11
Windows Server 2008 R2 mit 2 DHCP, 1 MAC-Filter
Hallo zusammen,
ich würde gerne in meinem Server 2 IP-Adressbereiche vergeben und einen MAC-Filter einrichten. Alle Geräte, die nicht in der "Zulassen"-Liste sind, sollen eine IP aus einem anderen IP-Bereich erhalten, als die Geräte, die in der "Zulassen"-Liste sind.
Allerdings scheint das nicht möglich zu sein. Der MAC-Filter scheint für alle Geräte zu gelten. Falls das nicht stimmt, würde ich gerne Vorschläge hören.
Danke für Hilfe und Gruß,
ich würde gerne in meinem Server 2 IP-Adressbereiche vergeben und einen MAC-Filter einrichten. Alle Geräte, die nicht in der "Zulassen"-Liste sind, sollen eine IP aus einem anderen IP-Bereich erhalten, als die Geräte, die in der "Zulassen"-Liste sind.
Allerdings scheint das nicht möglich zu sein. Der MAC-Filter scheint für alle Geräte zu gelten. Falls das nicht stimmt, würde ich gerne Vorschläge hören.
Danke für Hilfe und Gruß,
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 313372
Url: https://administrator.de/contentid/313372
Printed on: April 19, 2024 at 13:04 o'clock
11 Comments
Latest comment
sollen eine IP aus einem anderen IP-Bereich erhalten,
Du meinst aber sicher "aus einem anderen Host IP Bereich" im gleichen Subnetz, oder ??Sprich du willst sowas machen wie 172.16.1.100 bis .150 für User mit Mac Adress Nailing und 172.16.1.151 bis .200 als dynamischen Pool für Gäste ?!
Sollte der MS Server können, denn das kann ja heute mittlerweile jeder Baumarkt Router.
Ein anderer IP Bereich in der Netzadresse würde zwingend einen zusätzlichen Router erfordern ?
Hier ist die Beschreibung leider unklar...
Tut mir leid, dass es nicht ganz klar beschrieben ist.
Ein neues Geräte außerhalb der "Zulassen"-Liste soll eine IP aus dem Beispiel-Bereich 192.168.178.10-25 erhalten. Sobald es in die "Zulassen"-Liste aufgenommen wurde, erhält es beim nächsten DHCP-Broadcast eine IP aus dem Beispiel-Bereich 192.168.0.10-100.
Ein neues Geräte außerhalb der "Zulassen"-Liste soll eine IP aus dem Beispiel-Bereich 192.168.178.10-25 erhalten. Sobald es in die "Zulassen"-Liste aufgenommen wurde, erhält es beim nächsten DHCP-Broadcast eine IP aus dem Beispiel-Bereich 192.168.0.10-100.
Hallo,
wie @aqui schon schrieb, geht das so nicht. Ein DHCP-Server liefert seine IPs nur in das Subnetz, aus dem die Anfrage kam. Da die NIC des Servers ja im Subnetz 192.168.0.0 liegt und alle Anfragen aus diesem Subnetz kommen, liefert der DHCP-Server auch nur IPs aus diesem Subnetz aus.
Was soll denn das Ziel Deiner Bemühungen sein?
Jürgen
wie @aqui schon schrieb, geht das so nicht. Ein DHCP-Server liefert seine IPs nur in das Subnetz, aus dem die Anfrage kam. Da die NIC des Servers ja im Subnetz 192.168.0.0 liegt und alle Anfragen aus diesem Subnetz kommen, liefert der DHCP-Server auch nur IPs aus diesem Subnetz aus.
Was soll denn das Ziel Deiner Bemühungen sein?
Jürgen
Vielen Dank schon mal für die Antworten
Ziel soll sein, dass neue Clienten nicht einfach so mit vorhandenen Clienten kommunizieren können, aber trotzdem soll ein Internetzugang möglich sein.
Meinem Verständnis nach sendet doch ein neuer Client einen DHCP-Broadcast an einfach alles was da ist. Ein DHCP "hört" die Anfrage und Antwortet unter Abhängigkeit seiner Einstellungen. In diesem Fall: Zulassen? Nein! Antwort: IP 192.168.178.x
Gateway und DNS Server sind dann aber natürlich die selben IPs wie für alle anderen auch (die auch in der "Zulassen"-Liste stehen)
Ziel soll sein, dass neue Clienten nicht einfach so mit vorhandenen Clienten kommunizieren können, aber trotzdem soll ein Internetzugang möglich sein.
