Jump to content

DHCP-Bereich nach MAC aufbauen?


Direkt zur Lösung Gelöst von Doso,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Habe mir schnell einen 2012er aufgebaut. Klappt... Im 2008er geht das auch ein bisschen, aber dazu muss der bisherige Bereich frei genug sein damit man ihn etwas abspecken kann und dann kann man mit serverweiten Filtern arbeiten. Das würde im Unglücksfall bedeuten für jedes Netz einen DHCP-Server zu installieren...

 

edit: Das Ziel dahinter ist es die Netze zwischen Drucker und Clients vollständig zu trennen. Leider merken wir gerade dass das nicht so ganz funktioniert wie geplant. Evtl. habt Ihr noch Ideen.

Ist-Zustand: Drucker, PCs und Thinclients teilen sich ein 23er Netz. Vereinzelt sind auch Switche und USVs darin. Feste IPs sind mit DHCP-Vergaben und -Reservierungen gemischt.

Probleme: Aufgrund unterschiedlicher Interpretationen der DHCP-Standards kommt es dazu dass Drucker oder Thinclients sich eine schon vergebene IP-Adresse nehmen. Feste Adressen sind nicht vollständig im DHCP-Server als Ausschluss eingetragen. Zudem können die schwachen Webinterfaces der Drucker einem ausgereiften Angriff nicht stand halten und die Ausdrucke sind während des Transportes ebenso wie die Drucker-Zielports nicht geschützt. Das Netz ist bis auf ca. 30 Adressen vollständig ausgeschöpft. Der DHCP-Server ist Windows 2008-R2.

 

die Idee: Aufteilung der Netze in verschiedene Bereiche und Zonen, Einsatz von Windows 2012.

 

Konzept1 (gescheitert): Drucker und Thinclients können kein VLAN (Layer2); ein untagged VLAN scheidet aufgrund massiver Pflege der einzelnen Switchports aus. Somit ist eine Layer2-Trennung der Netze so nicht möglich.

 

Konzept2 (gescheitert): Drucker und Thinclients bekommen nur je ein eigenes Subnetz (Layer3); der Router bekommt virtuelle IP-Adressen auf dem entsprechenden Interface und routet zwischen den Komponenten. Der DHCP-Server bekommt mehrere Bereiche. Er verteilt aber keine IP-Adressen aus diesen Bereichen; der Grund scheint mit dem Interface zusammen zu hängen.

 

Konzept2-erweitert (gescheitert): zusätzliche IP-Adressen auf dem DHCP-Server-Interface helfen nicht weiter: Es werden keine IP-Adressen verteilt.

 

Konzept2-erweitert2 (gescheitert): zusätzliche Interfaces mit jeweils eigenen IP-Adressen helfen. Der DHCP-Server bekommt 3 Bereiche inkl. Richtlinien pro Bereich. Die Richtlinien arbeiten auf MAC-Zuweisung. Beispielsweise wurde in einer Richtlinie eingetragen: wenn eine Bedingung MAC = 00C0EE* ist dann soll eine IP aus diesem Bereich zugewiesen werden. Hierzu wurden die Karteireiter Bedingungen, IP-Adressbereich und Optionen (Router, DNS) gepflegt. Gescheitert ist das Konzept deswegen weil die Richtlinie ignoriert wurde und aus einem Bereich Geräte zu finden waren welche nicht dort hinein sollten.

 

Mir stellen sich mehrere Fragen:

- Man könnte die Vendor-IDs auf den Switchen pflegen und ggf. hier mit VLANs arbeiten (Konzept1 also erweitert). Wie konfiguriert man das aber auf dem DHCP-Server?

- Warum scheitert Konzept2-erweitert2? Wie müssen die Richtlinien aufgebaut sein bzw. hatte ich dort einen Fehler?

 

Um Rat wird gebeten.

cu, cjmatsel

bearbeitet von cjmatsel
Link zu diesem Kommentar

Wir hatten mal drei Subnetze in einem VLAN. Also euer Konzept 2. DHCP per Superscore hat hier keine Probleme gemacht. War trotzdem irgendwie merkwürdig. Wir haben uns dann mal einen Consultant ins Haus geholt. Ergebnis: Da passieren merkwürdige Dinge, manchmal düsen die Pakete am Router vorbei, das sollten wir ändern. Haben das dann sauber in eigene VLANs aufgeteilt. Ergebnis: Netzwerk merklich schneller und keine Merkwürdigkeiten mehr. Also euer Konzept 1. "Massive Pflege der Switchports" ist aber bisserl übetrieben. So schwer ist das nicht...

 

Die einfachste Möglichkeit habt ihr noch gar ins Auge gefasst? Statt /23 ein /22 nehmen, ggf. IP Re-adressierung im Netzwerk. Haben wir auch gemacht. Aus einem 192.168.0.0/24 und einem 10er/24 wurde ein neues 10er/22.

 

Wir haben auch Drucker und Mitarbeiter PCs in einem VLAN, Drucker haben halt DHCP Reservierungen. Keine Probleme. Habe noch nie gehört das es unterschiedliche Interpretationen vom DHCP Standard gibt. Welches Drucker Webinterface soll denn in einem internen Netz einem "ausgereiften Angriff" ertragen?

bearbeitet von Doso
Link zu diesem Kommentar

NilsK: Ich würde gern VLans nehmen, aber das sollte lieber dynamisch erfolgen (also per MAC-Vendor), und nicht statisch. Tagged VLAN scheidet aus weil die Geräte das nicht können und untagged VLAN bedeutet eine Menge Konfigurationsaufwand für jeden Switchport...

 

Ich habe jetzt mal einen zusätzlichen Ansatz ins Auge gefasst: Ein befreundeter Administrator hat ca. 200 Subnetze mittels DHCPRelay von der Firewall durchgeschliffen zu seinem zentralen Windows-DHCP-Server.

Das Konzept ist deswegen interessant weil nur ein DHCP-Server alles verwaltet... Was mich bei meinem Testlauf gerade verwundert: Ich bin positiv überrascht davon dass nur IPs aus dem passenden Bereich vergeben werden...

 

Wenn das soweit klappt dann muss ich nur noch dafür sorgen dass jedes Gerät tatsächlich in seinem VLAN landet... :-/

Link zu diesem Kommentar
  • 6 Monate später...

Hi,

 

ich wollte mich gern mal zu dem Thema zurück melden. DHCPRelay ist aktiviert und arbeitet problemlos; Sowohl DHCP-Server als auch Firewall sind mittlerweile erheblich modernisiert; beim aktuellen DHCP-Server haben wir Richlinien eingesetzt welche IPs nach Mac-Vendor aus bestimmten (selbst erstellten) Gruppen vergeben.

 

Mein eigentliches Problem bleibt leider: Die Netztrennung zwischen Drucker, PCs und Thinclients...

Also VLANs für Geräte zu nutzen die von sich kein Tagged-VLAN können. An Switchen kann man zwar VLANs pro Mac-Vendor setzen, aber soweit ich gesehen habe immer nur Eines; das nennt sich dann meist irgendwas mit Voice-VLAN usw...

 

Falls jemand ein paar Anregungen hat außer: "hol Dir jemanden ins Haus der das macht" wäre ich sehr verbunden; bis jetzt findet sich kaum jemand der das Thema vernünftig auch nur erklären kann ohne gleich mit teurer Cisco-Hardware im Angebot anzurücken...

bearbeitet von cjmatsel
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...