Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ISC DHCP 2 Subnetze

Mitglied: janosch12

janosch12 (Level 1) - Jetzt verbinden

21.02.2018 um 10:35 Uhr, 2182 Aufrufe, 23 Kommentare, 1 Danke

Hallo,
ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian,
der DHCP verwaltet aktuell ein /24 ,was auch super funktioniert.
nun soll ein weiteres Flash /24 hinzugefügt werden.

Aktuell schaut meine Config so aus:

authoritative;
default-lease-time 86400;
max-lease-time 86400;
subnet 192.168.0.1 netmask 255.255.255.0 {

option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
option domain-name local

hinzukommen soll jetzt noch das Netz 192.168.1.1/24

wie muss ich meine Konfig anpassen ?
einfach das Subnet erweitern geht nicht, da eich es so nicht routen kann.

Mitglied: aqui
LÖSUNG 21.02.2018 um 10:47 Uhr
Hier findest du alle Antworten auf deine Frage und eine Abtipp fertige Konfig:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: Yannosch
LÖSUNG 21.02.2018, aktualisiert um 10:50 Uhr
Hi,

soll das über eine NIC laufen?

Falls ja, habe ich folgendes Beispiel gefunden:

Ein anschließender

sollte dann schicken.

Netzwerknamen & interfaces sind natürlich an deine Umgebung anzupassen.

Quelle meiner Informationen
Gruß Yannosch
Bitte warten ..
Mitglied: janosch12
21.02.2018 um 12:21 Uhr
Dankeschön ihr beiden.
Bitte warten ..
Mitglied: Yannosch
21.02.2018 um 12:36 Uhr
Läuft es denn jetzt wie es soll?
Bitte warten ..
Mitglied: aqui
21.02.2018, aktualisiert um 13:16 Uhr
Feedback wäre in der Tat mal schön und auch der Sinn eines Forums damit auch anderen geholfen wird. Manche haben aber scheinbar Schwierigkeiten das zu verstehen....
Bitte warten ..
Mitglied: janosch12
21.02.2018 um 22:11 Uhr
Hallo,
ja habe mir das was ich benötigt habe aus
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...

herausgepickt.
läuft alles wie es soll.
Bitte warten ..
Mitglied: janosch12
22.02.2018 um 00:43 Uhr
Bzw...
Debian / Ubuntu Clients bekommen so keine Default route mehr.
Bitte warten ..
Mitglied: aqui
22.02.2018 um 09:03 Uhr
Debian / Ubuntu Clients bekommen so keine Default route mehr.
Mmmhhh...wie sollen wir das jetzt verstehen ?? Ist das jetzt gut oder schlecht und ein Fehler ??
Kann auch niemals stimmen, denn das was dort im Server unter "Gateway" definiert ist, ist immer das Default Gateway was per DHCP propagiert wird.
Und zwar an alle Clients egal ob Winblows, Linux, MacOS, Smartphones oder was auch immer.
Bitte warten ..
Mitglied: FraggDieb
22.02.2018, aktualisiert um 11:11 Uhr
Ich zeig dir mal ein Beispiel aus unserem Netz:
Zur Erklärung: Der DHCP Server steht mit seiner eigenen Adresse im Netz: 10.0.0.128 in einem Netz. In diesem Netz soll KEIN DHCP gemacht werden. Damit der Dienst läuft (sonst meckert er) muss man aber das Subnetz was auf dem Interface liegt anlegen. Wie kommentiert ist, halt ohne eine Range zu definieren.

Dann folgen zwei andere Netze die der DHCP-Server versorgt. Die Netze werden über Cisco Switche und die ip adress helper an den DHCP-Server weitergeleitet. In dem Fall sind das WLAN Netze die in einem VLAN laufen und in dem Vlan steht als ip helper eben der dhcp server drin.

Das ganze läuft über ein Interace. Die Option mit shared-network würde ich dafür nicht verwenden. Ich weiß gerade nicht mehr warum, aber das hat nicht funktioniert. Dafür gab es einen Grund. Müsste ich mal grübeln. Einfach die Subnetze so anlegen wie in meinem Beispiel.

Deine Config könnte dann so aussehen:
Dafür brauchst du aber auch in dem Netz 1.1 einen Router/DNS Server. Der eben das Netz verbindet und die Adressen Routet. Soll einfach nur der DHCP-Bereich vergrößert werden von 192.168.0.0 bis 192.168.1.1 machst du folgendes:
Denk aber daran auch deinen Router entsprechend auf das größere Netz zu konfigurieren.