Meinem Verständnis nach sendet doch ein neuer Client einen DHCP-Broadcast an einfach alles was da ist. Ein DHCP "hört" die Anfrage und Antwortet unter Abhängigkeit seiner Einstellungen. In diesem Fall: Zulassen? Nein! Antwort: IP 192.168.178.x
Gateway und DNS Server sind dann aber natürlich die selben IPs wie für alle anderen auch (die auch in der "Zulassen"-Liste stehen)
Hallo,
unter der Voraussetzung, dass keine weiteren Router mit DHCP-Relays im Netz sind, liefert der DHCP-Server nur in seinem eigenen Subnetz (192.168.0.0) IPs aus. und natürlich mit dem zum Subnetz 192.168.0.0 gehörenden Standardgateway.
Selbst wenn die "neuen" Clients eine IP aus dem Subnetz 192.168.178.0 bekommen würden, stimmt ja das Standardgatway nicht, da der Router ja eine Adresse aus dem Subnetz 192.168.0.0 hat.
Du scheinst sehr wenig Ahnung von IP-Netzen, Routern und den grundlegenden Netzwerkdiensten wie DNS, DHCP usw. zu haben. Dein Vorhaben, das Netzwerk sicherer zu machen, ist ja lobenswert. Aber so einfach, wie Du Dir das vorstellst, ist es leider nicht.
Jürgen
unter der Voraussetzung, dass keine weiteren Router mit DHCP-Relays im Netz sind, liefert der DHCP-Server nur in seinem eigenen Subnetz (192.168.0.0) IPs aus. und natürlich mit dem zum Subnetz 192.168.0.0 gehörenden Standardgateway.
Selbst wenn die "neuen" Clients eine IP aus dem Subnetz 192.168.178.0 bekommen würden, stimmt ja das Standardgatway nicht, da der Router ja eine Adresse aus dem Subnetz 192.168.0.0 hat.
Du scheinst sehr wenig Ahnung von IP-Netzen, Routern und den grundlegenden Netzwerkdiensten wie DNS, DHCP usw. zu haben. Dein Vorhaben, das Netzwerk sicherer zu machen, ist ja lobenswert. Aber so einfach, wie Du Dir das vorstellst, ist es leider nicht.
Jürgen
Du scheinst sehr wenig Ahnung von IP-Netzen, Routern und den grundlegenden Netzwerkdiensten wie DNS, DHCP usw. zu haben. Dein Vorhaben, das Netzwerk sicherer zu machen, ist ja lobenswert. Aber so einfach, wie Du Dir das vorstellst, ist es leider nicht.
In einer Simulation mit dem Cisco Pakettracer funktioniert das:
Zwei Clienten mit zwei unterschiedlichen IP-Adressen (192.168.178.13/24 und 192.168.0.12/24, beide Standardgateway und DNS: 192.168.178.1) mit Switch und Router.
Ich konnte mir auch nicht vorstellen, dass es so gar nicht funktioniert, denn im LAN wird via MAC-Adresse geswitched. Ein DHCP-Broadcast geht dann an FF:FF:FF:FF:FF:FF und die Antwort kommt dann mit den eingestellten Informationen. Da ich im Server für jeden IP-Adressbereich die Antwort separat einstellen kann, kann ich jedem IP-Adressbereich den entsprechenden Standardgateway zuweisen. Grundlegende aufgebe des Routers ist, verschiedene IP-Netze zu vereinigen. Hat der Router also 192.x.x.x/8, kommen alle Pakete an und müssten weitergeleitet werden.
Bitte nicht "sehr wenig Ahnung" unterstellen
Hallo,
ein DHCP-Server erhält eine Anfrage aus dem Subnet a.b.c.0 und liefert dann eine IP aus genau diesem Pool aus (so er denn für dieses Subnetz einen Pool verwaltet). Natürlich mit den zugehörigen "Neben-Informationen" (GW, DNS usw.) Ein physisches Netzwerk-Segment (Broadcast-Domäne) ist in der Regel auch ein Subnetz, dh. alle Hosts haben/bekommen eine IP aus genau diesem Subnetz.
Eine Broadcast-Domäne in der 2 oder mehr Subnetze aufgemacht werden, ist ganz schlechtes Netzwerk-Design! (Wir reden hier nicht von VLANs, die ja auf einem physischen Netzwerk-Segment mehere Broadcast-Domänen bereitstellen, die erst durch Routing verbunden werden).
Das Standard-GW zum Internetzugang für Subnetz 192.168.0.0 ist zB. 192.168.0.254. Das Standard-GW muß immer im gleichen Subnetz liegen. Für das Subnetz 192.168.178.0 ist das Standard-GW also zB 192.168.178.254.
Wenn der Internet-Router (Standard-GW) nun die Adresse 192.168.0.254 hat, wie sollen denn die Clients mit einer IP aus dem Subnetz 192.168.178.0 mit der GW-Info 192.168.0.254 (was so ja gar nicht geht!) ins Internet kommen?? Es muß also in diesem Subnetz einen Router mit der Adresse 192.168.178.254 geben! Nach Deiner Aussage gibt es aber nur einen Router mit der Adresse 192.168.0.254 in diesem Netzwerk-Segment.
Das ist Murks! Das Subnetz 192.168.178.0/24 muß ein Standard-GW mit der Adresse 192.168.178.x haben. Und analog dazu Subnetz 192.168.0.0/24 mit Standard-GW 192.168.0.y
Jürgen
ein DHCP-Server erhält eine Anfrage aus dem Subnet a.b.c.0 und liefert dann eine IP aus genau diesem Pool aus (so er denn für dieses Subnetz einen Pool verwaltet). Natürlich mit den zugehörigen "Neben-Informationen" (GW, DNS usw.) Ein physisches Netzwerk-Segment (Broadcast-Domäne) ist in der Regel auch ein Subnetz, dh. alle Hosts haben/bekommen eine IP aus genau diesem Subnetz.
Eine Broadcast-Domäne in der 2 oder mehr Subnetze aufgemacht werden, ist ganz schlechtes Netzwerk-Design! (Wir reden hier nicht von VLANs, die ja auf einem physischen Netzwerk-Segment mehere Broadcast-Domänen bereitstellen, die erst durch Routing verbunden werden).
Gateway und DNS Server sind dann aber natürlich die selben IPs wie für alle anderen auch (die auch in der "Zulassen"-Liste stehen)
Das Standard-GW zum Internetzugang für Subnetz 192.168.0.0 ist zB. 192.168.0.254. Das Standard-GW muß immer im gleichen Subnetz liegen. Für das Subnetz 192.168.178.0 ist das Standard-GW also zB 192.168.178.254.
Wenn der Internet-Router (Standard-GW) nun die Adresse 192.168.0.254 hat, wie sollen denn die Clients mit einer IP aus dem Subnetz 192.168.178.0 mit der GW-Info 192.168.0.254 (was so ja gar nicht geht!) ins Internet kommen?? Es muß also in diesem Subnetz einen Router mit der Adresse 192.168.178.254 geben! Nach Deiner Aussage gibt es aber nur einen Router mit der Adresse 192.168.0.254 in diesem Netzwerk-Segment.
192.168.178.13/24 und 192.168.0.12/24, beide Standardgateway und DNS: 192.168.178.1
Das ist Murks! Das Subnetz 192.168.178.0/24 muß ein Standard-GW mit der Adresse 192.168.178.x haben. Und analog dazu Subnetz 192.168.0.0/24 mit Standard-GW 192.168.0.y
Jürgen
192./8 oder besser 192.168./16 für den Router, Clienten die 192.168.0.x/24 und 192.168.178.x/24
Wir könnten uns ewig über Sub- und Supernetting unterhalten aber ich denke, das führt zu nichts. Ich nehme die Angelegenheit als "Bei Windows Server 2008 R2 nicht möglich" und geklärt.
(Bei Windows Server 2012 zeigen Screenshots, dass es wohl funktioniert.)
