DHCP Relay Site-to-Site VPN

Share

DHCP-Relay durch S2S IPSec Tunnel

DHCP-Relay bedeutet, dass es nur einen zentralen DHCP Server für
alle Netzwerke und Standorte (angebunden über Site-to-Site) 

gibt.
Idealerweise ist dieser auch DNS-Server und DC.
Site to Site VPN DHCP Relay Sophos UTM Lancom Router
Enlarge Image

 

balken-obenAufbauend auf:
Site-to-site VPN Sophos UTM 9 <-> Lancom
DNS Sophos UTM 9

balken-unten

.
.
IPv6

benötigt keinen DHCP-Relay, an der Niederlassung reicht es ein lokales Prefix Advertisment einzurichten und die IPv6 Netzwerke auch über den Site to Site VPN Tunnel zu routen oder an jeden Standort einen eigenen Tunnelbroker einzurichten mit eigenem /64 Netzwerk und eigenem Prefix Advertisment.
DHCP IPv6 empfehle ich nicht, besser das Prefix Advertisment der Sophos UTM Astaro nutzen

.
.
Unter
Netzwerk Services - |DHCP -> |Relay|
den DHCP Server (idR den DC des AD) und die Interfaces angeben, also das Interfaces des Netzwerkes in dem der DHCP Server steht und das Interfaces des Netzwerkes, welches Ziel des DHCP-Relay ist. Der DHCP Server muss als Host angelegt werden mit fester IP. Als Interface für das DHCP-Relay-Ziel (Remote Netzwerk über den Site-to-Site Tunnel) wird das WAN-Interface angegeben.
Falls es mehrere interne Netzwerke gibt, werden alle Interfaces alle angeben, die DHCP Relay benötigen, wenn der DHCP Server z.B. in einer DMZ steht.

Die Sophos UTM Astaro leitet dann IPv4 DHCP Broadcast & Anfragen – auch intern- an den DHCP Server weiter.
DHCP Relay WAN Sophos UTM

Das WAN Interface ist in diesem Beispiel das Interface 'Unity_Media', der HCP Server ist im Netz '1040-Server'.

Im DHCP Server werden dann die Bereiche angelegt, bzw. der DHCP Bereich für den entfernten Standort neu:
DHCP-Server2012

.
Bereichsoptionen:

Hauptstandort/192.168.100.0
003 Router = interne IP Adresse der Sophos UTM
004 Time Server = DNS Server (DC) + interne IP Adresse Sophos UTM
006 DNS Server = DNS Server (DC) + interne IP Adresse Sophos UTM
015 DNS Domain Name = meineDomaine.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0x8

Niederlassung/192.168.110.0
003 Router = interne IP Adresse des Lancom
004 Time Server = DNS Server (DC) + interne IP Adresse Lancom
006 DNS Server = DNS Server (DC) + interne IP Adresse Lancom
015 DNS Domain Name = meineDomaine.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0x8

Die DNS-Weiterleitung in der Sophos UTM für die interne Domäne sollte auch eingerichtet werden -> DNS

Unter
Network Services -> DNS |Global| “Allowed Networks” das Remote Network hinzufügen, sonst sind DNS Abfragen nicht erlaubt.

Unter
Network Services -> NTP |Global| “Allowed Networks” das Remote Network hinzufügen, sonst sind NTP Abfragen nicht erlaubt.
.

 

Einrichtung im Lancom Router

Die DNS-Weiterleitung im Lancom wird
unter IPv4 -> DNS -> Weiterleitungen eingetragen:

DNS-Weiterleitungen-Lancom

 

.
.
Im Lancom wird
unter IPv4 -> DHCPv4 -> DHCP-Netzwerke  DHCP als Relay eingetragen:

Lancom-DHCP-Relay

Adresse des 1. Servers = IP DHCP Server Hauptstandort
.

Wenn der Tunnel (Standortvernetzung Site to Site VPN) steht bekommen die Clients in der Niederlassung die IP-Adressen von dem DHCP-Server am Hauptstandort. Da der DHCP-Server alle Namen der Clienten im DNS einträgt, kann immer per FQDN aufgelöst werden.

Praktischerweise reicht ein Blick in die Tabelle Adressleases auf dem DHCP-Server, um zu sehen, welche Geräte in der Niederlassung angeschlossen worden sind.

Fast alle Geräte unterstützen DHCP-Relay, Windows-, Linux- und MAC-Clients auf jeden Fall.

 

Münster AD 2013

Share

Leave a Reply