12
DHCP Bereiche aufteilen
Hallo zusammen,
im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 VPN Gateways (redundant) habe muss ich jedem Gateway allerdings einen DHCP Bereich zuweisen. Ich denke da an folgendes Szenario, da mir die UTM kein DHCP über 2 REDs erlaubt.
RED1 z.B. 192.168.80.1
RED2 z.B. 192.168.80.2
Die beiden Reds betreibe ich aktiv/aktiv parallel zueinander und teile das Subnetz DHCP mäßig auf. Ca. 120 Host IPs pro DHCP. ohne Überschneidung.
Je nachdem welcher DHCP schneller antwortet, dessen Range und Standardgateway "erbt" der Client.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Kann sowas funktionieren? Selbst wenn IMMER ein und derselbe DHCP schneller antwortet wäre das für mich kein Problem.
Leider muss ich sowas frickeln, da selbst die größten REDs keinen HA Cluster Link anbieten. Mir ist schon so ein Gerät hardwaremäßig abgebraucht, was nicht schön war.
Jemand ne Idee ?
`Danke!
im Zuge eines Infrastruktur Umbaus würde ich gerne einem Standort vernünftiges, verwaltetes DHCP beibringen. Da ich 2 VPN Gateways (redundant) habe muss ich jedem Gateway allerdings einen DHCP Bereich zuweisen. Ich denke da an folgendes Szenario, da mir die UTM kein DHCP über 2 REDs erlaubt.
RED1 z.B. 192.168.80.1
RED2 z.B. 192.168.80.2
Die beiden Reds betreibe ich aktiv/aktiv parallel zueinander und teile das Subnetz DHCP mäßig auf. Ca. 120 Host IPs pro DHCP. ohne Überschneidung.
Je nachdem welcher DHCP schneller antwortet, dessen Range und Standardgateway "erbt" der Client.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Kann sowas funktionieren? Selbst wenn IMMER ein und derselbe DHCP schneller antwortet wäre das für mich kein Problem.
Leider muss ich sowas frickeln, da selbst die größten REDs keinen HA Cluster Link anbieten. Mir ist schon so ein Gerät hardwaremäßig abgebraucht, was nicht schön war.
Jemand ne Idee ?
`Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 329358
Url: https://administrator.de/contentid/329358
Printed on: April 25, 2024 at 09:04 o'clock
12 Comments
Latest comment
Zitat von @Ex0r2k16:
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Bricht eine RED weg, ist das SG des Clients nicht mehr pingbar und er schickt einen neuen Broadcast raus und sollte quasie fast ohne Ausfall über die zweite Red seine Verbindung aufbauen.
Warum sollte der Client das tun? Du mußt i.d.R. manuell einen neuen DHCP-Request auslösen oder die Lease-Time extrem niedrig setzen, damit das funktioniert.
Wer macht üebrhaupt das DNS? Wenn das auch die REDs machen, hast Du ggf. ein problem mit der lokalen auflösung, es sei denn du hast beide als DNS in der DHCP-Parametern mitgegeben.
lks
http://www.mcseboard.de/topic/150548-dhcp-lease-erneuerung/
Beitrag #4
Es sei denn das ist eine falsche Info. DHCP verwaltet zentral die Sophos UTM über alle verschiedene Subnetze. Interne DNS Requests werden von unserem DC beantwortet. Daher bleiben die DNS IPs in jedem Fall gleich. Nur das Gateway und die Client IP würde sich also ändern.
Beitrag #4
Es sei denn das ist eine falsche Info. DHCP verwaltet zentral die Sophos UTM über alle verschiedene Subnetze. Interne DNS Requests werden von unserem DC beantwortet. Daher bleiben die DNS IPs in jedem Fall gleich. Nur das Gateway und die Client IP würde sich also ändern.
Der Client muß dazu aber einen Neustart machen. Wenn das gateway wegfällt, während der Client hochgefahren ist, benutzt der seinen lease und sein gateway weiter, bis die lease ausläuft.
lks
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten? Ich möchte möglichst wenig Hardware vor Ort haben. Würde es funktionieren, wenn ich 2 Maschinen mit jeweils passendem Standard Gateway habe, um mich auf den Switch zu verbinden und diesen dann neustarte? Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Wie machen das denn andere Firmen mit VPN Standorten?
So zum Bleistift:IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Ein simples Standard Design.
Ich möchte möglichst wenig Hardware vor Ort haben.
Ein simpler VPN Router (FritzBox, Cisco etc.) reicht !Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Nein, nur einen Refresh der als Unicast an den Server geht:https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-R ...
Zitat von @Ex0r2k16:
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten?
