DHCP Bereiche aufteilen
Hallo zusammen,
im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 VPN Gateways (redundant) habe muss ich jedem Gateway allerdings einen DHCP Bereich zuweisen. Ich denke da an folgendes Szenario, da mir die UTM kein DHCP über 2 REDs erlaubt.
RED1 z.B. 192.168.80.1
RED2 z.B. 192.168.80.2
Die beiden Reds betreibe ich aktiv/aktiv parallel zueinander und teile das Subnetz DHCP mäßig auf. Ca. 120 Host IPs pro DHCP. ohne Überschneidung.
Je nachdem welcher DHCP schneller antwortet, dessen Range und Standardgateway "erbt" der Client.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Kann sowas funktionieren? Selbst wenn IMMER ein und derselbe DHCP schneller antwortet wäre das für mich kein Problem.
Leider muss ich sowas frickeln, da selbst die größten REDs keinen HA Cluster Link anbieten. Mir ist schon so ein Gerät hardwaremäßig abgebraucht, was nicht schön war.
Jemand ne Idee ?
`Danke!
im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 VPN Gateways (redundant) habe muss ich jedem Gateway allerdings einen DHCP Bereich zuweisen. Ich denke da an folgendes Szenario, da mir die UTM kein DHCP über 2 REDs erlaubt.
RED1 z.B. 192.168.80.1
RED2 z.B. 192.168.80.2
Die beiden Reds betreibe ich aktiv/aktiv parallel zueinander und teile das Subnetz DHCP mäßig auf. Ca. 120 Host IPs pro DHCP. ohne Überschneidung.
Je nachdem welcher DHCP schneller antwortet, dessen Range und Standardgateway "erbt" der Client.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Kann sowas funktionieren? Selbst wenn IMMER ein und derselbe DHCP schneller antwortet wäre das für mich kein Problem.
Leider muss ich sowas frickeln, da selbst die größten REDs keinen HA Cluster Link anbieten. Mir ist schon so ein Gerät hardwaremäßig abgebraucht, was nicht schön war.
Jemand ne Idee ?
`Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329358
Url: https://administrator.de/forum/dhcp-bereiche-aufteilen-329358.html
Ausgedruckt am: 05.04.2025 um 12:04 Uhr
12 Kommentare
Neuester Kommentar
Zitat von @Ex0r2k16:
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Warum sollte der Client das tun? Du mußt i.d.R. manuell einen neuen DHCP-Request auslösen oder die Lease-Time extrem niedrig setzen, damit das funktioniert.
Wer macht üebrhaupt das DNS? Wenn das auch die REDs machen, hast Du ggf. ein problem mit der lokalen auflösung, es sei denn du hast beide als DNS in der DHCP-Parametern mitgegeben.
lks
Der Client muß dazu aber einen Neustart machen. Wenn das gateway wegfällt, während der Client hochgefahren ist, benutzt der seinen lease und sein gateway weiter, bis die lease ausläuft.
lks
Wie machen das denn andere Firmen mit VPN Standorten?
So zum Bleistift:IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Ein simples Standard Design.
Ich möchte möglichst wenig Hardware vor Ort haben.
Ein simpler VPN Router (FritzBox, Cisco etc.) reicht !Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Nein, nur einen Refresh der als Unicast an den Server geht:https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-R ...
Zitat von @Ex0r2k16:
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten?
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten?
entweder mit einem dual-wanrouter, der dann aber ein SPOF ist oder durch Einsatz entsprechender protokolle, die diesen Fall abfangen:
- HSRP – Hot Standby Routing Protocol (Cisco proprietär und RFC 2281)
- VRRP – Virtual Router Redundancy Protocol (RFC 2338)
- GLBP – Gateway Load Balancing Protocol (Cisco proprietär)
Ich möchte möglichst wenig Hardware vor Ort haben. Würde es funktionieren, wenn ich 2 Maschinen mit jeweils passendem Standard Gateway habe, um mich auf den Switch zu verbinden und diesen dann neustarte? Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Nein.
Wie geasgt, es hängt an der lease-time. solange die nicht abgelaufen ist und kein besonderer Anlaß besteht, sich eine neue lease geben zu lassen, wird die alte weiterbenutzt.
Du kannst höchstens die lease-time auf wenige Minuten setzen, was allerdings wieder ganz andere Probleme verursacht.
lks
Edit: Protokolle ergänzt.
Benutzt Du die Sophos-Teile nur für VPN oder auch für sonstige Funktionialität? Wenn die nur für VPN da sind, könntest Du die einfach durch 40
TP-Link Billigteile sollten nur mit dd-WRT geflasht genutzt werden und haben eigentlich im Produktiv-Umfeld nichts verloren, weil die imho nicht zuverlässig genug sind.
Ansonsten: Brauchst Du die Sophos-Teil nur für VPN oder benutzt Du auch die Malware-Filter. Wenn Du nur den VPN-Part benötigst, würde ich die Sophos rauswerfen und stattdessen einige Mikrotiks reinstellen, die VRRP können. Gibt es schon ab 20€ pro Stück.
lks
Zitat von @Ex0r2k16:
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
TP-Link Billigteile sollten nur mit dd-WRT geflasht genutzt werden und haben eigentlich im Produktiv-Umfeld nichts verloren, weil die imho nicht zuverlässig genug sind.
Ansonsten: Brauchst Du die Sophos-Teil nur für VPN oder benutzt Du auch die Malware-Filter. Wenn Du nur den VPN-Part benötigst, würde ich die Sophos rauswerfen und stattdessen einige Mikrotiks reinstellen, die VRRP können. Gibt es schon ab 20€ pro Stück.
lks
Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Die kleinen auch wenn man die richtige HW verwendet Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät