OPNsense Forum

Hallo zusammen,
ich habe meine Opnsense Hardware aufgerüstet und möchte meinen DHCP Server von meiner Syno auf die OpnSense umziehen, u.a. weil der Syno-DHCP kein IPv6 kann. Ich habe in der Syno eine Menge IPv4 Reservierungen, von denen sehr viele IP-Adressen in meiner Hausautomation, checkmk, splunk usw. verwurstet sind. Der IP Range auf dem neuen Opnsense-DHCP soll daher natürlich der Gleiche sein wie er bisher auf der Syno war.
Der Plan war, daß ich alle Reservierungen auf dem OpnSense-DHCP eintrage, dann den alten DHCP Server ausschalte und den neuen einschalte.
Jetzt habe ich festgestellt, daß man auf dem DHCPv4 Server auf der Opnsense NICHT im Voraus Reservierungen ("DHCP Static Mappings for this interface") anhand der MAC Adresse eintragen kann wie das auf der Syno möglich ist, weil "Static Mappings" innerhalb des DHCP-Range nicht erlaubt sind. Der Client muß sich zwangsweise eine IP vom neuen Server holen, die man dann wohl "statisch" machen kann.
Damit ist ein transparenter 1:1 Umzug auf einen neuen DHCP Server aber unmöglich.

Hat jemand eine Idee, wie man das doch hinkriegt?

Gruß Roland

Unter Dienste->DHCPv4->SCHNITSTELLE, kannst du doch ganz unten Static Maps eintragen. Einfach die MAC Adresse und eine IP hinterlegen.

Die dürfen nur nicht im DHCP Bereich liegen (Frag mich nicht warum. Macht für mich keinen Sinn) :D

ich setze bei meinem dhcp server static mappings ein.

Klar gehen Static mappings.

Allerdings verwirt "Die dürfen nur nicht im DHCP Bereich liegen (Frag mich nicht warum. Macht für mich keinen Sinn) " dieses. Habe ich am Anfanhg auch gedacht. Weshalb? Andere DHCP-Server können das auch in der DHCP Range. Das ist für mich ja auch der Sinn einer Reservierung.

Quote from: lewald on November 05, 2020, 03:31:43 PM
Klar gehen Static mappings.

Allerdings verwirt "Die dürfen nur nicht im DHCP Bereich liegen (Frag mich nicht warum. Macht für mich keinen Sinn) " dieses. Habe ich am Anfanhg auch gedacht. Weshalb? Andere DHCP-Server können das auch in der DHCP Range. Das ist für mich ja auch der Sinn einer Reservierung.

Gibt es denn mittlerweile eine Sinnvolle Erklärung weshalb die außerhalb des Bereiches liegen müssen ?

Sicher gehen "static mappings". Aber außerhalb des DHCP Ranges ist das für mein Verständnis eben keine Reservierung im herkömmlichen Sinn. Ohne Vorab-Eintrag der bisherigen Reservierungen innerhalb des DHCP Ranges geht ein 1:1 Umzug eben nicht.

Quote from: hauwech on November 05, 2020, 03:42:37 PM
Sicher gehen "static mappings". Aber außerhalb des DHCP Ranges ist das für mein Verständnis eben keine Reservierung im herkömmlichen Sinn. Ohne Vorab-Eintrag der bisherigen Reservierungen innerhalb des DHCP Ranges geht ein 1:1 Umzug eben nicht.

Da hast du recht. Static Mappings im DHCP Bereich machen mehr Sinn. Verstehe nicht weshalb das nicht klappen soll. So gut wie jeder andere DHCP Server kann das.

In deinem Fall könntest du in der OPNsense nur den DHCP Bereich verkleinern und dann deine statics anlegen.

Oder eben um die Reservierungen herum weiter Address-Pools anlegen. Ist ne Krücke aber immerhin...

Also z.B. 192.168.1.2-8, die .9 wäre was statisches. Dann neuen Pool von 10-20, 21 ist statisch...usw.

Das wird aber ein wildes Stückwerk. Die bisherigen Reservierungen sind historisch über die Zeit entstanden und über den Range verstreut :(

Gerade fällt mir was ein - heute abend teste ich mal Folgendes:
- ich ändere den DHCP Range
- lege ein static mapping wie gewünscht außerhalb des Ranges fest
- ich ändere den Range zurück
Gibt aber bestimmt auch Mecker...

Quote from: hauwech on November 05, 2020, 03:49:38 PM
Das wird aber ein wildes Stückwerk. Die bisherigen Reservierungen sind historisch über die Zeit entstanden und über den Range verstreut :(

Ich hab nix von schön gesagt :). Ist ne Krücke. Weiß auch nicht, woher die Beschränkung kommt. Sophos (SFOS) kann es m.E. auch nicht.

Ich habe jetzt mal
- den Range geändert
- 2 static mappings außerhalb des Ranges eingetragen
- den Range zurück geändert, so daß die beiden statischen wieder innerhalb des Ranges liegen

Wie erwartet kommt dann: "The DHCP range cannot overlap any static DHCP mappings".

