DHCP: Verschiedene Netze je nach MAC-Adresse möglich?

[Transcendence]

Hallo,

definiert seien unter LCOS 7.2x LAN-seitig drei private Netzwerke:

- DMZ,
- Intranet fürs Office sowie
- Gastnetz für private Nutzung (erlaubt nur Internetzugang ohne Verbindung zu den anderen Netzen)

an je einem dedizierten Switchport des 1722. Für das Gastnetz ist das Lancom DHCP-Server. Für das Intranet auch, um per MAC-Adresse bestimmte IP-Adressen und sonstige Netzdaten an angeschlossene Mitarbeiternotebooks zu verteilen (LANconfig: TCP/IP -> BOOTP -> Stationen). So können diese ihre Netzwerkeinstellungen automatisch beziehen und müssen beim Einsatz unterwegs in fremden Netzen und dann wieder im Büro nicht umgestellt werden.

Nun kommt es vor, dass wir im Büro Besuch empfangen und diesem gerne auch Internetzugang geben möchten. Allerdings ausschließlich einen solchen, dagegen keinerlei Verbindung zum Intranet oder intern zur DMZ. Dazu bieten sich das Gastnetz bzw. ein Klon oder ein völlig anderes Netz an.

Wenn ich nun ein solches Netz ebenfalls auf den Intranetport lege, wird das zu verwendende Netz nicht nach der MAC-Adresse und daraus möglicherweise ermittelter IP-Adresse abgeleitet, sondern (wie im Addendum unter A 3.1 letzter Absatz beschrieben) einfach immer nur eines der beiden Netze verwendet, so dass entweder Mitarbeiter oder Gäste nicht zusammen passende Netzdaten erhalten.

Man könnte nun nur für den Besuch einen zusätzlichen Switch, zusätzliche Verkabelung sowie Netzdosen einrichten, die explizit an den Switchport des Routers mit dem Gastnetz angebunden sind. Das erzeugt jedoch weiteren Aufwand und Kosten, außerdem ist es oft so, dass ein Gast sein Notebook bequemer an einer gerade freien Netzdose einstöpseln könnte. Und man müsste ihn explizit darauf hinweisen, bestimmte Dosen zu benutzen und andere wiederum nicht.
Beispiel Besprechungsräume: Da sitzt mal ein Mitarbeiter, mal ein Gast mit eingestöpseltem Notebook drin - mehrere Dosen, aufgeteilt nach "Gast" und "Mitarbeiter", finde ich problematisch.

Geht das nicht noch einfacher? Ist es möglich, den Router so einzustellen, dass er, sofern er die MAC-Adresse des angeschlossenen Notebooks kennt, die Internet-Netzdaten verteilt, und wenn er die MAC-Adresse nicht kennt, die anderen? Im Addendum steht etwas von Netzwerkpriorisierung - wäre das damit lösbar? Die Adressprüfung für das Intranet würde man dann halt auf "Flexibel" einstellen und den Rest über Firewallregeln lösen. Wer immer Fremdes sich einstöpselt, bekommt das entsprechende Netz mit allen passenden Daten statt des Intranets zugewiesen, während Mitarbeiternotebooks mit bekannten MAC-Adressen die Intranetdaten erhalten.

Natürlich kann der Gast dann seine Netzwwerkeinstellungen immer noch manuell ändern, um auf die anderen Netze zuzugreifen. Allerdings müsste er dazu zunächst die vorhandenen Netze ermitteln, eine gültige und nicht schon in Verwendung befindliche IP-Adresse aussuchen und seine Netzwerkeinstellungen anpassen. Oder die MAC-Adresse passend manipulieren. Die meisten Gäste haben jedoch nicht mal ansatzweise eine ausreichende Vorstellung von Netzwerken, um das zu tun, sondern wollen einfach im Internet recherchieren, Mails abrufen und sich evtl. mit einem Mausklick per VPN mit der eigenen Firma verbinden. Die anderen stehen sowieso unter ständiger Aufsicht. Wenn man sie alle an jeder beliebigen Stelle, ohne weiteren Aufwand und unter Beibehaltung der MAC-Adressen-Erkennung für die Mitarbeiter, so in ein abgeschottetes Netz bugsieren könnte, wie das geht, wenn nur ein einzelnes Netz pro Schnittstelle per DHCP versorgt wird, wäre das schon prima.

