kea wie zum laufen bringen

[no_Legend]

Hallo Zusammen,

ich hab heute mal meine Firewall neu aufgesetzt.
SO weit so gut.

Aber irgendwie will kea nicht.
Ich bekomme zwar DHCP leases, aber nicht aus dem Range wo ich angegeben habe.

Control Agent ist aktiv.
KEA DHCP, ist allen interface Aktiviert
KEA Service ist ENabled
Hacken bei Firewall rules ist an
Subnetze sind alle 4 angelegt.

Ich hab keine Idee mehr was ich falsch machen könnte. Habt Ihr ne Tip?
Anbei ne Paar Screenshots.


Kann man in der WebGui von KEA nicht auch den DNS und auch das Gateway von Hand definieren?

Grüße Robert

[Patrick M. Hausen]

Wenn du den Haken bei "Autocollect option data" raus nimmst, kannst du subnetzspezifische Optionen manuell einstellen.

[no_Legend]

Wenn du den Haken bei "Autocollect option data" raus nimmst, kannst du subnetzspezifische Optionen manuell einstellen.

Geil Dank dir.
Trotzdem bekomm ich immer noch keine Leases aus den Ranges die ich definiert habe.
Auch scheint der DHCP nicht auf den VLAns zu laufen?
Muss man hier noch Firewall Rules von Hand definieren.
Da kommt dann so ne Fehlermeldung.
WARN [kea-dhcp4.dhcpsrv.0x13c28145c008] DHCPSRV_OPEN_SOCKET_FAIL failed to open socket: Failed to open socket on interface vlan01, reason: failed to bind fallback socket to address 172.17.0.1, port 67, reason: Address already in use - is another DHCP server running?
Komich, da ISC ja garnicht bei der Neuinstallation installiert wurde.

Ich sags mal ganz direkt, mit ISC lief das einfach.

Noch was anderes.
Ich hab aktuell 4 Inferfaces am laufen.
1. LAN kein VLAN tag,
2-4 mit VLAN Tag.
Kann es auch daran liegen? Hab da eben so was in der Richtung auf Google gelesen.

[Patrick M. Hausen]

Hast du ISC auf allen Interfaces entfernt und abgeschaltet? Stückweise umziehen geht nicht. Wenn ISC läuft, blockiert er Kea komplett. Isso.

[no_Legend]

ISC wird ja garnicht installiert, wenn du aktuell neu installierst.
Ich kann ihn unter Services erst garnicht finden.

Ich hab auch das hier noch gefunden:
https://forum.opnsense.org/index.php?topic=39073.0

Vielleicht liegt es wirklich daran, dass mein LAN aktuell keine VLAN ID hat.

Aber mal was anderes, wenn ich jetzt für mein VLAN eine VLAN ID anlege.
Dann einfach unter Assignments anstatt das Interface direkt, die neue VLAN ID anwählen?
Ich glaube auch das mein Unifi System dem "Default Netz" schon die VLAN 1 verpasst hat.

[Patrick M. Hausen]

Das hat alles garantiert nichts mit den VLAN IDs zu tun. Du musst in Kea ein Subnetz anlegen, das zum Interface passt und einen Pool. Fertig, dann läuft der.
Wenn du den Haken bei "Firewall Rules" drin hast, werden auf allen Interfaces alle nötigen Regeln automatisch angelegt.

Nimm mal "Match client-id" raus. Wenn das aktiv ist, vergibt er die Leases *nicht* auf der Basis von MAC-Adressen sondern auf Basis von Client-IDs, bei denen ich mich tatsächlich noch nie darum gekümmert habe, was das eigentlich ist, weil ich nur MAC-Adressen brauche.

[no_Legend]

Keine Ahnung, das teil weist mir einfach keine IP Adressen aus meine Range zu.
Egal was ich einstelle.
Auch bei den Leases ist ja nicht zu finden. SIehe Fotos.

Sag sind das bei dir alles eigene Interfaces oder auch VLANs?

Ich hab da noch mal ne LOG von KEA angehängt. Als ob ein DHCP bereits am laufen ist.

[Patrick M. Hausen]

Das sind alles VLANs. Guck doch mal mit "ps" nach, on ISC oder DNSmasq laufen ...

[viragomann]

Auch bei den Leases ist ja nicht zu finden. SIehe Fotos.

Das zeigt die IPv6 Leases. Deine Konfiguration zeigt aber nur IPv4 Subnetze, so würde ich mir auch nur IPv4 Leases erwarten. Die sind eins drüber.

Bei den Subnetzen sind Netzwerkadressen anzugeben. Du hast vermutlich die Interface IP angegeben.
Also anstatt 172.16.0.1/16 172.16.0.0/16 usw.

Weiß aber nicht, ob das KEA davon abhält, Leases auszuhändigen.

[no_Legend]

Auch bei den Leases ist ja nicht zu finden. SIehe Fotos.

Das zeigt die IPv6 Leases. Deine Konfiguration zeigt aber nur IPv4 Subnetze, so würde ich mir auch nur IPv4 Leases erwarten. Die sind eins drüber.

Bei den Subnetzen sind Netzwerkadressen anzugeben. Du hast vermutlich die Interface IP angegeben.
Also anstatt 172.16.0.1/16 172.16.0.0/16 usw.

Weiß aber nicht, ob das KEA davon abhält, Leases auszuhändigen.

Das mit der .1 und .0 hab ich schon angepasst.
Ändert leider nichts.
In v6 hab ich nicht im Einsatz, deshalb nur v4

Kea meldet dass auf allen Schnittstellen bereit der Port 67 blockiert ist.
Also ob schon ein dhcp läuft.
Da aber kein isc installier ist wundert mich das sehr.
Dazu bekommen Clients nur leases auf der lan Schnittstelle und auf allen anderen nicht.

Ist kea überhaupt schon stable?

[viragomann]

Kea meldet dass auf allen Schnittstellen bereit der Port 67 blockiert ist.
Also ob schon ein dhcp läuft.

Den Verdacht hatte ich auch schon.
Dann schau mal, was auf dem Port läuft. Bspw. in der Konsole

Code Select Expand

sockstat -4 | grep 67

Ist kea überhaupt schon stable?

Ich nutze es jedenfalls schon ein paar Wochen auf zwei (Business) Installationen.
Allerdings sind die verfügbaren DHCP Optionen ziemlich begrenzt. Wegen fehlender Option 114 muss ich eventuell eine durch DNSmasq DHCP ersetzen.

[no_Legend]

Ich hab im Englisch Sprachen Forum mal gefragt.
Und es ist dnsmasq, hab es gerade nachgeschaut.
Da läuft echt ne dhcp.
Ich hab wohl den Fehler aufgesessen, dass der isc als Standard durch kea als Standard ersetzt wurde.

Okay. Dann muss ich den wohl deaktivieren.

Jetzt frag ich mich aber welcher dhcp Server ist besser und sollt wann benutzen?

[viragomann]

Jetzt frag ich mich aber welcher dhcp Server ist besser

Ihre Arbeit machen nach meiner Erfahrung beide ordentlich. KEA scheint aber einen geringeren Funktionsumfang zu haben. Es befindet wohl noch im Entwicklungsprozess, und nicht alle unterstützten Funktionen sind schon in der OPNsense GUI eingepflegt.
Wie erwähnt, muss ich wahrscheinlich auf einer Installation auf Dnsmasq DNS & DHCP migrieren, weil KEA die Captive Portal Option nicht unterstützt.
Generell ist der Umfang an DHCP Optionen ganz überschaubar.

Auch das Eintragen von Hostnamen ins DNS unterstützt KEA nicht.

Dnsmasq DNS & DHCP sieht auf den ersten Blick etwas unübersichtlicher aus. Es integriert eben auch DNS und die GUI bietet damit auch die dafür nötigen Settings.
Nutzt man es auch für DNS und möchte man die Geräte mit Hostnamen ansprechen, wäre es wohl eine Vereinfachung der Konfiguration. Die bei DHCP-Reservierungen verwendeten Hostnamen stehen gleich im DNS zur Verfügung.

Im Gegensatz zu KEA gibt es für Dnsmasq DNS & DHCP ein Widget fürs Dashboard, das die Leases zeigt. Allerdings ist es aktuell nicht sehr übersichtlich. Die Leases werden wohl aufgelistet, wie zeitlich vergeben, also nicht nach Subnetzen getrennt oder sortiert und es gibt auch keine Information, zu welchem Subnetz oder Interface ein Lease gehört und damit auch nicht über die Auslastung der Pools.

Der DNS Funktionsumfang ist hier aber geringer als jener von Unbound. Außerdem ist es ein reiner Forwarder.
Man kann es aber auch mit Unbound gemeinsam nutzen, sodass man die Hostnamen nicht extra eintragen muss, doch die Rootserver für Internet-Lookups verwendet.

[Patrick M. Hausen]

KEA scheint aber einen geringeren Funktionsumfang zu haben.

Hat er nicht. Kea ist *das* Enterprise Nachfolge-Produkt von denselben Leuten, die uns ISC-DHCPd [1] gebracht haben. Nun hört mal mit dem FUD auf. Die Integration in OPNsense lässt Features offen, aus Gründen, die ich nicht kenne.

[1] Überraschenderweise heißt die Firma ISC - Internet Software Consortium - und sie liefert seit Jahrzehnten die Komponenten, die 90% des Internets zusammenhalten. BIND zum Beispiel. *Der* DNS-Server. Das Standardwerk zum Thema DNS von O'Reilly heißt zum Beispiel "DNS & BIND".

[viragomann]

Und wie bringe ich KEA die bereits erfragte Option 114 bei?

Ja, ich weiß, KEA an sich unterstützt das bereits, aber auch noch nicht allzu lange. Daher die Anmerkung, dass es wohl noch in Entwicklung sei.

Mir hilft das Prädikat "Enterprise" gar nix, wenn es die für Enterprise benötigten Funktionen nicht untersetzt. Brauch ich das, muss ich eben ein anderes Produkt verwenden.