Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 4374 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Utm9 & sccm (pxe)

RBueeler
Hallo zusammen,

Wiedermal steh ich an.
Externe Partner ziehen bei uns einen SCCM-Server hoch. Dieser soll für unsere Support-Abteilung auch das Installieren von Clients mit Images via PXE-Boot übernehmen.

Nun, wenn ich einen Client via PXE boote, dann meldet dieser sich ja am DHCP an (in unserem Falle ein separater Server, also nicht der DHCP auf der UTM) und holt sich eine IP. 

Das erste Paket, welches der Client beim Bootvorgang schickt, ist ein DHCPDISCOVER-Paket via Port 67 per Broadcast rum.

Wenn ich auf unserer UTM "Log dropped broadcasts" einschalte, dann sehe ich, dass die UTM genau dieses Paket droppt. 

Default DROP UDP 0.0.0.0:67→255.255.255.255:67

Ich habe jedoch keine spezifische Regel erstellt, welche Broadcasting droppt. Macht die UTM das standardmässig?

Wenn ich dazu jetzt eine Regel mache, reicht es wenn ich die wiefolt definiere?

Source: Internal (Network)
Services: Any
Destinations: Internal (Broadcast)
Action: Allow

Vielen Dank vorneweg euch allen!


This thread was automatically locked due to age.
  • 0
    Hi. Die Standardeinstellung des UTM Packetfilters ist alles droppen. Wenn ich das richtig verstanden habe, droppt das UTM in Deinem Fall doch nur die internen Broadcasts, die ohnehin nicht relevant sind? Du brauchst am UTM eigentlich garnichts ändern, wenn Du sowieso einen separaten DHCP-Server nutzt.
  • 0
    Hi Mario,
    Ja, die UTM droppt lediglich die internen Broadcasts. Die sind eigentlich nicht relevant, in dem Falle aber schon. Wenn der Client sein DHCP-Discovery nicht abschliessen kann, kriegt er auch keine IP. Innerhalb von Windows ziehen die Clients sich schön brav IPs vom DHCP, jedoch via PXE, eben über diesen speziellen Port, geht das nicht...

    Ist es riskant, die oben genannte Regel einfach mal aufzuschalten?
  • 0
    Wenn der Client im gleich Netz (oder gleiches VLAN) wie der PXE Server und der DHCP Server ist, sollte es egal sein wenn alle Hosts den Broadcast droppen die nicht der PXE/DHCP Server sind. Wenn der PXE Server in einem anderen VLAN hängt musst du je nach Switchhersteller den Broadcast weiterleiten (bei Cisco nennt sich das IP-Helper). Aber SCCM und PXE booten hat so ein paar Tücken - ich vermute mal es hängt woanders.

    Viele Grüße
    Manfred
  • 0
    Hallo Manfred,

    Merci für deine Antwort !
    Server und Clients hängen im gleichen VLAN. Wir haben gestern nochmals getestet und es hat geklappt, obwohl ich keine Änderung an der UTM gemacht habe. 

    Das DHCPDISCOVER-Paket wird aber nach wie vor gedroppt.

    Holz anfassen - ich hoff es geht weiterhin. Ansonsten geb ich dem SCCM die Schuld :-)

    Merci und Gruss
Unfiltered HTML