Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » DNS/DHCP - Open DHCP Server - очень интересно, но не очень понятно и потому проблемы.

Ответить
Настройки темы
DNS/DHCP - Open DHCP Server - очень интересно, но не очень понятно и потому проблемы.

Старожил


Сообщения: 426
Благодарности: 108

Профиль | Отправить PM | Цитировать


На одном из объектов жуткий бардак.
Некоторые товарищи поставили несколько точек доступа. В принципе, в проекте было оснащение помещений WiFi, но подрядчики поленились и кабель в нужных местах не заложили.
Проблема началась не сразу, а только когда охранникам кто-то по-секрету слил пароль к сети. Через пару недель, добрая половина поселка, уткнувшись в мобильники, тусовалась если не в помещении, то как минимум под окнами. Мне чужого инета не жалко, мне просто стремно, что какой-нить школьник накроет сервак со всеми бэкапами... Смена пароля решала проблему всего на несколько дней, зато поднимала волну недовольства офисных работников, видите ли из-за меня у них всякие фкантахты неработают, ахахах!

Сеть - классика, 192.168.0.0/24. Адреса выдаю файловым сервером на 2003. Есть компы на ХР, некоторые мириться с тормозами не желают, потому носят свои ноуты. Статика только на сервере и сетевом железе, остальным DHCP, все же люди свои ноуты не только на работе используют, им каждый день адреса прописывать/сбрасывать - неразумно.
Захотелось распределить сетевое пространство следующим образом:

1-31 - Различные сервера, статика (резерв)
32-127 - Рабочие станции, DHCP, есть доступ к IP серверов
128-159 - VoIP телефоны, DHCP, есть доступ к IP серверов
160-191 - reserved
193-223/26 - Гостевая сеть "D", DHCP, все мобилки, планшетки и прочая ересь, притащенная с собой и воткнутое в розетку или в вафлю без согласования. IP серверов, пользователей и телефонов недоступны (маска)
224-247 - Принтеры, МФУ и прочее офисное железо
248-254 - Рутеры и т.п. (Сейчас рутера 2, 254 и 253 адреса соответственно. Есть еще 3й, фиктивный, о нем позже)

Практически реализовать это 1 сервером MS невозможно, т.к. нельзя делать пересекающиеся диапазоны. Т.е. сделать подсеть с адресами 192-224 и маской 192 строго-настрого нельзя, т.к. она внутри сети 0-255 с маской 0.

Тогда я стал искать на просторах бесплатный сервак, работающий не только на серверной ОС. Сначала попался Turbo DHCP, который когда-то с ограничениями был бесплатным, но сейчас очень даже не бесплатный.
Следом попался Open DHCP Server, по обзору вообще зверь, разве что кофе в постель носить не умеет, да тапочки с газетой подавать, на нем и остановился. Вот тут проблемы и начались...

Легкое отвлечение. Гостевая подсеть должна быть внутри основной сети только из-за доступности рутеров. На свежих смартах несложно посмотреть адрес и маску, что выдал DHCP-сервер, и маска вида 255.255.255.192 должна навести на мысль, что стоит подключиться со стаикой с нормальной маской и покапаться/нагадить в сети. Мне этого не нужно. Поэтому пришла мысль выдавать в гостевую сеть адреса 192.168.1.0/24, тогда сервер MS может выдавать адреса 2го диапазона, поскольку они не пересекаются, но сервер MS не может их выдавать, если сам не имеет адрес в сети 192.168.1.0. Выдавать адреса гостевой сети рутером не катит (для гостевой подсети пришлось воткнуть 3й рутер, у которого WAN 192.168.0.252/29, т.е. на сервер никак не попасть, а LAN - 192.168.1.254.). Проблема в том, что в обычных рутерах нельзя прописать черный список, что бы офисные компы не получили гостевой IP. Хотел использовать User class, но тут же вспомнил про домашние ноуты, которые после моих манипуляций не будут работать дома... Более того, с 3м рутером пришлось повозиться, т.к. на WAN-порту он игнорировал маску /29, показывая ее в настройках, но заменяя на /24, т.е. сервак становился доступен, такое часто встречал )))

Итак, решено все это сделать на Open DHCP. Для пробы взял комп, за который обычно никто не садится (одноядерный целерон + 512 оперативы), сделал на нем статику в диапазоне серверов и временно (для пробы) дописал статику в гостевой сети.

Принцип распределения DHCP:
Телефоны имеют не сильно разбросанный диапазон маков, их сунул в отдельную подсеть, и эта часть вроде работает исправно, т.е. все телефоны получили адреса из этого диапазона и никто посторонний там не оказался:
Скрытый текст
[RANGE_SET]
# Phones
DHCPRange=192.168.0.128-192.168.0.159
FilterMacRange=00:0b:82:4d:c3:65-00:0b:82:61:da:33
Router=192.168.0.2

Шлюз для телефонов несуществующий, поскольку им инет не нужен. Потом вообще оставлю строку пустой, что бы параметра не было.

Дальше идет основная подсеть, кроме как по разрешенным MACам объединить компы не придумал. По доке, диапазоны маков объединяются по "или", но их всего 32 (мне достаочно).
А все, что не попадет в этот диапазон, будет считаться гостем и пойдет в третий диапазон:
Скрытый текст
[RANGE_SET]
# Office network
DHCPRange=192.168.0.32-192.168.0.95
FilterMacRange=00:1a:4d:73:9e:20-00:1a:4d:73:9e:20
FilterMacRange=00:1e:8c:9f:ba:5b-00:1e:8c:9f:ba:5b
FilterMacRange=00:21:91:8a:9b:ff-00:21:91:8a:9b:ff
FilterMacRange=40:8d:5c:c0:34:25-40:8d:5c:c0:34:25
FilterMacRange=4c:49:e3:17:f2:b9-4c:49:e3:17:f2:b9
FilterMacRange=64:66:b3:f3:9b:dd-64:66:b3:f3:9b:dd
FilterMacRange=90:2b:34:15:cc:9a-90:2b:34:15:cc:9a
FilterMacRange=94:de:80:7e:85:9d-94:de:80:7e:85:9d
FilterMacRange=94:de:80:7f:fc:a8-94:de:80:7f:fc:a8
FilterMacRange=94:de:80:c6:72:fb-94:de:80:c6:72:fb
FilterMacRange=bc:ae:c5:cf:09:e7-bc:ae:c5:cf:09:e7
Router=192.168.0.253, 192.168.0.254
NETBIOSNameSrv=192.168.0.1
DomainServer=192.168.0.253,192.168.0.254,192.168.0.1,8.8.8.8,77.88.8.8

[RANGE_SET]
# Guest network
DHCPRange=192.168.1.32-192.168.1.127
Router=192.168.1.254
DomainServer=192.168.1.254,8.8.8.8
AddressTime=3600


К этим всем диапазонам общие настройки:
Скрытый текст
[GLOBAL_OPTIONS]
SubNetMask=255.255.255.0
AddressTime=86400


Сразу же после пробного запуска обнаружилось 2 неприятности:
1. Выданные старым сервером адреса пересеклись с новыми, выданными новым сервером (мой косяк, нужно было сначала сделать общую конфигурацию на диапазон, не пересекающийся с диапазоном старого сервера, а через пару дней перейти на конечную конфигурацию). Но пришлось потерпеть 1 день расколбаса.
2. Измененная конфигурация не подцепляется сервером автоматически и в доке нет никакого упоминания, как заставить сервер перечитать новую конфигурацию, приходится рестартить сервис, что не очень удобно.

Остальное - ошибки.
Ни одной мобилки не появилось в гостевой сети, все преспокойно разместились в рабочей. А в гостевой оказался толко один из прописанных компов, которому сервер упорно отказывал в выдаче адреса. В списке фильтров он идет первым, как буд-то запись сделана с ошибкой.
Лог на начало суток, и так каждую секунду, весь день:
Скрытый текст
[20-Mar-18 00:00:00] DHCPREQUEST from Host 00:1a:4d:73:9e:20 (sz13) without Discover, NAKed
[20-Mar-18 00:00:01] DHCPREQUEST from Host 00:1a:4d:73:9e:20 (sz13) without Discover, NAKed
[20-Mar-18 00:00:02] DHCPREQUEST from Host 00:1a:4d:73:9e:20 (sz13) without Discover, NAKed
...

А вот телефон получает IP рабочего диапазона:
[20-Mar-18 12:56:22] Host d0:81:7a:73:68:fc (iPhone-Tatana) allotted 192.168.0.86 for 86400 seconds
Хотя этот мак нигде не прописан.
Есть и другие непонятки, но сначала хочу разобраться с важной частью. Есть вариант воспользоваться static-DHCP, но он некрасив и громоздок.

* На случай, если кто-то преположет, что список маков набран ручками и там ошибки - увы, экспортировал список из старого DHCP от MS и обработав батником воткнул в конфигурацию.

-------
Как сказало Дерево Дровосеку: "я - пень".


Отправлено: 01:55, 21-03-2018

 

Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26367
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата NiOl:
Мне чужого инета не жалко, мне просто стремно, что какой-нить школьник накроет сервак со всеми бэкапами...
Защититься фильтруя MAK-адреса, хотя бы, - не вариант?

Цитата NiOl:
все же люди свои ноуты не только на работе используют, им каждый день адреса прописывать/сбрасывать - неразумно
Не аргумент. Есть лёгкие утилиты для быстрой смены сетевых настроек.

Цитата NiOl:
все мобилки, планшетки и прочая ересь, притащенная с собой и воткнутое в розетку или в вафлю без согласования
Не должно работать вообще! От слова совсем! Только по согласованию. И не придётся заумно мудрить.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.


Отправлено: 07:44, 21-03-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 426
Благодарности: 108

Профиль | Отправить PM | Цитировать


Цитата Angry Demon:
Защититься фильтруя MAK-адреса, хотя бы, - не вариант? »
Дык, об том и речь, нужные настройки должны получить только те, кого я знаю.

Цитата Angry Demon:
Не аргумент. Есть лёгкие утилиты для быстрой смены сетевых настроек. »
угу, батник написать - 5 минут. Но каждый раз пользователю тыкать ярлычок - гимор, в первую очередь мне, ибо чел скажет, что обтыкался, а ничего не работает, ты когда к нам приедешь, ибо работа стоит. Плавали, знаем )))

Цитата Angry Demon:
Не должно работать вообще! От слова совсем! Только по согласованию. И не придётся заумно мудрить. »
Я бы с удовольствием поприкалывался, забанив все мобилки без исключения (директора, его жены-блондинки, бесполезника...) но Вы понимаете, что сразу начнется. Достаточно упомянуть, что я как только пришел, по привычке забанил всякие одноклакашки, фкантахты и прочую грязь, включая торрент-ресурсы. Скандалище и разборки были неделю. А потом еще пару месяцем меня врагом народа обзывали. Ну да именно это меня только веселило, поскольку как только грязь кто-нить хватал, я советовал побольше по фкантахтам лазить )))
так что
1. У каждого монастыря свой устав
2. Вынут душу, насрут туда и какую-нить гадость устроят, а ты будешт крайний. А разгребать умышленно устроенное г. - мне не столько платят.

Общее резюме - продук нужный, но есть недостатки. Пока воспользовался Static-DHCP, но обнаружил некоторые особенности, например: Один из шлюзов офисной сети оказался в гостевой. Видимо потому, что в офисной шлюза 2, а гостевой - только 1. т.е. локальная настройка шлюза гостевой сети не переписала полностью общую настройку шлюза, а заменила 1ю позицию.

-------
Как сказало Дерево Дровосеку: "я - пень".


Отправлено: 16:21, 21-03-2018 | #3


Аватара для Charg

Ветеран


Сообщения: 2798
Благодарности: 469

Профиль | Отправить PM | Цитировать


Цитата NiOl:
Достаточно упомянуть, что я как только пришел, по привычке забанил всякие одноклакашки, фкантахты и прочую грязь, включая торрент-ресурсы. »
Это должно быть решение начальства, на административном, так сказать, уровне. А не на техническом, когда захотел, возможность есть - забанил.

Отправлено: 18:10, 21-03-2018 | #4


Аватара для Angry Demon

Крылатый ужас


Moderator


Сообщения: 26367
Благодарности: 4434

Профиль | Отправить PM | Цитировать


Цитата NiOl:
Дык, об том и речь, нужные настройки должны получить только те, кого я знаю.
Дык, и в чём проблема? Гуглится/яндексится за минуту:
Фильтрация по МАС-адресам на сервере DHCP Windows Server 2003/2008

Цитата NiOl:
угу, батник написать - 5 минут
Нет. Есть прекрасные утилиты GUI. User friendly.

