ComputerBase Menü
Aktuelles

Proxy DHCP für PXE in verschiedenen Netzen

A

AMDHippster

Lieutenant
Registriert
Sep. 2015
Beiträge
756
Hallo zusammen,

wir haben es jetzt auf Arbeit doch noch geschafft mit ZenWorks2020 ein Windows Deployment auch für nur UEFI Computer mit PXE einzurichten. Die Varinte per Windows Server brauchen wir jetzt dann nicht, was auch gut ist, da wir über ZenWorks auch diverse Sachen verwalten.

Unser Fehler war, das der DHCP Proxy Dienst deaktiviert war. Da hat das mit UEFI per PXE nicht geklappt, im alten BIOS aber schon. Dieser dienst ist per default deaktiviert und muss erst in ZenWorks aktiviert werden. Das habe ich auch erst über eine Anleitung zu ZenWorks 10 herausbekommen. Das steht im Manual zu dem aktuellen ZenWorks nicht drin.

Nun ist es so das man, wenn man sein Netzwerk unterteilt hat in jedem Teilnetz einen DHCP Proxy für das PXE bräuchte. Was mir nur nicht so klar ist, wie das funktionieren soll. Meines Wissens nach gibt es einen zentralen DHCP Server der das Netz mit Adressen beliefert. Der DHCP Proxy regiert ja nur auf PXE. Wenn ein Gerät per PXE bootet gibt der Proxy DHCP nur die Pfade zu den Bootstrap Dateien an die anfragenden Geräte. Nur wie funktioniert sowas üer Netzgerenzen hinweg?

Ich meine, ich kann doch nicht einfach in jedem Netzwerkteil so einen ZenWorks Server hinstellen und dann darauf diesen Proxy Dienst laufen lassen. Ich glaube hier einen Denkfehler zu haben.

Weiß jemand vielleicht wie sowas gemacht werden kann? Im Prinzip bekommt ja der per PXE bootenden PC eine Adresse vom DHCP Server. Dann fragt der Client auf Port 4011 den novell-proxydhcp an. Und dieser müsste dann ein paar Daten liefern. Dieser antwortet dann auf Port 68 mit nvlnbp.sys für BIOS und nvlnbpx64.efi für UEFI.



Ich bedanke mich schonmal für Hinweise.
 
An Switchen wie Alcate/HPE/Cisco gibt es pxe relay funktionen, wie das genau geht ist je nach Hersteller unterschiedlich.
 
Also bei Cisco wird es der ip-helper auf dem entsprechenden interface sein.

ip-helper macht nichts anders, als den DHCP-Broadcast eines Clients, in eine gerichtete DHCP-Unicast Anfrage umzuwandeln und es an den konfigurierten Server zu schicken, in dem Fall an die IP des DHCP Servers.
Dieser antwortet dann auch wieder zurück.

Den Rest macht der DHCP Server mit seinen Options.

Beispiel:

Code: 
interface vlan2
 ip address 10.1.2.1 255.255.255.0

interface vlan100
 ip address 10.1.100.1 255.255.255.0
 ip-helper 10.1.2.3                        //DHCP-Request werden an 10.1.2.3 (DHCP-Server) weitergeleitet

interface vlan200
 ip address 10.1.200.1 255.255.255.0
 ip-helper 10.1.2.3                        //DHCP-Request werden an 10.1.2.3 (DHCP-Server) weitergeleitet

Andere Hersteller haben dann andere Befehle.
Was habt ihr denn für ein L3 Device, welches die Subnetze trennt?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Skysnake und snaxilian
Im Prinzip gibt es zwei Möglichkeiten entweder den Service der den PXE Boot macht (DHCP) in alle Netze packen oder halt wie gesagt auf den Switchen ein DHCP Relay konfigurieren. Hängt halt am Ende davon ab wieviel Aufwand die jeweilige Lösung ist und ob man es wirklich braucht.

Zum Hintergrund: die unterschiedlichen Subnetze sind auch die Broadcast grenzen. Der DHCP muss also in dem Netz sein um die Broadcasts zu sehen oder man muss diese halt weiterleiten was über die DHCP relays erfolgt.

Hängt aber halt alles vom Aufbau des Netzes ab.

Wir betreiben z.b. 2.500 Server in einem einzigen /16 Netz und haben mit DHCP auch keine Probleme wenn alles gleichzeitig bootet obwohl "nur" 1G bei den Clients und Server 40G. Wir verwenden aber auch nen Kea mit statischer Konfiguration. Sprich timeout liegt bei 7 Tagen oder so da juckt der Broadcast traffic im Betrieb nicht.
 