Es wäre aber schon interessant zu wissen, warum hier keine Reservierungen im eigentlichen Sinne zugelassen sind. So werde ich DHCPv4 erstmal auf der Syno lassen und nur DHCPv6 auf der Opnsense scharfschalten. Das ist aber schon schade, weil erstens ist es besser, man hat alles an einer Stelle und zweitens würden dann die Clients automatisch in der WOL Liste stehen.

Quote from: hauwech on November 05, 2020, 06:30:36 PM
Ich habe jetzt mal
- den Range geändert
- 2 static mappings außerhalb des Ranges eingetragen
- den Range zurück geändert, so daß die beiden statischen wieder innerhalb des Ranges liegen

Wie erwartet kommt dann: "The DHCP range cannot overlap any static DHCP mappings".

Es wäre aber schon interessant zu wissen, warum hier keine Reservierungen im eigentlichen Sinne zugelassen sind. So werde ich DHCPv4 erstmal auf der Syno lassen und nur DHCPv6 auf der Opnsense scharfschalten. Das ist aber schon schade, weil erstens ist es besser, man hat alles an einer Stelle und zweitens würden dann die Clients automatisch in der WOL Liste stehen.

Ist für mich auch der Grund kein DHCP auf der OPNsense zu nutzen

Ich verstehe euch nicht, mannmuss halt sein Netz planen, in mein Netzwerk kommen ja nur Geräte von mir,also habe ich die Kontrolle  welches Gerät welche ip bekommt. Und für dein Monitoring muss es doch konfig Dateien geben. Notfalls ein suchen und ersetzen der ip's. Und alles mal ordentlich getrennt vom dhcp.
Ich habe bei mir einen kleinen Bereich als dhcp konfiguriert


Gesendet von iPad mit Tapatalk Pro

Quote from: micneu on November 05, 2020, 07:17:08 PM
Ich verstehe euch nicht, mannmuss halt sein Netz planen, in mein Netzwerk kommen ja nur Geräte von mir,also habe ich die Kontrolle  welches Gerät welche ip bekommt. Und für dein Monitoring muss es doch konfig Dateien geben. Notfalls ein suchen und ersetzen der ip's. Und alles mal ordentlich getrennt vom dhcp.
Ich habe bei mir einen kleinen Bereich als dhcp konfiguriert


Gesendet von iPad mit Tapatalk Pro

Man übernimmt öfters Mal Netze. Welche man nicht von Grund auf einrichtet, da sind gewisse Bereiche oft vorgegeben.
Ich verstehe nicht weshalb man den Static lease außerhalb des Bereiches hinterlegen muss.

Andere DHCP Server können das. Macht alles nur einfacher

Ich kenne viel bei denen das so ist:
- lancom
- dnsmasq
- opnsense
- pfsense

Und noch viele andere


Gesendet von iPhone mit Tapatalk Pro

Quote from: micneu on November 05, 2020, 07:30:25 PM
Ich kenne viel bei denen das so ist:
- lancom
- dnsmasq
- opnsense
- pfsense

Und noch viele andere


Gesendet von iPhone mit Tapatalk Pro

Sehe dennoch keinen Grund sich da unnötig einzuschränken.

Quote from: micneu on November 05, 2020, 07:30:25 PM
Ich kenne viel bei denen das so ist:
- lancom
- dnsmasq
- opnsense
- pfsense

Und noch viele andere


Gesendet von iPhone mit Tapatalk Pro

So wie ich das sehe benutzt OPNsense zumindest den isc-dhcpd.

Dieser kann das offenbar problemlos. Laut diesem Tutorial: https://www.itsfullofstars.de/2019/02/assign-a-static-ip-to-dhcp-client/

sieht eine Config dann so aus:
subnet 192.168.0.0 netmask 255.255.255.0 {
  range 192.168.0.150 192.168.0.240;
  option routers 192.168.0.1;
  option domain-name "itsfullofstars.de";
  option domain-name-servers 8.8.8.8, 8.8.4.4;
  host soundbar {
    hardware ethernet bc:30:d9:2a:c9:50;
    fixed-address 192.168.0.152;
  }
}

Die generierte Config auf der OPNsense sieht aber so aus:
subnet 10.0.0.0 netmask 255.255.255.0 {
  pool {
    range 10.0.0.100 10.0.0.199;
  }

  option routers 10.0.0.0;
  option domain-name-servers 10.0.0.0;

}

host s_lan_0 {
  hardware ethernet 00:00:00:00:00:00;
  option dhcp-client-identifier "Beispiel";
  fixed-address 10.0.0.2;
  option host-name "beispiel";
}


So wie ich das sehe müssten die Host-Einträge nur in den Subnet Block verschoben werden. Evtl dürfen sie aber sogar dort stehen, käme auf einen Versuch an. Also einfach mal einen Eintrag manuell ändern (IP in die Range legen) und Dienst neu starten.

