ex0r2k16
Goto Top

DHCP Bereiche aufteilen

Hallo zusammen,

im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 VPN Gateways (redundant) habe muss ich jedem Gateway allerdings einen DHCP Bereich zuweisen. Ich denke da an folgendes Szenario, da mir die UTM kein DHCP über 2 REDs erlaubt.

RED1 z.B. 192.168.80.1
RED2 z.B. 192.168.80.2

Die beiden Reds betreibe ich aktiv/aktiv parallel zueinander und teile das Subnetz DHCP mäßig auf. Ca. 120 Host IPs pro DHCP. ohne Überschneidung.
Je nachdem welcher DHCP schneller antwortet, dessen Range und Standardgateway "erbt" der Client.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.

Kann sowas funktionieren? Selbst wenn IMMER ein und derselbe DHCP schneller antwortet wäre das für mich kein Problem.

Leider muss ich sowas frickeln, da selbst die größten REDs keinen HA Cluster Link anbieten. Mir ist schon so ein Gerät hardwaremäßig abgebraucht, was nicht schön war.

Jemand ne Idee ?

`Danke!

Content-Key: 329358

Url: https://administrator.de/contentid/329358

Printed on: June 22, 2024 at 21:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Feb 14, 2017 at 13:15:16 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.

Warum sollte der Client das tun? Du mußt i.d.R. manuell einen neuen DHCP-Request auslösen oder die Lease-Time extrem niedrig setzen, damit das funktioniert.

Wer macht üebrhaupt das DNS? Wenn das auch die REDs machen, hast Du ggf. ein problem mit der lokalen auflösung, es sei denn du hast beide als DNS in der DHCP-Parametern mitgegeben.

lks
Member: Ex0r2k16
Ex0r2k16 Feb 14, 2017 updated at 13:27:09 (UTC)
Goto Top
http://www.mcseboard.de/topic/150548-dhcp-lease-erneuerung/

Beitrag #4

Es sei denn das ist eine falsche Info. DHCP verwaltet zentral die Sophos UTM über alle verschiedene Subnetze. Interne DNS Requests werden von unserem DC beantwortet. Daher bleiben die DNS IPs in jedem Fall gleich. Nur das Gateway und die Client IP würde sich also ändern.
Member: Lochkartenstanzer
Lochkartenstanzer Feb 14, 2017 at 14:42:18 (UTC)
Goto Top

Der Client muß dazu aber einen Neustart machen. Wenn das gateway wegfällt, während der Client hochgefahren ist, benutzt der seinen lease und sein gateway weiter, bis die lease ausläuft.

lks
Member: Ex0r2k16
Ex0r2k16 Feb 14, 2017 at 16:16:40 (UTC)
Goto Top
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten? Ich möchte möglichst wenig Hardware vor Ort haben. Würde es funktionieren, wenn ich 2 Maschinen mit jeweils passendem Standard Gateway habe, um mich auf den Switch zu verbinden und diesen dann neustarte? Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Member: aqui
aqui Feb 14, 2017 at 17:27:47 (UTC)
Goto Top
Wie machen das denn andere Firmen mit VPN Standorten?
So zum Bleistift:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Ein simples Standard Design.
Ich möchte möglichst wenig Hardware vor Ort haben.
Ein simpler VPN Router (FritzBox, Cisco etc.) reicht !
Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Nein, nur einen Refresh der als Unicast an den Server geht:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-R ...
Member: Lochkartenstanzer
Lochkartenstanzer Feb 14, 2017, updated at Feb 15, 2017 at 06:27:36 (UTC)
Goto Top
Zitat von @Ex0r2k16:

Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten?

entweder mit einem dual-wanrouter, der dann aber ein SPOF ist oder durch Einsatz entsprechender protokolle, die diesen Fall abfangen:

  • HSRP – Hot Standby Routing Protocol (Cisco proprietär und RFC 2281)
  • VRRP – Virtual Router Redundancy Protocol (RFC 2338)
  • GLBP – Gateway Load Balancing Protocol (Cisco proprietär)

Ich möchte möglichst wenig Hardware vor Ort haben. Würde es funktionieren, wenn ich 2 Maschinen mit jeweils passendem Standard Gateway habe, um mich auf den Switch zu verbinden und diesen dann neustarte? Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?

Nein.

Wie geasgt, es hängt an der lease-time. solange die nicht abgelaufen ist und kein besonderer Anlaß besteht, sich eine neue lease geben zu lassen, wird die alte weiterbenutzt.

Du kannst höchstens die lease-time auf wenige Minuten setzen, was allerdings wieder ganz andere Probleme verursacht.

lks

Edit: Protokolle ergänzt.
Member: Ex0r2k16
Ex0r2k16 Feb 15, 2017 at 08:39:35 (UTC)
Goto Top
danke für die Info. Ne die Lease Time runter zu setzen ist sicherlich keine gute Idee bei VoIP face-wink

Was wäre denn mit solchen billig Teilen?

http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D

Ich bräuchte nur die reine Fail Over Funktionalität mittels Standby Interface. Kennst du die Teile? Wie läuft da die Downed Device Detection?

Ich finde es etwas schade, dass Sophos bei der Red50 zwar an fast alles gedacht hat, nicht jedoch an einen Defekt des Gerätes :X.

Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Member: Lochkartenstanzer
Lochkartenstanzer Feb 15, 2017 updated at 09:13:46 (UTC)
Goto Top
Benutzt Du die Sophos-Teile nur für VPN oder auch für sonstige Funktionialität? Wenn die nur für VPN da sind, könntest Du die einfach durch 40
Zitat von @Ex0r2k16:

Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D

TP-Link Billigteile sollten nur mit dd-WRT geflasht genutzt werden und haben eigentlich im Produktiv-Umfeld nichts verloren, weil die imho nicht zuverlässig genug sind.

Ansonsten: Brauchst Du die Sophos-Teil nur für VPN oder benutzt Du auch die Malware-Filter. Wenn Du nur den VPN-Part benötigst, würde ich die Sophos rauswerfen und stattdessen einige Mikrotiks reinstellen, die VRRP können. Gibt es schon ab 20€ pro Stück.

lks
Member: aqui
aqui Feb 15, 2017 at 09:09:39 (UTC)
Goto Top
Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Die kleinen auch wenn man die richtige HW verwendet face-wink
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Member: Ex0r2k16
Ex0r2k16 Feb 15, 2017 at 09:15:52 (UTC)
Goto Top
nene pfsense packe ich nicht an :P Sophos läuft ansonsten wirklich gut und die werden immer besser face-smile Es spart mir als Admin einfach enorm Zeit. Die Einrichtungszeit einer Red geht in 5min und die kann sogar nen Anwender anstecken und...löppt!
Member: aqui
aqui Feb 15, 2017 updated at 09:18:21 (UTC)
Goto Top
nene pfsense packe ich nicht an :P
Das würde deinen Horizont vielleicht mal erweitern...?! face-smile
Einrichtung in 3 Minuten und kann sogar ein DAU antecken.... Aber egal...machen beide das was sie sollen und jeder soll selber entscheiden was kosmetisch für ihn schöner ist und was nicht face-wink
Member: Ex0r2k16
Ex0r2k16 Feb 15, 2017 updated at 09:22:07 (UTC)
Goto Top
Never change a running System :P Fortbildung anhand eines Produktivsystem Umbaus ist keine gute Idee :P

UND das UI der Sophos ist deutlich schöner! Hübscher ist sie auch! Wenn du deine Hardware da weiß anpinselst überlege ich mirs vielleicht ;)