Von ISC- zu KEA DHCP wechseln

[MarroniJohny]

Hoi

Habe nun seit ein paar Monaten eine Sense produktiv in Betrieb. Dort nutze ich noch den ISC DHCPv4, das funktioniert super. Ich will jetzt 3 neue Switches, AP und zwei ESXi getagged anfahren. Zum Glück habe ich eine Ersatz 19" Sense mit 6x 10 Gbit, wo ich alles austesten kann, ohne den produktiv Betrieb zu stören. Habe die jetzt aufgebaut, kann per IPMI drauf zugreifen. Den  Setup Assistent habe ich auch schon ausgeführt. Komme an einem Management Port auch auf die Sense, WAN hat sie auch.

Nun will ich den Kea IPv4 DHCP Server nutzen. Habe den Server enabled, zwei Interfaces hinzugefügt, und ein Subnet eingerichtet. Die KI meint, ich muss bei Subnet Gateway und Nameserver eintragen, aber finde die Optionen nicht, die mir die KI angibt. Ich zitiere mal die KI:

Um schnelle Hilfe zu bekommen, frage am besten konkret nach dem Standort der Optionen 3 (Router) und 6 (DNS) im Kea Subnetz-Konfigurationsformular:

    "Hallo zusammen, ich nutze OPNsense 23.7 mit dem Kea DHCPv4 Server. Im Subnetz-Konfigurationsformular (z.B. für 10.10.10.0/24) finde ich weder die Felder 'Default Gateway'/'Primary DNS Server' noch einen Button zum Hinzufügen generischer Optionen (Codes 3 und 6). Wo in der GUI oder in welchem Feld muss ich die Router- und DNS-Informationen für das Subnetz eintragen?"

Vielleicht war ich auch zu lange am basteln, ich spar mir jetzt den ganzen Werdegang die letzten zwei Tage. Nur soviel: hatte die ganzen IPMI, Notfall vmkernel, Schlafzimmer und bisschen Kleinkram auf dem alten Switch hinter einer parallel laufenden Zywall, der Switch wird auch noch ersetzt. Die Zywall ist mir gestorben, also habe ich den uralt Switch an die produktiv Sense angehängt, und die alten VLANS mitgegeben. Lüppt soweit...

Will aber das Netzwerk total auf den Kopf stellen. Alles neue VLANs und Adress Ranges. Aber vorerst geht es nur mal um den Kea DHCP, da komme ich nicht weiter.

Sy, habe zwar alles in Excel und Visio geplant, will das aber nicht öffentlich machen. Will das ganze Netzwerk Zeug in Zukunft bisschen diskreter behandeln.

Gruss und danke. Ich hau mich jetzt mal ein paar Stunden aus Ohr.

[Patrick M. Hausen]

Habe den Server enabled, zwei Interfaces hinzugefügt, und ein Subnet eingerichtet. Die KI meint, ich muss bei Subnet Gateway und Nameserver eintragen, aber finde die Optionen nicht, die mir die KI angibt.

Weshalb KI und nicht einfach die Doku? KI liefert oft genug völligen Schrott. Anyway, in diesem speziellen Fall: schon mal den Schalter für die advanced option links oben umgelegt?

[MarroniJohny]

Hoi

Danke.

Ja, den Schalter hatte ich natürlich umgelegt. Hintergrund ist der, dass ja ISC DHCP nicht mehr weiter entwickelt wird. Aber da brauche ich glaube ich gar nicht KEA DHCP, sondern Dnsmasq, ist das richtig? Den habe ich mal soweit, dass eine IP bezogen wird im LAN. Da habe ich jetzt auch Internet.

Kannst Du mir bitte noch kurz bestätigen, dass Dnsmasq das richtige für mich ist, bevor ich alle VLANs und Interfaces einrichte?

[Patrick M. Hausen]

Kann ich nicht, ich halte nichts von DNSmasq. Ich verwende Kea. Und man kann DNS-Server, Domain, Default-Gateway ganz bequem einstellen wie bei ISC auch.

Man muss natürlich den Haken bei "autocollect option data" raus nehmen, wenn man Dinge individuell einstellen will. Sonst macht die OPNsense alles automatisch - "autocollect" halt.

[viragomann]

Hallo,

dafür müsste man Wissen, was DNSmasq gegenüber KEA fehlt. Weiß ich auch nicht.
Ich habe kürzlich eine OPNsense mit DNSmasq fürs Eigenheim eingerichtet. Habe ein paar Netzwerksegmente, die DHCP brauchen. Ja, ist kein Problem, auch die Konfiguration klappte auf Anhieb. Aber ich brauch auch keine Besonderheiten, nur DHCP und ein paar IP Reservierungen.

Allerdings finde ich ich es zu aufgebläht. Empfehlen würde ich es daher nur, wenn man es auch für DNS nutzt. Das wollte ich aber nicht, ich verwende Unbound.

[Patrick M. Hausen]

DNSmasq fehlt m.E. nichts. Es sind viel zu viele Dinge in ein einzelnes Produkt gestopft ohne Sinn für Softwarearchitektur. Es ist ein Ein-Personen-Projekt. So etwas benutze ich nicht für meine produktive Infrastruktur. M.E. hat das in einer Enterprise Firewall nichts verloren.

