IP Aliasing et dhcpd

[dinman]

Bonjour,

Qui peut me dire comment faire pour faire comprendre mon serveur DHCP d'attribuer les IP meme au réseau sous IP Alisaing.

UN petit topo pour commencer:

Voici ma configuration:
Linux: Debian Woody
Kernel: 2.4.18
iptables: 1.2.6a
dhcpd-2.2.x

Ma configuration réseau:
WAN: eth0: 192.168.8.254
LAN:
eth1 192.168.7.254
eth1:0 192.168.4.254
eth1:1 192.168.5.254


Voici les utilisateurs qui devrais avoir les IP suivants:
User1: 192.168.7.1
User2: 192.168.4.1
User3: 192.168.5.1
....

Le DHCP pour User1 marche mais pas pour les autres
Ce qui est etrange c'est que dans /etc/default/dhcp, je ne peut pas ajouter INTERFACES="eth1 eth1:0"

Mais Comment faire comprendre a ce serveur de gérer les interfaces virtuelles ??

Merci de m'ainder car la je ne vois pas trop.

[cognac]

il me semble que ce que tu veux faire n'a pas de sens du point de vue DHCP.

Le dhcp fonctionne sur du broadcast. Si tu crées des sous-interfaces sur 1 inteface physique, tu ne crées pas de sous-reseaux physiques.

Donc, 1 serveur DHCP fonctionne pour 1 segment physique donc le comportement observé est normal.

Si tu veux plusieurs sous-reseaux et 1 serveur DHCP par sous-reseau, il te faut configurer des vlans avec un switch qui support les vlans.

[dinman]

Je veut faire un cloisonnement logique. Chaque post se trouve dans un sous réseau différents c'est a dire:
PC1: 192.168.8.1
PC2:192.168.7.1
...

Quelle technique je doit utiliser pour effecteur cette manipulation ?

[Methos_Hi]

Il te faut une interface physique pour chaque réseau.

Si tu as peu de machines, tu peux aussi attribuer les adresses IP en faisant une reservation sur l'adresse MAC.

Les clients dhcp se foutent de l'ip du serveur dhcp étant donné qu'ils ne peuvent pas encore parler ip car ils n'ont pas encore d'adresse ip (forcément).

[dinman]

Pourquoi j'ai besoin d'une interface par sous reseau ??

Actuellement sur le meme serveur je peut avoir plusieurs sous reseau si les clients se mettentent sous l'un de ces sous reseau ils ont accesse au routeur.

LE suele probleme est de faire compredre au serveur dhcp de travailler sous ces sous reseau

[tomtom]

A mon avis, il sufftit que tu declares les sous-reseaux dans ton fichier dhcpd.conf

t.

[Methos_Hi]

Arrêter de délirer, cognac a parfaitement répondu à la question.

La machine qui n'a pas d'adresse ip (raison pour laquelle elle fait appelle à dhcp) ne fait partie d'aucun réseau ip et ne fera aucune distinction des interfaces virtuelles, cette distinction étant faite au niveau ip.

[tomtom]

It is also possible to set up entirely different subnets for known and
unknown clients - address pools exist at the level of shared networks,
so address ranges within pool declarations can be on different subnets.

As you can see in the preceding example, pools can have permit lists
that control which clients are allowed access to the pool and which
aren't. Each entry in a pool's permit list is introduced with the
allow or deny keyword. If a pool has a permit list, then only those
clients that match specific entries on the permit list will be eligible
to be assigned addresses from the pool. If a pool has a deny list,
then only those clients that do not match any entries on the deny list
will be eligible. If both permit and deny lists exist for a pool,
then only clients that match the permit list and do not match the deny
list will be allowed access.

Il est possible de donner des addresses distinctes aux machines en fonction d'un certain nombre de paramètres (hostname, mac address en particulier, pourquoi pas sur un username, je ne l'ai jamais fait).
Les machines "non connues" peuvent etre bloquées dans un pool d'addresse particulier, alors que des machines connues auront un pool spécifique.

Encore faut-il savoir ce que dinman entend par

User1: 192.168.7.1
User2: 192.168.4.1
User3: 192.168.5.1

Comment sont différenciés les users ?


t.

[jdh]

Première chose (déjà écrite) : une machine demandant une adresse ip fait un "broadcast" sur le réseau à cette fin. Le serveur dhcp reçoit cette demande, ici sans doute sur chaque interface mais il suffit de la recevoir sur eth1. Il est évident que INTERFACE="eth1" est suffisant même pour attribuer une ip sur un sous réseau hors du sous réseau de l'interface. Pensez qu'il existe des "agent relay DHCP" !

