Von ISC- zu KEA DHCP wechseln

[Patrick M. Hausen]

Ich würde hier ganz klar etwas differenzierter Argumentieren.

Wahrscheinlich hast du damit Recht. Sorry. DHCPv6 würde ich aber generell in Frage stellen. Und damit stehe ich nicht allein ;-)

[Monviech (Cedrik)]

Ich stelle DHCPv6 auch in Frage, aber leider ist die Realität halt anders als die schöne heile RFC Welt.

Und daraus entstehen dann solche Lösungen, aus der Not heraus weil sie gebraucht werden. :(

[MarroniJohny]

Ah sehr cool, WAN geht, 2 Interfaces und 13 VLAN eingerichtet. Bezieht alles brav die Adressen. Danke mal soweit. Ist ganz schöne Sträflingsarbeit, zum Glück muss ich das nicht jeden Tag machen. Der ESXi mit dem getaggten vSwitch hat mir die Arbeit auch sehr erleichtert. Wenn ich das alles an den physischen Switches mit 1-2 Laptops durchtesten hätte müssen, wär mein Bart noch länger geworden, als er eh schon ist. Das wär ja super mühsam.

Switches einrichten wird dann auch spannend. Bin bislang getagged auf den/die Switches gefahren, aber vom Switch nur untagged weiter. Oder halt direkt getagged von der Sense auf einen ESXi. Aber da mit forbidden Tags oder wie das heisst, um überall nur mit den gewünschten VLANs wieder raus aus dem Switch zu gehen, das habe ich noch nie gemacht. Die Theorie steht schon mal, Praxis wird sich dann zeigen. Ich frag Euch dann wieder, wenn ich am Berg stehe.

[meyergru]

Und damit stehe ich nicht allein ;-)

Rischtisch. Ich denke, ungeachtet von Kea vs. DNSmasq ist das Hauptproblem bei DHCPv6 mit dynamischen Adressen in jedem Fall, dass DHCP eben ein Pull-Ansatz ist: Bevor der Client nicht selbst fragt, bekommt er keine neue IPv6-Adresse, auch, wenn er sie aufgrund des geänderten Präfixes bräuchte. Bis zum Ablauf des Lease ist er dann offline.

Deswegen setze ich im IPv6-HOWTO auf SLAAC, wo der neue Präfix gepusht wird, sowie er sich ändert.

[MarroniJohny]

Hi

Auf der produktiv Sense musste ich quasi nichts beregeln. Auf der Lab Sense brauchte ich diese Regeln, damit es Adresse bezog und Internet bekam, hier am Beispiel des Labor VLAN:

You cannot view this attachment.

Auf der Produktiv Sense reichte die letzte Regel. Das wär mir auch egal, habe jetzt die Regeln auf allen VLAN erstellt. Wenn ich jetzt aber vom LAN aus (hat die goldene allow all Regel) einen Gast in dem betreffendem VLAN pingen möchte, kommt nichts zurück. Das wird durch die Block !RFC_1918 Regel ausgelöst. Deaktiviere ich die, kommt der Ping durch.

Das Verhalten habe ich bei der Produktiv Sense nicht. Nun gut, ich kann bei der Lab Sense überall eine Rückwärts Regel erstellen, damit man als Admin aus dem LAN überall drauf kommt. Aber es greifen z.T. auch andere VLAN z.B. auf die DMZ zu, da habe ich nicht so gross Lust, alles doppelt und dreifach zu beregeln.

Sprich ist es eingehender Verkehr auf einen Gast/Server, soll dieser Antwort geben, obwohl da die Block !RFC_1918 Regel drin ist.

Auf meiner Produktiv Sense läuft das ohne Probleme, da ist in der DMZ atm die Regel drin:

You cannot view this attachment.

Was mir dabei gerade noch auffällt: müssten auf der Produktiv Sense nicht noch die automatisch erstellten Regeln vom NAT mit angezeigt werden? Früher sah man da immer noch die ganzen NAT Regeln, oder haluziniere ich gerade nur?
 
Gruss und danke

[MarroniJohny]

hmm, ich versteh echt die Welt nicht mehr. Vorhin hat es noch geklappt aus dem LAN zu pingen, wenn ich Block !RFC_1918 inaktiv hatte. Nun habe ich die Regel disable, und ich kann nicht mehr pingen.

Nach mir habe ich rein gar nichts gemacht an den Regeln, ausser die Regel aktiviert und wieder deaktiviert.

[MarroniJohny]

Ich mach einen neuen Thread auf, das DHCP Problem ist ja jetzt gelöst.