10
ISC DHCP, durch Options bei Reservierungen den Gateway blockieren?
Mahlzeit Digitalfreunde.
Da ist ein PI für DHCP und DNS in einem lokalen Netzwerk. Jaaaaa, vollkommen veraltet, aber das wird eine nächste Baustelle sein: Neuer Pi-5 und neue Software.
Auf dem PI wird ISC DHCP eingesetzt, und div. Reservierungen sind eingetragen. Allgemein wird über den DHCP auch das Gateway mitgeteilt.
Mit dem "Ableben" von Win10 sollten solche Rechner nicht mehr ins Internet können aber im lokalen Netz weiter leben dürfen.
Kann man über die Options irgednwie diesen Rechnern per Reservierung das Gateway verbieten? AD gibt es nicht.
Danke
Kreuzberger
Da ist ein PI für DHCP und DNS in einem lokalen Netzwerk. Jaaaaa, vollkommen veraltet, aber das wird eine nächste Baustelle sein: Neuer Pi-5 und neue Software.
Auf dem PI wird ISC DHCP eingesetzt, und div. Reservierungen sind eingetragen. Allgemein wird über den DHCP auch das Gateway mitgeteilt.
Mit dem "Ableben" von Win10 sollten solche Rechner nicht mehr ins Internet können aber im lokalen Netz weiter leben dürfen.
Kann man über die Options irgednwie diesen Rechnern per Reservierung das Gateway verbieten? AD gibt es nicht.
Danke
Kreuzberger
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671420
Url: https://administrator.de/forum/isc-dhcp-durch-options-bei-reservierungen-den-gateway-blockieren-671420.html
Ausgedruckt am: 20.02.2025 um 19:02 Uhr
10 Kommentare
Neuester Kommentar
Du willst also allen Windows-Clients im LAN, die noch mit Win10 laufen einen "falschen" Gateway-Eintrag verpassen?
Würde das nicht mit Powershell gehen?
Irgendwas mit
und
Würde das nicht mit Powershell gehen?
Irgendwas mit
Get-WmiObject -Class Win32_OperatingSystemCaption -notlike "*Windows 11*" 
@kpunkt
Danke
Ich würde lieber das mit dem DHCP Server machen, da es auch andere Hosts darüber hinaus beträfe, die nicht nach hause telefonieren sollen bzw. nicht eine Verbindung zum Internet haben sollten.
Kreuzberger
Danke
Ich würde lieber das mit dem DHCP Server machen, da es auch andere Hosts darüber hinaus beträfe, die nicht nach hause telefonieren sollen bzw. nicht eine Verbindung zum Internet haben sollten.
Kreuzberger
Jaaaaa, vollkommen veraltet
Nöö, warum?? Wenn er nur als DHCP Server arbeitet, dann reicht doch ein RasPi 1B völlig! 
Guckst du HIER!
Das kannst du mit dem DHCP machen über die Option 82.
Die Herausforderung ist ja das du diese betroffenen Rechner alle selektieren musst damit der DHCP Server weiss "Hey da ist ein Win 10 Kandidat der keine Gateway IP bekommen darf".
Das kannst du auf 2 Arten machen.
- Einmal selektierst du alle diese Rechner anhand ihrer IP Adressen und machst einen statischen Eintrag der kein Gateway mitgibt oder über die Option 121 eine Fake Default Route.
- Sind das zuviele und ist dir das statische Setup zu mühsam selektierst du sie über den Switch und die Option 82. Dazu muss der Switch DHCP Snooping supporten.
@aqui
nuja, wie ich lesen darf wird der nicht mehr weiterentwickeln, nicht mehr supportet, es gibt wohl nachfolger.
Daher will ich das mit dem Infrastruktur-RasPI bei mir in einem kommenden Projekt, aber erst nach
(M)Ein Bacula-Project
(ich mag lieber eines nach dem anderen machen)
erneuern und vor allem per Web-Interface dann grafisch schicker mit klicki-bunti verwaltbar machen.
Das soll dann (DHCP, DNS, Active-Directory per SAMBA, optional Zabbix auf einem PI machen.
Zu meinem alten PI:
Diese Option 121 scheint mir das bessere zu sein, es sind ja nicht so viele Hosts betroffen, das kann man schon händisch erfassen. Ich muss halt nur wissen, wie das in meienr Config für de DHCP dann aussieht.
Beispielzeile in der dhcpd.conf:
So ist das jetzt bei mir, und ja, ich weiß, .local macht man nicht mehr. ist jetzt aber noch so.
Was muss ich denn da ggf. anfürgwen, damit der ComputernameXYZ auf sich selber guckt?
Kreuzberger
Kreuzberger
nuja, wie ich lesen darf wird der nicht mehr weiterentwickeln, nicht mehr supportet, es gibt wohl nachfolger.
Daher will ich das mit dem Infrastruktur-RasPI bei mir in einem kommenden Projekt, aber erst nach
(M)Ein Bacula-Project
(ich mag lieber eines nach dem anderen machen)
erneuern und vor allem per Web-Interface dann grafisch schicker mit klicki-bunti verwaltbar machen.
Das soll dann (DHCP, DNS, Active-Directory per SAMBA, optional Zabbix auf einem PI machen.
Zu meinem alten PI:
Diese Option 121 scheint mir das bessere zu sein, es sind ja nicht so viele Hosts betroffen, das kann man schon händisch erfassen. Ich muss halt nur wissen, wie das in meienr Config für de DHCP dann aussieht.
Beispielzeile in der dhcpd.conf:
host ComputernameXYZ { hardware ethernet 12:34:56:AB:CD:EF; fixed-address ComputernameXYZ.blabla.local}Was muss ich denn da ggf. anfürgwen, damit der ComputernameXYZ auf sich selber guckt?
Kreuzberger
Kreuzberger
wie ich lesen darf wird der nicht mehr weiterentwickeln, nicht mehr supportet
Du meinst den ISC?? Bedingt stimmt das da der Kea aber noch Kinderkrankheiten hat und einige DHCP Features (noch) nicht supportet ist man derzeit mit dem etablierten ISC noch ganz gut beraten. Du kannst alternativ bei Winblows auch die Option 249 nehmen:
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-dhcpe/f ...
Knackpunkt ist ja die Selektion dieser Rechner im DHCP Server sofern du keine statischen Zuweisungen machen willst. Dabei ist es dann unerheblich ob du dann das Gateway löschst oder mit Option 121 oder 249 an Routing dieser Clients manipulierst.
Am einfachsten gehts das wenn man deren Mac Adressen erfasst und deren Gateway löscht:
# Statische Winblows 10 Moehre
host win10 {
hardware ethernet 0c:12:34:59:1a:d2;
fixed-address 172.16.1.111;
option routers 0.0.0.0;
}
@aqui
Hurra, JA, das scheint mir die Lösung zu sein, jedenfalls dachte ich mir das so umzusetzen. Wie gesagt, es betrifft in diesem Netz nur wenige Hosts, also überschaubare Arbeit.
Ich ergänze also meine Beispielzeile nur mit
und der betreffende Host mit der MAC-Adresse kommt nicht mehr raus ins Internet!?!?!?
Ich werde das nachher mal ausprobieren.
Danke
Kreuzberger
Hurra, JA, das scheint mir die Lösung zu sein, jedenfalls dachte ich mir das so umzusetzen. Wie gesagt, es betrifft in diesem Netz nur wenige Hosts, also überschaubare Arbeit.
Ich ergänze also meine Beispielzeile nur mit
option routers 0.0.0.0;und der betreffende Host mit der MAC-Adresse kommt nicht mehr raus ins Internet!?!?!?
Ich werde das nachher mal ausprobieren.
Danke
Kreuzberger
@aqui
Ergänzung:
Ja, ich meine den ISC. Der ist derzeit noch hier auf dem RasPI 2B. Der tut superstabil was er soll. Leider aber ist das ja nicht sehr „bequem“ zu managen.
Daher trage ich mich mit dem Gedanken, das auf einem neuen RasPI4 oder Raspi5 komplett neu zu machen, dann aber mit weiteren Diensten und Features.EA da schon voll funktionale ist, oder noch Entwicklerstadium hat weiß ich nicht. Ich mag aber dann später Klicki-Bunti-WebInterface haben.
Nimmt man dazu nicht eigentlich statt der 0.0.0.0 die 127.0.0.0 ?
Kreuzberger
Ergänzung:
Ja, ich meine den ISC. Der ist derzeit noch hier auf dem RasPI 2B. Der tut superstabil was er soll. Leider aber ist das ja nicht sehr „bequem“ zu managen.
Daher trage ich mich mit dem Gedanken, das auf einem neuen RasPI4 oder Raspi5 komplett neu zu machen, dann aber mit weiteren Diensten und Features.EA da schon voll funktionale ist, oder noch Entwicklerstadium hat weiß ich nicht. Ich mag aber dann später Klicki-Bunti-WebInterface haben.
Nimmt man dazu nicht eigentlich statt der 0.0.0.0 die 127.0.0.0 ?
Kreuzberger
Ich ergänze also meine Beispielzeile nur mit
Jepp. Sollte dann auch im ipconfig entsprechend zu sehen sein.Nimmt man dazu nicht eigentlich statt der 0.0.0.0 die 127.0.0.0 ?
Du meinst für den Kea Konfig Agent? Letzteres, (Loopback) wenn der auf dem gleichen Rechner werkeln soll.
Zitat von @kreuzberger:
@aqui
Ergänzung:
Ja, ich meine den ISC. Der ist derzeit noch hier auf dem RasPI 2B. Der tut superstabil was er soll. Leider aber ist das ja nicht sehr „bequem“ zu managen.
Daher trage ich mich mit dem Gedanken, das auf einem neuen RasPI4 oder Raspi5 komplett neu zu machen, ...
@aqui
Ergänzung:
Ja, ich meine den ISC. Der ist derzeit noch hier auf dem RasPI 2B. Der tut superstabil was er soll. Leider aber ist das ja nicht sehr „bequem“ zu managen.
Daher trage ich mich mit dem Gedanken, das auf einem neuen RasPI4 oder Raspi5 komplett neu zu machen, ...
Nur weil Du alles "komplett neu" machen willst, mußt Du den armen Pi2B nicht aufs Altenteil schicken. Ist ja nicht wie bei Windows, wo neue Software nicht auf dem alten Pi läuft Ich habe gerade bei einem Kunden einen Pi1 durch eine Pi2 ersetzt, weil der alte Einser die Grätsche gemacht hat. Die aktuelle Anthias-Software (Digital Signage von Screenly) läuft auf dem immer noch wunderbar als Ersatz für das ältere Screenly OSE.
lks
2
@Lochkartenstanzer
Danke
Na ich wollte ja auch wie oben zu lesen schon noch einiges mehr auf dem neuen PI laufen lassen. Aber das Projekt will ich erst angehen wenn das mit dem
endlich läuft.
Kreuzberger
Danke
Na ich wollte ja auch wie oben zu lesen schon noch einiges mehr auf dem neuen PI laufen lassen. Aber das Projekt will ich erst angehen wenn das mit dem
(M)Ein Bacula-Project
endlich läuft.
Kreuzberger