Deuxième chose (aussi déjà écrite par TomTom) : l'affectation de l'adresse ip peut se faire au hasard ou selon un critère comme adresse mac ou le nom de machine. Il suffit de préciser cela dans le fichier dhcpd.conf de la façon suivante :

host zozo2 {
hardware ethernet 00:50:04:87:41:3B;
fixed-address 192.168.0.2;
option host-name "zozo2";
}

host zozo3 {
dhcp-client-identifier "zozo3";
fixed-address 192.168.0.3;
option host-name "zozo3";
}

(NB je ne ne suis pas sur de la syntaxe pour le nom. voir google : man dhcpd.conf)

Je pense qu'il est temps pour toi d'envisager de changer de numéro de réseau ! Si tu en ai à des ip alias, c'est qu'un segment classe C = 254 machines n'est pas suffisant. Et 3 segments classe C c'est beaucoup.
Mais tu as raison, créé un serveur dhcp qui sait alimenter les 3 segments, passes toutes les machines en dhcp, puis change le segment en /22 soit 4 classes C d'un coup.
Si c'est trop dur, prend 3 (vieux) PC en serveur dhcp dans chaque segment. Quand cela sera fini, tu en retireras 2.

[dinman]

Je voulais cree des sous reseaux afin d'attribuer a chacun de mes clients des sous réseau différets. Aisni si un utilisateur veut communiquer avec un autre utilisateur il devras changer son IP.

C'est pour ca que je voulais créer des sous réseau.

J'ai deja vu ce systeme sur un serveur c'est pour ca que j'essaye de faire la meme chosse.


Le seveur DHCP attribue a chacun des clients des IP de sous réseau diférents ainsi aucun client ne se voit

[Methos_Hi]

Aisni si un utilisateur veut communiquer avec un autre utilisateur il devras changer son IP.

Ou son masque ...

[jdh]

Si le but est que chaque client ne voit pas les autres, le plus simple est de créer avec un switch des VLANs. C'est fait pour. (Même si, en cherchant un peu, on peut trouver des outils pour frauder).

C'est un cas d'école qui peut marcher (marchoter) pour quelques PC. Ce n'est pas pour une vrai entreprise. Il y a beaucoup d'autres choses à faire avant, en terme de sécurité.

[jdh]

NB : j'ai écrit une stupidité totale : mets 3 serveurs dhcp ! lequel va répondre ?

Dans une entreprise, nous étions rendu à 3 segments classe C sur le même site, à force de rajouter et rajouter des PC. C'est, bien sur, stupide et dur à gérer.

Premier problème : quel routeur ? Initialement, le routeur Wan agissait comme routeur par son port ethernet à 10M ! Sur un segment, il y avait (entre autres) les serveurs qui ont évolués vers des cartes gigas, les PC sur se segment pouvaient pomper un max, mais les autres obtenaient une perf minable. J'ai donc configuré un serveur linux avec 3 cartes 100M et un simple ip_forward. C'est d'ailleurs le serveur DHCP qui a fait le boulot.

Deuxième problème : comment migrer ? Je ne suis pas très DHCP. Mais là, je crois que c'est la bonne solution.

- disposer d'un serveur DNS et WINS,
- passer sur TOUS les matériels : mettre à jour la fiche PC (adresse MAC), supprimer tous fichiers hosts/lmhosts, virer tout protocole autre que tcp/ip, et configurer en DHCP,
- ajouter sur le serveur DHCP l'adresse MAC avec l'adresse ip précedente, et roule ma poule ..

- quand TOUS les matériels ont été revus, changer la range DHCP, changer les masques des dernières machines (routeur Wan, serveurs principaux restant en fixe, ...)

Un bon boulot ! Mais à 15' par PC, cela ne fait que 32 PC par jour et par personne ! Ca compte !

[dinman]

D'après ce que vous me dites, le serveur DHCP d'origine ne permet pas de gérer des sous réseau.

Vu q'on peut créer des sous réseaux sur un même postes avec la même carte, il suffirais de modifier et recompiler le serveur DHCP pour q'il prenne en charge tous ces sous réseau.

Vous pensez que recompiler le serveur DHCP est réalisable ???

[interupteur]

Vous vous compliquez la vie pour un rien.... Le plus simple et le moins galére à gérer, c'est de faire une config de la sorte :





j'espére que cela vous aidéra..

Inter-rupteur