daplaya9971
Goto Top

IP-Adressen statisch oder per Reservierung vergeben

In unserem Firmennetzwerk haben wir insgesamt 35 Netzwerkgeräte (Switche, Server, NAS, Access Points, usw.), 10 Drucker und 63 Client-Geräte.

Was ist da die beste Möglichkeit, diesen Geräten eine feste IP-Adresse zu vergeben?
Aktuell sind die IP-Adressen in den Adaptereinstellungen der jeweiligen Clients statisch vergeben.

Bei unserem alten Server waren diese aber im DHPC-Manager unter Reservierungen fest vergeben.


Was haben diese beiden Möglichkeiten jeweils für Vor- und Nachteile?

Ich persönlich denke, dass das über Reservierungen in DHCP etwas besser ist, da ich diese zentral von meinen PC aus administrieren kann. Beispielsweise wenn ein Mitarbeiter einen neuen PC bekommt, dann weiße ich vorübergehend seinen alten PC eine andere freie IP-Adresse zu und seinen neuen PC dann seine "richtige" IP-Adresse und fertig.

Ebenfalls werden die IP-Adressen nach einem bestimmten Schema vergeben:
ab der *.*.10.1 sind die ganzen Server, Switche, Firewall usw.
ab *.*.10.20 alle Drucker
ab *.*.10.30 Geschäftsführung
ab *.*.10.40 Sekretariat
usw nach Raum sortiert
ab *.*.10.140 alle Tablets
ab *.*.10.150 alle MDE-Geräte

Ich denke ihr wisst wie ich das meine.
Für den Bereich *.*.10.180 bis *.*.10.219 hätte ich den Bereich vorgesehen für den dynamischen DHCP-Bereich. Das wäre für die paar Diensthandys und Home-Office-Laptops, welche immer nur kurzzeitig in der Firma sind.


Bin auf eure Antworten gespannt face-smile

Content-Key: 62326120261

Url: https://administrator.de/contentid/62326120261

Printed on: May 28, 2024 at 08:05 o'clock

Member: ITwissen
ITwissen Jan 02, 2024 at 10:52:54 (UTC)
Goto Top
IPv6 scheint in dem Fall irrelevant ?
Member: Spirit-of-Eli
Spirit-of-Eli Jan 02, 2024 at 10:54:10 (UTC)
Goto Top
Moin,

naja, es macht mehr Sinn dein DNS zu pflegen.
Sicherheitstechnisch sollten die Gruppierungen am besten getrennt sein. (Verschiedene Netze)

Ansonsten kannst du das echt machen wie du Damit am besten klar kommst.
Für die Clients würde ich mir auch keine Mühe bei den Adressen geben.
Member: PC-Helfer
PC-Helfer Jan 02, 2024 at 10:55:48 (UTC)
Goto Top
Hallo,

statische Adressen für Geräte, welche auch statisch sind —> NAS, AP, Switch, Drucker, Server.
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung ­čśë

SG
Member: ukulele-7
ukulele-7 Jan 02, 2024 at 11:07:33 (UTC)
Goto Top
Für Server, Switche und Router würde ich IPs fest eintragen. Wenn, aus welchen Gründen auch immer, dein DHCP nicht läuft oder gestört wird ergeben sich dann nicht weitere Probleme. Wenn du z.B. mal ein neues Gerät mit vorkonfigurierten aktiven DHCP Server ins Produktivnetz hängst (ja in kleinen Umgebungen machen Leute sowas) dann hat nicht plötzlich dein Server eine neue IP...

Bei Druckern & Co. kann man eine statische Zuweisung auch über DHCP machen.

Clients brauchen gar keine feste IP, wozu auch? Auch die Einteilung würde ich verwerfen oder zumindest deutlich reduzieren. Wenn dann solltest du eher in verschiedene IP Netze segmentieren, eine Nummernvergabe nach Raum im selben Subnetz ist doch eher sinnfrei und nur Arbeit.
Member: MirkoKR
MirkoKR Jan 02, 2024 at 11:14:14 (UTC)
Goto Top
Aus Sicherheits-Sicht solltest du MAC-Spoofing nicht außer Acht lassen
Member: DaPlaya9971
DaPlaya9971 Jan 02, 2024 at 11:49:53 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:
Für die Clients würde ich mir auch keine Mühe bei den Adressen geben.

Naja ist schon immer so in dieser Firma und ich finde das persönlich relativ praktisch. Ich erkenne anhand der IP-Adresse quasi schon, um welches Gerät es sich handelt und wo es steht, wenn mal was sein sollte.


