12
Unterschiedliche DHCP Bereiche erstellen für Clients im Homeoffice
Hallo,
wie kann ich den DHCP-Client bzw. -Server so konfigurieren, damit ich IP-Bereiche habe für z.B.: IT, Sub-Domains, ..., wenn der Client im Homeoffice sitzt? Soll heißen: Ich als Admin bekomme eine IP 10.253.10.10, ein normaler Anwender bekommt 10.253.20.10 und ein Anwender aus einer anderen Domäne 10.253.30.10
Es geht teilweise um Berechtigungen, VPN-Lizenzen, ... Die IT darf z.B. im Netzwerk auf Ressourcen zugreifen, auf die der normale Anwender nicht darf. Das sollte genauso auch im Homeoffice sein. Des Weiteren will man auch die VPN-Lizenzen verrechnen, die jedes Land (Sub-Domain) verbraucht.
Im Moment funktioniert dies auch, da wir für Homeoffice einen DHCP-Server benutzen von dem VPN-Hersteller. Dieser stößt jetzt mit seiner Funktionalität an seine Grenzen, so dass man auf Windows-DHCP umschwenken will.
Ich habe von der Option 118 gelesen, aber mir ist nicht ganz klar, wie das funktionieren soll.
Vielleicht hat das jemand schon so umgesetzt und kann Licht ins Dunkel bringen.
VG
Peter
wie kann ich den DHCP-Client bzw. -Server so konfigurieren, damit ich IP-Bereiche habe für z.B.: IT, Sub-Domains, ..., wenn der Client im Homeoffice sitzt? Soll heißen: Ich als Admin bekomme eine IP 10.253.10.10, ein normaler Anwender bekommt 10.253.20.10 und ein Anwender aus einer anderen Domäne 10.253.30.10
Es geht teilweise um Berechtigungen, VPN-Lizenzen, ... Die IT darf z.B. im Netzwerk auf Ressourcen zugreifen, auf die der normale Anwender nicht darf. Das sollte genauso auch im Homeoffice sein. Des Weiteren will man auch die VPN-Lizenzen verrechnen, die jedes Land (Sub-Domain) verbraucht.
Im Moment funktioniert dies auch, da wir für Homeoffice einen DHCP-Server benutzen von dem VPN-Hersteller. Dieser stößt jetzt mit seiner Funktionalität an seine Grenzen, so dass man auf Windows-DHCP umschwenken will.
Ich habe von der Option 118 gelesen, aber mir ist nicht ganz klar, wie das funktionieren soll.
Vielleicht hat das jemand schon so umgesetzt und kann Licht ins Dunkel bringen.
VG
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667887
Url: https://administrator.de/contentid/667887
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Mahlzeit.
Was ist denn dein "VPN-Hersteller"?
Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.
Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.
Gruß
Marc
Was ist denn dein "VPN-Hersteller"?
Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.
Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.
Gruß
Marc
2
Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.
1
Zitat von @NordicMike:
Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.
Bevor du das machst, schau dir das 3-Tier Modell an. Nicht umsonst wird kein Server mehr direkt mit dem alltäglichen User verwaltet.
Das ist korrekt. Das machen wir auch nicht. Es gibt spezielle Accounts für unsere Server. Nichtsdestotrotz darf mein Office Account etwas mehr, als ein normaler Anwender.
Zitat von @radiogugu:
Mahlzeit.
Was ist denn dein "VPN-Hersteller"?
Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.
Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.
Gruß
Marc
Mahlzeit.
Was ist denn dein "VPN-Hersteller"?
Normalerweise, je nach Firewall und VPN-Protokoll, kann man ja mittels Radius Unterstützung eine IP direkt einem Benutzer zuweisen.
Etwas mehr Infos wären nicht schlecht bezüglich der eingesetzten Produkte.
Gruß
Marc
Hallo Marc,
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.
VG
Zitat von @BPeter:
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.
ich will es gar nicht an den VPN-Hersteller festmachen. Im Moment ist es Ivanti, es wird nächstes Jahr FortiClient.
Ansonsten ist unser DHCP ein Windows Server 2022.
