bpeter
Goto Top

Unterschiedliche DHCP Bereiche erstellen für Clients im Homeoffice

Hallo,
wie kann ich den DHCP-Client bzw. -Server so konfigurieren, damit ich IP-Bereiche habe für z.B.: IT, Sub-Domains, ..., wenn der Client im Homeoffice sitzt? Soll heißen: Ich als Admin bekomme eine IP 10.253.10.10, ein normaler Anwender bekommt 10.253.20.10 und ein Anwender aus einer anderen Domäne 10.253.30.10
Es geht teilweise um Berechtigungen, VPN-Lizenzen, ... Die IT darf z.B. im Netzwerk auf Ressourcen zugreifen, auf die der normale Anwender nicht darf. Das sollte genauso auch im Homeoffice sein. Des Weiteren will man auch die VPN-Lizenzen verrechnen, die jedes Land (Sub-Domain) verbraucht.
Im Moment funktioniert dies auch, da wir für Homeoffice einen DHCP-Server benutzen von dem VPN-Hersteller. Dieser stößt jetzt mit seiner Funktionalität an seine Grenzen, so dass man auf Windows-DHCP umschwenken will.
Ich habe von der Option 118 gelesen, aber mir ist nicht ganz klar, wie das funktionieren soll.

Vielleicht hat das jemand schon so umgesetzt und kann Licht ins Dunkel bringen.

VG
Peter

Content-ID: 667887

Url: https://administrator.de/forum/unterschiedliche-dhcp-bereiche-erstellen-fuer-clients-im-homeoffice-667887.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

radiogugu
radiogugu 04.09.2024 um 15:00:40 Uhr
Goto Top
Mahlzeit.

Was ist denn dein "VPN-Hersteller"?

Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.

Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.

Gruß
Marc
NordicMike
NordicMike 04.09.2024 um 16:30:51 Uhr
Goto Top
Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.
BPeter
BPeter 04.09.2024 um 16:41:19 Uhr
Goto Top
Zitat von @NordicMike:

Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.

Das ist korrekt. Das machen wir auch nicht. Es gibt spezielle Accounts für unsere Server. Nichtsdestotrotz darf mein Office Account etwas mehr, als ein normaler Anwender.
BPeter
BPeter 04.09.2024 um 16:43:06 Uhr
Goto Top
Zitat von @radiogugu:

Mahlzeit.

Was ist denn dein "VPN-Hersteller"?

Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.

Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.

Gruß
Marc

Hallo Marc,
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.

VG
radiogugu
radiogugu 04.09.2024 um 17:02:26 Uhr
Goto Top
Zitat von @BPeter:
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.

Ich würde den Admins, wenn diese unbedingt exklusiveren Zugriff benötigen, mittels VPN Regelwerk Zugriff auf einen Remote Desktop Server oder eine andere Maschine geben, welcher als Jumphost dient.

Den DHCP für die VPN Einwahl würde ich immer auf dem Perimeter (Firewall) konfigurieren. In jedem Fall solltest du über einen Radius nachdenken und dich damit auseinandersetzen.

Gruß
Marc
chiefteddy
chiefteddy 04.09.2024 um 17:08:11 Uhr
Goto Top
Hallo,
ist das Firmen-Netz denn schon in VLANs strukturiert? Wer routet zw. den VLANs? Kann der Router "DHCP-Relais"?

Normalerweise steht in der Konfig-Datei des VPN-Clients des jeweiligen Users, in welches VLAN er geleitet wird. Gegebenenfalls muss man in der Firewall (oder wo auch immer die VPN-Tunnel enden) entsprechende VPN-Regeln erstellen.

Jürgen
em-pie
em-pie 04.09.2024 um 17:09:45 Uhr
Goto Top
Moin,
Welches VPN-Protokoll kommt denn zum Einsatz?

Weshalb ich Frage:
Mittels SSL VPN kannst du - pro User (-Gruppe) Ziel-IPs festlegen.
Alle normalo-User im HO dürfen dann nur die RDS-Systeme erreichen ((als Beispiel). Ist es ein User, der der VpN-Gruppe „Admin“ angehört, darf er noch den Admin-Jump-Host ansteuern…

Alle User sind aber im selben VPN-IP-Netz
aqui
aqui 04.09.2024 um 17:29:22 Uhr
Goto Top
Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔
BPeter
BPeter 05.09.2024 um 08:07:20 Uhr
Goto Top
Zitat von @aqui:

Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔

Ja, der Aufwand. Wir haben 8000 Clients, davon 1500 Homeoffice und 100 Standorte.
BPeter
BPeter 05.09.2024 um 08:10:13 Uhr
Goto Top
Danke für eure Antworten und Fragen. Die Fragen werde ich mit unseren Firewaller besprechen.
Evtl. könnte ich im DHCP Policies erstellen für die einzelnen Gruppen, ist mir noch eingefallen.
aqui
aqui 05.09.2024 um 13:17:14 Uhr
Goto Top
Ja, der Aufwand.
Wäre sinnvoll und für alle hilfreich gewesen das vorher zu wissen! face-sad
Wie kann ich einen Beitrag als gelöst markieren?
BPeter
Lösung BPeter 12.09.2024 um 09:56:22 Uhr
Goto Top
Hier noch die Lösung:
Auf der VPN Appliance wurde DHCP-Relay mit Option 82 eingestellt. Damit kann man jeder gewünschten Gruppe einem IP-Bereich zu weisen, der dann von dem Windows DHCP verarbeitet wird.

@aqui:
Ich scheue mich nicht vor dem Aufwand, sondern vor Reservierungen, die irgendwann veraltet sind und immer wieder kontrolliert werden müssen.
Und ja, ich setze den Beitrag jetzt auf gelöst.