Zitat von @PC-Helfer:
Adressen für mobile Geräte reservieren bringt eher nichts, ist aber vielleicht nur eine persönliche Einstellung ­čśë

Die mobilen Geräte, welche nur temporär im Haus sind, sollen ihre IP ja auch weiterhin per DHCP bekommen.


Zitat von @ukulele-7:
Clients brauchen gar keine feste IP, wozu auch?

Ja theoretisch braucht man das bei Clients nicht machen. Aber wie weiter oben schon geschrieben, wurde das in dieser Firma schon immer so gemacht und ich sehe das als kleinen Vorteil.
Zumal es sowieso nicht so häufig vorkommt, das neue PCs oder sowas angeschafft werden. Manche PCs sind schon 10 Jahre alt, aber laufen noch einwandfrei und reichen dem Mitarbeiter von der Leistung her völlig aus.

Das AD, DHCP-Server und DNS-Server laufen auf einen virtuellen Server. Als kleine Ausfallsicherheit haben wir einen weiteren virtuellen Server, welcher identisch konfiguriert ist, welchen wir im Ernstfall relativ einfach einsetzen können.
Member: Spirit-of-Eli
Spirit-of-Eli Jan 02, 2024 at 11:58:15 (UTC)
Goto Top
Den Vorteil hast du bei einer vernünftigen Segmentierung auch. Und das macht Sinn.
Gerade ist das ganze ja rein kosmetisch und hat technisch null nutzen.
Member: Visucius
Visucius Jan 02, 2024 updated at 12:11:43 (UTC)
Goto Top
Ich würde es NICHT an den Clients fest eintragen. Habe ich zwar früher auch gemacht ist aber wahnsinnig unflexibel, weil Du ja bei einer Änderung immer an das Gerät musst ... welches häufig ja nur über Netzwerk zugänglich ist.

Ebenso, wenn die Geräte mal irgendwo zwischengelagert, in ein anderes Netzwerk umgezogen werden, womöglich noch mit Fernwartung, usw.

Das läuft mittlerweile alles über den DHCP und wird dort festgezurrt.
Member: em-pie
em-pie Jan 02, 2024 at 12:09:45 (UTC)
Goto Top
Moin,

Alles, was eine feste IP benötigt (also alles, außer irgendwelche Client-Geräte) hat eine fest eingetragene Adresse.
bedingte Ausnahme: die Drucker. Die haben am DHCP-Server eine Reservierung eingetragen. Ist aber auch hier eher Geschmackssache.

Wenn, aus welchen Gründen auch immer, dein DHCP nicht läuft oder gestört wird ergeben sich dann nicht weitere Probleme.
Spannend: Stromausfall, alles läuft (in Teilen) an und nichts geht, weil der DHCP-Server noch nicht online war und man auch nicht an die Hyper-V-Server etc. kommt, weil keine IP...

Das AD, DHCP-Server und DNS-Server laufen auf einen virtuellen Server. Als kleine Ausfallsicherheit haben wir einen weiteren virtuellen Server, welcher identisch konfiguriert ist, welchen wir im Ernstfall relativ einfach einsetzen können.
Und wie häufig wird der mit dem produktiven Server synchronisiert?
Member: accessViolation
accessViolation Jan 02, 2024 updated at 12:15:28 (UTC)
Goto Top
ab der *.*.10.1 sind die ganzen Server, Switche, Firewall usw.
ab *.*.10.20 alle Drucker

Sprich: 19 Adressen. Was, wenn ein 20zigster Server dazu kommt? Der bekommt dann *.*.10.washaltfreiist? Überhaupt nicht schön und wird irgendwann richtig anstrengend.

Ich empfehle klar eine (VLAN)Segmentierung.

Gruß
Member: DaPlaya9971
DaPlaya9971 Jan 02, 2024 at 12:28:58 (UTC)
Goto Top
Zitat von @em-pie:
Spannend: Stromausfall, alles läuft (in Teilen) an und nichts geht, weil der DHCP-Server noch nicht online war und man auch nicht an die Hyper-V-Server etc. kommt, weil keine IP...

Nach einem längeren Stromausfall, also wenn die USV die V-Server und zum Schluss den physikalischen Server heruntergefahren hat, wird eh erstmal der physikalische Server gestartet und dann die V-Server und erst danach die Clients. So ist es von der Geschäftsführung gewünscht.

Zitat von @em-pie:
Und wie häufig wird der mit dem produktiven Server synchronisiert?

