Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1884 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

My Win2012 DHCP server cant be reached from bridged port

joseph-ajsys
hi guys 
maybe you can answer this one, i have a SG105 after i setup eth1 for external eht0 for internal, i went ahead and bridged the remaining eth2 eth3 into the Eth0...
but any device plugged into the eth2 or3 has trouble getting a ip address from my Windows dhcp server, the problem is some devices get a ip address but they dont show up in my server dhcp clients table so there is something still blocking communication from eth2-3 to eth0...

according to support it should have worked some suggested deleting the bridge and instead of selecting all Nics to create the bridge i should select the remaining nics and do convert, but it has not helped, creating a firewall rule to allow internal any to any is not needed and did not help when tried

in desperation i tried to turn on DHCP relay, and then it solved all problems
now what's the explanation? 
if its all bridged to the same subnet i shouldn't need anything else right? so what did i miss?
thanks everyone in advance for taking the time to read...


This thread was automatically locked due to age.
  • 0
    See https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33877, no broadcast traffic over a bridge.  DHCP relay is what you want in this situation.
  • 0
    Thanks Scott
    ye i came across it myself i thought its outdated apparently its valid...
    but im still surprised there is no way to configure them as one Lan without anything else, i know sonic wall has it like you configure them all as Lan ports, 
    would it compromise any security or networking principal? just curious why its different on the SOphos
  • 0
    and another thing scott i would need to use the relay even the utm itself is the DHCP server?
  • 0
    just curious why its different on the SOphos
    Different underlying network stacks/OSs and different developers with different ideas of what is and isn't a good idea.  It is possible to have a bridge forward everything in theory, including broadcast traffic, but this also greatly increases the chances of loop based packet storms, depending on the topology downstream of the interfaces involved.  Blocking the bcast traffic was also a security measure to keep many worms from being able to spread as easily or effectively.   

    i would need to use the relay even the utm itself is the DHCP server
    I believe so, as a DHCP server instance in the UTM would be tagged to a specific interface and the broadcast traffic will not traverse interfaces otherwise without the relay helper.

    What is the need for having devices on separate ports in the same subnet?  General best practice would be separate subnets for better control of the data that can pass.  If it's just a matter of the number of ports available in the SG105, you may want to invest in a switch.
  • 0 in reply to Scott_Klassen
    [/QUOTE]
    What is the need for having devices on separate ports in the same subnet?  General best practice would be separate subnets for better control of the data that can pass.  If it's just a matter of the number of ports available in the SG105, you may want to invest in a switch.

    ill explain i have 2 switches in my network 1 for computers 1 for voip phones,
    so i figured why plug in the voip switch into the data switch and have all voip traffic pass thru data channels when all i need is for it to go straight out
    is there a better way of doing it?
    keep in mind its a tiny company 6 phones and 5 computers
    thanks
  • 0 in reply to Scott_Klassen
    [QUOTE=Scott_Klassen;278906]Different underlying network stacks/OSs and different developers with different ideas of what is and isn't a good idea.  It is possible to have a bridge forward everything in theory, including broadcast traffic, but this also greatly increases the chances of loop based packet storms, depending on the topology downstream of the interfaces involved.  Blocking the bcast traffic was also a security measure to keep many worms from being able to spread as easily or effectively.   

    after some reading up on DHCP relay for multiple subnets in windows DHCP,
    im beginning to understand why the sophos developers did not forward all traffic on the bridge, because they designed it with the mind for running 2 subnets that was the more expressed purpose now it makes even more sense...

    i dont understand though your point of loopback storm why would it be more likely to happen over the bridge then on the original lan ? as i understand it happens when a cable gets plugged in wrongly in a loop
  • 0
    another question scott if you don't mind
    would i need to turn on ARP broadcasting too? support suggested it,
     but they completely missed dhcp relay so im not sure if they understood the situation