Ich würde den Admins, wenn diese unbedingt exklusiveren Zugriff benötigen, mittels VPN Regelwerk Zugriff auf einen Remote Desktop Server oder eine andere Maschine geben, welcher als Jumphost dient.
Den DHCP für die VPN Einwahl würde ich immer auf dem Perimeter (Firewall) konfigurieren. In jedem Fall solltest du über einen Radius nachdenken und dich damit auseinandersetzen.
Gruß
Marc
1
Hallo,
ist das Firmen-Netz denn schon in VLANs strukturiert? Wer routet zw. den VLANs? Kann der Router "DHCP-Relais"?
Normalerweise steht in der Konfig-Datei des VPN-Clients des jeweiligen Users, in welches VLAN er geleitet wird. Gegebenenfalls muss man in der Firewall (oder wo auch immer die VPN-Tunnel enden) entsprechende VPN-Regeln erstellen.
Jürgen
ist das Firmen-Netz denn schon in VLANs strukturiert? Wer routet zw. den VLANs? Kann der Router "DHCP-Relais"?
Normalerweise steht in der Konfig-Datei des VPN-Clients des jeweiligen Users, in welches VLAN er geleitet wird. Gegebenenfalls muss man in der Firewall (oder wo auch immer die VPN-Tunnel enden) entsprechende VPN-Regeln erstellen.
Jürgen
Moin,
Welches VPN-Protokoll kommt denn zum Einsatz?
Weshalb ich Frage:
Mittels SSL VPN kannst du - pro User (-Gruppe) Ziel-IPs festlegen.
Alle normalo-User im HO dürfen dann nur die RDS-Systeme erreichen ((als Beispiel). Ist es ein User, der der VpN-Gruppe „Admin“ angehört, darf er noch den Admin-Jump-Host ansteuern…
Alle User sind aber im selben VPN-IP-Netz
Welches VPN-Protokoll kommt denn zum Einsatz?
Weshalb ich Frage:
Mittels SSL VPN kannst du - pro User (-Gruppe) Ziel-IPs festlegen.
Alle normalo-User im HO dürfen dann nur die RDS-Systeme erreichen ((als Beispiel). Ist es ein User, der der VpN-Gruppe „Admin“ angehört, darf er noch den Admin-Jump-Host ansteuern…
Alle User sind aber im selben VPN-IP-Netz
Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔
Zitat von @aqui:
Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔
Was den LAN Bereich angeht: Spricht etwas gegen Mac Address oder Client ID basierte Reservierungen der IP Adressen? 🤔
Ja, der Aufwand. Wir haben 8000 Clients, davon 1500 Homeoffice und 100 Standorte.
Danke für eure Antworten und Fragen. Die Fragen werde ich mit unseren Firewaller besprechen.
Evtl. könnte ich im DHCP Policies erstellen für die einzelnen Gruppen, ist mir noch eingefallen.
Evtl. könnte ich im DHCP Policies erstellen für die einzelnen Gruppen, ist mir noch eingefallen.
Ja, der Aufwand.
Wäre sinnvoll und für alle hilfreich gewesen das vorher zu wissen! 
Wie kann ich einen Beitrag als gelöst markieren?
Hier noch die Lösung:
Auf der VPN Appliance wurde DHCP-Relay mit Option 82 eingestellt. Damit kann man jeder gewünschten Gruppe einem IP-Bereich zu weisen, der dann von dem Windows DHCP verarbeitet wird.
@aqui:
Ich scheue mich nicht vor dem Aufwand, sondern vor Reservierungen, die irgendwann veraltet sind und immer wieder kontrolliert werden müssen.
Und ja, ich setze den Beitrag jetzt auf gelöst.
Auf der VPN Appliance wurde DHCP-Relay mit Option 82 eingestellt. Damit kann man jeder gewünschten Gruppe einem IP-Bereich zu weisen, der dann von dem Windows DHCP verarbeitet wird.
@aqui:
Ich scheue mich nicht vor dem Aufwand, sondern vor Reservierungen, die irgendwann veraltet sind und immer wieder kontrolliert werden müssen.
Und ja, ich setze den Beitrag jetzt auf gelöst.