Fertig Noch fragen? :D
Bitte warten ..
Mitglied: janosch12
22.02.2018 um 12:50 Uhr
Hallo,
bei uns im Netz sieht es aktuell so aus:

1x Firewall ( PFsense) auf dieser liegen aktuell 4 Netze ( ohne v6 )

1 Netz im Beispiel 192.168.0.1/24 dient als " Gammel " Netz, wo die Clients dahinter Static konfiguriert werden. ( kein DHCP )
2 Netz im Beispiel 192.168.1.1/24 werden die Clients per DHCP bedient, immer an die MAC genagelt

bisher hat Netz 2 ausgereicht, da dieses /24 dem Ende zugeht kommt Netz3 ins Spiel das nun auch vom DHCP bedient werden soll

3 Netz im Beispiel 192.168.2.1/24 wie Netz2

4 Netz im Beispiel 192.168.3.1/24 wurde in kleinere Netze aufgeteilt, z.b ein /30 als GW für die Firewall.

Ich kann daher auf der Firewall das ganze nicht als /22 Routen, zumal mir die routen vom Bird zur Firewall Static zugeschoben werden ( die 3 Netze a /24 ) das alles umzubauen ist nicht geplannt.


Hier mal meine Stark vereinfachte Config.

authoritative;
default-lease-time 86400;
max-lease-time 86400;

option routers 192.168.1.1;
option domain-name-servers 192.168.1.1;

subnet 192.168.1.1 netmask 255.255.255.0 {

}

subnet 192.168.2.1 netmask 255.255.255.0 {

Darunter dann die Static Einträge der einzelnen Mac-Adressen

mein Debian Server zum testen befindet sich im Netz 192.168.2.1/24
wenn ich in der Config die Route auf 192.168.2.1 abändern erhält Debian eine Defoult Route und kommuniziert nach Außen,
sobald ich das ganze auf 192.168.1.1 ändere erhält Debian keine Defoult Route mehr.

ich könnte die DHCP Config nun natürlich einfach auf /22 ( 255.255.252 ) abändern
macht aber 1 kein sauberes Routing, und ich komm mit den Static Clients aus dem netz1 nicht mehr auf die DHCP Clients.

habe mich hier bereits rangemacht:
https://ercpe.de/blog/pushing-static-routes-with-isc-dhcp-server

allerdingserhalte ich dennoch keine default route
Bitte warten ..
Mitglied: FraggDieb
22.02.2018 um 12:56 Uhr
Du brauchst je Netz einen Router / Gateway bzw ein Interface dessen. In der Regel hat eine Firewall mehrere Interface wo diese Netze gekoppelt sind.
Bitte warten ..
Mitglied: aqui
22.02.2018, aktualisiert um 13:32 Uhr
zumal mir die routen vom Bird zur Firewall Static
Mmmhhh... nun kommen wieder andere Details ans Tageslicht
Daraus schliessen wir mal das du dynamisch routest wenn du mit Bird die Router Implementation meinst, oder ?? Wenn ja welches Protokoll ?? Und wo hast du dann noch andere Router die mit der pfSense kommunizieren ?

Um mal beim normalen Routing zu bleiben.
Per se routet die pfSense ja zwischen allen diesen 4 IP Netzen. FW Regeln lassen wir jetzt mal außen vor !
Das macht die pfSense also ganz ohne.
Vermutlich vergibt die pfSense dann in den Segmenten 2 und 3 die IP Adressen per DHCP ? Ist dem so ?
Wenn ja dann wird sie ja an die Clients sich selbst als Gateway per DHCP propagieren.
Soweit so gut....

Knackpunkt ist dann das Segment 4. Hier schreibst du:
wurde in kleinere Netze aufgeteilt, z.b ein /30 als GW für die Firewall.
Wie ist das jetzt zu verstehen ??
Die pfSense kann NICHT eine /24er Maske haben im Segment 4 wenn du dahinter /30er oder kleiner gesubnetete Netze betreibst. Damit hättest du einen Subnet Mask Mismatch im Netz der Fatal wäre und dir das Routing durcheinanderwürfelt.

