniert es einmal dann wieder nicht.

@d_rotcod und @Guldi, tritt das Problem bei euch auch immer noch auf?

Region: Bern

Modem: Technicolor TC7200-U im Bridge-Modus (da nach wie vor Routerzwang bei UPC)

Guldi

Hallo skl1
Ich habe die letzte Labor-Version am laufen und kann bestätigen, dass es funktioniert. Nach meinem Verständniss wird dies in allen Fritz!Boxen, welche aktuell ein update kriegen, korrigiert. Falls Du nicht auf das offizielle Release warten möchtest, kann ich Dir die Labor-Version nur empfehlen…
Gruss Guldi

noone100

Die Labor-Firmware 18.12.2020 behebt das Problem.

skl1

Bei meiner 7490 die hinter der ConnectBox Bridge hängt ist es genau das gleiche Problem. Mindestens alle 12 h wird die Internetverbindung neu aufgebaut. Wenn ihr schon im Kontakt mit AVM seit, könnt ihr AVM auch gleich auf die anderen Boxen hinweisen. Es wäre schön, wenn diese nicht nur in der 7590 umgesetzt wird.

Danke für eure Fehlersuche

Beste Grüsse

skl1

GrandDixence

Die Antwort vom Fritzbox-Hersteller AVM ist nicht zufriedenstellend.

Wie Guldi in Beitrag Nr. 16 mitgeteilt hat, verhält sich der DHCP-Client der Fritzbox nicht konform zur RFC 2131:

Befindet sich der Zustandsautomat des DHCP-Client im Zustand “RENEWING” (Kapitel 4.4, Seite 35 vom RFC 2131) , MUSS der DHCP-Client das DHCPREQUEST-Telegramm per UNICAST an den DHCP-Server (IP: 62.2.31.72) senden (RFC 2131, Kapitel 4.3.2)

o DHCPREQUEST generated during RENEWING state:
’server identifier’ MUST NOT be filled in, ’requested IP address’
option MUST NOT be filled in, ’ciaddr’ MUST be filled in with
client’s IP address. In this situation, the client is completely
configured, and is trying to extend its lease. This message will
be unicast, so no relay agents will be involved in its
transmission.

Wie man am Screenshot in Beitrag Nr. 9 am Datenpaket 21198 leicht erkennen kann, sendet der DHCP-Client der Fritzbox im Zustand “RENEWING” das DHCPREQUEST-Telegramm an den DHCP-Relay-Agent (IP: 10.167.0.1).

Gemäss Beitrag Nr. 23 betreibt der Fritzbox-Hersteller AVM nun Symptom-Bekämpfung. Besser wäre, die wahre Ursache des Problems zu bekämpfen.

Ich empfehle hier, noch einmal beim Fritzbox-Hersteller AVM zu intervenieren: Ihre technische Analyse ist nicht vollständig. Es fehlt die Aufführung der Ursache des Problems.

Gemäss Beitrag Nr. 23 bohrt nun AVM ein Loch in die Firewall der Fritzbox, was nicht förderlich für die Sicherheit ist (siehe Beitrag Nr. 13, letzter Abschnitt). Sinnvoller wäre die Behebung des Mangels im DHCP-Client der Fritzbox, damit sich dieser DHCP-Client auch im Zustand “RENEWING” konform zur DHCP-Spezifikation (RFC 2131) verhält.

Guldi

Hallo zusammen

Ich habe soeben Neuigkeiten von AVM:

Guten Tag Herr Guldener,

vielen Dank für Ihre Geduld.

Wir haben inzwischen neue Erkenntnisse zur Ihrer Problematik.
Das scheiternde DHCP-Renew ist auf die Destination-IP 0.0.0.0 im DHCP-Ack vom DHCP-Server 62.2.31.72 zurück zuführen.
Hier sollte im Dst-IP die IP-Adresse des DHCP-Clients erfolgen, also im Fall der Box 178.83.231.xxx, welche im DHCP-Request auch enthalten ist.

