dhcpd+bind

Re(3): dhcpd+bind

tha_haze — Wed, 26 Dec 2012 21:45:30 GMT

Mit Automatismus meine ich, dass man Geräte (sowohl Rechnername als auch NW-fähig Hardware wie Drucker oder irgendwelche NAS Gschichten) automatisch findet ohne Konfiguration.
Neuen Drucker aufgestellt? Unter Win7 mit dem Assistenten sofort gefunden, unter Win8 wird er beim ersten Auffinden anscheinend vollautomatisch installiert (ja das geht mir auch schon ein wenig zuuu weit). Bei getrennten Netzen wirds das nicht spielen.

Du wirst sicher deine Gründe haben die Netze zu trennen, generell sehe ich aber keinerlei Vorteile sein WLAN vom LAN zu trennen.

Re: dhcpd+bind

gunnarh — Wed, 26 Dec 2012 21:27:21 GMT

Saubere Lösung. Alternativ wäre auch Dynamic Update vom Endgerät aus (also nicht über den DHCP Server, sondern direkt vom Client aus) möglich gewesen. Vorteil: der DHCPD muss dann nicht unter eigener Kontrolle stehen, man kann somit auch den integrierten DHCPD eines proprietären WLAN Routers verwenden.

Unter Windows ist Dynamic Update authentifiziert über AD oder unauthentifiziert möglich. In Kombination mit einem Bind9 daher meines Wissens nur unauthentifiziert.

Von einem Linux-Client aus kann man aber nsupdate verwenden, somit sollte neben unauthentifiziertem nsupdate auch der gleiche HMAC-Shared-Secret-Schutz nutzbar sein, wie oben skizziert. Einen nsupdate-Einzeiler in ein dhclient.conf Script rein müsste meiner Beurteilung nach reichen.

Re(2): dhcpd+bind

kombipaket — Wed, 26 Dec 2012 21:22:01 GMT

thumbs up!

Thx!

da eben dann genau solche Automatismen fehlschlagen.

Ähh.. Der Automatismus klappt eigentlich..

Netze trennen muss bei mir sein... WLAN und eth sind bei mir absichtlich verschiedene...

Re: dhcpd+bind

tha_haze — Wed, 26 Dec 2012 20:24:11 GMT

thumbs up!

Aber genau aus diesem Grund würde ich beim Heimnetz niemals die Netze trennen, da eben dann genau solche Automatismen fehlschlagen.

dhcpd+bind

kombipaket — Wed, 26 Dec 2012 07:23:59 GMT

Hi !

Mein Tipp zum heutigen Tage - weil ich mich tagelang rumspielte:

Angenommen, ihr habt einen Host, der mal in dem einen, mal in dem anderen Netz ist.... z.B. einen Lappy, der manchmal über Kabel und manchmal über wlan in eurem Heimnetz angebunden ist. Andere Rechner sollen ihn aber immer unter demselben Namen erreichen, egal wo er gerade ist... Beispielsweise um ihn bequem via ssh zu erreichen.

Ihr macht euch dann folgende Einträge in der dhcpd.conf:


ddns-update-style interim;
ddns-domainname "heim.lan.";
ddns-rev-domainname "in-addr.arpa.";
deny-client-updates;
update-conflict-detection false;

...

host lappy-eth {
        hardware ethernet 5c:26:0a:77:75:1f;
        fixed-address lappy-eth;
        ddns-hostname "lappy";
        ddns-update-style interim;
        update-static-leases true;
}

host lappy-wlan {
        hardware ethernet 08:11:96:58:11:64;
        fixed-address lappy-wlan;
        ddns-hostname "lappy";
        ddns-update-style interim;
        update-static-leases true;
}
...
key DHCP_UPDATER {
    algorithm HMAC-MD5.SIG-ALG.REG.INT;
    secret "_DAS_SECRET_";
}

zone heim.lan.
{
        primary 127.0.0.1;
        key DHCP_UPDATER;
}

zone 168.192.in-addr.arpa.
{
        primary 127.0.0.1;
        key DHCP_UPDATER;
}

In der named.conf.local


...
key DHCP_UPDATER {
        algorithm HMAC-MD5.SIG-ALG.REG.INT;
        secret "_DAS_SECRET_";
};
..
zone "heim.lan" {
        type master;
        file "/etc/bind/..../....db";
        allow-update { key DHCP_UPDATER; };
};

zone "168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/.../168.192.in-addr.arpa";
        allow-update { key DHCP_UPDATER; };
};

Secrets erzeugen geht mit dnssec-keygen... fertig. update-static-leases solltet ihr dabei auf die Hosts, die in unterschiedlichen Netzen vorkommen, begrenzen... Daher habe ich es nur in ihrem Scope aktiviert. Die Range eurer subnet-Einträge darf natürlich nicht mit den Rechnern mit fixed-address kollidieren.