Wir könnten uns ewig über Sub- und Supernetting unterhalten aber ich denke, das führt zu nichts. Ich nehme die Angelegenheit als "Bei Windows Server 2008 R2 nicht möglich" und geklärt.
(Bei Windows Server 2012 zeigen Screenshots, dass es wohl funktioniert.)
Die Lösung ist aber in sich krank, denn so fährt man mit 2 IP Netzen auf einem gemeinsamen Draht.
Ein No Go. Die Lösung ist Frickelei. Normal macht man das mit ACLs am Switch oder mit einer dynamischen VLAN Zuweisung in ein Gast VLAN o.ä.
Ein No Go. Die Lösung ist Frickelei. Normal macht man das mit ACLs am Switch oder mit einer dynamischen VLAN Zuweisung in ein Gast VLAN o.ä.
Hallo,
nochmal zum mitschreiben:
Wenn der Client zB. die Adresse 192.168.178.20 mit Maske 255.255.255.0 hat, also 192.168.178.20/24 ist die Netzadresse 192.168.178.0 und die Broadcast-Adresse dieses Subnetzes 192.168.178.255. Sein Standard-GW muß sich innerhalb dieses Adressbereiches befinden! Dabei ist die Subnetzmaske des Standard-GW unerheblich: /24, /16, /8 oder ähnlich.
Und analog gilt das natürlich auch für das andere Subnetz.
Wenn Du die IPv4-Konfiguration der Client-NIC von Hand durchführst (Win), erhälst Du zB. bei IP: 192.168.178.20 und Mask: 255.255.255.0 beim eintragen des Gateways 192.168.0.254 eine Fehlermeldung, dass das GW im gleichen Subnetz wie der Client sein muß.
Dein Problem ist also nicht in einer fehlenden Funktionalität des MS DHCP-Servers sondern bei Deinem Verständnis der Vorgänge beim Routing bzw. Datenverkehr in IP-Netzen zu suchen.
Jürgen
nochmal zum mitschreiben:
Wenn der Client zB. die Adresse 192.168.178.20 mit Maske 255.255.255.0 hat, also 192.168.178.20/24 ist die Netzadresse 192.168.178.0 und die Broadcast-Adresse dieses Subnetzes 192.168.178.255. Sein Standard-GW muß sich innerhalb dieses Adressbereiches befinden! Dabei ist die Subnetzmaske des Standard-GW unerheblich: /24, /16, /8 oder ähnlich.
Und analog gilt das natürlich auch für das andere Subnetz.
Wenn Du die IPv4-Konfiguration der Client-NIC von Hand durchführst (Win), erhälst Du zB. bei IP: 192.168.178.20 und Mask: 255.255.255.0 beim eintragen des Gateways 192.168.0.254 eine Fehlermeldung, dass das GW im gleichen Subnetz wie der Client sein muß.
Dein Problem ist also nicht in einer fehlenden Funktionalität des MS DHCP-Servers sondern bei Deinem Verständnis der Vorgänge beim Routing bzw. Datenverkehr in IP-Netzen zu suchen.
Jürgen
Mal ganz abgesehen davon das es so oder so ne Pseudosicherheit ist die im Handumdrehen überwunden werden kann.
Das lässt jetzt mal das nicht Standard konforme arbeiten mit 2 IP Netzen auf einem gemeinsamen Draht (L2 Broadcast Domain) außer acht. Letztlich wird das aber auch zu Problemen führen.
Wie gesagt...Frickellösung. Besser wäre eine dynamische VLAN Zuordnung mit 802.1x wie sie hier beschrieben ist:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Standardkonform und wasserdicht.
Die Splittung in 2 IP Netze oben erfordert so oder so immer einen Routing Prozess irgendwo.
Das lässt jetzt mal das nicht Standard konforme arbeiten mit 2 IP Netzen auf einem gemeinsamen Draht (L2 Broadcast Domain) außer acht. Letztlich wird das aber auch zu Problemen führen.
Wie gesagt...Frickellösung. Besser wäre eine dynamische VLAN Zuordnung mit 802.1x wie sie hier beschrieben ist:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Standardkonform und wasserdicht.
Die Splittung in 2 IP Netze oben erfordert so oder so immer einen Routing Prozess irgendwo.