Kleines Update;

also heute habe ich mitbekommen, dass das Netz dynamische Portzuweisung (Dyport) nutzt. Ich bin halt neu in der Stelle. Das heißt, das ein Computer per MAC registriert wird und wenn er an Netzwerk angeschlossen wird automatisch dem entsprechenden Netz (ich glaube VLAN) hinzugefügt wird. Prinzipiell würden dann an jeder Netzwerkdose alle Netzwerke anliegen.

Kann man jetzt einen Proxy DHCP auf einer Linuxdistribution auf einem Rechner oder einer VM im gewünschten VLAN einrichten, der dann die Anfragen in das andere Netz mit dem ZenWorks Server umleitet. Das dumme ist das über die Switches IP Helper und so laut einem Kollegen nicht geht.

Und wenn man einen Proxy aufsetzt, müsste es dann auch genau der novell-daemon sein, was heißen würde das man einen zweiten ZenWorks Server irgendwie bräuchte oder kann man da auch einen "anderen" Proxy Daemon nehmen?

Die Konfiguration des novell-daemons wären wohl nur drei Zeilen laut dem Kollegen.
 
Also bei aller Liebe, aber das kann ich mir kaum vorstellen, das ihr managed Switche habt, die aber kein DHCP forwarding können. Das heißt wahrscheinlich nur anders. Welche Switche habt ihr denn?

Und wegen dem DHCP Server. Keine Ahnung was das für Software ist, ich kann mir aber kaum vorstellen, dass die so schrottig ist nicht auf mehrere Interfaces hören zu können. Wenn doch würde ich mich echt nach einer Alternative umschauen...
 
AMDHippster schrieb:
Kleines Update;

also heute habe ich mitbekommen, dass das Netz dynamische Portzuweisung (Dyport) nutzt. Ich bin halt neu in der Stelle. Das heißt, das ein Computer per MAC registriert wird und wenn er an Netzwerk angeschlossen wird automatisch dem entsprechenden Netz (ich glaube VLAN) hinzugefügt wird. Prinzipiell würden dann an jeder Netzwerkdose alle Netzwerke anliegen.

Kann man jetzt einen Proxy DHCP auf einer Linuxdistribution auf einem Rechner oder einer VM im gewünschten VLAN einrichten, der dann die Anfragen in das andere Netz mit dem ZenWorks Server umleitet. Das dumme ist das über die Switches IP Helper und so laut einem Kollegen nicht geht.

Und wenn man einen Proxy aufsetzt, müsste es dann auch genau der novell-daemon sein, was heißen würde das man einen zweiten ZenWorks Server irgendwie bräuchte oder kann man da auch einen "anderen" Proxy Daemon nehmen?

Die Konfiguration des novell-daemons wären wohl nur drei Zeilen laut dem Kollegen.
Zum Vergrößern anklicken....

also das dyoPort oder wie es auch immer heißen mag, ist nichts anders als der Standard 802.1x, sollte zumindest so sein.
Heißt, ein Stück software checkt die MAC des Clients und packt den Port in das entsprechende VLAN. Mehr erstmal nicht.

ALS BEISPIEL: https://networkguy.de/how-to-use-802-1xmac-auth-and-dynamic-vlan-assignment/
Gibt aber noch 1000 andere Möglichkeiten hier zu zaubern, sollte aber erstmal nicht relevant sein, hauptsache deine ClientMAC ist eingetragen für ein VLAN XY

Ist der Client im VLAN XY so wird hier auch der DHCP Server in dem VLAN agieren müssen. Sonst würde der Client keine IP bekommen.
Also Bitte einen Relay auf dem entsprechendem Gateway von VLAN XY setzen.

Dann sollte es auch klappen.

Ansonsten lass es lieber sein ;) Da kann viel mit kaputt gemacht werden
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

tsit239
Reverse-Proxy für Gameserver
Antworten
13
Aufrufe
804
Raijin
Raijin
linuxnutzer
FRITZ!OS: DHCP _nicht_ für Gastnetz, nur Hauptnetz
Antworten
15
Aufrufe
931
linuxnutzer
linuxnutzer
Don-DCH
Einen oder mehrere Nginx Proxy Manager
Antworten
6
Aufrufe
753
Don-DCH
Don-DCH
M
VLAN für AccessPoint (pfSense)
Antworten
6
Aufrufe
502
norKoeri
N
Don-DCH
[Unraid] Docker am sichersten nutzen inklusive Reverse Proxy
Antworten
10
Aufrufe
768
alturismo
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz