DHCP questions...

Whats the interface address for that network? 192.168.0.254 ?

The interface address is 192.168.0.254/24
I need only 3 ip address on dhcp because the users are mobile and the network interface of theirs notebooks must be in dhcp mode.
There are only 3 mobile users and I want that dhcp server must be only for them.

Hi firebear,

I know the notebooks that get the reserved IPs. I can see them on the leasing table but I don't want that they use the dhcp IP range.
Now what I want is that only 3 notebooks can connect to the net via dhcp.
Who wants to connect to the net must contact me, give me the MAC address then if they are enabled I'll configure dhcp service with another reservation and so on...
In my opinion, the astaro dhcp service reservation doesn't work as expected.

Hi,
if you read my post, i wrote that you dont have to assign adresses from the pool to your known MAC-adresses so maybe :

192.168.100.10 - first Notebook
192.168.100.11 - second Notebook
192.168.100.12 - third Notebook

192.168.100.100 - 101  -   your IP-Pool


firebear

Ok firebear,

but if I want only reserved IP?
I don't want 192.168.100.100 - 101 range.
This is not possible because astaro needs a valid range.

You said the Notebooks are "mobile"... Are you saying they are connecting via VPN?  If not, are they connecting to your network via wireless through an AP on your network or are they using a wired NIC?

Hi raburman

At this time "mobile" means that the user can be on that network today and tomorrow could be attached to another network managed by me.
The device interface is the NIC and it must be in dhcp mode.
So, the user doesn't worry about network configuration because it gets the IP via astaro dhcp server.

Unless you need the pool for something other than meeting the minimum configuration requirments for the scope, I would do what Firebear suggested... create your statics maps with the known MACs... 

To deal with the issue of an "unauthorized" user attaching to your network, pulling an address, and traversing the firewall, set a definition in the Astaro that matches your IP range in DHCP.  Then create a Packet Filter rule that preceeds any "allows" you have for your internal network to drop the traffic.

Or if you are using Proxies, create a definition group that includes everyone except your DHCP pool, and allow access to those.  Then create packet filter rules dropping the DHCP pool traffic.  

Even better you may want to split your internal network into subnet chunks in the network definitions, (including the DHCP pool)... then allow access through the proxies for all of the defined subnets except the DHCP pool... and packet filter drop rules for the DHCP pool subnet... makes it a little cleaner this way.

Two advantages to this:
1:  When you go to add the user to the static map, you will have the MAC sitting in the lease table.

2:  You know if there are any "unknowns" on your network and the only stuff they can access, is what is available on that given internal network.

What you need to do is setup the DHCP server with fixed addressing information for each laptop.
You set and address range for DHCP (dynamic) allocation tht is blocked in the firewall both proxy and filter. You assign the approved machines an ip address from outside the dynamic range (eg static) which has fixed MAC details against it, that way only approved laptops can get out into the www.
This way you can easily manage the DHCP common fields from the ASTARO.
The filer and proxy are easily managed by creating networh gruop of the 3 ip addresses and using that name in the approved (allowed) access and by default everyone else is blocked.

You have total control as to who can and can't access the www.

Ian M

Hi all,

ok, I can set up all the tricks I want in the astaro but at the end of the day,
I want to remark that the dhcp service doesn't work as it should.
If I reserved an IP address to a specific MAC, I don't understand why astaro dhcp server provides this IP to another pc/notebook with a different MAC address.

So your saying that:

your network for the internal is 192.168.0.0/24
your IP for the interface is 192.168.0.254/32
DHCP is turned on for the "internal" interface
Your DHCP range start is 192.168.0.1
Your DHCP range end is 192.168.0.4
You are setting statics using an IP in the Range (Like the latest 6.202 manual instructs)
Your Dynamics are pulling the address reserved for the Statics

I remember having a similar problem sometime back... right or wrong, on the Astaros we manage that run DHCP, we have set the statics OUTSIDE the range (even though the doc reads you MUST set the statics inside the range) and seems to work fine... 

Anyone know what the impact is by setting the statics outside the range vs. inside?  

Another question though... are there any existing leases on the IP previous to it being used in a static map?

the existing leases have never been used in a static map.
Instead some of the static map IPs at the begining were in the leases table...than they were converted to static.

the existing leases have never been used in a static map.
Instead some of the static map IPs at the begining were in the leases table...than they were converted to static.

Try this:  

Delete your statics.

If you want your range to be 192.168.1.10~192.168.1.15, set the range to something other than that... say, 192.168.1.16~192.168.1.20 (call this the TEST range).

Disable, then re-enable the DHCP service from the gui...

Make sure a client pulls from the new range... Also, check the lease table below and see if any old leases remain... (there is a post here about how to purge the DHCP lease table from the shell)

Now, set your statics with addresses inside the range you WANT (192.168.1.10~15 in this example).  Now, see if they clients are getting the proper address.  If not, see paragraph above and make sure the lease table ONLY has leases in it for the TEST range.  

I am not sure, but I seem to remember having a problem getting a static lease to pull IF the IP was still part of a dynamic lease...

BTW... are you on 6.203?

Maybe nothing to do with this, but I have noticed sometimes on XP, doing a "ipconfig /renew" does not always pull DHCP config changes... I disable then re-enable the interface if I am having an issue. check this article out about configuring how wintel DHCP clients behave (http://www.windowsitpro.com/Article/ArticleID/47131/47131.html)

Ok raburman,

I'm using 6.203 anyway with your suggestions I can't deny the leasing of IP to the notebooks with MAC not present in static mapping.
I want to give the IP address only to notebooks with authorized MAC.

I was told that static DHCP leases should be reserved OUTSIDE the DHCP range (on 5.x at least).

Barry

From page 195 of the Astaro 6.2 Manual date 02-05-2006:
2. In the Static Mappings window, make the following settings:
MAC Address: In the MAC Address entry field, enter the MAC
address of the network card. The MAC address must be entered
as in the following example
Example: 00:04:76:16:EA:62
IP Address: Enter the IP address into this entry field. The
address must be within the range specified by the Range Start
and Range End options.
Comment: In this entry field you can optionally enter a comment
on a static mapping.

(Maybe an Astaro typo?  within should be outside?)

I did a test and I think I found your problem:

I set up a range of 192.168.1.100~102

I let 3 machines pull addresses and they all received IP's in order 102 first, then 101, and 100.  All macs appeared in the lease table.

I then copied-pasted the macs, and created statics.  I even mixed them up...(gave different addresses other than what was originally leased - BUT STILL IN THE RANGE OF 100~102 (wanted to make sure they would get what was based on the new static and not on the old lease))

Disabled/enabled the adapters on the workstations, and they all took their new static IP.

So now all 3 addresses are used and there are none left in the range.

I then brought up a fourth machine never seen by DHCP.  It requested an IP, and was given the last IP in the range (102).  Even though it was in use by a static lease... I then looked in the DHCP log:

006:06:20-12:25:46 (none) dhcpd: Dynamic and static leases present for 192.168.1.102.
2006:06:20-12:25:46 (none) dhcpd: Remove host declaration 192_168_1_102 or remove 192.168.1.102
2006:06:20-12:25:46 (none) dhcpd: from the dynamic address pool for 192.168.1.0/24

It appears that if there are no more IPs available in the range, it will start again at the top of the range, and assign that IP (regardless of a static map).  I don't know if this is by design or not...  This is why we set our statics outside the range on our Astaro's and created a definition for the dynamic range and called it "purgatory", then blocked all traffic from purgatory.  This still does not prevent an aggressive user from setting his IP manually by pinging for an available IP (unless you have ACL's somewhere).

I guess you were expecting the DHCP server not to respond if there are no more IPs available?  I admit, that would be usefull.

Again, I have no idea if this is the way it is designed to behave... anyone know?