Open DHCP Server - очень интересно, но не очень понятно и потому проблемы.
 

На одном из объектов жуткий бардак.
Некоторые товарищи поставили несколько точек доступа. В принципе, в проекте было оснащение помещений WiFi, но подрядчики поленились и кабель в нужных местах не заложили.
Проблема началась не сразу, а только когда охранникам кто-то по-секрету слил пароль к сети. Через пару недель, добрая половина поселка, уткнувшись в мобильники, тусовалась если не в помещении, то как минимум под окнами. Мне чужого инета не жалко, мне просто стремно, что какой-нить школьник накроет сервак со всеми бэкапами... Смена пароля решала проблему всего на несколько дней, зато поднимала волну недовольства офисных работников, видите ли из-за меня у них всякие фкантахты неработают, ахахах!

Сеть - классика, 192.168.0.0/24. Адреса выдаю файловым сервером на 2003. Есть компы на ХР, некоторые мириться с тормозами не желают, потому носят свои ноуты. Статика только на сервере и сетевом железе, остальным DHCP, все же люди свои ноуты не только на работе используют, им каждый день адреса прописывать/сбрасывать - неразумно.
Захотелось распределить сетевое пространство следующим образом:

1-31 - Различные сервера, статика (резерв)
32-127 - Рабочие станции, DHCP, есть доступ к IP серверов
128-159 - VoIP телефоны, DHCP, есть доступ к IP серверов
160-191 - reserved
193-223/26 - Гостевая сеть "D", DHCP, все мобилки, планшетки и прочая ересь, притащенная с собой и воткнутое в розетку или в вафлю без согласования. IP серверов, пользователей и телефонов недоступны (маска)
224-247 - Принтеры, МФУ и прочее офисное железо
248-254 - Рутеры и т.п. (Сейчас рутера 2, 254 и 253 адреса соответственно. Есть еще 3й, фиктивный, о нем позже)

Практически реализовать это 1 сервером MS невозможно, т.к. нельзя делать пересекающиеся диапазоны. Т.е. сделать подсеть с адресами 192-224 и маской 192 строго-настрого нельзя, т.к. она внутри сети 0-255 с маской 0.

Тогда я стал искать на просторах бесплатный сервак, работающий не только на серверной ОС. Сначала попался Turbo DHCP, который когда-то с ограничениями был бесплатным, но сейчас очень даже не бесплатный.
Следом попался Open DHCP Server, по обзору вообще зверь, разве что кофе в постель носить не умеет, да тапочки с газетой подавать, на нем и остановился. Вот тут проблемы и начались...

Легкое отвлечение. Гостевая подсеть должна быть внутри основной сети только из-за доступности рутеров. На свежих смартах несложно посмотреть адрес и маску, что выдал DHCP-сервер, и маска вида 255.255.255.192 должна навести на мысль, что стоит подключиться со стаикой с нормальной маской и покапаться/нагадить в сети. Мне этого не нужно. Поэтому пришла мысль выдавать в гостевую сеть адреса 192.168.1.0/24, тогда сервер MS может выдавать адреса 2го диапазона, поскольку они не пересекаются, но сервер MS не может их выдавать, если сам не имеет адрес в сети 192.168.1.0. Выдавать адреса гостевой сети рутером не катит (для гостевой подсети пришлось воткнуть 3й рутер, у которого WAN 192.168.0.252/29, т.е. на сервер никак не попасть, а LAN - 192.168.1.254.). Проблема в том, что в обычных рутерах нельзя прописать черный список, что бы офисные компы не получили гостевой IP. Хотел использовать User class, но тут же вспомнил про домашние ноуты, которые после моих манипуляций не будут работать дома... Более того, с 3м рутером пришлось повозиться, т.к. на WAN-порту он игнорировал маску /29, показывая ее в настройках, но заменяя на /24, т.е. сервак становился доступен, такое часто встречал )))

Итак, решено все это сделать на Open DHCP. Для пробы взял комп, за который обычно никто не садится (одноядерный целерон + 512 оперативы), сделал на нем статику в диапазоне серверов и временно (для пробы) дописал статику в гостевой сети.

Принцип распределения DHCP:
Телефоны имеют не сильно разбросанный диапазон маков, их сунул в отдельную подсеть, и эта часть вроде работает исправно, т.е. все телефоны получили адреса из этого диапазона и никто посторонний там не оказался:

Шлюз для телефонов несуществующий, поскольку им инет не нужен. Потом вообще оставлю строку пустой, что бы параметра не было.

Дальше идет основная подсеть, кроме как по разрешенным MACам объединить компы не придумал. По доке, диапазоны маков объединяются по "или", но их всего 32 (мне достаочно).
А все, что не попадет в этот диапазон, будет считаться гостем и пойдет в третий диапазон:


К этим всем диапазонам общие настройки:


Сразу же после пробного запуска обнаружилось 2 неприятности:
1. Выданные старым сервером адреса пересеклись с новыми, выданными новым сервером (мой косяк, нужно было сначала сделать общую конфигурацию на диапазон, не пересекающийся с диапазоном старого сервера, а через пару дней перейти на конечную конфигурацию). Но пришлось потерпеть 1 день расколбаса.
2. Измененная конфигурация не подцепляется сервером автоматически и в доке нет никакого упоминания, как заставить сервер перечитать новую конфигурацию, приходится рестартить сервис, что не очень удобно.

