Zum Inhalt wechseln


Foto

DHCP over NAT mit Relay im Router


  • Bitte melde dich an um zu Antworten
35 Antworten in diesem Thema

#1 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 09. Mai 2017 - 08:08

Hallo,

Hier mal ne recht "einfache" Frage zu dem DHCP. Ist auch eine Ableitung vom diesen Thema, jedoch habe ich die Netze "vereinfacht".

Sind meine DCs entfernt (im Rechenzentrum), und in einem anderen Netzwerk als die lokalen Clients (die lokalen Clients werden mittels 1:1 NAT im Router übersetzt), sagen wir ich konfiguriere den Router um Anfragen an den entfernten DC weiterzuleiten, werden die Pakete wieder zum Client retour finden?
Zu beachten ist dass die Clients im genateten Netzwerk nur mit der genateten Adresse zu finden sind.

Als Beispiel:
Client 192.168.1.100 sucht nach einem DHCP (DISCOVER). Router antwortet (Relay), sagt weiter an 10.10.10.10 (im RZ). RZ Server können auf 192.168.1.0/24 nicht zugreifen, jedoch können sie auf ein separates Netz, bspw. 10.20.10.0/24.
So übersetzt der Router 192.168.1.100 ins 10.20.10.100, und leitet das DHCP Paket an 10.10.10.10 weiter.
DHCP antwortet mit OFFER, und sendet das Paket an 10.20.10.100 (Client Adresse genatet).
Client antwortet mit REQUEST, geht ja wieder über NAT, Client kann ja nur mit 192.168.1.100 senden, wird wieder genatet, DHCP bekommt und sendet zurück den ACK an die genatete Adresse der Clients.

Schaut gut aus, oder?

Danke!


Bearbeitet von kosta88, 09. Mai 2017 - 08:09.


#2 Piranha

Piranha

    Senior Member

  • 510 Beiträge

 

Geschrieben 09. Mai 2017 - 09:52

Wieso das Ganze per Router?

Gefaellt mir nicht.


Alle sagten, das geht nicht, bis einer kam und es nicht wusste.


#3 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 09. Mai 2017 - 11:21

Wie sonst? (angenommen kein Server lokal vorhanden)


Bearbeitet von kosta88, 09. Mai 2017 - 11:28.


#4 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 09. Mai 2017 - 12:07

Lass den DHCP einfach lokal.

Das Gebastel was du da veranstaltest durchblickt am Ende keiner mehr.

Deine Lancom sollte das doch können...



#5 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 09. Mai 2017 - 12:32

;oin

 

Ich denke, Du wirst es austesten müssen.

 

Ob das "DHCP" denn überhaupt über das NAT geht, ob die beiden überhaupt etwas miteinander zu tun haben?

 

Wie ist es denn jetzt, konnte der Server im RZ der Domäne hinzugefügt werden und zum DC hochgestuft?


Bearbeitet von lefg, 09. Mai 2017 - 13:12.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#6 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 09. Mai 2017 - 15:26

Donnerstag ist die Besprechung mit dem Chef, wenn alles passt, Freitag wird umgesetzt.

#7 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 09. Mai 2017 - 15:29

Gutes Gelingen :)


Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#8 Reingucker

Reingucker

    Senior Member

  • 397 Beiträge

 

Geschrieben 09. Mai 2017 - 15:32

Der DHCP-Relay gibt ja die MAC vom Client und das Subnet mit aus der die DHCP-Anfrage kam an den DHCP-Server weiter. In diesem Paket ist auch noch die IP-Adresse des DHCP-Relay. Somit weiß der DHCP-Server

 

1. Aus welchem Subnet er den Lease vergeben soll

2. Welche MAC er an den Lease binden soll

3. Wohin er dann den Lease schicken soll (an den Relay)

 

Der Relay, welcher ja auf der Schnittstelle zum Subnet des Clients drauf sitzt, gibt dann den Lease in dieses Client-Subnet direkt an die Client-MAC weiter. Damit ist auch klar daß auf der Schnittstelle vom Client-Subnet in den "Router" rein kein NAT ist. Alle anderen NAT auf dem Weg vom Relay zum DHCP-Server müssen nur die udp 67 durchlassen. Zurück werden sie ja wieder richtig übersetzt.



#9 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 09. Mai 2017 - 17:21

Danke. Werde ich am Freitag oder nächste Woche einrichten - bin gespannt ob das alles so funkt, wie man sich vorstellt.

#10 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 09. Mai 2017 - 18:52

und du wollstest nicht basteln...

DHCP im RZ für lokale Rechner... :nene:  :nene:  :nene:



#11 Reingucker

Reingucker

    Senior Member

  • 397 Beiträge

 

Geschrieben 09. Mai 2017 - 19:04

und du wollstest nicht basteln...

DHCP im RZ für lokale Rechner... :nene:  :nene:  :nene:

 

Wenn es nicht allzu viele wären würde ich da auch feste IP vergeben. Aber ich weiß ja nicht wie es da aussieht.



#12 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 09. Mai 2017 - 19:18

Wenn es nicht allzu viele wären würde ich da auch feste IP vergeben. Aber ich weiß ja nicht wie es da aussieht.

Ich würde ja einfach die sowieso vorhandene Lancom DHCP machen lassen.



#13 kosta88

kosta88

    Senior Member

  • 332 Beiträge

 

Geschrieben 09. Mai 2017 - 20:31

Das ist wie's gerade eingerichtet ist, aber eher gezwungenermaßen.

 

Sind ca. 35 Rechner, jedoch mind. 10 sind nicht mit fixen IPs konfigurierbar. Dazu sind noch etwa 20 IP-Telefone, ca. 20 Mobilegeräte, Netzwerk-Komponenten, einige Bereiche für gewisse Sachen mit RZ reserviert...

 

Das System ist ein wenig eigen, da ich nur die Adressen ab .130-254 eines Subnetzes nutzen kann, und dann wird schon langsam eng.

 

Deswegen wäre mir lieber DHCP auf einem Win Server managen zu müssen, als im LANCOM, was einfach nur wesentlich aufwändiger ist - so meine Meinung nur. Machbar am LANCOM? Klar.

 

magheinz:

Basteln? Was ist da gebastelt? Unser Haupt-DC ist im RZ, DHCP wäre drauf (wie sonst üblich), sonst wird nichts geändert. Ich habe nicht gefragt wie ich es zum funktionieren bringe, sondern ob das funktioniert.

Rein interessenshalber: warum sagst du nein nein nein?

Abgesehen davon dass die VPN-Leitung abschießen kann, und dann kein DHCP zur Verfügung steht, gibt es andere Gründe? - ich kann bspw. längere Lease vergeben, damit vermeide ich die Probleme mit dem VPN-Ausfall.

Netzauslastung sehe ich keine große da die paar Pakete die gelegentlich übertragen werden, nicht unbedingt viel bedeuten.

Router sind zwei, also einer als Backup, beide bauen eine LTE Verbindung auf, also haben wir immer 2 VPN Kanäle zum RZ aufrecht, jedoch wird immer einer benutzt (LANCOM VRRP).



#14 DocData

DocData

    Board Veteran

  • 1.318 Beiträge

 

Geschrieben 09. Mai 2017 - 20:57

Keep it simple.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#15 magheinz

magheinz

    Newbie

  • 1.428 Beiträge

 

Geschrieben 09. Mai 2017 - 23:18

Ich dachte alle eure DCs sind jetzt im RZ?

NAT ist grundsätzlich gebastel, erfunden um Adressmangel zu kaschieren.

Mir persönlich wäre das Gesamtkonstrukt einfach zu komplex für die Handvoll Server.

Stell dir einfach mal vor du fällst für 2 Monate aus. WIe lanmeg dauert es das ein andere Das Konstrukt durchblickt?

 

DHCP will man im eigenen Netz haben. Relays sind äusserst sinnvoll in VLAN-getrennten Netzen. So kann man einen DHCP-Server mit verschiedenen Scopes betreiben und muss nicht mehrere Server laufen lassen. Aber den DHCP ins RZ über NAT?

Nehmen wir mal an deine Lancom spielt DHCP-Relay. Kannst du denn auch am Gateway im RZ das ganze konfigurieren? Dort wird doch noch mal geroutet wenn ich deine Zeichnung richtig in Erinnerung habe.