Unifi: DHCP bei "blau" aufbohren

Rupprecht · 20. Februar 2018 um 09:31

Liebe Kollegen,
ich bin nun auch an der Stelle angekommen, die Holger beim Threat
„IPFire DROPt alle DNS Pakete die über Blau rein kommen“ unten thematisiert hat.

Mein IPFire liegt auf 172.16.16.254 und der Chilli liegt auf 172.16.16.2. Der Chilli soll noch parallel zu Unifi weiterlaufen, weil ich nur einen Unifi AP zum testen habe.

Es geht nun darum, DHCP bei Blau aufzubohren, damit mehr als 200 Clients Zugriff haben.
Bisher: 172.16.16.3 bis 172.16.16.200

Ich habe ein wenig Angst, wenn ich IpFire und Chilli eine neue IP gebe, dass dann irgendetwas Probleme macht. Daher würde ich wie folgt vorgehen um mehr als 200 Clients zu ermöglichen:
Ipfire und Chilli behalten die IP. Aber; DHCP Start 172.16.17.1 und Ende: 172.16.255.254

Das wären mehr als genug Clients und ich bräuchte die IPs von Ipfire und Chilli nicht ändern.

Ich würde so vorgehen:

IPFIRE:
[root@ipfire ~]# more /var/ipfire/dhcp/dhcpd.conf
deny bootp; #default
authoritative;
ddns-update-style none;

subnet 172.16.0.0 netmask 255.255.0.0 #BLUE
{
range 172.16.17.1 172.16.255.254;
option subnet-mask 255.255.0.0;
option domain-name „srf.lokal“;
option routers 172.16.16.254;
option domain-name-servers 172.16.16.254;
default-lease-time 3600;
max-lease-time 7200;
} #BLUE

in /var/ipfire/ethernet/settings
…
GREEN_BROADCAST=10.31.255.255
BLUE_ADDRESS=172.16.16.254
BLUE_NETMASK=255.255.0.0
BLUE_NETADDRESS=172.16.0.0
BLUE_BROADCAST=172.16.255.255
RED_DHCP_HOSTNAME=ipfire
…

Was mir nicht klar war (Holger):

Vorsicht: da steht normalerweise auch der DNS auf Blau drin: bisher 172.16.16.254 jetzt 172.16.255.254

Bei mir kommt der 172.16.16.254 nur bei BLUE_ADDRESS vor. Weiter unten habe ich
DNS1=8.8.8.8
DNS2=8.8.4.4

In Ipfire => Firewall => Zugriff auf blau.
Quell-IP-Adresse: 172.16.0.0/16 MAC: none

In Unifi => Einstellungen => Netzwerke => Blau
Gateway / Subnetz 172.16.16.254/16

Habe ich mir das so richtig überlegt, oder steckt irgendwo ein Denkfehler?

VG,
Markus

baumhof · 20. Februar 2018 um 12:23

Hallo Markus,

Mein IPFire liegt auf 172.16.16.254 und der Chilli liegt auf
172.16.16.2. Der Chilli soll noch parallel zu Unifi weiterlaufen, weil
ich nur einen Unifi AP zum testen habe.

genau so bin ich das gerade am Umsetzen an der Schule.
DHCP auf Blau aufbohren und IP des Coova auf 172.16.16.3 lassen.
Bei mir sieht das nun so aus:

BLUE_DEV=blue0
BLUE_MACADDR=00:11:00:11:00:11
BLUE_DESCRIPTION=‚„pci: Advanced Micro Devices [AMD] 79c970 [PCnet32
LANCE] (rev 10)“‘
BLUE_ADDRESS=172.16.255.254
BLUE_NETMASK=255.255.0.0
BLUE_NETADDRESS=172.16.0.0
BLUE_BROADCAST=172.16.255.255

da steht auch kein DNS auf Blau drin…

und hier: (dhcp/dhcpd.conf)
deny bootp; #default
authoritative;
ddns-update-style none;

subnet 172.16.0.0 netmask 255.255.0.0 #BLUE
{
range 172.16.16.10 172.16.255.200;
option subnet-mask 255.255.0.0;
option domain-name „linuxmuster.local“;
option routers 172.16.255.254;
option domain-name-servers 129.143.2.4, 172.16.255.254;
default-lease-time 360000;
max-lease-time 720000;
} #BLUE

Ich lasse den Range also erst ab 10 los gehen: so ist der Coova mit der
3 geschützt.

Mehr hab ich nicht geändert.
Es funktionierte, nachdem ich den IPFire und dann erst den Coova neu
gestartet hatte.
Ich hatte aber auch noch das rein virtuelle Blaue Netz aus dem Server
herausgeführt.

LG

Holger

Rupprecht · 20. Februar 2018 um 13:23

Hallo Holger,
ich habe die Änderungen gerade wieder rückgängig gemavcht. Ich habe doch probiert, so wie Du schreibst dem Ipfire eine neue IP zu geben. Tippfehler schließe ich nach menschlichem Ermessen aus.

Nach längerem Warten kam die Startseite vom Chilli, meine Anmeldung wurde aber abgelehnt.

Nach dem ich wieder auf die alten Werte zurück ging, war der Chilli sofort da und ich konnte mich anmelden.

Irgendwo klemmt es noch. Weil aber bei uns gerade Projektwoche ist, muss weiteres experimentieren warten.

Gruß,
Markus

baumhof · 20. Februar 2018 um 13:43

Hallo Markus,

ich habe die Änderungen gerade wieder rückgängig gemavcht. Ich habe doch
probiert, so wie Du schreibst dem Ipfire eine neue IP zu geben.
Tippfehler schließe ich nach menschlichem Ermessen aus.

Nach längerem Warten kam die Startseite vom Chilli, meine Anmeldung
wurde aber abgelehnt.

Nach dem ich wieder auf die alten Werte zurück ging, war der Chilli
sofort da und ich konnte mich anmelden.

bei mir hat es auch nicht gleich geklappt.
Ich hab den Coova dann noch mal gestarttet und seine IP kontrolliert:
die war da, dann ging es auch wieder.

Ich meine, ich hab auch die Regel:
Blau->10.16.1.1 Port 636 TCP im IPFire einmal gelöscht und wieder
angelegt: dann ging es.

LG

Holger

Rupprecht · 20. Februar 2018 um 14:35

Hallo Holger,
es hat mir doch keine Ruhe gelassen. Jetzt habe ich doch meine Variante probiert: D.h. die IP vom Ipfire bleibt und dhcp blau beginnt bei 172.16.17.1.

Zunächst ging es wieder nicht. Dann habe ich den chilli zum x-ten mal neu gestartet und dann ging es. Auch ohne eine Firewall Regel zu löschen und neu anzulegen. Ob das jetzt an der nicht geänderten IP liegt, oder am x-ten Neustart? Keine Ahnung.

Ich meine auch (Achtung Ironie), wir sind ja hier nicht bei Microsoft, wo man einen Haken erst löschen und neu setzen muss, damit er wirklich gesetzt ist

Gruß,
Markus