External DHCP-Server für VPN Clients

[MYOEY]

Hallo,
momentan haben wir eine Cisco ASA 5510 im Einsatz, die VPN (Client-to-Site)terminiert. Es sind mehrere Groups angelegt und für jede Group ein bestimmtes IP Pool hinterlegt.
Wir möchten nun, dass unser Windows DHCP-Server die IPs für die VPN Clients vergibt und nicht mehr die ASA selbst!

Ist das realisierbar und falls ja, wie?

Wie kann der Windows DHCP-Server erkennen, welche IP für welche User zu vergeben ist?


Bin für jeden Tipp dankbar!

Frohes Fest und guten Rutsch wünsche ich euch allen!

Gruß

[blackbox]

Hi,

ja kein Problem - falls du den ASDM benutzt (denke ich mir mal) - dort wo der IP Pool im Profil steht - den rauslöschen und eine Zeile höher euren DHCP Server reinschreiben.

[Otaku19]

ist dann halt jetzt die frage wie genau der Request dann aussieht, also was kommt beim DHCP Server an und wie kann er da USer voneinander unterscheiden damit sie immer eine bestimmte IP haben wie myoey das haben will.

Ich persönlich mag IP Reservierungen schon im LAN nicht, im VPN gibts bei mir gar keien Rervierungen. Alle bekommen aus einem lokalen Pool irgendeien IP und ihre Rechte werden per DAP gesteuert, natürlich auch nur gruppenbezogen und nicht auf einzelne User. Auch die DHCP Reservierungen im LAN sind mir schnurz, es gibt geneu 1 Firewallrule die sich auf diese IPs beziehen, ich wehre mich immer gegen einzelne IP Freischaltungen. Liegt aber auch daran das wir (noch) kein 802.1X haben und somit solche Rules reien Augenauswischerei sind.

[MYOEY]

Erst mal vielen Dank für eure Antworten!

Aber (wie Otaku19 sagte) wie kann der Win DHCP Server erkennen, welchen User IP aus welchem Pool bekommen soll???

Also, wie kann der DHCP Server die Users voneinander unterscheiden?


Mit einem Pool für alle ist doch einfach!

[blackbox]

Pro Gruppe würde gehen - dann musst du dafür jeweils einen eigenen Scope anlegen - ist dann zwar Horror das einzurichten - aber das würde gehen und den Scope beim Request mitgeben. Nur dann ist es die Frage - warum man dann nen DHCP benutzt.

Ich persönlich würde auch einen Pool machen - den im LAN ist eine IP nur eine Nummer - egal welche er hat (ausser man hat irgendwelche Software die die IP Zugehörigkeit braucht) (Feste IPs = Turnschuh Netzwerk wenn man Gateway/DNS und Co. ändert)

[Otaku19]

wie pro Gruppe ? In welchem DHCP Feld steht dann was drin anhand der DHCP Server eine Zuteilung machen kann ?

Aber wie schon gesagt, schau dir lieber DAP an, das ist weit sinnvoller als Usern immer die gleiche IP zu geben,wenn du Anwendungen hast die nur von bestimmten Sourceadressen angesprochen werden sollen, dann gibt dort halt den ganzen Pool frei. User/Gruppen die diese Anwendung nicht nutzen sollen, kommen ja ohnehin ncht durch die Firewall weil ihnen die entsprechende Rule fehlt.

[blackbox]

Hi,

das geht mit "dhcp-network-scope" - mehr Infos hier