MYOEY 10 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 Hallo, momentan haben wir eine Cisco ASA 5510 im Einsatz, die VPN (Client-to-Site)terminiert. Es sind mehrere Groups angelegt und für jede Group ein bestimmtes IP Pool hinterlegt. Wir möchten nun, dass unser Windows DHCP-Server die IPs für die VPN Clients vergibt und nicht mehr die ASA selbst! Ist das realisierbar und falls ja, wie? Wie kann der Windows DHCP-Server erkennen, welche IP für welche User zu vergeben ist? Bin für jeden Tipp dankbar! Frohes Fest und guten Rutsch wünsche ich euch allen! Gruß
blackbox 10 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 Hi, ja kein Problem - falls du den ASDM benutzt (denke ich mir mal) - dort wo der IP Pool im Profil steht - den rauslöschen und eine Zeile höher euren DHCP Server reinschreiben.
Otaku19 33 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 ist dann halt jetzt die frage wie genau der Request dann aussieht, also was kommt beim DHCP Server an und wie kann er da USer voneinander unterscheiden damit sie immer eine bestimmte IP haben wie myoey das haben will. Ich persönlich mag IP Reservierungen schon im LAN nicht, im VPN gibts bei mir gar keien Rervierungen. Alle bekommen aus einem lokalen Pool irgendeien IP und ihre Rechte werden per DAP gesteuert, natürlich auch nur gruppenbezogen und nicht auf einzelne User. Auch die DHCP Reservierungen im LAN sind mir schnurz, es gibt geneu 1 Firewallrule die sich auf diese IPs beziehen, ich wehre mich immer gegen einzelne IP Freischaltungen. Liegt aber auch daran das wir (noch) kein 802.1X haben und somit solche Rules reien Augenauswischerei sind.
MYOEY 10 Geschrieben 23. Dezember 2011 Autor Melden Geschrieben 23. Dezember 2011 Erst mal vielen Dank für eure Antworten! Aber (wie Otaku19 sagte) wie kann der Win DHCP Server erkennen, welchen User IP aus welchem Pool bekommen soll??? Also, wie kann der DHCP Server die Users voneinander unterscheiden? Mit einem Pool für alle ist doch einfach!
blackbox 10 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 Pro Gruppe würde gehen - dann musst du dafür jeweils einen eigenen Scope anlegen - ist dann zwar Horror das einzurichten - aber das würde gehen und den Scope beim Request mitgeben. Nur dann ist es die Frage - warum man dann nen DHCP benutzt. Ich persönlich würde auch einen Pool machen - den im LAN ist eine IP nur eine Nummer - egal welche er hat (ausser man hat irgendwelche Software die die IP Zugehörigkeit braucht) (Feste IPs = Turnschuh Netzwerk wenn man Gateway/DNS und Co. ändert)
Otaku19 33 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 wie pro Gruppe ? In welchem DHCP Feld steht dann was drin anhand der DHCP Server eine Zuteilung machen kann ? Aber wie schon gesagt, schau dir lieber DAP an, das ist weit sinnvoller als Usern immer die gleiche IP zu geben,wenn du Anwendungen hast die nur von bestimmten Sourceadressen angesprochen werden sollen, dann gibt dort halt den ganzen Pool frei. User/Gruppen die diese Anwendung nicht nutzen sollen, kommen ja ohnehin ncht durch die Firewall weil ihnen die entsprechende Rule fehlt.
blackbox 10 Geschrieben 23. Dezember 2011 Melden Geschrieben 23. Dezember 2011 Hi, das geht mit "dhcp-network-scope" - mehr Infos hier
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden