Frage zur DHCP-Konfiguration

Started by TheExpert, Today at 02:29:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 02:29:47 PM
Hallo zusammen,

ich habe eine Frage zur DHCP-Konfiguration für Kea DHCP in der OPNsense.

Zuerst einmal habe ich alle internen VLANs als Schnittstellen freigeschaltet. Das sind alles Netze aus dem Bereich 192.168.0.0, Class B.

Wie konfiguriere ich nun die IP-Bereiche? Lege ich als Subnetz das Class-B-Netzwerk 192.168.0.0 ein und erstelle darin dann die Pools aus den VLANs oder erstelle ich für jedes VLAN ein eigenes Subnetz und dann den jeweiligen Pool?

Ich kann für ein Subnetz nicht festlegen, welches Netzwerkinterface diesem Subnetz zugeordnet wird. So wäre eindeutig, dass man für jedes VLAN ein eigenes Subnetz anlegen muss. Wie aber weiß Kea DHCP, welche IP-Adresse per DHCP dem Client zugewiesen werden muss? Ich komme von der Sophos UTM, wo eine Zuordnung des Netzwerks zum jeweiligen DHCP-Bereich erfolgen muss.

Vielen Dank und viele Grüße
Today at 02:36:29 PM #1 Last Edit: Today at 02:43:28 PM by meyergru
Wenn Du Subnetze aus 192.168.0.0/16 (CIDR-Notation für "Class B") nimmst, beachte folgendes: https://forum.opnsense.org/index.php?topic=47099

Ja, Du legst einfach Subnetze mit /24 an. Die Zuordnung erfolgt schlicht anhand der Subnetzdefinitionen der entsprechenden Interfaces, d.h. wenn Du 192.168.7.0/16 als Bereich definierst, würde dieser am Internet VLAN7 genutzt, wenn dort 192.168.7.1/24 (oder iregendeine andere IP aus dem Bereich) als Interface-Adresse eingestellt ist.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 04:53:02 PM #2
OK, danke. Eigentlich dachte ich, ich könnte mir mit dem /16-Bereich etwas Arbeit ersparen, indem ich nur ein Subnetz anlege, in dem die DHCP-Bereiche aus den diversen VLANs hinterlegt sind.

Aber die DHCP-Optionen sind dann nicht individuell anpassbar, so dass ich nun für jedes VLAN ein eigenes Subnetz in Kea DHCP eingerichtet habe. Über die Kopierfunktion in OPNsense geht das ja auch recht schnell, aber die Reihenfolge der NTP-Server hat es immer verhagelt, so dass ich da jedes Mal mit mehreren Bearbeitungsschritten vorgehen musste. Die Zeitersparnis durch das Kopieren war damit auch wieder futsch.
Today at 05:52:35 PM #3 Last Edit: Today at 05:54:53 PM by meyergru
Quotedie Reihenfolge der NTP-Server

Was? Plural?

Ich glaube, Du machst da was falsch...

Klar nutzt man als Zeitquelle mehrere NTP-Server, falls welche nicht erreichbar sind oder vollkommenen Blödsinn liefern. Nur: das tut man irgendwo zentral - beispielsweise auf der OpnSense selbst unter "Services: Chrony: General" oder "Services: Network Time: General".

Per DHCP verteilt man dann die (eine!) IP des zentralen Zeitservers. Ich überlasse es doch nicht den Clients, sich jeweils aus einer Liste einen NTP-Server auszusuchen und damit potentiell unterschiedliche Auffassungen davon zu haben, wie spät es gerade ist. Dann kannst Du übrigens eine einzige IP für alle Subnetze verwenden, wenn Deine Firewall-Regeln der Zugriff auf Port 113 von jedem VLAN aus erlauben.

Manche gehen sogar so weit, per Port-Forwarding jeden ausgehenden Request auf Port 113 auf die OpnSense umzubiegen, um genau das zu verhindern, wenn ein Client sich die NTP-Server gar nicht per DHCP holt. Hinweis: Bei Dual-Stack muss man das aber auch für IPv6 tun und da funktioniert als Ziel weder ::1 noch eine Link-Local-Adresse.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 06:08:19 PM #4
Quote from: meyergru on Today at 05:52:35 PMPer DHCP verteilt man dann die (eine!) IP des zentralen Zeitservers.

Häh? :-) Der NTP-Server in jedem Netzwerk - genauso wie der Gateway, der DNS-Server und der SMTP-Server ist die jeweilige IP-Adresse der Firewall.

Zumindest hier.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 06:26:12 PM #5
Schrieb ich doch: "beispielsweise auf der OpnSense selbst". Natürlich mache ich das so. In größeren Unternehmensnetzwerken kann das auch ein "echter" Zeitserver sein, der z.B. eine Funkuhr nutzt.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 06:33:13 PM #6
Du schriebst "die eine IP". Bei mir hat der NTP-Server in jedem VLAN eine andere.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 06:41:34 PM #7 Last Edit: Today at 06:43:24 PM by viragomann
Quote from: meyergru on Today at 05:52:35 PMPer DHCP verteilt man dann die (eine!) IP des zentralen Zeitservers.
Ist der Eintrag leer liefert der DHCP die Interface IP. Das reicht mir doch.

Und falls ich einen bestimmten Server verwenden wollte, würde die IP auch für alle Subnetze dieselbe sein. Also wofür sind da Anpassungen erforderlich?

Quote from: meyergru on Today at 05:52:35 PMManche gehen sogar so weit, per Port-Forwarding jeden ausgehenden Request auf Port 113 auf die OpnSense umzubiegen, um genau das zu verhindern, wenn ein Client sich die NTP-Server gar nicht per DHCP holt.
Mach ich auch, allerdings für Port 123. ;-)

Dummerweise fragen meine OpenSUSE dennoch ihren eigenen Pool ab, worauf OPNsense ein KoD schickt. Der Pool muss da noch auf jeder Maschine deaktiviert werden.
Today at 06:45:06 PM #8
Quote from: viragomann on Today at 06:41:34 PM
Quote from: meyergru on Today at 05:52:35 PMPer DHCP verteilt man dann die (eine!) IP des zentralen Zeitservers.
Ist der Eintrag leer liefert der DHCP die Interface IP. Das reicht mir doch.

Eben 🙂
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions