janosch12
Goto Top

ISC DHCP 2 Subnetze

Hallo,
ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian,
der DHCP verwaltet aktuell ein /24 ,was auch super funktioniert.
nun soll ein weiteres Flash /24 hinzugefügt werden.

Aktuell schaut meine Config so aus:

authoritative;
default-lease-time 86400;
max-lease-time 86400;
subnet 192.168.0.1 netmask 255.255.255.0 {

option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
option domain-name local

hinzukommen soll jetzt noch das Netz 192.168.1.1/24

wie muss ich meine Konfig anpassen ?
einfach das Subnet erweitern geht nicht, da eich es so nicht routen kann.

Content-ID: 365541

Url: https://administrator.de/contentid/365541

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

aqui
Lösung aqui 21.02.2018 um 10:47:52 Uhr
Goto Top
Hier findest du alle Antworten auf deine Frage und eine Abtipp fertige Konfig:
Netzwerk Management Server mit Raspberry Pi
Yannosch
Lösung Yannosch 21.02.2018 aktualisiert um 10:50:38 Uhr
Goto Top
Hi,

soll das über eine NIC laufen?

Falls ja, habe ich folgendes Beispiel gefunden:

shared-network my-net {
  subnet 10.1.1.0 netmask 255.255.255.0 {
    ...
  }

  subnet 10.1.2.0 netmask 255.255.255.0 {
    ...
  }

  subnet 10.1.3.0 netmask 255.255.255.0 {
    ...
  }
}

Ein anschließender

dhcpd -4 eth2

sollte dann schicken.

Netzwerknamen & interfaces sind natürlich an deine Umgebung anzupassen.

Quelle meiner Informationen
Gruß Yannosch
janosch12
janosch12 21.02.2018 um 12:21:17 Uhr
Goto Top
Dankeschön ihr beiden.
Yannosch
Yannosch 21.02.2018 um 12:36:20 Uhr
Goto Top
Läuft es denn jetzt wie es soll?
aqui
aqui 21.02.2018 aktualisiert um 13:16:40 Uhr
Goto Top
Feedback wäre in der Tat mal schön und auch der Sinn eines Forums damit auch anderen geholfen wird. Manche haben aber scheinbar Schwierigkeiten das zu verstehen.... face-sad
janosch12
janosch12 21.02.2018 um 22:11:06 Uhr
Goto Top
Hallo,
ja habe mir das was ich benötigt habe aus
Netzwerk Management Server mit Raspberry Pi

herausgepickt.
läuft alles wie es soll.
janosch12
janosch12 22.02.2018 um 00:43:59 Uhr
Goto Top
Bzw...
Debian / Ubuntu Clients bekommen so keine Default route mehr.
aqui
aqui 22.02.2018 um 09:03:29 Uhr
Goto Top
Debian / Ubuntu Clients bekommen so keine Default route mehr.
Mmmhhh...wie sollen wir das jetzt verstehen ?? Ist das jetzt gut oder schlecht und ein Fehler ??
Kann auch niemals stimmen, denn das was dort im Server unter "Gateway" definiert ist, ist immer das Default Gateway was per DHCP propagiert wird.
Und zwar an alle Clients egal ob Winblows, Linux, MacOS, Smartphones oder was auch immer.
FraggDieb
FraggDieb 22.02.2018 aktualisiert um 11:11:36 Uhr
Goto Top
Ich zeig dir mal ein Beispiel aus unserem Netz:
 
pi@lxraspberrydhcp:~ $  cat /etc/dhcp/dhcpd.conf
authoritative;

ddns-update-style none;
ignore client-updates;

log-facility local7;

default-lease-time              86400;
max-lease-time                  604800;

option domain-name-servers 10.97.XXX.YY,10.97.XXX.YY;


# Subnets for internal hosts

subnet 10.0.0.128 netmask 255.255.255.128 {
# note that no range is given so dhcpd will not try to
# assign IP addresses
}

# Subnet for WLAN1
subnet 10.1.1.0 netmask 255.255.255.128 {
        range 10.1.1.10 10.1.1.120;
        option routers 10.1.1.1;
        option subnet-mask 255.255.255.128;
}

#Subnet for WLAN2
subnet 10.2.2.0 netmask 255.255.255.0 {
        range 10.2.2.10 10.2.2.250;
        option routers 10.2.2.1;
        option subnet-mask 255.255.255.0;
}

Zur Erklärung: Der DHCP Server steht mit seiner eigenen Adresse im Netz: 10.0.0.128 in einem Netz. In diesem Netz soll KEIN DHCP gemacht werden. Damit der Dienst läuft (sonst meckert er) muss man aber das Subnetz was auf dem Interface liegt anlegen. Wie kommentiert ist, halt ohne eine Range zu definieren.

Dann folgen zwei andere Netze die der DHCP-Server versorgt. Die Netze werden über Cisco Switche und die ip adress helper an den DHCP-Server weitergeleitet. In dem Fall sind das WLAN Netze die in einem VLAN laufen und in dem Vlan steht als ip helper eben der dhcp server drin.

Das ganze läuft über ein Interace. Die Option mit shared-network würde ich dafür nicht verwenden. Ich weiß gerade nicht mehr warum, aber das hat nicht funktioniert. Dafür gab es einen Grund. Müsste ich mal grübeln. Einfach die Subnetze so anlegen wie in meinem Beispiel.

Deine Config könnte dann so aussehen:
authoritative;
default-lease-time 86400;
max-lease-time 86400;

subnet 192.168.0.1 netmask 255.255.255.0 {
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
option domain-name local
}

subnet 192.168.1.1 netmask 255.255.255.0 {
option routers 192.168.1.1;
option domain-name-servers 192.168.1.1;
option domain-name local
}

Dafür brauchst du aber auch in dem Netz 1.1 einen Router/DNS Server. Der eben das Netz verbindet und die Adressen Routet. Soll einfach nur der DHCP-Bereich vergrößert werden von 192.168.0.0 bis 192.168.1.1 machst du folgendes:
subnet 192.168.0.1 netmask 255.255.254.0 {
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
option domain-name local
}

Denk aber daran auch deinen Router entsprechend auf das größere Netz zu konfigurieren.

Fertig face-smile Noch fragen? :D
janosch12
janosch12 22.02.2018 um 12:50:36 Uhr
Goto Top
Hallo,
bei uns im Netz sieht es aktuell so aus:

1x Firewall ( PFsense) auf dieser liegen aktuell 4 Netze ( ohne v6 )

1 Netz im Beispiel 192.168.0.1/24 dient als " Gammel " Netz, wo die Clients dahinter Static konfiguriert werden. ( kein DHCP )
2 Netz im Beispiel 192.168.1.1/24 werden die Clients per DHCP bedient, immer an die MAC genagelt

bisher hat Netz 2 ausgereicht, da dieses /24 dem Ende zugeht kommt Netz3 ins Spiel das nun auch vom DHCP bedient werden soll

3 Netz im Beispiel 192.168.2.1/24 wie Netz2

4 Netz im Beispiel 192.168.3.1/24 wurde in kleinere Netze aufgeteilt, z.b ein /30 als GW für die Firewall.

Ich kann daher auf der Firewall das ganze nicht als /22 Routen, zumal mir die routen vom Bird zur Firewall Static zugeschoben werden ( die 3 Netze a /24 ) das alles umzubauen ist nicht geplannt.


Hier mal meine Stark vereinfachte Config.

authoritative;
default-lease-time 86400;
max-lease-time 86400;

option routers 192.168.1.1;
option domain-name-servers 192.168.1.1;

subnet 192.168.1.1 netmask 255.255.255.0 {

}

subnet 192.168.2.1 netmask 255.255.255.0 {

Darunter dann die Static Einträge der einzelnen Mac-Adressen

mein Debian Server zum testen befindet sich im Netz 192.168.2.1/24
wenn ich in der Config die Route auf 192.168.2.1 abändern erhält Debian eine Defoult Route und kommuniziert nach Außen,
sobald ich das ganze auf 192.168.1.1 ändere erhält Debian keine Defoult Route mehr.

ich könnte die DHCP Config nun natürlich einfach auf /22 ( 255.255.252 ) abändern
macht aber 1 kein sauberes Routing, und ich komm mit den Static Clients aus dem netz1 nicht mehr auf die DHCP Clients.

habe mich hier bereits rangemacht:
https://ercpe.de/blog/pushing-static-routes-with-isc-dhcp-server

allerdingserhalte ich dennoch keine default route
FraggDieb
FraggDieb 22.02.2018 um 12:56:08 Uhr
Goto Top
Du brauchst je Netz einen Router / Gateway bzw ein Interface dessen. In der Regel hat eine Firewall mehrere Interface wo diese Netze gekoppelt sind.
aqui
aqui 22.02.2018 aktualisiert um 13:32:44 Uhr
Goto Top
zumal mir die routen vom Bird zur Firewall Static
Mmmhhh... nun kommen wieder andere Details ans Tageslicht face-sad
Daraus schliessen wir mal das du dynamisch routest wenn du mit Bird die Router Implementation meinst, oder ?? Wenn ja welches Protokoll ?? Und wo hast du dann noch andere Router die mit der pfSense kommunizieren ?

Um mal beim normalen Routing zu bleiben.
Per se routet die pfSense ja zwischen allen diesen 4 IP Netzen. FW Regeln lassen wir jetzt mal außen vor !
Das macht die pfSense also ganz ohne.
Vermutlich vergibt die pfSense dann in den Segmenten 2 und 3 die IP Adressen per DHCP ? Ist dem so ?
Wenn ja dann wird sie ja an die Clients sich selbst als Gateway per DHCP propagieren.
Soweit so gut....

