DHCP Verwirrung

[Child85]

Schönen guten Tag,

ich bin relativ neu im Serverbereich komme soweit auch bisher klar aber ich komme an diesem Punkt nicht weiter, es wäre net wenn mir jemand helfen kann:

Ich betreibe ein IBM Server mit ESXI5 und einem virtuell installierten SBS2008. Der Zugriff erfolgt über vSphere.

Ich soll eine Kundenumgebung Simulieren mit DHCP, DNS etc. Das Problem an der sache ist das der Remote zugriff und auch der Server an unser bestehendes und funktionierendes Netzwerk angeschlossen ist.

Soweit funktioniert alles nur der DHCP macht Probleme.

Mein DHCP soll den Bereich 192.168.5.3 - 249 überwachen und einteilen. Ein ganz anderes Netz als unser Firmennetz. Desweiteren liegt der DHCP in nem anderen Gateway und in einer anderen Domain.

Trotzdem findet mein DHCP immer wieder den anderen DHCP und schaltet sich aus.

Ich bräuchte Praktisch die möglichkeit mein Vitruell server + Client miteinander zu verbinden OHNE das unser Firmen eigener DHCP sich einmischt und ich trotzdem noch Remote zugriff habe :-/

Besser gesagt möchte ich eigentlich den Ganzen server nicht in unserem netz sehen aber dennoch Remote zugriff haben über den vsphere client haben.
Keine Ahnung nur ob und wenn ja wie das geht.

Danke für die Mühe

 

[danton]

Die beiden Netze müssen ühysikalisch über einen separaten Router voneinander getrennt sein. Sofern das schon der Fall ist, läuft auf dem Router vermutlich ebenfalls ein DHCP-Server oder ein DHCP-Relay-Agent.

 

[Child85]

Nein sind sie leider nicht. Sie sind nur Virtuell getrennt. Ich hatte gedacht das es möglich ist virtuell Mein Server zu isolieren.

Naja gut, bleibt mir nur die Arbeit vor ort, den sevrer vom netz abziehen und ohne remote arbeiten.

Danke trotzdem

 

[TerraX]

Eine etwas brachiale Idee aber maybe hilfts - DHCP über Firewall blocken (UDP: 67,68).

 

[danton]

Ein Client, der seine IP-Konfig per DHCP bezieht, weiß ja erst mal gar nicht, in welchem IP-Segment er sich befindet. Die Trennung muß unterhalb der IP-Ebene erfolgen.
Ein DHCP-Client schickt ja ein Broadcast ins Netz und fragt nach: Hallo ist hier ein DHCP-Server, der mit eine IP geben kann. Hängen nun zwei DHCP-Server am gleichen Switch, ist es Glückssache, von wo die Antwort kommt (vereinfachte Darstellung, bei der der Switch keine VLANs verwaltet und es keine Failover-KOnfig für DHCP gibt).
Was der Vorschlag von TerraX bringen soll (Blocken per Firewall), erschließt sich mir nicht.

 

[TerraX]

Der Braadcast ist ein UDP-Paket, welches man ausfiltern kann (http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_discovery). Meine Grundidee war, es gibt ja ein Routing von und zu der virtuellen Testumgebung des TE und damit auch ein entsprechendes Gateway. Auf diesem Interface müsste dann die entsprechende Filterung erfolgen.

 

[danton]

Er schreibt oben, daß er nur eine logische Trennung im Form der Netzwerkkonfig hat, die Server aber physikalisch im gleichen Segment hängen.
Das DHCP-UDP-Paket müßte auf dem Gateway geblockt werden, aber dort ist es gar nicht notwendig, denn es ist eine Broadcast-Anfrage, die ohnehin nicht übers Gateway hinaus geht.

 

[TerraX]

Hmm, ich fürchte für sowas muss die virtuelle Testumgebung etwas komplexer aufgebaut werden. Wenn der TE nur eine VM hat, welche die gewünschten Dienste "simuliert" wird's schwierig den DHCP-Traffic zu isolieren, da die VM ja zwingend einen Link zum tatsächlichen Netz benötigt.

IMHO müssten mindestens 3 VMs aufgesetzt und über einen virtuellen Switch miteinander verbunden werden (Test-Client -> DHCP/DNS -> Gateway/FW -> Prod.-Netz). Damit dürfte das Routing leichter fallen. Alternativ müsste schon in der VM das Routing zum echten Netz unterbunden werden.