Frage zu DHCP-snooping

[rtf]

Hallo allerseits,

wir haben zurzeit ungewollt ein DHCP Server im Netz, den wir leider so auch nicht mehr entfernen können (Entstand durch ein neues Gerät). Den DHCP abschalten geht also nicht, also kamen wir auf die Idee DHCP-Snooping zu verwenden. Dabei hatten wir uns das so gedacht, dass wir an unserer Switch, wo der DHCP-Server hängt alle Ports auf untrusted setzen und keinen autorisierten DHCP Server hinzufügen. Jedoch ist dieser Versuch gescheitert und der DHCP verteilt noch schön IP Adressen.

Ist es wirklich noch zwingend Notwendig einen autorisierten DHCP Server einzutragen? Wir selber haben keinen, da wir die IPs statisch vergeben, ist es daher vielleicht möglich einen "Fake-DHCP" einzugeben, heißt irgendeine freie IP die ins Leere verläuft.

Liegt es vielleicht auch daran, dass ich bisher nur die Hauptswitch so konfiguriert habe? Aber die anderen Switche sollten die Anfrage auch nur an die Hauptswitch weiterleiten und diese sollte sie verwerfen.

Oder ist es mit DHCP-snooping garnicht möglich und wir müssen was anderes suchen? Wo ich eigentlich nicht von ausgehe, da mit snooping ja dhcp-anfragen ins leere laufen können.

Vielen Dank für eure Hilfe.

Gruß

rtf

 

[keinnick]

Ich habe 2 Fragen:

Warum kommt Ihr an den DHCP-Server nicht (mehr) ran?
Kann Euch dieser DHCP-Server nicht "egal" sein wenn Ihr ohnehin alle Clients manuell konfiguriert?

 

[rtf]

wir kommen ja an dem DHCP Server ran, jedoch kann ich aus anderen Gründen halt durch das neue Gerät den DHCP Server nicht abschalten.

Ganz egal kanns uns der DHCP Server nicht sein. Der DHCP Server stammt von einem Wlan Controller und dieser Kontroller verteilt IPs in unserem Netz, mit der ein fremder Zugriff auf ein Teil unserer Systeme hat.
Der DHCP Server soll nur bei den WLAN Clients den DHCP Server spielen und nicht auch bei den Leuten die per Kabel in unserem Netz gehen(dies soll dhcp-snooping verhindern). Das eigentliche Wlan Netz ist mit einem Password geschützt und so könnte ein Fremder dies umgehen.

Das Netz ist eigentlich nur für unsere Mitarbeiter gedacht, die ein Laptop haben, deswegen ist dort auch eine Route eingerichtet worden, die in Teilen unserer Netzstruktur Zugriff hat.


Also so ein "wir brauchen Ihn und wieder nicht Ding"

hoffe ich habs verständlich geschrieben

 

[taks]

Kannst du beim DHCP-Server nicht einstellen, dass er Addressen nur an Clients vergibt welche bei ihm die MAC-Adresse eingetragen haben?
Sollte ja kein Problem sein alle Geräte zu registrieren, wenn es nur Intern genutzt wird.

 

[rtf]

Leider so nicht möglich.

Ich kann dem Gerät zwar sagen, dass zu dieser MAC folgende IP gehören soll, aber ich kann es bisher nicht auf nur eingetragende Clients setzen.

 

[taks]

Hast du mal die Bezeichnung des WLAN-Controllers?

 

[rtf]

Ist ein LANCOM WLC-4025+

 

[rtf]

Wir haben jetzt eine annehmbare Lösung gefunden.
Die MAC-Addressen von den Mitarbeitern werden in den MAC-Addressenfilter der SSID eingepflegt. Die IP setzen wir jetzt direkt am Lancom, verteilen also feste IPs. Das Problem dabei war, das der DHCP Server lief und weiter fröhlich in unseren Netz IPs verteilte. DHCP muss aber laufen für die Laptops, die sich einwählen, bzw. auch für die AP. Wir haben es jetzt so gelöst, das der DHCP Server eine Range von 1 hat und diese IP einem neuen Server im MA Netz zugewiesen haben - wird unser Syslog server für den Bereich. Alle anderen Versuche den DHCP Server einzuschränken scheiterten aufgrund unserer Anforderungen. Somit blieb unserer Meinung nur diese Möglichkeit übrig.

keine schöne aber effektive Methode.

Vielen Dank trotzdem für eure Hilfe