Da das “ACK” vom DHCP-Server also an Dst 0.0.0.0 gerichtet ist und nicht an die Adresse, die unter Option “IP Client Adress” im DHCP-Request steht, wird es von FRITZ!Box nicht akzeptiert und es wird mit einer ICMP Destination unreachable ‘adminstrativly filtered’ quittiert.. Das ist die kurze Tennung. Anschließend wird DHCP neu ausgehandelt und die Verbindung kommt wieder zustande.

Unsere technische Analyse sagt:
--> Die IP-Adresse 0.0.0.0 sollte man nur benutzen, wenn der Gegenüber noch keine IP-Adresse hat.
In dem Fall haben wir eine IP-Adresse, die wir bestätigen lassen wollen.

Aber: dies ist im RFC nicht hart geregelt, es ist also dort nicht untersagt ein 0.0.0.0 im ACK zu verwenden.
Daher hat unsere Entwicklung unseren Code diesbzgl. toleranter gestaltet.

Die Änderung erfolgt im kommenden Firmware Update bzw. bereits in einer kommenden Laborversion 7.24-xxxxx für die 7590!
Wir würden uns dann über Ihr Feedback freuen.

Ich wünsche Ihnen ein schönes Wochenende.

Freundliche Grüße aus Berlin
Christoph Hantsz (AVM Support)

Das lässt doch hoffen…

Schönes Wochenende

Guldi

Hallo Noone
Ich bin noch im Rennen bei AVM. Inzwischen habe ich den 3. Supporter dran…
Wenn in der Frizbox der Steal-Modus deaktiviert ist, werden die ACK Pakete, die vom UPC DHCP Server gesendet werden, von der Fritzbox mit einer ICMP Antwort abgewiesen. Bis jetzt konnte mir noch niemand erklären, wieso dies die Fritzbox macht…
Gruss Guldi

noone100

Antwort von AVM:

die FRITZ!Box sendet die Anfrage auch nach Mitschnitt als Broadcast-Anfrage.
Der Mitschnitt selbst zeigt aber auch, dass hier an 255.255.255.255 angefragt wird,
also eine Broadcast-Anfrage stattfindet, von daher ist immer noch der Provider in der Verantwortung.

Auf Seiten der FRITZ!Box lässt sich nun kein Fehler oder Fehlverhalten feststellen.
Wie empfehlen Ihnen daher eine Kontaktaufnahme mit Ihrem Provider.

GrandDixence

@noone100 schrieb:

Die obige Bedingung scheint erfüllt zu sein. Müsste dann nicht der DHCP-Server das ACK an die ciaddr schicken und nicht an 0.0.0.0?

Das DHCP ACK im Datenpaket 21204 stammt wahrscheinlich vom Relay Agent (CMTS?) und nicht vom DHCP Server!

https://de.wikipedia.org/wiki/Cable_Modem_Termination_System

Im Datenpaket 21204 wurde wahrscheinlich die Absender-IP-Adresse gefälscht!

GrandDixence

@Guldi schrieb:

Wenn ich jetzt alles richtig interpretiere, fragt die Fritzbox den Relay Agent anstelle des Servers nach der Verlängerung. Logische Folge ist, dass der Server Antwort gibt. Da die Fritzbox den Relay gefragt hat, verwehrt die Fritzbox das Paket…

Falls ich da falsch liege, bitte korrigiert micht…

Ja, Aussage ist korrekt.

Wenn der DHCP-Client nicht direkt mit dem DHCP-Server per “MAC-Adresse” (Layer 2) kommunizieren kann, kommt ein Relay Agent zum Einsatz. Dies ist immer dann der Fall, wenn sich der DHCP-Client und der DHCP-Server nicht im gleichen Netzwerksegment (Subnetz) befinden UND der DHCP-Client noch keine IPv4-Adresse erhalten hat. Dann muss ein Relay Agent im Subnetz des DHCP-Clients eingesetzt werden.