Okay ich habs getestet. Stimmt leider. Wie machen das denn andere Firmen mit VPN Standorten?
entweder mit einem dual-wanrouter, der dann aber ein SPOF ist oder durch Einsatz entsprechender protokolle, die diesen Fall abfangen:
- HSRP – Hot Standby Routing Protocol (Cisco proprietär und RFC 2281)
- VRRP – Virtual Router Redundancy Protocol (RFC 2338)
- GLBP – Gateway Load Balancing Protocol (Cisco proprietär)
Ich möchte möglichst wenig Hardware vor Ort haben. Würde es funktionieren, wenn ich 2 Maschinen mit jeweils passendem Standard Gateway habe, um mich auf den Switch zu verbinden und diesen dann neustarte? Ein Linkverlust würde ja einen neuen DHCP Broadcast provozieren oder?
Nein.
Wie geasgt, es hängt an der lease-time. solange die nicht abgelaufen ist und kein besonderer Anlaß besteht, sich eine neue lease geben zu lassen, wird die alte weiterbenutzt.
Du kannst höchstens die lease-time auf wenige Minuten setzen, was allerdings wieder ganz andere Probleme verursacht.
lks
Edit: Protokolle ergänzt.
danke für die Info. Ne die Lease Time runter zu setzen ist sicherlich keine gute Idee bei VoIP 
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
Ich bräuchte nur die reine Fail Over Funktionalität mittels Standby Interface. Kennst du die Teile? Wie läuft da die Downed Device Detection?
Ich finde es etwas schade, dass Sophos bei der Red50 zwar an fast alles gedacht hat, nicht jedoch an einen Defekt des Gerätes :X.
Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
Ich bräuchte nur die reine Fail Over Funktionalität mittels Standby Interface. Kennst du die Teile? Wie läuft da die Downed Device Detection?
Ich finde es etwas schade, dass Sophos bei der Red50 zwar an fast alles gedacht hat, nicht jedoch an einen Defekt des Gerätes :X.
Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Benutzt Du die Sophos-Teile nur für VPN oder auch für sonstige Funktionialität? Wenn die nur für VPN da sind, könntest Du die einfach durch 40
TP-Link Billigteile sollten nur mit dd-WRT geflasht genutzt werden und haben eigentlich im Produktiv-Umfeld nichts verloren, weil die imho nicht zuverlässig genug sind.
Ansonsten: Brauchst Du die Sophos-Teil nur für VPN oder benutzt Du auch die Malware-Filter. Wenn Du nur den VPN-Part benötigst, würde ich die Sophos rauswerfen und stattdessen einige Mikrotiks reinstellen, die VRRP können. Gibt es schon ab 20€ pro Stück.
lks
Zitat von @Ex0r2k16:
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
Was wäre denn mit solchen billig Teilen?
http://www.tp-link.de/products/details/cat-4910_TL-R470T+.html
Kostet Brutto 44€ :D
TP-Link Billigteile sollten nur mit dd-WRT geflasht genutzt werden und haben eigentlich im Produktiv-Umfeld nichts verloren, weil die imho nicht zuverlässig genug sind.
Ansonsten: Brauchst Du die Sophos-Teil nur für VPN oder benutzt Du auch die Malware-Filter. Wenn Du nur den VPN-Part benötigst, würde ich die Sophos rauswerfen und stattdessen einige Mikrotiks reinstellen, die VRRP können. Gibt es schon ab 20€ pro Stück.
lks
Die großen SG/XG Hardwarefirewall bringen da ja alles mit, warum nicht auch bei der VPN Gegenseite?
Die kleinen auch wenn man die richtige HW verwendet Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
nene pfsense packe ich nicht an :P Sophos läuft ansonsten wirklich gut und die werden immer besser 
Es spart mir als Admin einfach enorm Zeit. Die Einrichtungszeit einer Red geht in 5min und die kann sogar nen Anwender anstecken und...löppt!
Es spart mir als Admin einfach enorm Zeit. Die Einrichtungszeit einer Red geht in 5min und die kann sogar nen Anwender anstecken und...löppt!nene pfsense packe ich nicht an :P
Das würde deinen Horizont vielleicht mal erweitern...?! Einrichtung in 3 Minuten und kann sogar ein DAU antecken.... Aber egal...machen beide das was sie sollen und jeder soll selber entscheiden was kosmetisch für ihn schöner ist und was nicht
Never change a running System :P Fortbildung anhand eines Produktivsystem Umbaus ist keine gute Idee :P
UND das UI der Sophos ist deutlich schöner! Hübscher ist sie auch! Wenn du deine Hardware da weiß anpinselst überlege ich mirs vielleicht ;)
UND das UI der Sophos ist deutlich schöner! Hübscher ist sie auch! Wenn du deine Hardware da weiß anpinselst überlege ich mirs vielleicht ;)
