bpeter
Goto Top

Unterschiedliche DHCP Bereiche erstellen für Clients im Homeoffice

Hallo,
wie kann ich den DHCP-Client bzw. -Server so konfigurieren, damit ich IP-Bereiche habe für z.B.: IT, Sub-Domains, ..., wenn der Client im Homeoffice sitzt? Soll heißen: Ich als Admin bekomme eine IP 10.253.10.10, ein normaler Anwender bekommt 10.253.20.10 und ein Anwender aus einer anderen Domäne 10.253.30.10
Es geht teilweise um Berechtigungen, VPN-Lizenzen, ... Die IT darf z.B. im Netzwerk auf Ressourcen zugreifen, auf die der normale Anwender nicht darf. Das sollte genauso auch im Homeoffice sein. Des Weiteren will man auch die VPN-Lizenzen verrechnen, die jedes Land (Sub-Domain) verbraucht.
Im Moment funktioniert dies auch, da wir für Homeoffice einen DHCP-Server benutzen von dem VPN-Hersteller. Dieser stößt jetzt mit seiner Funktionalität an seine Grenzen, so dass man auf Windows-DHCP umschwenken will.
Ich habe von der Option 118 gelesen, aber mir ist nicht ganz klar, wie das funktionieren soll.

Vielleicht hat das jemand schon so umgesetzt und kann Licht ins Dunkel bringen.

VG
Peter

Content-ID: 667887

Url: https://administrator.de/contentid/667887

Printed on: September 12, 2024 at 00:09 o'clock

radiogugu
radiogugu Sep 04, 2024 at 13:00:40 (UTC)
Goto Top
Mahlzeit.

Was ist denn dein "VPN-Hersteller"?

Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.

Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.

Gruß
Marc
NordicMike
NordicMike Sep 04, 2024 at 14:30:51 (UTC)
Goto Top
Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.
BPeter
BPeter Sep 04, 2024 at 14:41:19 (UTC)
Goto Top
Zitat von @NordicMike:

Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.

Das ist korrekt. Das machen wir auch nicht. Es gibt spezielle Accounts für unsere Server. Nichtsdestotrotz darf mein Office Account etwas mehr, als ein normaler Anwender.
BPeter
BPeter Sep 04, 2024 at 14:43:06 (UTC)
Goto Top
Zitat von @radiogugu:

Mahlzeit.

Was ist denn dein "VPN-Hersteller"?

Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.

Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.

Gruß
Marc

Hallo Marc,
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.

VG
radiogugu
radiogugu Sep 04, 2024 at 15:02:26 (UTC)
Goto Top
Zitat von @BPeter:
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.

Ich würde den Admins, wenn diese unbedingt exklusiveren Zugriff benötigen, mittels VPN Regelwerk Zugriff auf einen Remote Desktop Server oder eine andere Maschine geben, welcher als Jumphost dient.

Den DHCP für die VPN Einwahl würde ich immer auf dem Perimeter (Firewall) konfigurieren. In jedem Fall solltest du über einen Radius nachdenken und dich damit auseinandersetzen.

Gruß
Marc
chiefteddy
chiefteddy Sep 04, 2024 at 15:08:11 (UTC)
Goto Top
Hallo,
ist das Firmen-Netz denn schon in VLANs strukturiert? Wer routet zw. den VLANs? Kann der Router "DHCP-Relais"?

Normalerweise steht in der Konfig-Datei des VPN-Clients des jeweiligen Users, in welches VLAN er geleitet wird. Gegebenenfalls muss man in der Firewall (oder wo auch immer die VPN-Tunnel enden) entsprechende VPN-Regeln erstellen.

Jürgen
em-pie
em-pie Sep 04, 2024 at 15:09:45 (UTC)
Goto Top
Moin,
Welches VPN-Protokoll kommt denn zum Einsatz?

Weshalb ich Frage:
Mittels SSL VPN kannst du - pro User (-Gruppe) Ziel-IPs festlegen.
Alle normalo-User im HO dürfen dann nur die RDS-Systeme erreichen ((als Beispiel). Ist es ein User, der der VpN-Gruppe „Admin“ angehört, darf er noch den Admin-Jump-Host ansteuern…

Alle User sind aber im selben VPN-IP-Netz
aqui
aqui Sep 04, 2024 at 15:29:22 (UTC)
Goto Top
Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔
BPeter
BPeter Sep 05, 2024 at 06:07:20 (UTC)
Goto Top
Zitat von @aqui:

Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔

Ja, der Aufwand. Wir haben 8000 Clients, davon 1500 Homeoffice und 100 Standorte.
BPeter
BPeter Sep 05, 2024 at 06:10:13 (UTC)
Goto Top
Danke für eure Antworten und Fragen. Die Fragen werde ich mit unseren Firewaller besprechen.
Evtl. könnte ich im DHCP Policies erstellen für die einzelnen Gruppen, ist mir noch eingefallen.
aqui
aqui Sep 05, 2024 at 11:17:14 (UTC)
Goto Top
Ja, der Aufwand.
Wäre sinnvoll und für alle hilfreich gewesen das vorher zu wissen! face-sad
How can I mark a post as solved?