Der DHCP-Client spricht den Relay Agent per Broadcast an (IP: 255.255.255.255 => Ethernet-Broadcast an die MAC-Adresse FF:FF:FF:FF:FF:FF => Layer 2). Der Relay Agent reicht die DHCP-Telegramme an den DHCP-Server weiter. Und sorgt für die Weiterleitung der Antworten vom DHCP-Server an den DHCP-Client. Für die Weiterleitung der Antworten vom DHCP-Server verwendet der Relay Agent die MAC-Adresse des DHCP-Client (=> IP: 0.0.0.0).

Sobald der DHCP-Client eine IP-Adresse vom DHCP-Server erhalten hat und deren Verwendung bestätigt hat (=> DHCP ACK bei “Initiale Adresszuweisung (Lease/Vergabe)”) gibt es keinen Grund mehr zur Verwendung des Relay Agent für die Kommunikation zwischen DHCP-Client und DHCP-Server!

Ab diesem Zeitpunkt sollte die Kommunikation zwischen DHCP- Client und -Server nur noch direkt ohne Umwege per Unicast erfolgen (<IP-Adresse DHCP-Client> <-> <IP-Adresse DHCP-Server> => Layer 3)!

Die Frage, weshalb sich die Fritz!Box für den DHCP Refresh an den Relay Agent wendet (Ziel-IP-Adresse: 10.167.0.1) und nicht direkt per Unicast über die Ziel-IP-Adresse 62.2.31.72 mit dem DHCP-Server kommuniziert, muss der Hersteller AVM beantworten können. => Dump.pcapng mit dem Verweis auf den zitierten RFC-Abschnitt an den technischen Support von AVM senden.

pato

Am besten wendet Ihr Euch diesbezüglich mal an AVM, eventuell bauen die eine Erweiterung ein, damit beide Varianten funktionieren.

noone100

Und genau deshalb wird es wohl keine Möglichkeit geben, die FRITZ!Box mit dem UPC-DHCP-Setup ohne Unterbrüche zum Laufen zu bringen. Die Firewall akzeptiert die ACKs in der oben genannten Form nicht (DHCP-Request-Dst == DHCP-Relay -> DHCP Ack src== DHCP Server mit Dst 0.0.0.0).

Was mich auch stutzig macht, ist folgender Abschnitt in der Spez:

If the ‘giaddr’
field is zero and the ‘ciaddr’ field is nonzero, then the server
unicasts DHCPOFFER and DHCPACK messages to the address in ‘ciaddr’.

Die obige Bedingung scheint erfüllt zu sein. Müsste dann nicht der DHCP-Server das ACK an die ciaddr schicken und nicht an 0.0.0.0?

Guldi

Ich habe den Durchblick noch nicht…

Ich lese eigentlich immer wieder, dass bei einer bestehender Verbindung direkt beim DHCP-Server die Verlängerung verlangt wird. In der RFC2131 steht sogar, dass der Relay Agent bei noch gültigem Lease nicht benutzt wird:

o DHCPREQUEST generated during RENEWING state:

  'server identifier' MUST NOT be filled in, 'requested IP address'
  option MUST NOT be filled in, 'ciaddr' MUST be filled in with
  client's IP address. In this situation, the client is completely
  configured, and is trying to extend its lease. This message will
  be unicast, so no relay agents will be involved in its
  transmission.  Because 'giaddr' is therefore not filled in, the
  DHCP server will trust the value in 'ciaddr', and use it when
  replying to the client.

Hier ein Bild, wo dies bestätigt wird:

https://www.netmanias.com/en/?m=attach&no=3394

Wenn ich jetzt alles richtig interpretiere, fragt die Fritzbox den Relay Agent anstelle des Servers nach der Verlängerung. Logische Folge ist, dass der Server Antwort gibt. Da die Fritzbox den Relay gefragt hat, verwehrt die Fritzbox das Paket…

Falls ich da falsch liege, bitte korrigiert micht…

Beste Grüsse

Guldi

GrandDixence

Im DHCP Request-Telegramm ist unter “Bootp flags” ersichtlich, ob der DHCP-Client eine Broadcast- oder eine Unicast-Antwort vom DHCP-Server wünscht. Siehe auch Kapitel “4.1 Constructing and sending DHCP messages” der RFC 2131.

Links wie rechts fordert der DHCP-Client eine Unicast-Antwort vom DHCP-Server des ISP. Links erhält der DHCP-Client eine korrekte und SPI-Firewall-taugliche Unicast-Antwort vom DHCP-Server. Rechts erhält der DHCP-Client eine inkorrekte Unicast-Antwort, die nicht-SPI-Firewall-tauglich ist:

- Quell-IP von DHCP-Request ≠ Ziel-IP von DHCP Ack

UND

- Ziel-IP von DHCP Request ≠ Quell-IP von DHCP Ack

noone100

Habe nun den Vergleich der beiden ISPs

Bei UPC gibt es ein ACK als Broadcast (mit Server Identifier vom Relay) beim anderen Provider gibt es ein Unicast ACK (mit Server Identifier vom Server) und dann gibt’s auch keine ICMP mit

icmp and udp.dstport == 68

und Destination Unreachable.

Das Problem liegt nun vermutlich beim Broadcast oder beim Relay. Beides kann ich wohl auf der FB nicht beeinflussen. Out of luck

GrandDixence

@pato schrieb:
Du musst also schauen, dass du von Aussen udp/68 durch die Firewall zulässt.

Nein, wird es (sehr wahrscheinlich) nicht. Da der Hersteller AVM für seine Home-Routern namens Fritz!Box einen Linux-Kernel einsetzt:

https://www.heise.de/news/Keine-Ueberraschung-nach-Frauenhofer-Test-Viele-Home-Router-unsicher-4798342.html

wird sehr wahrscheinlich Netfilter/iptables als Firewall eingesetzt.

https://de.wikipedia.org/wiki/Iptables

\=> AVM wird sich die Kosten einer Firewall-Entwicklung eingespart haben und setzt sehr wahrscheinlich eine bewährte “Open Source”-Linux-Firewall ein, also Netfilter/iptables.

Beim Betrachten der Abbildung auf der oben verlinkten Wikipediaseite wird man erkennen, dass die Firewall Netfilter/iptables im wesentlichen aus drei Filtern besteht:

- filter input (für den direkt in den Home-Router eingehenden Netzwerkverkehr)

- filter output (für den direkt aus dem Home-Router ausgehenden Netzwerkverkehr)

- filter forward (für den über NAT laufenden Netzwerkverkehr zwischen Internet<->Heimnetzwerk)

Wurde die Firewall Netfilter/iptables vom Hersteller AVM korrekt als “Statefull-Firewall” (SPI) konfiguriert:

https://community.sunrise.ch/t5/Connect-Box/Giga-Connect-Box/m-p/151394#M3238

https://forums.suse.com/discussion/comment/59565

so erlaubt eine Firewallregel in “filter output” in der abgebildeten Form die Kommunikation vom Home-Router internen DHCP-Client mit dem DHCP-Server des ISP:

-A OUTPUT -o eth0 -p udp -m udp –dport 67 -m conntrack –ctstate NEW -j ACCEPT

Nur wenn die Zieladresse der vorgängig ausgehenden DHCP-Datenpakete eine Broadcastadresse (IPv4: *.*.*.255 ODER MAC-Adresse: FF:FF:FF:FF:FF:FF mit IPv4: 0.0.0.0) ist, akzeptiert die Firewall Netfilter/iptables mit dieser Firewallregel aus dem Internet ankommende DHCP-Datenpakete von einer x-beliebigen IP-Adresse.

https://de.wikipedia.org/wiki/Broadcast

https://de.wikipedia.org/wiki/0.0.0.0

Wenn die Zieladresse der ausgehenden DHCP-Datenpakete eine Unicast-Adresse ist, werden ankommend nur DHCP-Datenpakete von der Firewall akzeptiert, deren:

- Quell-IP-Adresse (source address)

- Quell-UDP-Port (source port)

- Ziel-IP-Adresse (destination address)

- Ziel-UDP-Port (destination port)

den Werten in den vorgängig ausgehenden DHCP-Datenpakete entspricht. Diese Werte werden von der SPI-Firewall in der Zustandstabelle nachgeführt. Dieses Verhalten der Firewall Netfilter/iptables lässt sich unter Linux sehr gut mit dem Befehl “conntrack” beobachten.