Knackpunkt ist dann das Segment 4. Hier schreibst du:
wurde in kleinere Netze aufgeteilt, z.b ein /30 als GW für die Firewall.
Wie ist das jetzt zu verstehen ??
Die pfSense kann NICHT eine /24er Maske haben im Segment 4 wenn du dahinter /30er oder kleiner gesubnetete Netze betreibst. Damit hättest du einen Subnet Mask Mismatch im Netz der Fatal wäre und dir das Routing durcheinanderwürfelt.

Die zweite Frage ist in welchem Netzsegment dann der DHCP Server steht und vor allem für welche Netze er dann Adressen liefern soll ?
Generell macht man das dann ja mit der pfSense. Mit einem zentralen DHCP Server musst du auch ein UDP Forwarding einrichten (ip helper Adresse) ansonsten kannst du die UDP Broadcasts der DHCP Requests aus den gerouteten Client IP Segmenten ja niemals auf den zentralen DHCP Server forwarden.

Es klingt etwas wirr, da nicht vollkommen klar ist WIE die Netzstruktur und die dazu korrespondierende Adressierung bzw. das Routing aussieht.
Ein kleine Skizze wäre hier sehr hilfreich ?!

So wie oben kann die Konfig logischerweise niemals funktionieren. Bei einer Subnetz Definition wird sofern dort ein entsprechender Gateway Eintrag fehlt immer das der Globalen Konfig genommen mit dann fatalen Folgen.
Durch diesen Konfig Fehler bekommst du in deinem Subnetz .2.1 dann die .1.1 als Gateway für die Clients.
Das geht dann natürlich in die Hode, denn wie sollen die Clients im 2er Netz ein Gateway erreichen können was im 1er Netz liegt wenn sie selber gar kein Gateway haben ?
janosch12
janosch12 22.02.2018 aktualisiert um 13:52:57 Uhr
Goto Top
So, ich habe eich mal ein kleines Diagramm gezeichnet, so wird es vermutlich etwas verständlicher.

Es gibt ein zentraler DHCP , die Firewall selbst übernimmt keine DHCP funktionen.

Das hier ist die aktuelle DHCP conf.

authoritative;
default-lease-time 86400;
max-lease-time 86400;

option routers xxx.216.213.1;
option domain-name-servers xxx.216.212.1;


subnet xxx.216.213.0 netmask 255.255.255.0 {

}

subnet xxx.216.214.0 netmask 255.255.255.0


host 158-1 {hardware ethernet MAC;fixed-address xxx.216.213.7;}
host 159-2 {hardware ethernet MAC;ixed-address xxx.216.213.199;}
host 138-2 {hardware ethernet MAC;fixed-address xxx.216.213.33;}
host 219-1 {hardware ethernet MAC;fixed-address xxx.216.213.145;}


bildschirmfoto zu 2018-02-22_13-46-24
aqui
aqui 22.02.2018 um 13:54:53 Uhr
Goto Top
OK, der DHCP Server soll IP Adressen an Netze verteilen die hinter den beiden Core Routern liegen ??
Wenn ja musst du zwingend dort einen UDP Helper installieren (Forwarding Agent oder auch DHCP Relay).
Ansonsten können die Client DHCP UDP Broadcasts aus diesen Netzen ja niemals auf deinen DHCP Server geforwardet werden.
Siehe auch hier:
http://www.ciscopress.com/articles/article.asp?p=330807&seqNum=9
https://en.wikipedia.org/wiki/UDP_Helper_Address
Vlans und DHCP (IP-Helper?)
janosch12
janosch12 22.02.2018 um 14:01:13 Uhr
Goto Top
Wieso dahinter ?

Core-Router /BPG -> Firewall mit allen Netzen -> DHCP

der Paketaustauch findet zwischen zwischen Firewall und DHCP Statt, da geht nichts über die cores
aqui
aqui 22.02.2018 aktualisiert um 14:14:50 Uhr
Goto Top
Jetzt ist die Verwirrung komplett. Sorry verstehe im Monent nur Bahnhof... face-sad
Anders gefragt:
WO, in welchen Netzen sitzen denn die Clients die sich per DHCP von diesem Server IP Adressen holen ??
Wenn man das jetzt richtig versteht dann liegen diese Client Netze alle auf der pfSense Seite, richtig ?
Dann gilt aber wieder das gleiche... UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.
WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??
janosch12
janosch12 22.02.2018 um 14:32:35 Uhr
Goto Top
Zitat von @aqui:
UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.


Ah.... also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken, und dieser eine IP aus dem anderen Netz geben.


WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??>

Übern Switch.
Firewal -> Switch -> DHCP Server und Clients alle hinter dem Switch
Yannosch
Yannosch 22.02.2018 um 14:47:22 Uhr
Goto Top
Zitat von @janosch12:

Zitat von @aqui:
UDP Broadcasts und damit DHCP Broadcasts werden NICHT über Routergrenzen übertragen.


Ah.... also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken, und dieser eine IP aus dem anderen Netz geben.

Deswegen meine Frage zu Beginn auch: Ob alles über eine NIC laufen soll ... ne zweite wäre denke ich die einfachere Lösung.



WIE kommen denn die DHCP Requests aus dem Subnetzen zum Server ??>

Übern Switch.
Firewal -> Switch -> DHCP Server und Clients alle hinter dem Switch
aqui
aqui 22.02.2018 aktualisiert um 17:08:37 Uhr
Goto Top
also müsste ich dem DHCP einfach mit einer weitere Netzwerkkarte bestücken
Nein, natürlich nicht !
Das wäre kompletter Blödsinn. Bei 10 Netzen müsstest du dann 10 Netzwerkkarten in den Server stecken. Wäre ja Unsinn...
Das Zauberwort heisst DHCP Relay oder UDP Helper !!
https://doc.pfsense.org/index.php/DHCP_Relay
Darauf wurdest du oben schon mehrfach hingewiesen, also bitte auch mal lesen !!!
http://www.ciscopress.com/articles/article.asp?p=330807&seqNum=9
https://en.wikipedia.org/wiki/UDP_Helper_Address
Vlans und DHCP (IP-Helper?)
Usw. usw.
FraggDieb
FraggDieb 23.02.2018 um 12:55:56 Uhr
Goto Top
Ich kenne die pfSense nicht, aber wie es scheint kann die eben DHCP Relay. Die erhält dann vom Client die DHCP Anfrage und leitet Sie zum DHCP Server weiter. Bei Cisco-Switchen/Routern bzw. in VLANs macht man es mit IP Helper Adressen. Ist nichts anderes.

Der Relay weiß ja in welchem Netz er sich befindet und tagt den DHCP Request mit eben jener Netzkennung und daher weiß der DHCP Server aus welchem Netz der Request kommt und sendet seinen IP-Vorschlag über diesen Relay an den Clienten.
aqui
aqui 23.02.2018 aktualisiert um 20:01:36 Uhr
Goto Top
Ich kenne die pfSense nicht
Zeit sie kennenzulernen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
https://www.amazon.de/Pfsense-Definitive-Christopher-M-Buechler/dp/09790 ...
Hardware zum Spielen:
https://www.amazon.de/VPN-Router-Netzwerksicherheit-Industrieller-Barebo ...
aber wie es scheint kann die eben DHCP Relay
Es "scheint" nicht nur so sie kann es wirklich.
macht man es mit IP Helper Adressen. Ist nichts anderes.
Yepp, richtig, ist das gleiche Verfahren ! (Übrigens nicht nur bei Cisco, machen alle anderen Switch Hersteller auch so !)
...und daher weiß der DHCP Server aus welchem Netz der Request kommt und sendet seinen IP-Vorschlag über diesen Relay an den Clienten.
Bingo !
Du hast deine Hausaufgaben perfekt gemacht !!! face-big-smile
FraggDieb
FraggDieb 26.02.2018 um 10:11:34 Uhr
Goto Top
Mir reicht Juniper und die Cisco ASA face-wink
aqui
aqui 26.02.2018 aktualisiert um 10:16:10 Uhr
Goto Top
Vom Prinzip her ist es für den Netzwerker so oder so immer die gleiche Leier und Prozedur. Egal ob da ein GUI oder CLI von Juniper, Cisco, pfSense oder wem auch immer zwischen ist face-wink
ButterBot
ButterBot 20.10.2022 aktualisiert um 00:15:55 Uhr
Goto Top
Zitat von @Yannosch:

Hi,

soll das über eine NIC laufen?

Falls ja, habe ich folgendes Beispiel gefunden:

shared-network my-net {
  subnet 10.1.1.0 netmask 255.255.255.0 {
    ...
  }

  subnet 10.1.2.0 netmask 255.255.255.0 {
    ...
  }

  subnet 10.1.3.0 netmask 255.255.255.0 {
    ...
  }
}

Ein anschließender

dhcpd -4 eth2

sollte dann schicken.

Netzwerknamen & interfaces sind natürlich an deine Umgebung anzupassen.

Quelle meiner Informationen
Gruß Yannosch


Moin Moin Yannosch,

vielen vielen Dank, du hast mir den Abend bzw. die Nacht gerettet!!!
Ich küsse deine Augen! Danke dir!!!!

Bei dem Problem hast du mir geholfen:
ISC DHCP Server fail bei zwei Subnetzen=756#comment-4339069165

Liebe Grüße