DHCP Firewall Paketfilter

[Stefan307]

Hallo
für meine PXE Versuche brauche ich ja einen Richtigen DHCP Server, ich möchte meine Fritzbox aber nicht umstellen weil dann mein Vater Probleme bekommt bzw ich meine DHCP Server dauern laufen lassen müste! Momentan habe ich testweise einen IPCop der meine testnetz vom heimnetz trennt und auf den auch der DHCP Server läuft. Das Finde ich aber unpraktisch ich bräuchte ja nur eine Netzwerkbrücke die die DHCP anfragen nicht durchläst damit sie nicht zur Fritzbox kommen, der DHCP Server könnte dann auch auf diesem System laufen. Gibt es Paketfilter oder ähliches die bestimmte Pakete(DHCP) nicht durchlassen ?

[karakal]

Äh das Problem versteh' ich jetzt schon wieder mal net...

Aber egal...

Die Konfiguration mit dem IPCop ist exakt die richtige und einfachste... Ansonsten kannst du das auch mit jedem anderen Linuxsystem mit zwei Netzwerkkarten machen, das dein Testnetz von deinem Heimnetz trennt... Und der Rechner routet zwischen den zwei Netzen... da kommt sich nix in die Quere, ist die einfachste und BESTE Lösung!

Eine Netzwerkbridge willst du machen, weil deine zwei DHCP-Server gleiche IP-Adressen vergeben sollen oder wie?? Da musst auf dem Unix-System (das auch zwei Netzwerkkarten haben muss), das außerdem zwischen deinen Fritzbox-DHCP-Server und dem restlichen Heimnetz geschaltet ist, auf MAC-Adressen-Ebene filtern und dann je nach MAC-Adresse dem einen oder dem anderen DHCP-Server zuweisen. Das ist, gelinde gesagt, schwachsinnig...

Deswegen wäre eigentlich Google dein Freund:
http://forum.ubuntuusers.de/topic/pxe:-dhcp-server-des-routers-verwenden/

Und auch gleich die passende Argumentationslinie für das Deaktivieren des Fritzbox-DHCP-Servers:
http://blog.rootserverexperiment.de/2007/09/17/der-buro-bootserver-pxelinux-im-praxiseinsatz/

Also: Entweder einen eigenen DHCP-Server fürs Testnetz oder den Fritzbox-DHCP-Server deaktivieren...

lg
von H "Pragmatiker" P

[Tschokko]

Wenn du nur vorübergehend einen DHCP Server für den PXE Boot benötigts, dann würde ich dir empfehlen schnell ein Debian innerhalb einer kleinen Virtual Machine einzurichten. In der /etc/dhcp.conf musst du dann auf jeden Fall die Einstellung "authoritative" aktivieren, die ist nämlich meist kommentiert. Wenn du dann den DHCP Server hochfährst übernimmt er sofort alle DHCP Anfragen im Netz. Richtig eingestellt dürfte dein Vater davon wenig betroffen sein. Sobald dein DHCP Server dann wieder down ist, ist der integrierte DHCP Server der Fritzbox sofort wieder aktiv.

Gruß
Tschokko

[Stefan307]

Äh so wie ich Tschokko verstehe müste sich der DHCP Server der Fritzbox automatisch ein und ausschalten je nach dem ob ein anderer DHCP läuft oder nicht, das glaub ich jetzt mal nicht. Klar könnte ich den ausschalten und einen anderen einschalten, das 2 gleichzeitig laufen gibt doch chaos oder ? Ich wollte halt den teil meines Netzes DHCP technich abtrennen dort einen eigenen DHCP und TFTP Server einrichten aber die Kommunikation soll sonst nicht eingeschränkt sein, wie jetzt beim Cop. Gegen eine dauerhafte umstellung auf einen "externen" DHCP Server spricht die tatsache das der dann dauernd laufen müste und das gibt Ärger mit meinem Vater!

[Tschokko]

Du musst an der Fritzbox nix ein und ausschalten. Sobald dein eigener DHCP Server mit dem Flag "authoritative" hochfährt übernimmt dieser alle DHCP Anfragen im Netz. D.h. just in diesem Moment ist der DHCP Server in der Fritzbox lahm gelegt. Sobald dann dein DHCP Server  vom Netz ist, gibts ja nur noch den DHCP Server in der Fritzbox, also nimmt dieser wieder von ganz alleine den Dienst auf. Unter Strich heißt das, dein Vater bekommt garnix mit.
Selbstverständlich solltest du das natürlich vorher testen ! Nicht dass doch der DHCP Server in der Fritzbox Ärger macht. Bei mir zuhause hat das jedenfalls in Verbindung mit meiner m0n0wall prima geklappt. Musste für PXE Boot einen neuen DHCP Server aufsetzen, denn der in der m0n0wall integrierte DHCP Server hatte die nötigen Einstellungen nicht angeboten.

Ein seperates Netz ist natürlich die eleganteste Lösung ! Aaaaaber dieses Netz sollte auch unbedingt der Fritz Box bekannt sein, denn ansonsten kannst du nicht ins Internet!!! D.h. prüfe erstmal ob du in der Fritzbox eine statische Route hinterlegen kannst. Wenn das geht, dann würde ich das machen. Ne kleine Box mit 2 NICs und Linux drauf, die dann das Routing, DHCP, DNS, usw. übernimmt.

Gruß
Tschokko

P.S.: Unter Umständen kann man den eigenen DHCP Server so konfigurieren, das er a) wie bereits beschrieben alle DHCP Anfragen annimmt und b) alle ihm nicht bekannten Anfragen automatisch an den DHCP Server in der Fritzbox weiterleitet. Sowas sollte eigentlich gehen. D.h. lediglich deine fix hinterlegten Clients für PXE Boot usw. gehen über deinen DHCP Server, alle anderen Anfragen werden an den DHCP Server der Fritzbox weitergeleitet. Das wäre dann auch eine praktikable Lösung wovon dein Vater überhaupt nicht betroffen ist.

[Ten Little Indyans]

Du musst an der Fritzbox nix ein und ausschalten. Sobald dein eigener DHCP Server mit dem Flag "authoritative" hochfährt übernimmt dieser alle DHCP Anfragen im Netz. D.h. just in diesem Moment ist der DHCP Server in der Fritzbox lahm gelegt.

 

Wo hast Du das denn her? Der Fritzbox selbst ist es schnurz ob beim anderen DHCP-Server "authoritative" gesetzt ist oder nicht.

Der Client pustet seine Anfrage in die Welt hinaus, so dass sie von beiden Servern gesehen wird. Beide werden dem Client eine Antwort schicken. Für welche er sich dann entscheidet ist seine Sache.

Was "authoritative" bewirken könnte, wäre das die Rechner Deines Vaters trotzdem weiter ihre Adresse von der Fritzbox beziehen weil der authoritative Server sich nicht zuständig fühlt:

http://www.isc.org/sw/dhcp/authoritative.php

Also Vaters Rechner ruft "Ich hätte gerne eine IP-Adresse. Letztens hatte ich die 1.2.3.4" ins Netz hinaus. Beide Server antworten darauf. Die Fritzbox mit "Ja, die kannst Du gerne wieder haben." und Dein anderer Server erstmal mit "Nee, die Adresse kriegst Du bei mir nicht."

Vermutlich wird der Rechner dann die Lease von der Fritzbox akzeptieren. Er könnte aber auch das NAK vom authoritativen Server zum Anlass nehmen nochmal an alle zu rufen "Gebt mir irgendeine Adresse". Da bekommt er auch wieder zwei Antworten von denen er sich eine aussuchen kann.

[Tschokko]

Nun, so genau hab ich mich in der Tat nicht mit dem Parameter "authoritative" befasst. Ich kann jedenfalls nur berichten, das ich damit im Stande war einen weiteren DHCP Server aufzusetzen mit dem ich dann den PXE Boot durchgeführt habe, ohne dabei mit dem bestehenden DHCP Server meiner m0n0wall in Konflikt zu geraten und/oder gar das ganze Heim Netzwerk damit gestört habe.
D.h. für zuhause durchaus eine praktikable Lösung, wo der Papa beim Surfen nicht gestört wird und die Fritzbox nicht gestresst ist- In Kundenumgebungen würde ich natürlich deutlich mehr Hirnschmalz reinstecken, bevor ich einfach mal so ins Blaue schieße.

Gruß
Tschokko

[Fleedwood]

Also mir ist nicht so recht klar, wie der jeweilige DHCP Server denn entscheiden kann, ob er auf den Request antworten soll oder eben nicht. Die FritzBox wird genauso stumpf
auf PXE DHCP Anfrangen antworten, wie der "richtige" DHCP Server auf Anfragen von Papas Rechner reagiert.

Wenns geht den PXE Kram per MAC Adressen fest zu verdrahten, könnte es reichen dem DHCP Server einen leeren Pool zu geben und die entsprechenden PXE Einträge auf
dedizierte IPs  (die sollte der FirtzBox DHCP dann auch nicht vergeben) zu legen.

Thomas.

[Stefan307]

Sag ich doch 2 DHCP Server in einem Netz gibt durcheinander! villeicht unter glücklichen Umständen auch nicht? ich muß also einen Router so konfigurieren das er alles auser DHCP anfragen durchläst! Warum muß ich dann der Fritzbox was von wegen statischer Route sagen ?

[Fleedwood]

Sag ich doch 2 DHCP Server in einem Netz gibt durcheinander!

mehrere DHCP Server in einem Netz ist aus Redudanzgründen durchaus sinnvoll und auch zuläßig.

Warum muß ich dann der Fritzbox was von wegen statischer Route sagen ?

weil Du sonst nix aus dem abgetrennten Netz Richtung Fritzbox kriegst ?

Thomas.

[Ten Little Indyans]

Sag ich doch 2 DHCP Server in einem Netz gibt durcheinander!

mehrere DHCP Server in einem Netz ist aus Redudanzgründen durchaus sinnvoll und auch zuläßig.

Genau. Das einzige was nicht sein darf ist das mehrere DHCP-Server im gleichen (Sub)Netz den gleichen Pool an IP-Adressen vergeben. Da muss jeder seinen eigenen Topf haben, sonst könnten zwei Clients von verschiedenen Servern die gleiche IP zugewiesen bekommen.

Ansonsten ist das alles kein Problem. Von den möglicherweise mehreren angebotenen Adressen sucht der Client sich eine aus. Die reserviert er sich dann durch eine direkte Mitteilung an den vergebenden Server. Die anderen Angebote lehnt er ab und die IPs wandern auf den jeweiligen Servern zurück in den Topf.

Warum muß ich dann der Fritzbox was von wegen statischer Route sagen ?

weil Du sonst nix aus dem abgetrennten Netz Richtung Fritzbox kriegst ?

Andere Richtung.

Die Fritzbox muss wissen wo die Antworten auf Pakete aus dem abgetrennten Netz hinsollen (nämlich in eben dieses zurück).

[Fleedwood]

mehrere DHCP Server in einem Netz ist aus Redudanzgründen durchaus sinnvoll und auch zuläßig.

Genau. Das einzige was nicht sein darf ist das mehrere DHCP-Server im gleichen (Sub)Netz den gleichen Pool an IP-Adressen vergeben. Da muss jeder seinen eigenen Topf haben, sonst
könnten zwei Clients von verschiedenen Servern die gleiche IP zugewiesen bekommen.

auch das geht, dazu prüfen ordentliche DHCP Server ob zu vergebende IP auch wirklich frei ist und tracken mit, wenn eine IP von einem anderen DHCP Server vergeben wird. Sicherer ist
aber nicht überlappende Pools zu verwenden, soferns egal ist, wenn die Clients mal IP Adressen bouncen.

Warum muß ich dann der Fritzbox was von wegen statischer Route sagen ?

weil Du sonst nix aus dem abgetrennten Netz Richtung Fritzbox kriegst ?

Andere Richtung.

klar, das Ergbniss ist nur das gleiche, nämlich nix Internet.

Thomas.

[Stefan307]

Das versteh ich jetzt nicht die pakete werden vom "routenden system" an die FB geschickt die Antwort geht an das system über die Brücke und landet an dem system wo sie hinn sollen ich möchte kein extra Subnetz sondern nur eine DHCP sperre alles ander soll transparent durchlaufen!

[Ten Little Indyans]

Das versteh ich jetzt nicht die pakete werden vom "routenden system" an die FB geschickt die Antwort geht an das system über die Brücke und landet an dem system wo sie hinn sollen ich möchte kein extra Subnetz sondern nur eine DHCP sperre alles ander soll transparent durchlaufen!

Ohne Subnetz wird das nichts. Ob man die Kiste jetzt Brücke, Router oder Gateway nennt, um ihren Zweck zu erfüllen muss sie zwischen der Fritzbox und dem Rechner hängen. Die Fritzbox darf keinen direkten Weg zum Rechner finden, sonst wäre die DHCP-Sperre ja wirkungslos.

Rechner <---> [Brücke] <---> Fritzbox <---> Internet

Der Rechner muss wissen das er Pakete Richtung Internet erstmal an die Brücke schicken muss, welche sie an die Fritzbox weiterleitet.
Genauso muss die Fritzbox wissen das sie Pakete aus dem Internet für den Rechner an die Brücke schicken soll.

Letztlich ist die Brücke also ein Router, der zwischen dem Netz A (mit Fritzbox DHCP) und dem Netz B (ohne DHCP) routet.

Netz B <---> [Brücke] <---> Netz A

[Fleedwood]

Letztlich ist die Brücke also ein Router, der zwischen dem Netz A (mit Fritzbox DHCP) und dem Netz B (ohne DHCP) routet.

Netz B <---> [Brücke] <---> Netz A

naja mit einer Bridge, die auf IP Ebene filtern kann, könnte das durchaus gehen. Und das dann auch ohne extra Routen.

Thomas.