Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 25 subscribers
  • Views 24910 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Statische IP wird trotzdem per DHCP vergeben

tdthomas
Hallo zusammen,

wir setzen eine ASG110 mit Firmware 9.201-23 ein.

Ein Rechner benötigt eine gleichbleibende IP, also ist eine IP für die MAC dieses Rechners reserviert gewesen (Netzwerkdefinitionen -> Host). 

Diese IP stammt aus dem IP-Range, der auch für die DHCP-Vergabe vorgewesen ist. Das ist bewusst geschehen, der Rechner sollte ja schliesslich per DHCP immer die gleiche IP bekommen.

Dumm nur, wenn die IP, sobald der Rechner für einen Tag nicht genutzt wird, an ein Gerät vergeben wird (Problem 1) und dieses Gerät auch am nächsten Tag diese IP erneut bekommt (Problem 2). 
Schaltet sich der Rechner dazu, erhält er per DHCP auch die gewohnte IP (Problem 3) und man hat zwei Geräte mit gleicher IP im Netzwerk.

Ich hab das ganze Problem jetzt umgangen, aber mich interessiert schon, warum
- eine reservierte IP überhaupt an eine falsche MAC vergeben wird
- diese reservierte IP mehrfach an die gleiche falsche MAC vergeben wird
- das ursprünglich vorgesehen Gerät die IP dann ebenfalls bekommt, obwohl zu diesem Zeitpunkt bereits das falsche Gerät mit der zugewiesenen IP im Netzwerk ist.

Gruß
Thomas


This thread was automatically locked due to age.
  • 0 in reply to scorpionking
    Darunter verstehe ich den Button "Make static" in der Lease-Tabelle bzw. das Eintragen der MAC-Adresse/DUID im entsprechenden Host Object.
    Dann scheint die DHCP-Implementierung der UTM - entgegen der normalen Vorgehensweise bei dhcpd - im Bereich des DHCPOFFER so geändert (warum nur?), dass der normalerweise durchgeführte Abgleich mit reservierten Adressen nicht mehr durchgeführt wird - was zu einer doppelten Vergabe führen kann, wenn die reservierte Adresse innerhalb des DHCP-Adresspool liegt?

    Was dann natürlich zur Vorgabe führt, die reservierten Adressen ausserhalb des Adresspool anzulegen.


    Wenn wir also davon ausgehen, dass dieser Button eine "reserved lease" erstellt, dessen IP ausserhalb des Adresspool liegen muss:
    - Wie würde ich denn eine echte statische IP zuweisen? Einfach im Zielrechner eine statische IP ausserhalb des Adresspool zuweisen?
     

    Aber auch keine, die das für alle DHCP-Server-Implementationen explizit verbieten, oder? [;)]
    Genau, leider.
  • 0 in reply to tdthomas
    - Wie würde ich denn eine echte statische IP zuweisen? Einfach im Zielrechner eine statische IP ausserhalb des Adresspool zuweisen?

    Genau.
    Wenn die UTM das Gerät kennen soll (für Firewall-Regeln, etc.), legst du dann eben zusätzlich noch ein Host Object mit dieser IP an.

    Andere DHCP-Server-Implementationen handhaben das übrigens auch so, dass Lease-Reservierungen außerhalb des Scope liegen müssen, z.B. die in pfSense.

    Scheint also eine Glaubensfrage zu sein, wie man das einrichtet.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    Es spielt keine Rolle, was Technet oder andere Quellen sagen:
    Beim DHCP-Server der UTM müssen Reservierungen (d.h. ein Client mit einer bestimmten MAC-Adresse bekommt bei jeder Lease-Anfrage die selbe IP zugewiesen) außerhalb des DHCP Scope liegen. Andernfalls kann es zu doppelter IP-Adress-Vergabe kommen.
    So steht's auch in der Online Hilfe der UTM.

    Da es anscheinend keine eindeutigen Regeln in den RFCs zu DHCP gibt, ist dieses Verhalten auch völlig OK so.
    Blöd ist halt, dass sich dadurch verschiedene DHCP-Server unterschiedlich verhalten...


    Dieses Verhalten ist nicht OK!

    Die Reservierung ist doch dafür gedacht dass der Client immer die gleiche IP aus dem Scope bekommt und nicht außerhalb!

    Scenario:
    DHCP Bereich 192.168.0.50-100
    Client bekommt eine IP: 192.168.0.60
    Und jetzt mache ich daraus eine reservierung für 192.168.0.101?
    Jetzt warte ich bis die Lease abläuft und der Client bekommt eine ip mit 192.168.0.101? von DHCP Server außerhalb des Scopes?

    He???

    Oder habe ich etwas falsch verstanden?
  • 0
    Dann trenn halt die Begriffe:

    Ein Microsoft DHCP-Server kennt DHCP Reservations (einem Client wird eine IP aus dem DHCP-Bereich reserviert).

    Der UTM DHCP-Server kennt Mappings (bei einem Host wird die MAC mit einer IP verknüpft, aber nicht reserviert.). Reservierungen kennt er nicht. Deshalb auch der deutliche Hinweis in der Online-Hilfe, dass Mappings außerhalb des DHCP-Scope zu erfolgen haben...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to todu
    Die Reservierung ist doch dafür gedacht dass der Client immer die gleiche IP aus dem Scope bekommt und nicht außerhalb!
    Ich kann nur folgendes sagen: Liegt die reservierte IP innerhalb des Scope, kann es zu einer doppelten Vergabe kommen.

    Das kann meines momentanen Wissensstandes nach eigentlich nur zustande kommen, in dem bei der UTM-Implementierung von dhcpd die Vorgabe für "reserved leases" ("[...] leases are not placed on the queue for allocation to other clients. [...] The result is that the lease is only offered to the returning client.") im Bereich DHCPOFFER geändert wurde.
    Aus welchen Gründe auch immer...

    Aber der Hinweis ist im UTM-Handbuch erwähnt.
    Und man hat dann einen Rechner, der eine IP per DHCP bekommt, die ausserhalb des DHCP-Scope liegt... oO
  • 0 in reply to scorpionking
    Der UTM DHCP-Server kennt Mappings (bei einem Host wird die MAC mit einer IP verknüpft, aber nicht reserviert.). Reservierungen kennt er nicht. Deshalb auch der deutliche Hinweis in der Online-Hilfe, dass Mappings außerhalb des DHCP-Scope zu erfolgen haben...
    Naja, nutzt UTM nicht eigentlich auch dhcpd? Und "Mapping" wird dann also verwirrenderweise "static" genannt.

    Ich hätte mir in der Online-Hilfe bzw. im Handbuch einen deutlichen Hinweis auf das abweichende Verhalten und den Grund dazu gewünscht.
    Ganz zu schweigen von der seltsamen Begriffswahl: 
    "manual allocation" und "reserved lease" sind eigentlich gut definierte Begriffe, und "statisch" hätte ich als Bezeichnung nicht für ein DHCP-Mapping bzw. DHCP-Reservierung genutzt...
  • 0 in reply to scorpionking
    Dann trenn halt die Begriffe:

    Ein Microsoft DHCP-Server kennt DHCP Reservations (einem Client wird eine IP aus dem DHCP-Bereich reserviert).

    Der UTM DHCP-Server kennt Mappings (bei einem Host wird die MAC mit einer IP verknüpft, aber nicht reserviert.). Reservierungen kennt er nicht. Deshalb auch der deutliche Hinweis in der Online-Hilfe, dass Mappings außerhalb des DHCP-Scope zu erfolgen haben...


    Danke! Ist jetzt für mich verständlich, trotzdem würde ich mir wünschen ein verhalten wie der MS DHCP Server zu haben.
  • 0
    -> UTM (Formerly ASG) Feature Requests: Hot (1654 ideas)

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?