Aber das ist nur meine persönliche Meinung. Wäre ich Productmanager für OPNsense gäbe es genau ein DNS-Modul und genau ein DHCP-Modul, ohne überhaupt zu erwähnen, welche Produkte da unter der Haube stecken. Optional noch AdGuard Home.

Aber ich bin nicht der PM.

[MarroniJohny]

Okay, also doch besser KEA. Das hatte ich allerdings auf Anhieb nicht zum laufen gekriegt. Bin aber noch in der Findungsphase. Am liebsten wär mir ja der ISC Server gewesen. Schade wird der nicht mehr weiter entwickelt, der ist super simpel zu bedienen.

[viragomann]

Ist ISC auch deaktiviert?

Dieses Problem hatte ich auf einer DEC 2770, auf der ich KEA einrichten wollte.
Ich hatte angenommen, dass ISC out of the box deaktiviert wäre, nachdem es als veraltet gilt. War es aber nicht.

[MarroniJohny]

Man muss natürlich den Haken bei "autocollect option data" raus nehmen, wenn man Dinge individuell einstellen will. Sonst macht die OPNsense alles automatisch - "autocollect" halt.

Ahja, das wars, danke.

Dann habe ich noch eine Frage. Im Moment gehts vom Provider Router zur Produktivsense. Von da weiter zur besagten Labsense. Also dreifach NAT. Nach mir habe ich alles richtig verkabelt.

Am Desktop habe ich drei Strippen. Das IPMI Netz an dem Switch (der hängt getagged an Sense 1), mein LAN von der Sense 1 und mein LAN von Sense 2.

Wenn ich nun die Labsense über den Browser aufrufen will, dann wird manchmal das Interface/Dashboard von Sense 1 angezeigt. Obwohl die IP im Browser stimmt. Die IP ist 192.168.5.1, die Adresse/den Range gibt es sonst gar nirgends. Was hat es damit auf sich?

[Patrick M. Hausen]

Du kannst doch nicht drei LANs an deinem Desktop haben oder hast du drei Interfaces? Und dann dreimal DHCP? Kann nicht gehen. Mal das doch mal auf ...

[Monviech (Cedrik)]

https://xkcd.com/2347/

Keine Angst vor Dnsmasq, alles ist irgendwo von einem Menschen abhängig, auch der Linux Kernel (obwohl es wohl eine Nachfolgeregelung dafür gibt).

Jede Software stirbt irgenwann und muss ersetzt werden.

(Dnsmasq für home user und Kea für unternehmen ist okay als auswahl)

[MarroniJohny]

Ja, habe drei NICs im Desktop. Vorher hatte ich den Switch an einer unabhängigen parallelen Zywall. Da lief nur noch IPMI und sowas drüber. Die NIC hatte ich im Normalfall deaktiviert. Dann eine 10 Gbit NIC, die hat das LAN von der Sense. Und jetzt habe ich die neue Lab Sense in Betrieb genommen, und von der aus auch eine Strippe zum Desktop gezogen. Also drei Stippen am Desktop: IPMI, LAN Sense1, LAN Sense2. Die Adapter kann ich bei Bedarf zuschalten.

Damit ich nicht umständlich alles mit dem Laptop konfigurieren muss. Nächstes Ziel ist dann die ganzen VLAN einzurichten an der Lab Sense, sind atm 14. Von der will ich getagged zum Ersatz ESXi fahren, damit ich das ganze Regelwerk austesten kann. Die Switches und all den Plunder habe ich noch nicht da, von daher teste ich das virtuell.

Funktioniert eigentlich ganz gut. Den 10 Gbit Adapter habe ich per Metrik priorisiert. Da kommt sogar mein Mozilla VPN Client mit klar. Weil den brauch ich, um mit meinen Kumpels fliegen zu können auf meinem eigenen Server. Der mag doppelt NAT nicht so.

[Patrick M. Hausen]

Kea ist der Nachfolger von derselben Firma, die ISC entwickelt hatte, nämlich dem ISC - Internet Software Consortium - dem wir auch BIND verdanken. Ich würde Kea und BIND nehmen und alles andere rauswerfen. Und RFC 2137 für dynamische Updates einbauen.

Ich versteh die Entscheidungen da leider manchmal nicht. Auch der radvd ist ein von Linux importiertes Teil. Völlig überflüssig. FreeBSD hat seit "schon immer" einen Router Advertisement Daemon eingebaut.

[Patrick M. Hausen]

Dnsmasq für home user und Kea für unternehmen ist okay als auswahl

Dann mache ich ja alles richtig. Ich betreibe mein Heimnetz genau so wie die Netze im Unternehmen ;-)

[Monviech (Cedrik)]

Das Problem ist, man kann nicht alles über einen Kamm scheren.

Jedes Tool hat vor und Nachteile.

Kea kann z.B gar nicht mit dynamischen IPv6 umgehen, Dnsmasq dagegen schon.

ISC schert sich wohl nicht um die armen Home User, sondern halt um ISPs die das Problem nicht haben.

Ich würde hier ganz klar etwas differenzierter Argumentieren.