Das passiert regelmäßig. Wie häufig kann ich nicht sagen, aber glaube 1x täglich.

Zitat von @accessViolation:
Sprich: 19 Adressen. Was, wenn ein 20zigster Server dazu kommt? Der bekommt dann *.*.10.washaltfreiist?

Zwischen den Bereichen sind immer genügend IP-Adressen frei.
Aktuell bspw:
10.1 bis 10.11 belegt für Server, Switche usw
10.12 bis 10.19 frei
10.20 bis 10.28 belegt (Drucker)
10.29 bis 10.34 frei
10.35 und 10.36 belegt (PCs Geschäftsführung)
etc pp

Also Platz ist dazwischen immer genügend. Wir sind nur etwa 24 Mitarbeiter. Das ist alles soweit überschaubar.
Nur nach den Tablets kommen gleich die MDE-Geräte. Aber es kommen sowieso keine Tablets mehr, sondern nur noch MDEs.
Member: Crusher79
Crusher79 Jan 02, 2024 at 14:48:30 (UTC)
Goto Top
Moin, bin da auch für Ordnung.

Historisch haben wir wir leider auch ein Mischmasch DHCP vergigbt Server IP. Wird reserviert und fest eingetragen.

Ist immer unschön! Feste IP muss aus dem DHCP Pool raus. Sonst kommt "BAD_ADDRESS" o.ä. Oder man muss die IPs explizit von der Verteilung ausschließen - geht auch. Aber wir haben einen Flickenteppich.

Feste IP via DHCP geht. Aber allein die Namen werden mitunter nicht aktualisiert bei den Reservierungen. Um dann wieder durchzusteigen, muss man mit PowerShell Beschreibung ändern. Dann irgendwann stimmt alles halbwegs....

Feste IP Range außerhalb DHCP und du musst dich hier nur um DNS kümmern.

Man muss zwar die DHCP Beschreibung nicht ändern, aber 10x localhost oder WIN-R34SFDSF2 ist auch Mist.


Arbeiten kann man mit beiden. Nur um DHCP sauber zu halten muss man ggf. noch Kommandos im Anschluss absetzen! Das erspart man sich mit Ranges.

mfg Crusher
Member: radiogugu
radiogugu Jan 02, 2024 updated at 16:43:19 (UTC)
Goto Top
Zitat von @DaPlaya9971:
Zwischen den Bereichen sind immer genügend IP-Adressen frei.
Aktuell bspw:
10.1 bis 10.11 belegt für Server, Switche usw
10.12 bis 10.19 frei
10.20 bis 10.28 belegt (Drucker)
10.29 bis 10.34 frei
10.35 und 10.36 belegt (PCs Geschäftsführung)

Auch kein Hallo.

Keinerlei Firewallregeln greifen in diesem Setup und ein jedes Gerät kann auf alles zugreifen.

Daher +1 für die Empfehlung der Kolleg*innen, die Bereiche sauber in VLANs zu trennen und mit entsprechenden Regelwerken zu versehen.

Infrastruktur Geräte á la Server und Switche statische IPs konfigurieren und zur Absicherung noch DHCP Reservierungen in deren Netzwerksegment.

Drucker im eigenen Segment ebenfalls DHCP Reservierungen verpassen und alle anderen Geräte aus deren Segmente IPs via DHCP verteilen.

Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile

Gruß
Marc
Member: Visucius
Visucius Jan 02, 2024 at 18:20:38 (UTC)
Goto Top
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile
In wie fern verändert sich die Situation mit der stateful firewall eines anderen Herstellers?
Member: radiogugu
radiogugu Jan 02, 2024 at 19:39:55 (UTC)
Goto Top
Zitat von @Visucius:
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile
In wie fern verändert sich die Situation mit der stateful firewall eines anderen Herstellers?

Gar nichts. Es würde aber eine Erklärung dafür sein, warum alles in einem Subnetz ist face-smile

Gruß
Marc
Member: DaPlaya9971
DaPlaya9971 Jan 03, 2024 at 06:48:37 (UTC)
Goto Top
Zitat von @radiogugu:
Ich hoffe, dass keine Fritzbox als Router / Firewall zum Einsatz kommt face-smile

Nein wir haben eine "richtige" Hardware-Firewall
Member: Visucius
Visucius Jan 03, 2024 at 07:52:48 (UTC)
Goto Top
Na dann rann an die Buletten! Die oben genannten Modifikationen sollten damit gemeinhin umsetzbar sein