Цитата NiOl:
чел скажет, что обтыкался, а ничего не работает
Докладная руководству. С поднятием личного дела, где работник разливался соловьём какой он "профессиональный пользователь". Плавали - знаем.

Цитата NiOl:
Я бы с удовольствием поприкалывался, забанив все мобилки без исключения (директора, его жены-блондинки, бесполезника...)
Речь шла в вашем вопросе о другом:
Цитата Angry Demon:
ересь, притащенная с собой и воткнутое в розетку или в вафлю без согласования
Цитата NiOl:
У каждого монастыря свой устав
В таком случае, убедить директора этой богадельни издать приказ об ответственности каждого за работоспособность своего рабочего места. С разбором логов каждого инцидента. Под роспись каждому.

Точка. Всё остальное - от лукавого. Если нет, - значит, явно держат для подставы и пакостей. Аминь.

-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...


Здесь можно скачать драйверы

Сообщение оказалось полезным? Поблагодарите автора, нажав ссылку Полезное сообщение чуть ниже.


Отправлено: 18:58, 21-03-2018 | #5


Старожил


Сообщения: 426
Благодарности: 108

Профиль | Отправить PM | Цитировать


Цитата Angry Demon:
Дык, и в чём проблема? Гуглится/яндексится за минуту »
Я не про настройки MS DHCP задаю вопрос, его возможности/ограничения мне более-менее известны. Не было бы некоторых малообъяснимых ограничений, не искал бы решения на стороне.

Цитата Angry Demon:
убедить директора этой богадельни ... С разбором логов »
Это если работаешь 5/2 в большой организации, а не приезжаешь решить проблемы. Такую Филькину грамоту можно замутить, но будет как "с друзьями кое-кого" - ом все можно, а ты им жопу подтирай, ибо теперь не работает, не смотря на то, что написано в Конституции.
Нужно уважать себя и свое время. Этот принцип в конце 90х заставил меня написать собственный бэкап, которым, как оказалось, пользовались админы после меня, и переделали они бэкап только 1 раз, коргда ~ в 2004 им пришлось переползать на ХР.
Мне было проще вместо запретов разрешить всем все. Ибо да, чел накосячит и побежит за бизнес-гелем, но проблемы решать все равно тебе. А ты еще и козлом будешь. Поэтому курс взял на быстрое решение проблем, и по-началу, стал вечером проходить с дискетой по 25-ти компам, и запускать команды развертывания бэкапа. Это занимало около 4-5 минут (было 3 DOS дискеты, загружал с дискеты по очереди каждый комп, как раз успевал переставлять очередную дискету в очередной комп). Потом обленился и ходил с 1 дискетой, днем, когда у кого-то начинались проблемы.

Цитата Charg:
Это должно быть решение начальства, на административном, так сказать, уровне. А не на техническом, когда захотел, возможность есть - забанил. »
Говорюж, "по привычке" )))


Верну флуд в русло темы: мне интересен чужой опыт пользования Open DHCP Server. Потому как непонятки продолжаются, например, в диапазоне адресов 1..15 не может быть получено ни одного адреса, но тем не менее на 4м интерфейсе получил "конфликт адресов", а 1 серваком, средствами MS не вижу возможности решить проблему, т.к. нет необходимой гибкости. Нельзя (не знаю почему, может защита от дурака, хотя в админах дураков не держат) в одном адресном пространстве, 1 сервером, создать несколько зон.

-------
Как сказало Дерево Дровосеку: "я - пень".


Отправлено: 12:30, 25-03-2018 | #6



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » DNS/DHCP - Open DHCP Server - очень интересно, но не очень понятно и потому проблемы.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Принтер - Принтер HP 1012 отказывается печатать ВОРД"овский файл. Очень интересно Artem56 Прочее железо 0 18-09-2014 14:45
Извините, но очень нужно найти 2 темы с этого форума, поиск юзал - не спасло McLotos Флейм 0 10-07-2012 10:43
Вопрос к сис. админам(очень интересно узнать) Kerberos_2.0 Флейм 8 06-06-2011 18:47
Прочее - Последний раз о DIR 300! Только очень внятно и понятно! monster Сетевое оборудование 7 12-07-2010 20:22
Не очень дорогой, но и не очень слабый компьютер. BenderFromNorth Выбор отдельных компонентов компьютера и конфигурации в целом 37 26-07-2007 17:35




 
Переход