cjmatsel 10 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 (bearbeitet) Hi, kann man einen DHCP-Bereich nach MAC-Adressen aufbauen? sprich: alle Systeme mit einer bestimmten Vendor-ID sollen in einem bestimmten DHCP-Pool landen... cu, cjmatsel bearbeitet 1. März 2017 von cjmatsel Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Mit DHCP Richtlinien: https://msdn.microsoft.com/en-us/library/dn425039%28v=ws.11%29.aspx https://msdn.microsoft.com/en-us/library/hh831538%28v=ws.11%29.aspx Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 Kann es sein dass das erst ab 2012 geht? In 2008 habe ich keine DHCP-Policies... Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Ja das kann sehr gut sein. https://technet.microsoft.com/en-us/library/dn305900%28v=ws.11%29.aspx#BKMK_DHCP2012 Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Moin, was ist denn das Ziel dahinter? Gruß, Nils Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 (bearbeitet) Habe mir schnell einen 2012er aufgebaut. Klappt... Im 2008er geht das auch ein bisschen, aber dazu muss der bisherige Bereich frei genug sein damit man ihn etwas abspecken kann und dann kann man mit serverweiten Filtern arbeiten. Das würde im Unglücksfall bedeuten für jedes Netz einen DHCP-Server zu installieren... edit: Das Ziel dahinter ist es die Netze zwischen Drucker und Clients vollständig zu trennen. Leider merken wir gerade dass das nicht so ganz funktioniert wie geplant. Evtl. habt Ihr noch Ideen. Ist-Zustand: Drucker, PCs und Thinclients teilen sich ein 23er Netz. Vereinzelt sind auch Switche und USVs darin. Feste IPs sind mit DHCP-Vergaben und -Reservierungen gemischt. Probleme: Aufgrund unterschiedlicher Interpretationen der DHCP-Standards kommt es dazu dass Drucker oder Thinclients sich eine schon vergebene IP-Adresse nehmen. Feste Adressen sind nicht vollständig im DHCP-Server als Ausschluss eingetragen. Zudem können die schwachen Webinterfaces der Drucker einem ausgereiften Angriff nicht stand halten und die Ausdrucke sind während des Transportes ebenso wie die Drucker-Zielports nicht geschützt. Das Netz ist bis auf ca. 30 Adressen vollständig ausgeschöpft. Der DHCP-Server ist Windows 2008-R2. die Idee: Aufteilung der Netze in verschiedene Bereiche und Zonen, Einsatz von Windows 2012. Konzept1 (gescheitert): Drucker und Thinclients können kein VLAN (Layer2); ein untagged VLAN scheidet aufgrund massiver Pflege der einzelnen Switchports aus. Somit ist eine Layer2-Trennung der Netze so nicht möglich. Konzept2 (gescheitert): Drucker und Thinclients bekommen nur je ein eigenes Subnetz (Layer3); der Router bekommt virtuelle IP-Adressen auf dem entsprechenden Interface und routet zwischen den Komponenten. Der DHCP-Server bekommt mehrere Bereiche. Er verteilt aber keine IP-Adressen aus diesen Bereichen; der Grund scheint mit dem Interface zusammen zu hängen. Konzept2-erweitert (gescheitert): zusätzliche IP-Adressen auf dem DHCP-Server-Interface helfen nicht weiter: Es werden keine IP-Adressen verteilt. Konzept2-erweitert2 (gescheitert): zusätzliche Interfaces mit jeweils eigenen IP-Adressen helfen. Der DHCP-Server bekommt 3 Bereiche inkl. Richtlinien pro Bereich. Die Richtlinien arbeiten auf MAC-Zuweisung. Beispielsweise wurde in einer Richtlinie eingetragen: wenn eine Bedingung MAC = 00C0EE* ist dann soll eine IP aus diesem Bereich zugewiesen werden. Hierzu wurden die Karteireiter Bedingungen, IP-Adressbereich und Optionen (Router, DNS) gepflegt. Gescheitert ist das Konzept deswegen weil die Richtlinie ignoriert wurde und aus einem Bereich Geräte zu finden waren welche nicht dort hinein sollten. Mir stellen sich mehrere Fragen: - Man könnte die Vendor-IDs auf den Switchen pflegen und ggf. hier mit VLANs arbeiten (Konzept1 also erweitert). Wie konfiguriert man das aber auf dem DHCP-Server? - Warum scheitert Konzept2-erweitert2? Wie müssen die Richtlinien aufgebaut sein bzw. hatte ich dort einen Fehler? Um Rat wird gebeten. cu, cjmatsel bearbeitet 1. März 2017 von cjmatsel Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Moin, sehe ich das richtig, dass ihr die Netze rein logisch trennen wollt, ohne VLANs usw.? Wenn ja: Warum? Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 (bearbeitet) Wir hatten mal drei Subnetze in einem VLAN. Also euer Konzept 2. DHCP per Superscore hat hier keine Probleme gemacht. War trotzdem irgendwie merkwürdig. Wir haben uns dann mal einen Consultant ins Haus geholt. Ergebnis: Da passieren merkwürdige Dinge, manchmal düsen die Pakete am Router vorbei, das sollten wir ändern. Haben das dann sauber in eigene VLANs aufgeteilt. Ergebnis: Netzwerk merklich schneller und keine Merkwürdigkeiten mehr. Also euer Konzept 1. "Massive Pflege der Switchports" ist aber bisserl übetrieben. So schwer ist das nicht... Die einfachste Möglichkeit habt ihr noch gar ins Auge gefasst? Statt /23 ein /22 nehmen, ggf. IP Re-adressierung im Netzwerk. Haben wir auch gemacht. Aus einem 192.168.0.0/24 und einem 10er/24 wurde ein neues 10er/22. Wir haben auch Drucker und Mitarbeiter PCs in einem VLAN, Drucker haben halt DHCP Reservierungen. Keine Probleme. Habe noch nie gehört das es unterschiedliche Interpretationen vom DHCP Standard gibt. Welches Drucker Webinterface soll denn in einem internen Netz einem "ausgereiften Angriff" ertragen? bearbeitet 1. März 2017 von Doso Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 2. März 2017 Autor Melden Teilen Geschrieben 2. März 2017 NilsK: Ich würde gern VLans nehmen, aber das sollte lieber dynamisch erfolgen (also per MAC-Vendor), und nicht statisch. Tagged VLAN scheidet aus weil die Geräte das nicht können und untagged VLAN bedeutet eine Menge Konfigurationsaufwand für jeden Switchport... Ich habe jetzt mal einen zusätzlichen Ansatz ins Auge gefasst: Ein befreundeter Administrator hat ca. 200 Subnetze mittels DHCPRelay von der Firewall durchgeschliffen zu seinem zentralen Windows-DHCP-Server. Das Konzept ist deswegen interessant weil nur ein DHCP-Server alles verwaltet... Was mich bei meinem Testlauf gerade verwundert: Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden... Wenn das soweit klappt dann muss ich nur noch dafür sorgen dass jedes Gerät tatsächlich in seinem VLAN landet... :-/ Zitieren Link zu diesem Kommentar
NorbertFe 2.015 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden... Wieso ist das überraschend? Ich würde genau das erwarten. ;) 1 Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Moin, also, ehrlich gesagt, scheinen mir da ein paar Missverständnisse und Wissenslücken vorzuliegen. Wie wäre es, wenn du dir punktuell mal jemanden ins Haus holst, mit dem du das gemeinsam konzipieren kannst? Ein ordentliches Konzept ist gar nicht so aufwändig, wie du das zu befürchten scheinst. Gruß, Nils Zitieren Link zu diesem Kommentar
Beste Lösung Doso 77 Geschrieben 2. März 2017 Beste Lösung Melden Teilen Geschrieben 2. März 2017 Das Konzept ist deswegen interessant weil nur ein DHCP-Server alles verwaltet... Was mich bei meinem Testlauf gerade verwundert: Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden... Nennt man DHCP Relay und ist Standard. Ist nicht mehr so überraschend wenn man sich anschaut wie das funzt. Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 7. September 2017 Autor Melden Teilen Geschrieben 7. September 2017 (bearbeitet) Hi, ich wollte mich gern mal zu dem Thema zurück melden. DHCPRelay ist aktiviert und arbeitet problemlos; Sowohl DHCP-Server als auch Firewall sind mittlerweile erheblich modernisiert; beim aktuellen DHCP-Server haben wir Richlinien eingesetzt welche IPs nach Mac-Vendor aus bestimmten (selbst erstellten) Gruppen vergeben. Mein eigentliches Problem bleibt leider: Die Netztrennung zwischen Drucker, PCs und Thinclients... Also VLANs für Geräte zu nutzen die von sich kein Tagged-VLAN können. An Switchen kann man zwar VLANs pro Mac-Vendor setzen, aber soweit ich gesehen habe immer nur Eines; das nennt sich dann meist irgendwas mit Voice-VLAN usw... Falls jemand ein paar Anregungen hat außer: "hol Dir jemanden ins Haus der das macht" wäre ich sehr verbunden; bis jetzt findet sich kaum jemand der das Thema vernünftig auch nur erklären kann ohne gleich mit teurer Cisco-Hardware im Angebot anzurücken... bearbeitet 7. September 2017 von cjmatsel Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. September 2017 Melden Teilen Geschrieben 7. September 2017 Wenn ein Endgeräte keine VLAN-ID kann, konfiguriert man "Port-Based Tagging". Ein fester Port ist den Member eines bestimmten VLANs. Wie Das geht, steht in der Doku des Switches. Man sollte dann aber schon wissen, welches Gerät auf welchem Port steckt. Erleichtert der Fehlersuche auch ungemein. Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 7. September 2017 Autor Melden Teilen Geschrieben 7. September 2017 Hi zahni, Nimmst Du für solche Fälle auch farbige Kabel oder teilst Du den Switch in Bereiche ein? Ich habe ehrlich gesagt alles durcheinander gesteckt... Welche MAC in welchem Port ist kann man glücklicherweise aus der MAC-Table auslesen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.