Jump to content
kosta88

DHCP relay with Sophos UTM

Recommended Posts

Hallo Leute,

hat jemand von euch hier Erfahrung mit Sophos UTM bzw. DHCP Relay? Ich weiß nicht ob das jetzt Sophos-spezifische Frage ist, aber versuchen wir es mal:

Ich erstelle VLANs für gewisse Server (eigentlich das erste Mal), und denke die Sache sollte relativ einfach sein... oder nicht?

Ich habe ein Haupt-LAN, wo sich der DC1 befindet und VLAN41 wo sich die VM für "Server1" befindet.

Normalerweise deploye ich die Server via WDS/MDT/WSUS (im Haupt-LAN).

 

Ich versuche allerdings die Deployment im VLAN41 zu machen. Das erste Problem scheint die IP-Zuweisung über PXE zu sein. Dafür habe ich an der Sophos ein DHCP-Relay gemacht, und dieser scheint erstmal zu funktionieren.

Denn (tcpdump Analyse auf beiden Interfaces auf der Firewall, eth0 was das Hauptnetz ist und eth6 - Interface für VLAN wo Server1 sich befindet):

tcpdump eth6: Server1 (der Server im VLAN41) schickt ein Broadcast (Discover) raus, und DC1 (tcpdump eth0) im Hauptnetz empfängt es.

DC1 erstellt ein Offer, tcpdump wieder auf eth6 zeigt dass ein Offer eintrifft, und drinnen ist auch eine IP für den Server1 enthalten.

Die IPs im tcpdump sind insofern auch korrekt glaube ich, denn hier wird als Your-IP die vorgeschlagene IP angezeigt, Gateway-IP die IP des VLAN41 Gateways, auch Server-ID Option 54 wird DC1 angezeigt, und Domain-Name-Server Option 6 auch die beiden DCs im Hauptnetz. Auch Domain-Name-Server Option 15 (Domäne) ist drin.

 

Jedoch, es gibt keinen weiteren Schritte, es wird vom Server1 kein Request generiert. Der Server1 wiederholt das Discover.

 

Aufgrund der Tatsache dass der DC1 ein Discover bekommt, ein Offer macht, und Server1 empfängt es, gehe ich davon aus, dass DHCP Relay an der Sophos korrekt funktioniert. Auch die Firewall ist zur Zeit komplett offen zwischen den Netzen.

Mittlerweile habe ich den Server1 im Haupt-Netz deployed, und verschoben ins VLAN41. Und Windows scheint die IP vom DHCP zu beziehen...

Also grenze ich das Problem auf DHCP Relay, Windows DHCP und PXE Boot.

 

Idee woran das liegen kann?

Edited by kosta88

Share this post


Link to post

mal ne blöde Frage - Deine Switche machen auch DHCP Relay? Mir war so, dass man zumindest damals bei den HP Procurve ne DHCP Helper IP einstellen musste ...

Share this post


Link to post

Moin,

 

vor 4 Minuten schrieb Squire:

Deine Switche machen auch DHCP Relay? 

nein, er sagt doch, dass er das auf seiner Sophos eingerichtet hat. Die scheint das Routing zwischen den Segmenten zu machen.

 

@kosta88 ich vermute das Problem eher bei PXE. Ich kann mir gut vorstellen, dass das in Kombination mit DHCP Relay nicht geht oder Probleme bereitet. Das ist ja ohnehin oft eine etwas haklige Technik.

 

Gruß, Nils

 

Share this post


Link to post

Wie kommen die User denn auf die Dienste der Server, wenn die in einem anderen VLAN sind?

 

Alles über Firewall-Regeln? :aha2:

Share this post


Link to post

Hmm, OK. Ehrlich gesagt, kann ich auch ohne PXE über versch. Netzwerksegmente leben, wenn das nur Probleme bereitet... hab heute einfach so gemacht, installiert im Haupt-LAN und dann gesiedelt nach der Installation. Alles gut. Hauptsache die Installation geht nahezu voll automatisiert.

Bzgl. Sophos: ja, das Relaying scheint gut zu funktionieren. Und Relay auf der Sophos ist zwischen Netze. Damit sollte alles gedeckt sein.

Ich lese man könnte mit Optionen 66/67 versuchen, aber das hat einige Grenzen, im Bezug dass es auch mehrere Boot Images gibt.

Daher, danke für die Hinweise, aber das werde ich wohl lassen :)

 

vor 8 Stunden schrieb Nobbyaushb:

Wie kommen die User denn auf die Dienste der Server, wenn die in einem anderen VLAN sind?

 

Alles über Firewall-Regeln? :aha2:

Aktuell ist es nur der eine Server, der im VLAN steht, da ich die restlichen im Haupt-LAN-befindlichen Server nicht in getrennte Netze gesiedelt habe.

Der Server der heute entsteht ist ein AIO RDS, und ja, ich mache es über die Firewall-Regeln - und hatte ja auch bereits Überlegung ob das einfacher geht, denn wenn ich alles, und das inkludiert CA, DC, File-Server, SQL usw via Firewall machen muss... meine Güte. Aber im Endeffekt, einmal getan und das System steht, dann ist es eben nicht mehr komplex, nur die Sache der Zuweisungen.

Da du den "Blick" machst... wie würdest du oder wie löst du das?

Edited by kosta88

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...