Остальное - ошибки.
Ни одной мобилки не появилось в гостевой сети, все преспокойно разместились в рабочей. А в гостевой оказался толко один из прописанных компов, которому сервер упорно отказывал в выдаче адреса. В списке фильтров он идет первым, как буд-то запись сделана с ошибкой.
Лог на начало суток, и так каждую секунду, весь день:

А вот телефон получает IP рабочего диапазона:
[20-Mar-18 12:56:22] Host d0:81:7a:73:68:fc (iPhone-Tatana) allotted 192.168.0.86 for 86400 seconds
Хотя этот мак нигде не прописан.
Есть и другие непонятки, но сначала хочу разобраться с важной частью. Есть вариант воспользоваться static-DHCP, но он некрасив и громоздок.

* На случай, если кто-то преположет, что список маков набран ручками и там ошибки - увы, экспортировал список из старого DHCP от MS и обработав батником воткнул в конфигурацию.

Защититься фильтруя MAK-адреса, хотя бы, - не вариант?

Не аргумент. Есть лёгкие утилиты для быстрой смены сетевых настроек.

Не должно работать вообще! От слова совсем! Только по согласованию. И не придётся заумно мудрить.

Дык, об том и речь, нужные настройки должны получить только те, кого я знаю.

угу, батник написать - 5 минут. Но каждый раз пользователю тыкать ярлычок - гимор, в первую очередь мне, ибо чел скажет, что обтыкался, а ничего не работает, ты когда к нам приедешь, ибо работа стоит. Плавали, знаем )))

Я бы с удовольствием поприкалывался, забанив все мобилки без исключения (директора, его жены-блондинки, бесполезника...) но Вы понимаете, что сразу начнется. Достаточно упомянуть, что я как только пришел, по привычке забанил всякие одноклакашки, фкантахты и прочую грязь, включая торрент-ресурсы. Скандалище и разборки были неделю. А потом еще пару месяцем меня врагом народа обзывали. Ну да именно это меня только веселило, поскольку как только грязь кто-нить хватал, я советовал побольше по фкантахтам лазить )))
так что
1. У каждого монастыря свой устав
2. Вынут душу, насрут туда и какую-нить гадость устроят, а ты будешт крайний. А разгребать умышленно устроенное г. - мне не столько платят.

Общее резюме - продук нужный, но есть недостатки. Пока воспользовался Static-DHCP, но обнаружил некоторые особенности, например: Один из шлюзов офисной сети оказался в гостевой. Видимо потому, что в офисной шлюза 2, а гостевой - только 1. т.е. локальная настройка шлюза гостевой сети не переписала полностью общую настройку шлюза, а заменила 1ю позицию.

Это должно быть решение начальства, на административном, так сказать, уровне. А не на техническом, когда захотел, возможность есть - забанил.

Дык, и в чём проблема? Гуглится/яндексится за минуту:
Фильтрация по МАС-адресам на сервере DHCP Windows Server 2003/2008

Нет. Есть прекрасные утилиты GUI. User friendly.

Докладная руководству. С поднятием личного дела, где работник разливался соловьём какой он "профессиональный пользователь". Плавали - знаем.

Речь шла в вашем вопросе о другом:
В таком случае, убедить директора этой богадельни издать приказ об ответственности каждого за работоспособность своего рабочего места. С разбором логов каждого инцидента. Под роспись каждому.

Точка. Всё остальное - от лукавого. Если нет, - значит, явно держат для подставы и пакостей. Аминь.

Я не про настройки MS DHCP задаю вопрос, его возможности/ограничения мне более-менее известны. Не было бы некоторых малообъяснимых ограничений, не искал бы решения на стороне.

Это если работаешь 5/2 в большой организации, а не приезжаешь решить проблемы. Такую Филькину грамоту можно замутить, но будет как "с друзьями кое-кого" - ом все можно, а ты им жопу подтирай, ибо теперь не работает, не смотря на то, что написано в Конституции.
Нужно уважать себя и свое время. Этот принцип в конце 90х заставил меня написать собственный бэкап, которым, как оказалось, пользовались админы после меня, и переделали они бэкап только 1 раз, коргда ~ в 2004 им пришлось переползать на ХР.
Мне было проще вместо запретов разрешить всем все. Ибо да, чел накосячит и побежит за бизнес-гелем, но проблемы решать все равно тебе. А ты еще и козлом будешь. Поэтому курс взял на быстрое решение проблем, и по-началу, стал вечером проходить с дискетой по 25-ти компам, и запускать команды развертывания бэкапа. Это занимало около 4-5 минут (было 3 DOS дискеты, загружал с дискеты по очереди каждый комп, как раз успевал переставлять очередную дискету в очередной комп). Потом обленился и ходил с 1 дискетой, днем, когда у кого-то начинались проблемы.

Говорюж, "по привычке" )))


Верну флуд в русло темы: мне интересен чужой опыт пользования Open DHCP Server. Потому как непонятки продолжаются, например, в диапазоне адресов 1..15 не может быть получено ни одного адреса, но тем не менее на 4м интерфейсе получил "конфликт адресов", а 1 серваком, средствами MS не вижу возможности решить проблему, т.к. нет необходимой гибкости. Нельзя (не знаю почему, может защита от дурака, хотя в админах дураков не держат) в одном адресном пространстве, 1 сервером, создать несколько зон.