Die zweite Frage ist in welchem Netzsegment dann der DHCP Server steht und vor allem für welche Netze er dann Adressen liefern soll ?
Generell macht man das dann ja mit der pfSense. Mit einem zentralen DHCP Server musst du auch ein UDP Forwarding einrichten (ip helper Adresse) ansonsten kannst du die UDP Broadcasts der DHCP Requests aus den gerouteten Client IP Segmenten ja niemals auf den zentralen DHCP Server forwarden.

Es klingt etwas wirr, da nicht vollkommen klar ist WIE die Netzstruktur und die dazu korrespondierende Adressierung bzw. das Routing aussieht.
Ein kleine Skizze wäre hier sehr hilfreich ?!

So wie oben kann die Konfig logischerweise niemals funktionieren. Bei einer Subnetz Definition wird sofern dort ein entsprechender Gateway Eintrag fehlt immer das der Globalen Konfig genommen mit dann fatalen Folgen.
Durch diesen Konfig Fehler bekommst du in deinem Subnetz .2.1 dann die .1.1 als Gateway für die Clients.
Das geht dann natürlich in die Hode, denn wie sollen die Clients im 2er Netz ein Gateway erreichen können was im 1er Netz liegt wenn sie selber gar kein Gateway haben ?
Bitte warten ..
Mitglied: janosch12
22.02.2018, aktualisiert um 13:52 Uhr
So, ich habe eich mal ein kleines Diagramm gezeichnet, so wird es vermutlich etwas verständlicher.

Es gibt ein zentraler DHCP , die Firewall selbst übernimmt keine DHCP funktionen.

Das hier ist die aktuelle DHCP conf.

authoritative;
default-lease-time 86400;
max-lease-time 86400;

option routers xxx.216.213.1;
option domain-name-servers xxx.216.212.1;



subnet xxx.216.213.0 netmask 255.255.255.0 {

}

subnet xxx.216.214.0 netmask 255.255.255.0


host 158-1 {hardware ethernet MAC;fixed-address xxx.216.213.7;}
host 159-2 {hardware ethernet MAC;ixed-address xxx.216.213.199;}
host 138-2 {hardware ethernet MAC;fixed-address xxx.216.213.33;}
host 219-1 {hardware ethernet MAC;fixed-address xxx.216.213.145;}


.....
bildschirmfoto zu 2018-02-22_13-46-24 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
22.02.2018 um 13:54 Uhr
OK, der DHCP Server soll IP Adressen an Netze verteilen die hinter den beiden Core Routern liegen ??
Wenn ja musst du zwingend dort einen UDP Helper installieren (Forwarding Agent oder auch DHCP Relay).
Ansonsten können die Client DHCP UDP Broadcasts aus diesen Netzen ja niemals auf deinen DHCP Server geforwardet werden.
Siehe auch hier:
http://www.ciscopress.com/articles/article.asp?p=330807&seqNum=9
https://en.wikipedia.org/wiki/UDP_Helper_Address
https://www.administrator.de/forum/vlans-dhcp-ip-helper-149589.html
Bitte warten ..
Mitglied: janosch12
22.02.2018 um 14:01 Uhr
Wieso dahinter ?

Core-Router /BPG -> Firewall mit allen Netzen -> DHCP

der Paketaustauch findet zwischen zwischen Firewall und DHCP Statt, da geht nichts über die cores
Bitte warten ..
Mitglied: aqui
22.02.2018, aktualisiert um 14:14 Uhr
Jetzt ist die Verwirrung komplett. Sorry verstehe im Monent nur Bahnhof...
Anders gefragt:
WO, in welchen Netzen sitzen denn die Clients die sich per DHCP von diesem Server IP Adressen holen ??
Wenn man das jetzt richtig versteht dann liegen diese Client Netze alle auf der pfSense Seite, richtig ?
Dann gilt aber wieder das gleiche... UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.
WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??
Bitte warten ..
Mitglied: janosch12
22.02.2018 um 14:32 Uhr
Zitat von aqui:
UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.


Ah.... also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken, und dieser eine IP aus dem anderen Netz geben.


WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??>

Übern Switch.
Firewal -> Switch -> DHCP Server und Clients alle hinter dem Switch
Bitte warten ..
Mitglied: Yannosch
22.02.2018 um 14:47 Uhr
Zitat von janosch12:

Zitat von aqui:
UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.


Ah.... also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken, und dieser eine IP aus dem anderen Netz geben.

Deswegen meine Frage zu Beginn auch: Ob alles über eine NIC laufen soll ... ne zweite wäre denke ich die einfachere Lösung.



WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??>

Übern Switch.
Firewal -> Switch -> DHCP Server und Clients alle hinter dem Switch
Bitte warten ..
Mitglied: aqui
22.02.2018, aktualisiert um 17:08 Uhr
also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken
Nein, natürlich nicht !
Das wäre kompletter Blödsinn. Bei 10 Netzen müsstest du dann 10 Netzwerkkarten in den Server stecken. Wäre ja Unsinn...
Das Zauberwort heisst DHCP Relay oder UDP Helper !!
https://doc.pfsense.org/index.php/DHCP_Relay
Darauf wurdest du oben schon mehrfach hingewiesen, also bitte auch mal lesen !!!
http://www.ciscopress.com/articles/article.asp?p=330807&seqNum=9
https://en.wikipedia.org/wiki/UDP_Helper_Address
https://www.administrator.de/forum/vlans-dhcp-ip-helper-149589.html
Usw. usw.
Bitte warten ..
Mitglied: FraggDieb
23.02.2018 um 12:55 Uhr
Ich kenne die pfSense nicht, aber wie es scheint kann die eben DHCP Relay. Die erhält dann vom Client die DHCP Anfrage und leitet Sie zum DHCP Server weiter. Bei Cisco-Switchen/Routern bzw. in VLANs macht man es mit IP Helper Adressen. Ist nichts anderes.

Der Relay weiß ja in welchem Netz er sich befindet und tagt den DHCP Request mit eben jener Netzkennung und daher weiß der DHCP Server aus welchem Netz der Request kommt und sendet seinen IP-Vorschlag über diesen Relay an den Clienten.
Bitte warten ..
Mitglied: aqui
23.02.2018, aktualisiert um 20:01 Uhr
Ich kenne die pfSense nicht
Zeit sie kennenzulernen:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
und
https://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
Hardware zum Spielen:
https://www.amazon.de/VPN-Router-Netzwerksicherheit-Industrieller-Barebo ...
aber wie es scheint kann die eben DHCP Relay
Es "scheint" nicht nur so sie kann es wirklich.
macht man es mit IP Helper Adressen. Ist nichts anderes.
Yepp, richtig, ist das gleiche Verfahren ! (Übrigens nicht nur bei Cisco, machen alle anderen Switch Hersteller auch so !)
...und daher weiß der DHCP Server aus welchem Netz der Request kommt und sendet seinen IP-Vorschlag über diesen Relay an den Clienten.
Bingo !
Du hast deine Hausaufgaben perfekt gemacht !!!
Bitte warten ..
Mitglied: FraggDieb
26.02.2018 um 10:11 Uhr
Mir reicht Juniper und die Cisco ASA
Bitte warten ..
Mitglied: aqui
26.02.2018, aktualisiert um 10:16 Uhr
Vom Prinzip her ist es für den Netzwerker so oder so immer die gleiche Leier und Prozedur. Egal ob da ein GUI oder CLI von Juniper, Cisco, pfSense oder wem auch immer zwischen ist
Bitte warten ..
Ähnliche Inhalte
DNS
ISC DHCP Ipv6
Frage von janosch12DNS5 Kommentare

Hallo, ich versuche aktuell Ipv6 einzurichten, meine Ipv4 Config frisst er dabei allerdings nicht. hat mir jemand eine Example ...

Netzwerkmanagement

Im ISC DHCP Server bestimmte MAC Adressen blockieren

gelöst Frage von lasterNetzwerkmanagement7 Kommentare

Hallo, habe einen ISC DHCP Server (auf raspberry) laufen. Nun möchte ich verhindern, dass ein bestimmter Host (MAC-Adresse bekannt) ...

Debian

Isc-dhcp-server - Unterschiedliche DNS-Server für fixe IP-Adressen

gelöst Frage von c0d3.r3dDebian5 Kommentare

Hallo, ich habe hier zu Testzwecken aktuell in einer VM-Umgebung auf einem Konsolen basierenden Debian einen DHCP-Server installiert. Der ...

Netzwerkmanagement

24 Subnetz mit 2 VLANs

gelöst Frage von netscratNetzwerkmanagement4 Kommentare

Moin zusammen, folgendes Szenario ergibt sich grade für ein Schulprojekt: Firma mit 3 Stockwerken und in denen sind jeweils ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...