\=> Dieses Verhalten ist typisch für jede korrekt und sicher funktionierende “Statefull-Firewall” (SPI)!

Firewallregeln in “filter input” für eingehende DHCP-Datenpakete und neue Verbindungen (–ctstate NEW) sind aus Sicherheitsgründen unerwünscht. Bei Programmierfehlern im DHCP-Client eröffnen sich mit solchen Firewallregeln neue Angriffsvektoren: Ein Hacker kann von einem x-beliebigen am Internet angeschlossenen Rechner jederzeit ein speziell präpariertes DHCP-Datenpaket an den DHCP-Client des Home-Routers senden und damit diesen DHCP-Client angreifen, indem er den Programmierfehler geschickt ausnutzt.

Eine korrekt konfigurierte SPI-Firewall lässt vom Internetanschluss eingehende Datenpakete nur durch, wenn zu vorgängig ausgehenden Datenpakete ein entsprechender Eintrag in der Zustandstabelle der SPI-Firewall erstellt wurde. Einträge zu “toten” Verbindungen werden automatisch aus der Zustandstabelle der SPI-Firewall entfernt.

pato

Falls die Fritzbox, warum auch immer, das WAN Interface nicht auf dem physikalischem WAN Interface hat, sondern ein Loopback oder ähnliches, kann es sein, dass eine Regel die UDP/68 ins LAN zulässt sogar funktioniert.

noone100

Auf die Firewall lässt sich in der FRITZ!Box keinen Einfluss nehmen (nur Portforwading ins LAN)..

Wird die FRITZ!!Box über Glasfaser (an einen anderen Provider) angeschlossen, funktioniert es problemlos mit dem DHCP. DHCP scheint bei UPC anders umgesetzt worden zu sein als beim Glasfaser-Provider. Fragt sich nur was genau die FB zum Ablehnen des ACKs bringt. Ich werde mal einen Mitschnitt mit Glasfaser machen und den Unterschied versuchen zu erkennen.

pato

Du musst also schauen, dass du von Aussen udp/68 durch die Firewall zulässt.

GrandDixence

Der in der Fritzbox integrierte DHCP-Client versucht mehrmals vor Ablauf der Mietdauer die Mietdauer der IPv4-Adresse per DHCP-Refresh zu verlängern. Dazu versendet der DHCP-Client ein “DHCP Request”-Telegramm an den DHCP-(Relais-)Server.

Im Rahmen des DHCP-Refresh versendet der DHCP-(Relais-)Server ein DHCP ACK-Telegramm. Im DHCP ACK-Telegramm steht die Bestätigung vom DHCP-Server, dass die Mietdauer der vom DHCP-Client ausgeliehene IPv4-Adresse erfolgreich verlängert wurde (> 23 Stunden).

Das Verlängern der Mietdauer mit dem DHCP-Refresh scheitert aber (wie erwartet) an der in der Fritzbox integrierten Firewall. Die Firewall lehnt die DHCP ACK-Telegramme vom DHCP-(Relais-)Server mit einem ICMP-Fehlertelegramm “freundlich” ab (=> Destination unreachable (Communication administratively filtered)).

Somit kommt es korrekterweise zur Trennung der Netzwerkverbindung (Internetanschluss), wenn die im DHCP Offer-Telegramm kommunizierte Mietdauer abgelaufen ist.

Mit dem Blockieren des DHCP ACK-Telegramms während dem DHCP-Refresh durch die Fritzbox-internen Firewall ist das Verhalten der Fritzbox nicht konform zur RFC 2131!

Ich bin der Meinung, dass der ISP (hier: UPC Cablecom) seine DHCP-Netzwerkinfrastruktur in sehr ungewohnter Weise, aber konform zur RFC 2131 realisiert hat.

« Vorherige Seite