Zum Inhalt wechseln


Foto

DHCP-Bereich nach MAC aufbauen?

Windows Server 2008 R2

  • Bitte melde dich an um zu Antworten
33 Antworten in diesem Thema

#1 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 01. März 2017 - 09:43

Hi,

kann man einen DHCP-Bereich nach MAC-Adressen aufbauen? sprich: alle Systeme mit einer bestimmten Vendor-ID sollen in einem bestimmten DHCP-Pool landen...


cu,
cjmatsel

Bearbeitet von cjmatsel, 01. März 2017 - 09:43.


#2 Dukel

Dukel

    Board Veteran

  • 9.252 Beiträge

 

Geschrieben 01. März 2017 - 10:16

Mit DHCP Richtlinien:

https://msdn.microso...9(v=ws.11).aspx

https://msdn.microso...8(v=ws.11).aspx


Stop making stupid people famous.


#3 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 01. März 2017 - 11:17

Kann es sein dass das erst ab 2012 geht? In 2008 habe ich keine DHCP-Policies...

#4 Dukel

Dukel

    Board Veteran

  • 9.252 Beiträge

 

Geschrieben 01. März 2017 - 11:20

Ja das kann sehr gut sein.

https://technet.micr...x#BKMK_DHCP2012


Stop making stupid people famous.


#5 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 01. März 2017 - 12:18

Moin,

 

was ist denn das Ziel dahinter?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 01. März 2017 - 16:24

Habe mir schnell einen 2012er aufgebaut. Klappt... Im 2008er geht das auch ein bisschen, aber dazu muss der bisherige Bereich frei genug sein damit man ihn etwas abspecken kann und dann kann man mit serverweiten Filtern arbeiten. Das würde im Unglücksfall bedeuten für jedes Netz einen DHCP-Server zu installieren...

edit: Das Ziel dahinter ist es die Netze zwischen Drucker und Clients vollständig zu trennen. Leider merken wir gerade dass das nicht so ganz funktioniert wie geplant. Evtl. habt Ihr noch Ideen.
Ist-Zustand: Drucker, PCs und Thinclients teilen sich ein 23er Netz. Vereinzelt sind auch Switche und USVs darin. Feste IPs sind mit DHCP-Vergaben und -Reservierungen gemischt.
Probleme: Aufgrund unterschiedlicher Interpretationen der DHCP-Standards kommt es dazu dass Drucker oder Thinclients sich eine schon vergebene IP-Adresse nehmen. Feste Adressen sind nicht vollständig im DHCP-Server als Ausschluss eingetragen. Zudem können die schwachen Webinterfaces der Drucker einem ausgereiften Angriff nicht stand halten und die Ausdrucke sind während des Transportes ebenso wie die Drucker-Zielports nicht geschützt. Das Netz ist bis auf ca. 30 Adressen vollständig ausgeschöpft. Der DHCP-Server ist Windows 2008-R2.

die Idee: Aufteilung der Netze in verschiedene Bereiche und Zonen, Einsatz von Windows 2012.

Konzept1 (gescheitert): Drucker und Thinclients können kein VLAN (Layer2); ein untagged VLAN scheidet aufgrund massiver Pflege der einzelnen Switchports aus. Somit ist eine Layer2-Trennung der Netze so nicht möglich.

Konzept2 (gescheitert): Drucker und Thinclients bekommen nur je ein eigenes Subnetz (Layer3); der Router bekommt virtuelle IP-Adressen auf dem entsprechenden Interface und routet zwischen den Komponenten. Der DHCP-Server bekommt mehrere Bereiche. Er verteilt aber keine IP-Adressen aus diesen Bereichen; der Grund scheint mit dem Interface zusammen zu hängen.

Konzept2-erweitert (gescheitert): zusätzliche IP-Adressen auf dem DHCP-Server-Interface helfen nicht weiter: Es werden keine IP-Adressen verteilt.

Konzept2-erweitert2 (gescheitert): zusätzliche Interfaces mit jeweils eigenen IP-Adressen helfen. Der DHCP-Server bekommt 3 Bereiche inkl. Richtlinien pro Bereich. Die Richtlinien arbeiten auf MAC-Zuweisung. Beispielsweise wurde in einer Richtlinie eingetragen: wenn eine Bedingung MAC = 00C0EE* ist dann soll eine IP aus diesem Bereich zugewiesen werden. Hierzu wurden die Karteireiter Bedingungen, IP-Adressbereich und Optionen (Router, DNS) gepflegt. Gescheitert ist das Konzept deswegen weil die Richtlinie ignoriert wurde und aus einem Bereich Geräte zu finden waren welche nicht dort hinein sollten.

Mir stellen sich mehrere Fragen:
- Man könnte die Vendor-IDs auf den Switchen pflegen und ggf. hier mit VLANs arbeiten (Konzept1 also erweitert). Wie konfiguriert man das aber auf dem DHCP-Server?
- Warum scheitert Konzept2-erweitert2? Wie müssen die Richtlinien aufgebaut sein bzw. hatte ich dort einen Fehler?

Um Rat wird gebeten.
cu, cjmatsel

Bearbeitet von cjmatsel, 01. März 2017 - 16:24.