Falls das nicht geht, bitte nach Feature-Wünsche verschieben

Firewall-Regeln für MAC-Adressen wären vielleicht eine Alternative, allerdings vervielfacht sich damit der Aufwand für die Pflege. Geräte werden ja auch mal neu eingekauft, erhalten Ersatzteile, werden ausgetauscht usw.

Oder der Verzicht auf die IP-Adressenzuweisung nach MAC-Adresse im Intranet. Sie würde ich ungern aufgeben, dazu ist sie in Verbindung mit Rechteeinschränkungen auf den Notebooks der Mitarbeiter, die erheblich zum ungestörten und stabilen Betrieb beitragen, einfach zu nützlich. Ich weiß, es gibt Software, die das Umschalten zwischen verschiedenen Netzwerkeinstellungen erlaubt. Das ist jedoch ein zusätzlicher, bewusst zu vollziehender Arbeitsschritt und damit eine weitere Fehlerquelle.

Grüße
T.

[backslash]

Hi Transcendence

Wenn ich nun ein solches Netz ebenfalls auf den Intranetport lege, wird das zu verwendende Netz nicht nach der MAC-Adresse und daraus möglicherweise ermittelter IP-Adresse abgeleitet, sondern (wie im Addendum unter A 3.1 letzter Absatz beschrieben) einfach immer nur eines der beiden Netze verwendet, so dass entweder Mitarbeiter oder Gäste nicht zusammen passende Netzdaten erhalten

Auf einem "physikalischen" Interface kann immer nur EIN DHCP-Server aktiv sein (es sei denn, du arbeitest mit unterschiedlichen VLANs). Woher soll das LANCOM auch wissen, für welches Netz eine Adresse zugewiesen werden soll

Im von dir benannten Absatz ist das auch genau beschrieben

Mit der Konfiguration der IP- und DHCP-Netzwerke können auf einem logischen Interface mehrere Netzwerke mit
unterschiedlichen DHCP-Einstellungen aktiv sein. In diesem Fall werden die DHCP-Einstellungen aus dem ersten
passenden Netzwerks verwendet. Hierfür ist ggf. eine Priorisierung der Netzwerke notwendig

Hier steht also nichts von Netzwerkzuordnung über MAC-Adressen.

Geht das nicht noch einfacher? Ist es möglich, den Router so einzustellen, dass er, sofern er die MAC-Adresse des angeschlossenen Notebooks kennt, die Internet-Netzdaten verteilt, und wenn er die MAC-Adresse nicht kennt, die anderen?

nein, die einzige Chance, die du hast, ist der MAC-Adresse über die BOOTP-Stationstabelle eine IP-Adresse aus dem anderen Netz fest zuzuweisen.

Addendum steht etwas von Netzwerkpriorisierung - wäre das damit lösbar?

wie auch immer dieser Satz da rein keommen ist. Die einzige priorisierungsmöglichkeit, die du hast, liegt in der Netzwerkadresse, nach der die Netze sortiert werden. Je nachdem, welches Netz unter /status/tcp-ip/networks "oben" steht, dessen DHCP-Einstellungen werden verwendet.

Wenn man sie alle an jeder beliebigen Stelle, ohne weiteren Aufwand und unter Beibehaltung der MAC-Adressen-Erkennung für die Mitarbeiter, so in ein abgeschottetes Netz bugsieren könnte, wie das geht, wenn nur ein einzelnes Netz pro Schnittstelle per DHCP versorgt wird, wäre das schon prima.

wie gesagt, da hast du nur die Möglichkeit, die BOOTP-Stationstabelle zu verwenden. (ob dabei aber das richtige Gateway zugewiesen wird, kann ich dir jetzt auf die Schnelle auch nicht sagen - probier's einfach aus)

Firewall-Regeln für MAC-Adressen wären vielleicht eine Alternative, allerdings vervielfacht sich damit der Aufwand für die Pflege. Geräte werden ja auch mal neu eingekauft, erhalten Ersatzteile, werden ausgetauscht usw.

nein, da die Firewall ja nur greift, wenn das LANCOM die Pakete auch sieht. Wenn der Gast aber adreßmäßig in deinem Intranet steht, hat er direkten Zugriff auf alle Rechner im Intranet, d.h. das LANCOM sieht die Pakete nicht und somit kann die Firewall auch nicht eingreifen.

Oder der Verzicht auf die IP-Adressenzuweisung nach MAC-Adresse im Intranet. Sie würde ich ungern aufgeben, dazu ist sie in Verbindung mit Rechteeinschränkungen auf den Notebooks der Mitarbeiter, die erheblich zum ungestörten und stabilen Betrieb beitragen, einfach zu nützlich. Ich weiß, es gibt Software, die das Umschalten zwischen verschiedenen Netzwerkeinstellungen erlaubt. Das ist jedoch ein zusätzlicher, bewusst zu vollziehender Arbeitsschritt und damit eine weitere Fehlerquelle.

Du könntest auch in alle deine eigenen PCs eine VLAN-fähige Netzwerkkarte einbauen und somit zwei "physikalisch" getrennte Netze erhalten, auf denen du jeweils einen DHCP-Server laufen lassen kannst


Gruß
Backslash

[Transcendence]

Hallo backslash,

vielen Dank für Deine ausführliche Antwort. Ich habe das Quoting etwas umgestellt, um einfacher sinnvoll auf die wichtigsten Punkte einzugehen:

wie gesagt, da hast du nur die Möglichkeit, die BOOTP-Stationstabelle zu verwenden. (ob dabei aber das richtige Gateway zugewiesen wird, kann ich dir jetzt auf die Schnelle auch nicht sagen - probier's einfach aus)

Das ist die Ausgangssituation. Mit *einem* Netz auf einer physischen Schnittstelle klappt das tatsächlich.

Auf einem "physikalischen" Interface kann immer nur EIN DHCP-Server aktiv sein (es sei denn, du arbeitest mit unterschiedlichen VLANs).

Ok, zwei DHCP-Server auf *einer* Schnittstelle dürfte dann ja auch zu den üblichen Problemen führen.

wie auch immer dieser Satz da rein keommen ist. Die einzige priorisierungsmöglichkeit, die du hast, liegt in der Netzwerkadresse, nach der die Netze sortiert werden. Je nachdem, welches Netz unter /status/tcp-ip/networks "oben" steht, dessen DHCP-Einstellungen werden verwendet.

Ah, ok.

Woher soll das LANCOM auch wissen, für welches Netz eine Adresse zugewiesen werden soll

Das wäre dann ein Gedanke für eine Feature-Wunschliste: Ein *einzelner* DHCP-Server könnte z.B. die Daten von zwei statt von einem Netzwerk vorhalten. Als Defaulteinstellung könnte er dann die Daten des Netzes A verteilen. Sofern er jedoch in der BOOTP-Stationstabelle einen passenden Eintrag findet, könnte er die Daten des zu dieser IP-Adresse passenden Netzes B verteilen. Das fände ich ein nützliches Feature, s. das Beispiel Besprechungsräume.

Man müsste sich dann halt entscheiden, welchen DHCP-Server man dafür konfiguriert, und natürlich auf eine eindeutige Zuordnung von IP-Adressen in der BOOTP-Stationstabelle und dem gewünschten Netz achten.

Firewall-Regeln für MAC-Adressen wären vielleicht eine Alternative, allerdings vervielfacht sich damit der Aufwand für die Pflege. Geräte werden ja auch mal neu eingekauft, erhalten Ersatzteile, werden ausgetauscht usw.

nein, da die Firewall ja nur greift, wenn das LANCOM die Pakete auch sieht. Wenn der Gast aber adreßmäßig in deinem Intranet steht, hat er direkten Zugriff auf alle Rechner im Intranet, d.h. das LANCOM sieht die Pakete nicht und somit kann die Firewall auch nicht eingreifen.

Ähm, ja, natürlich. Die Clients und die Intranetserver hängen alle an einem zentralen Switch. Ein Gast, der einen der bereits vorhandenen Anschlüsse nutzt, selbstverständlich ebenfalls. Da habe ich mich gedanklich etwas verirrt.

Du könntest auch in alle deine eigenen PCs eine VLAN-fähige Netzwerkkarte einbauen und somit zwei "physikalisch" getrennte Netze erhalten, auf denen du jeweils einen DHCP-Server laufen lassen kannst

Danke für diese Anregung, ich werde das probieren.

Das oben vorgeschlagene Feature wäre aus Anwendersicht halt noch einfacher, bequemer und günstiger (wenn auch nicht sicherer).


Grüße
T.

[Epsylon]

Hi Transcendence

Ich stehe vor genau derselben Aufgabe. Hast Du das inzwischen lösen können?

Epsylon

[Transcendence]

Hallo Epsylon,

Ich stehe vor genau derselben Aufgabe. Hast Du das inzwischen lösen können?

Ja - da mir bei dem Gedanken, die VLANs bis zu den Endgeräten zu führen, unwohl war, allerdings schließlich noch anders:

Ich habe kurzerhand im Intranet einen virtuellen Host mit DHCP-Server (ISC) eingerichtet, der mit wenigen Zeilen in der Konfigurrationsdatei genau das tut, was ich oben beschrieben habe.

Auf dem Lancom sind jetzt beide Netze (Intranet und Gast) gleichzeitig auf einer Schnittstelle aktiv. Der Lancom dient außerdem als DHCP-Relay zwischen Gastnetz und dem virtuellen DHCP-Server im Intranet. Für die eigentlichen DHCP-Aufgaben ist nun der neue virtuelle DHCP-Server zentral zuständig.

Das funktioniert einwandfrei. Noch schöner wäre es allerdings, wenn der Lancom in einem begrenzten Rahmen so etwas selbst könnte.

Da Du auch soetwas vorhast, möchte ich nicht versäumen, ausdrücklich darauf hinzuweisen, dass diese Lösung nur für sehr begrenzte Sicherheitsanforderungen in einem kleinen Netzwerk mit übersichtlichem und auch tatsächlich wahrgenommenen Gastverkehr geeignet ist.

Grundsätzlich kann ein Gast nämlich jederzeit seine eigenen Netzwerkeinstellungen manuell an die des Intranet anpassen. Er muss nur dessen Adresskreis und eine gültige und nicht in Verwendung befindliche IP-Adresse herausfinden. Das ist für einen bösartigen Angreifer allenfalls eine Frage der Zeit. Diese Lösung entbindet darum nicht davon, zusätzliche Sicherungsmaßnahmen zu ergreifen, insbesonder die Zugänge zu allen Ressourcen von Authenifizierungen des Clients abhängig zu machen, und - je nach Schutzbedarf -mindestens die Authentifizierungsvorgänge zu verschlüsseln.

Dann kann man mit dem beschriebenen Verfahren "unproblematische" Gäste (bei uns der Normalfall) schön einfach auf eine abgeschottete "Spielwiese" verschieben.


Grüße
T.

[backslash]

Hi Transcendence

Ich habe kurzerhand im Intranet einen virtuellen Host mit DHCP-Server (ISC) eingerichtet, der mit wenigen Zeilen in der Konfigurrationsdatei genau das tut, was ich oben beschrieben habe.

Irgendwie habe ich da ein Problem, die Lösung zu sehen - es sei denn, der Server würde eine Liste aller bekannten MAC-Adresse führen. Diese Lösung wäre aber auch mit dem LANCOM machbar - mit der Einschränkung, daß du im LANCOM den MAC-Adressen auch gleich fest IP-Adressen zuweisen müßtest...

Wenn der Gast einfach einen DHCP-Broadcast ausschickt, dann weiß der nun im LAN stehende Server schließlich auch erstmal nicht, welche Adressen er zuweisen soll. Erst durch eine MAC-Tabelle bekommt er die Zuordnung hin.

Ach ja: Auch wenn das LANCOM nun Relay ist, bekommt es natürlich auch die Broadcasts der "eigenen" Clients und forwarded diese - genau wie die der Gäste - an den internen Server.

Letztendlich hat sich dadurch m.E. nichts geändert...

Gruß
Backslash

[Transcendence]

Hallo backslash,

genau, die Liste der MAC-Adressen aus der BOOTP-Tabelle führt jetzt auch der neue Server (ISC DHCP3).

In der Konfiguration dieses DHCP-Servers ist ein sog. "shared network" definiert, das zwei Netzwerkdefinitionen incl. Adresspool enthält. Außerdem sind dort die fixen IP-Adressen für die MAC-Adressen hinterlegt.

Beispiel (IP-Adresse des Netzwerkinterfaces des externen DHCP-Servers 10.0.0.3, Router x.x.x.254, der Name des "shared network" ist beliebig):

Code: Alles auswählen

shared-network 192.198.0.0-10.0.0.0 {
	host Notebook1 {
	hardware ethernet 00:12:34:56:78:9a;
	fixed-address 10.0.0.61;
	}
	subnet 10.0.0.0 netmask 255.255.255.0 {
	option broadcast-address 10.0.0.255;
	option domain-name-servers 10.0.0.254;
	option netbios-name-servers 10.0.0.254;
	option routers 10.0.0.254;
	option dhcp-server-identifier 10.0.0.3;
	}
	subnet 192.168.0.0 netmask 255.255.255.0 {
	range 192.168.0.41 192.168.0.60;
	option broadcast-address 192.168.0.255;
	option domain-name-servers 192.168.0.254;
	option routers 192.168.0.254;
	option dhcp-server-identifier 192.168.0.254;
	}
}

Der DHCP-Server schaut zunächst, ob er eine Anfrage den hinterlegten MAC-Adressen (hier für Notebook1, "hardware ethernet") zuordnen kann.

