VPN - DHCP der Domäne verwenden

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 319
Registriert: 28 Jan 2015, 09:07

VPN - DHCP der Domäne verwenden

Beitrag von firefox_i »

Hey,
ich sehe wahrscheinlich den Wald vor lauter Bäumen nicht.

Unser 1800EF macht "nur" Router, ist also NICHT der DHCP Server für die LAN Clients.

Kann ich dem Router für die VPN Einwahlzugänge irgendwie beibringen, dass er die IP Adressen der VPN Clients vom Domänen DHCP bezieht oder ist es da einfacher einen Pool von Adressen im Router zu definieren, der im Domänen DHCP ausgespart ist?
Registrieren sich dann die VPN Clients beim DNS?

S.
sixty
Beiträge: 97
Registriert: 21 Sep 2010, 22:54

Re: VPN - DHCP der Domäne verwenden

Beitrag von sixty »

Das Stichwort lautet "DHCP-Proxy".
Der 1800EF muß die DHCP-Requests (Broadcasts, insbesondere DHCPINFORM) an den Domänen-DHCP weiterleiten und letzterer muß für das VPN-Subnetz authoritativ sein und einen entsprechenden Pool von Adressen (oder statische Assignments) vorhalten.
backslash
Moderator
Moderator
Beiträge: 7138
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN - DHCP der Domäne verwenden

Beitrag von backslash »

Hi sixty
Das Stichwort lautet "DHCP-Proxy".
fast... Korrekt ist DHCP-Relay...

Gruß
Backslash
backslash
Moderator
Moderator
Beiträge: 7138
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN - DHCP der Domäne verwenden

Beitrag von backslash »

Hi firefox_i,
Unser 1800EF macht "nur" Router, ist also NICHT der DHCP Server für die LAN Clients.
der muß dann aber zuminsest als DHCP-Relay-Agent für das Netz agieren und die Anfragen an den übergeordneten DHCP-Server weiterleiten.

Unter IPv4 -> DHCPv4 -> DHCP-Netzwerke für das gewünschte Netz den Punkt "DHCP-Server aktiviert" auf Aanfragen weiterleiten" stellen und unter "Weiterleiten von DHCP-Anfragen" die Adresse des übergeordneten Servers eintragen (es können insgsamt bis zu 4 Server eingetragen werden)
Kann ich dem Router für die VPN Einwahlzugänge irgendwie beibringen, dass er die IP Adressen der VPN Clients vom Domänen DHCP bezieht oder ist es da einfacher einen Pool von Adressen im Router zu definieren, der im Domänen DHCP ausgespart ist?
Registrieren sich dann die VPN Clients beim DNS?
nein, DHCP läuft nur im LAN - für das, was du willst braucht du einen RADIUS-Server - der weist dann dem VPN-Client die Adresse zu.

Der RADIUS-Server als solches wird unter VPN -> IKEv2/IPSec -> Erweiterte Eintellungen -> RADIUS-Authentifizierung eingerichet.
Den Server kannst du dann unter VPN -> IKEv2/IPSec -> Verbindungs-Liste dem Client-Profil (z.B. "DEFAULT") unter RADIUS-Auth-Server zugewiesen werden. Weiterhin muß im Client-Profil der IKE-Config-Mode auf "Server" gestellt sein. Da der RADIUS-Server alles zuweisen soll, brauchts du keine Adreßpools.


Gruß
Backslash
firefox_i
Beiträge: 319
Registriert: 28 Jan 2015, 09:07

Re: VPN - DHCP der Domäne verwenden

Beitrag von firefox_i »

Also ich hab jetzt 2 verschiedene Infos hier ;-)

Vielleicht kurz zur Infrastruktur:
- 1800EF hängt über eine Leitung am Switch um en Internet Zugang zu gewährleisten
- im 1800E ist das Intranet mit dessen IP Bereich angelegt, DHCP aber AUS
- Am Switch ist DHCP Snooping an und der Port des 1800EF ist NICHT trusted, so dass der 1800EF NIE DHCP Requests sieht
- Der DHCP Server (WIN 2022) ist an einem trusted Port und verteilt seit Jahren die IP Adressen im Netzwerk

Soviel zum Status Quo

Jetzt hab ich hier die Infos:
- DHCP Relay
- RADIUS Server

Klingt für mich, als ob ich wohl zwingend einen RADIUS brauche.

Die Option "DHCP over ipSec" im Advanced VPN Client von LANCOM scheint ja auch ins Leere zu laufen (schade, dass LC das wohl nicht unterstützt...).

S.
backslash
Moderator
Moderator
Beiträge: 7138
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN - DHCP der Domäne verwenden

Beitrag von backslash »

Hi firefox_i
Klingt für mich, als ob ich wohl zwingend einen RADIUS brauche.
korrekt, weil
Die Option "DHCP over ipSec" im Advanced VPN Client von LANCOM scheint ja auch ins Leere zu laufen (schade, dass LC das wohl nicht unterstützt...).
Das ist etwas aus den Urzeiten des IKEv1... Als es noch keinen Config-Mode gab hat man das mit so einer Krücke versucht... Warum der Client das überhaupt (noch) anbietet mußt du wohl NCP fragen

Gruß
Backslash
Antworten