#7 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 01. März 2017 - 16:31

Moin,

 

sehe ich das richtig, dass ihr die Netze rein logisch trennen wollt, ohne VLANs usw.? Wenn ja: Warum?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 Doso

Doso

    Board Veteran

  • 2.456 Beiträge

 

Geschrieben 01. März 2017 - 19:20

Wir hatten mal drei Subnetze in einem VLAN. Also euer Konzept 2. DHCP per Superscore hat hier keine Probleme gemacht. War trotzdem irgendwie merkwürdig. Wir haben uns dann mal einen Consultant ins Haus geholt. Ergebnis: Da passieren merkwürdige Dinge, manchmal düsen die Pakete am Router vorbei, das sollten wir ändern. Haben das dann sauber in eigene VLANs aufgeteilt. Ergebnis: Netzwerk merklich schneller und keine Merkwürdigkeiten mehr. Also euer Konzept 1. "Massive Pflege der Switchports" ist aber bisserl übetrieben. So schwer ist das nicht...

 

Die einfachste Möglichkeit habt ihr noch gar ins Auge gefasst? Statt /23 ein /22 nehmen, ggf. IP Re-adressierung im Netzwerk. Haben wir auch gemacht. Aus einem 192.168.0.0/24 und einem 10er/24 wurde ein neues 10er/22.

 

Wir haben auch Drucker und Mitarbeiter PCs in einem VLAN, Drucker haben halt DHCP Reservierungen. Keine Probleme. Habe noch nie gehört das es unterschiedliche Interpretationen vom DHCP Standard gibt. Welches Drucker Webinterface soll denn in einem internen Netz einem "ausgereiften Angriff" ertragen?


Bearbeitet von Doso, 01. März 2017 - 19:25.


#9 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 02. März 2017 - 11:51

NilsK: Ich würde gern VLans nehmen, aber das sollte lieber dynamisch erfolgen (also per MAC-Vendor), und nicht statisch. Tagged VLAN scheidet aus weil die Geräte das nicht können und untagged VLAN bedeutet eine Menge Konfigurationsaufwand für jeden Switchport...

Ich habe jetzt mal einen zusätzlichen Ansatz ins Auge gefasst: Ein befreundeter Administrator hat ca. 200 Subnetze mittels DHCPRelay von der Firewall durchgeschliffen zu seinem zentralen Windows-DHCP-Server.
Das Konzept ist deswegen interessant weil nur ein DHCP-Server alles verwaltet... Was mich bei meinem Testlauf gerade verwundert: Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden...

Wenn das soweit klappt dann muss ich nur noch dafür sorgen dass jedes Gerät tatsächlich in seinem VLAN landet... :-/

#10 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 02. März 2017 - 12:44

Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden...


Wieso ist das überraschend? Ich würde genau das erwarten. ;)
  • 4zap gefällt das

Make something i***-proof and they will build a better i***.


#11 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 02. März 2017 - 13:48

Moin,

 

also, ehrlich gesagt, scheinen mir da ein paar Missverständnisse und Wissenslücken vorzuliegen. Wie wäre es, wenn du dir punktuell mal jemanden ins Haus holst, mit dem du das gemeinsam konzipieren kannst? Ein ordentliches Konzept ist gar nicht so aufwändig, wie du das zu befürchten scheinst.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 Doso

Doso

    Board Veteran

  • 2.456 Beiträge

 

Geschrieben 02. März 2017 - 19:33   Lösung

Das Konzept ist deswegen interessant weil nur ein DHCP-Server alles verwaltet... Was mich bei meinem Testlauf gerade verwundert: Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden...

 

Nennt man DHCP Relay und ist Standard. Ist nicht mehr so überraschend wenn man sich anschaut wie das funzt.



#13 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 07. September 2017 - 12:03

Hi,

ich wollte mich gern mal zu dem Thema zurück melden. DHCPRelay ist aktiviert und arbeitet problemlos; Sowohl DHCP-Server als auch Firewall sind mittlerweile erheblich modernisiert; beim aktuellen DHCP-Server haben wir Richlinien eingesetzt welche IPs nach Mac-Vendor aus bestimmten (selbst erstellten) Gruppen vergeben.

Mein eigentliches Problem bleibt leider: Die Netztrennung zwischen Drucker, PCs und Thinclients...
Also VLANs für Geräte zu nutzen die von sich kein Tagged-VLAN können. An Switchen kann man zwar VLANs pro Mac-Vendor setzen, aber soweit ich gesehen habe immer nur Eines; das nennt sich dann meist irgendwas mit Voice-VLAN usw...

Falls jemand ein paar Anregungen hat außer: "hol Dir jemanden ins Haus der das macht" wäre ich sehr verbunden; bis jetzt findet sich kaum jemand der das Thema vernünftig auch nur erklären kann ohne gleich mit teurer Cisco-Hardware im Angebot anzurücken...

Bearbeitet von cjmatsel, 07. September 2017 - 12:04.


#14 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 07. September 2017 - 12:29

Wenn ein Endgeräte keine  VLAN-ID kann, konfiguriert man "Port-Based Tagging". Ein fester Port ist den Member eines bestimmten VLANs.

Wie Das  geht, steht  in der Doku des Switches. Man sollte dann aber schon wissen, welches  Gerät auf welchem Port steckt.

Erleichtert der Fehlersuche auch ungemein.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#15 cjmatsel

cjmatsel

    Senior Member

  • 417 Beiträge

 

Geschrieben 07. September 2017 - 14:10

Hi zahni,

Nimmst Du für solche Fälle auch farbige Kabel oder teilst Du den Switch in Bereiche ein? Ich habe ehrlich gesagt alles durcheinander gesteckt... Welche MAC in welchem Port ist kann man glücklicherweise aus der MAC-Table auslesen...