Sie sind nicht angemeldet.

DHCP Leases

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich
  • »BorneBjoern« ist der Autor dieses Themas

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

1

10.12.2008, 17:07

DHCP Leases

Guten Tach!

da bin ich wiedermal mal wieder.

mein DHCP Server tut genau das, was ich ihm sage, nicht aber das was ich von ihm moechte. daher brauche ich mal wieder einen Hinweis, wie ich dem mitteilen kann, was ich moechte.

hier ist die dhcpd.conf in Auszuegen:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

subnet 172.29.0.0 netmask 255.255.0.0 {

        pool {

         default-lease-time                     600                             ; # default lease time 600 sec (10 min)
         max-lease-time                         600                             ; # max lease time 7200 sec (120 min) temporarly set to 600


         option subnet-mask
         option routers
         option domain-name ... etc

         range 172.29.100.1 172.29.100.1                                        ; #
         deny unknown-clients;

         host machine1               { hardware ethernet xx:xx:xx:xx:xx:xx; fixed-address 172.29.100.xxx; }

         .... weitere hosts

         }     # END pool

         pool {
         default-lease-time                     600                             ; # default lease time 600 sec (10 min)
         max-lease-time                         600                             ; # max lease time 7200 sec (120 min) temporarly set to 600

         option subnet-mask
         option routers
         option domain-name ... etc

         range 172.29.109.1 172.29.109.254                                        ; #
         deny unknown-clients;

         host machine2              { hardware ethernet yy:yy:yy:yy:yy:yy; }

         }      # END pool

pool {
         default-lease-time                     600                             ; # default lease time 600 sec (10 min)
         max-lease-time                         600                             ; # max lease time 7200 sec (120 min) temporarly set to 600
         


         range 172.29.111.1 172.29.111.254                                        ; #
         allow unknown-clients;

         }      # END pool

}       # END subnet

anhand dieser Konfiguration gehe ich davon aus, dass machine2 irgendeine IP in dem Bereich zwischen 172.29.109.1 und 172.29.109.254 bekommen sollte.

Das passiert aber nicht. Denn der DHCPD vergibt die 172.29.100.1 die ja in der Range des ersten Pools angegeben ist.

Und genau das moechte ich unterbinden.

Hintergrund fuer diese Konfig ist folgendes:

In der Firma in welcher dieser dhcpd laeuft, exsistiert ein mehrschichtiges Berechtigungssystem, welches mit verschiedenen IP ranges verbunden ist.

So sollen zBsp unbekannte PCs (also eher MAC adressen) eine IP in dem Bereich 172.29.111.0 / 24 bekommen und nichts anderes duerfen, als sich mit PCs im gleichen segment zu unterhalten (keine Routen, kein internet... nichts!) und bei dem arpwatch ein Alarm auszuloesen, dass eine neue MAC im Netz ist.

dieser Teil funktioniert perfekt

Laptops (und PCs), die zwar potentiell immernoch gefaehrlich sind, zumindest aber bekannt sind, sollen eine 172.29.110.0 /24 Adresse bekommen und einen DNS Server (vom ISP) sowie ein default GW bekommen, um so ersteinmal ins Internet gehen zu koennen.

dieser Teil funktioniert bisher nur mit folgender konfiguration:

Quellcode

 
1

 host machine3 { hardware ethernet zz:zz:zz:zz:zz:zz; fixed-address 172.29.110.zz; }

Die naechste Stufe in dem Berechtigungskonzept setzt einen Security-Scan voraus. Wenn dieser bestanden ist, bekommt der LapTop / PC eine aus dem 172.29.109.0 /24 Segment mit einer statischen per dhcp zugewiesenen IP.

funktioniert ebenfalls ohne Probleme


Da ich aber nicht staendig die Leases ueberwachen moechte, die in dem "Internet-Berechtigungs-Segment" sind, wuerde ich es gerne sehen, dass die PCs deren MAC in dem konfig-file in den entsprechenden pools stehen, wirklich nur eine IP aus diesem pool / segment bekommen.
Leider vergibt der dhcpd derzeit aber auch die IPs, die in der option range vergeben wurden.

Kann mir jemand von euch verraten, wie ich dieses Verhalten aendern kann?

Vielen Dank im Voraus.
for Windows problems: reboot
for Linux problems: be root

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich
  • »BorneBjoern« ist der Autor dieses Themas

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

2

11.12.2008, 10:48

RE: DHCP Leases

Ach ja, kleiner Nachtrag:

die verwendete Version des dhcpd ist: isc-dhcpd-V3.0.3
for Windows problems: reboot
for Linux problems: be root

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

3

11.12.2008, 16:02

RE: DHCP Leases

du musst für die pools listen der bekannten clienten erstellen, evtl mit class-definitionen. habe mal ein bischen rumprobiert, aber noch nicht den richtigen erfolg erzielt. in der pool-deklaration könntest du dann
allow members of "<class-name>";
benutzen. in der class-declaration könntest du zb nach der mac filtern lassen. ich probiere mal ein bischen weiter herum, habe momentan aber wenig zeit.

übrigens
schön mal wieder von dir zu hören, wir hatten uns schon gedanken gemacht, dass du vor lauter arbeit wohl gar nicht mehr zu sinnvollen sachen kommst. ;-)
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich
  • »BorneBjoern« ist der Autor dieses Themas

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

4

11.12.2008, 16:41

RE: DHCP Leases

Danke fuer deine Antwort.

Die Idee von wegen der Klassengesellschaft hatte ich auch schon, leider ist das nicht wirklich moeglich, da ich keinen gemeinsamen Nenner finden kann...

Denn ich kann nicht auf Grund der verwendeten Hardware sagen, das ist ein internes (im Sinne zu Dresden gehoerendes), ist es ein semi - internes (immmernoch konzern-intern, aber von der Mutter aus HH) oder ist es ein externes Geraet (3rd Party). Es exsistiert naemlich sowohl fuer uns in DD, als auch fuer die Muddi in HH nur ein Hardware-Lieferant. FSC.

Daraus folgt, dass ich nicht sagen kann, alles was FSC ist, ist in pool 1 und alles was nicht der Klasse "FSC" entspricht, musz ueber pool 2 - 6 mit IPs beliefert werden.

Zitat

du musst für die pools listen der bekannten clienten erstellen


ich haette ja auch gedacht, dass die Client Zuweisung immer fuer den jeweiligen pool gilt.

allerdings steht mein test-lappi in dem 172.29.110.0 /24 pool, bekommt aber immer eine IP, die als range fuer einen anderen pool angegeben ist.

Und ich habe heute auch noch ein wenig rumgebastelt.
-> so von wegen range auf 172.29.108.255 bis 172.29.108.255 (was ja ne broadcast addresse fuer dieses 24er Segment ist) und wieder hat der dhcpd dem Testgeraet die 172.29.108.255 gegeben.

Okay, dann hab ich mir gedacht, drehst du die range wieder auf 172.29.108.1 zurueck und definierst aber einen dummy-host in diesem pool, der die 172.29.108.1 fest zugewiesen bekommt, sodass laut dhcpd.conf das naechste freie lease in dem pool von machine2 zu finden ist (range fuer diesen pool: 172.29.110.1 bis 172.29.110.254)

dhcpd.leases geleert, dhclient -r auf dem testgereat, rcdhcpd restart auf dem Server und ein dhclient auf dem laptop hinterher.... 172.29.108.1 - tolle Wurst.

Ein paar Ideen hatte ich also schon, nur weiter gebracht hat es mich nicht unbedingt.
for Windows problems: reboot
for Linux problems: be root

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

5

16.12.2008, 19:13

RE: DHCP Leases

bist du schon wesentlich weiter gekommen. wie gesagt, das problem interessiert mich persönlich auch, ich habe im moment aber wenig zeit, ich komme wohl erst über weihnachten dazu die sache genauer anzugehen. momentan fordert mich der job und mein ralaisrechner. immer eins after dem anderen. =D
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

BorneBjoern

Stuemper

  • »BorneBjoern« ist männlich
  • »BorneBjoern« ist der Autor dieses Themas

Beiträge: 898

Wohnort: Koenigstein

  • Nachricht senden

6

01.02.2009, 18:50

RE: DHCP Leases

Hallo Frank,

leider bin ich bisher noch nicht dazu gekommen, weiter an dieser Geschichte zu arbeiten, da andere Dinge erst einmal Prioritaet haben. Leider.

Ich habe das allerdings nach wie vor auf meiner "things-I-Have-to-do-before-I-die"-Liste. ;)

Mal sehen vielleicht kann ich mich in der naechsten woche mal wieder ein wenig damit beschaeftigen.
for Windows problems: reboot
for Linux problems: be root

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

7

01.02.2009, 20:13

RE: DHCP Leases

hallo,
geht mir ähnlich. aktuell habe ich gerade eine grippe hinter mir (40°C Fieber ächz) und bin zu nix gekommen. das problem interessiert mich ebenfalls extrem, werde mir das nächste woche mal zu gemüte führen.
morgen ist erst mal wiedser job angesagt!
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.
Thema bewerten