ich sehe da keinen einschränkun, man muss halt alles struckturiert anlegen.
ich habe extra meinen dhcp bereich in die mitte gelegt, so habe ich die static ip´s am anfang und am ende.
diese arbeit macht man einmal, danach ist alles schick und es mach später weniger arbeit, und erzähle mir nicht du brauchst den kompletten dhcp bereich für irgend welche geräte.
wie schon geschrieben die monitoring sachen einfach die konfigs mit suchen und ersetzen bearbeiten, vorher überlegen welche geräte sollen wo im liegen und entsprechen die einträge endern (geht alles recht simple mit sed)

Das ist ja soweit alles richtig und ich mache es bei neuen Projekten genauso, dennoch ist die Einschränkung offenbar willkürlich und nicht technisch bedingt. Daher sollte man es dem Nutzer überlassen wie er das handhaben will und vor allem für Übernahmen bestehender Netze durchaus von Vorteil.

Gestern abend fiel mir noch ein, daß meine Idee, DHCPv4 auf Server1 und DHCPv6 auf Server2 nicht zu Ende gedacht war, weil ein Client nicht zwei DHCP Server abfragt.
So tritt wohl Plan C in Kraft: Ich werde DHCP4 und -6 auf meine Windows Domaincontroller umziehen. Die können beides und auch Reservierungen, so wie ich sie verstehe.

Und ja: man kann natürlich alles sauber aufräumen. Allerdings sind viele IP-Adressen schon allein in meiner Hausautomation incl. Visualisierung in vielen Configs verstreut. Das hat soviele Querverbindungen, daß ich Sorge habe, etwas zu übersehen, wo dann irgendwas nicht mehr funktioniert, was nicht gleich auffällt. Dazu fehlt mir momentan die Zeit.
Die ganze Aktion hat übrigens darin ihren Ursprung, daß mir mein Kumpel den Floh ins Ohr gesetzt hat, IPv6 im Heimnetz einzuführen  ::)

Ich hab mir das mal angeschaut und einen Pull Request damit gebaut:
https://github.com/opnsense/core/pull/4447

Läuft bei mir auf der Testbox.

AFAIK - das kann vielleicht einer der näher an den Devs bzw. dem ISC DHCPD dran ist korrigieren - war das aber eine Einschränkung, dass der ISC dhcpd das nicht immer konnte.

Soweit ich von früheren Versuchen mit DHCPd mich erinnere (und das ist wirklich FRÜHER), hat der dir damals einfach ne Fehlermeldung um die Ohren gehauen, wenn du ne IP aus dem Pool Range via static/fixed-address direkt vergeben wolltest. Windows DHCP hat das dann erstmalig irgendwann mit ins Spiel gebracht, dass das ging, früher ging das definitiv irgendwann/irgendwo nicht. Das liegt auch heute noch stark am Server, ob er das unterstützt und das Lease quasi blocken kann, oder ob er einfach leases der Reihe nach vergibt und wenn dann eine dran wäre, die statisch sein soll, die trotzdem vergibt, nen Error wirft oder Bockmist baut.

Nachdem was ich beim kurzen Überfliegen von der aktuellen 4.4er Serie gesehen habe, macht es ISC DHCPD nichts mehr aus - früher hat es das. Darum wird wohl einfach das aus "play safe" Gründen noch drin sein. Zumal man das IMHO auch eben nicht mixen sollte.

Ja ich verstehe jeden, der flucht, wenn er sowas übernimmt und es nicht geht - kenne ich auch gut. Mussten wir in einem Fall auch "drumherumbauen mit mehreren kleinen Pools" damit man die anderen statisch vergeben konnte, aber es geht, man baut die "Leichen" ab und dann macht mans ordentlich und nur noch die Sachen die es wirklich brauchen bekommen nen static lease und außerhalb des Bereichs und dann hat man Ruhe :)

Aber ja, man könnte durchaus die GUI/Checks mal anpassen und testen, damit man die Sachen erstmal portieren und danach aufräumen kann. Aufräumen und entzerren sollte man sie aber - IMHO - trotzdem. ;)

Ich find's cool, wenn aus so einer Diskussion eine Änderung entsteht.
Ich habe mein DHCP indessen auf meine Domaincontroller umgezogen, so habe ich nebenher auch noch failover. Und die kommenden dunklen Tage werde ich zum Aufräumen nutzen :-)

> Ich find's cool, wenn aus so einer Diskussion eine Änderung entsteht.

Klar warum nicht :)

> Ich habe mein DHCP indessen auf meine Domaincontroller umgezogen, so habe ich nebenher auch noch failover.

Zwei DC Rollen? Auch nicht schlecht, aber dann wäre die Firewall redundant sicherlich auch nicht verkehrt ;)
Aber ja ich denke wir kennen das alle mehr oder weniger, manchmal übernimmt man Dinge die nicht schön sind, und die müssen dann erstmal irgendwie laufen, aufräumen kommt später. :)