Ist das der Fall, verwendet er die dafür angegebene IP-Adresse (fixed-address) und ordnet dann die dazu passende Netzwerkdefinition mit den restlichen Daten zu (Intranet, subnet 10.0.0.0).

Ist das nicht der Fall, sucht er eine IP-adresse aus dem Adresspool ("range") des anderen Netzwerks aus und ordnet dementsprechend passend die Netzwerkdefinition zu (Gast, subnet 192.168.0.0).

Ergebnis, wenn sich Notebook1 einstöpselt:
IP-Adresse: 10.0.0.61
Subnetzmaske: 255.255.255.0
Standardgateway: 10.0.0.254
DHCP-Server: 10.0.0.3
DNS-Server: 10.0.0.254
WINS-Server: 10.0.0.254

Ergebnis, wenn sich ein Gast einstöpselt:
IP-Adresse: 192.168.0.59
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.0.254
DHCP-Server: 192.168.0.254
DNS-Server: 192.168.0.254
WINS-Server:

Keinerlei Hinweis auf das jeweils andere Netz sichtbar, und alle Daten (incl. Gateway) passen.

Die dem Client mitgeteilte Netzwerkdefinition für das Gastnetz enthält neben einem IP-Adresspool ("range") auch die IP-Adresse des DHCP-Relayservers ("dhcp-server-identifier"), damit die Leases anschließend darüber erneuert werden (im Logfile des DHCP-Servers tauchen die Anfragen der Gast-Clients denn auch als "via ..." auf). Dagegen fehlt der Netbios(WINS)-Server, da im Gastnetz keine derartigen Ressourcen zur Verfügung gestellt werden.

Die Original-Konfigurationsdatei des DHCP3 enthält ein anderes Beispiel, das mit Client-Identifiern funktioniert.

Mit dem Lancom alleine habe ich das (jedenfalls ohne VLANs) nicht hinbekommen. Ich hatte Dich auch so verstanden, dass der DHCP-Server des Lancoms von den beiden Netzwerken nur die Daten des zuerst in der Liste der Netzwerke stehenden liefern kann:

Je nachdem, welches Netz unter /status/tcp-ip/networks "oben" steht, dessen DHCP-Einstellungen werden verwendet.

Wenn Du mir sagst, wie das Lancom (ohne VLANs bis zu den Endgeräten zu führen) zwei Adresskreise auf einem Interface incl. der DHCP-Daten für beide Netze und in dieser gewünschten Funktionsweise verwalten kann, schmeiße ich den neuen DHCP-Server natürlich mit Dank und Freuden sofort wierder raus.

Grüße
T.

[Epsylon]

Hi Transcendence

Interessante Lösung, fast schon ein Tutorial. Eines verstehe ich jedoch nicht: Warum verteilst Du den DHCP-Dienst denn über zwei Geräte? Außerdem kann ich mir vorstellen, dass die Anfragen den DHCP-Server nun zwei Mal erreichen: Direkt und relayed.

Epsylon

[Transcendence]

Hallo Epsylon,

mir hat einfach der Gedanke gefallen, Gäste mit (Windows-) Bordmitteln nur die eigene IP-Adresse und die des Routers sehen zu lassen. Nötig ist die Weiterleitung über den Router nicht. Man kann auch DCHP auf dem Router komplett deaktivieren und alles vom DHCP-Server erledigen lassen.

Eine Stolperfalle habe ich noch ausgemacht: Beim VPN-Zugang (hier mit dem AVC) verteilt der Lancom nicht unbedingt die passenden Netzdaten, sondern anscheinend die des Netzes, das an erster Stelle in der Liste der Netze steht. Vorher hat er das anders gemacht. Ich kann momentan nicht nachvollziehen, warum da ein Unterschied besteht, die Reihenfolge der Netze jedoch so verändert, dass das passende Netz in der Netzliste nun an erster Stelle steht. Der VPN-Zugang funktioniert so wieder wie gewohnt.

Grüße
T.

[Epsylon]

Hi Transcendence

Alles klar. Dieses Wochenende versuche ich mal das so aufzubauen. Danke.

Epsylon