DHCP - niewłaściwy adres IP serwera dhcp

[mariuszad]

Witam

Chciałbym się Was poradzić jak rozwiązać problem z którym borykam się od dłuższego czasu. Otórz w pracy mam kilka wydziałów.
"Przerzuciłem" każdy wydział na oddzielną podsieć. Na moim serwerze ma jedną kartę
sieciową od stron lan więc założyłem 3 podsieci :

Kod: [Zaznacz]

DEVICE=eth1
HWADDR=00:30:4F:25:75:EA
IPADDR=192.168.1.10
NETMASK=255.255.255.0
NETWORK=192.168.1.0
TYPE=Ethernet
UUID=ff335307-b502-4a17-ab24-3871f79c591c
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=static
IPV6INIT=no

Kod: [Zaznacz]

DEVICE=eth1:2
HWADDR=00:30:4F:25:75:EA
IPADDR=192.168.2.10
NETMASK=255.255.255.0
NETWORK=192.168.2.0
BROADCAST=192.168.2.255
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=static
ONPARENT=yes
IPV6INIT=no

Kod: [Zaznacz]

DEVICE=eth1:3
HWADDR=00:30:4F:25:75:EA
IPADDR=192.168.3.10
NETMASK=255.255.255.0
NETWORK=192.168.3.0
BROADCAST=192.168.3.255
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=static
ONPARENT=yes
IPV6INIT=no

Skonfigurowałem server dhcp do obsługi 3 podsieci:

Kod: [Zaznacz]

# cat /etc/dhcpd/dhcpd.conf

        ddns-update-style interim;
        ignore client-updates;
        authoritative;
        default-lease-time                      21600;
        max-lease-time                          86400;
        option domain-name-servers              111.222.333.4444;
        option domain-name                      "moja.domena";

shared-network  Lan {
#+++++++++++++++++++++++++++++++++++ SUBLAN1 ++++++++++++++++++++++++++++++++++++++++++++++++++++#
subnet 192.168.1.0 netmask 255.255.255.0 {
        option routers                  192.168.1.10;
        option subnet-mask              255.255.255.0;
        option broadcast-address        192.168.1.255;

host user1 {user1;hardware ethernet 00:16:3E:6D:1E:50;fixed-address 192.168.1.103;}
                                        }
#+++++++++++++++++++++++++++++++++++ SUBLAN2  +++++++++++++++++++++++++++++++++++++++++++++++++++++#
subnet 192.168.2.0 netmask 255.255.255.0 {
        option routers                  192.168.2.10;
        option subnet-mask              255.255.255.0;
        option broadcast-address       192.168.2.255;

host user2 {user2;hardware ethernet F0:4D:A2:A6:3A:2B;fixed-address 192.168.2.101;}
                                        }
#+++++++++++++++++++++++++++++++++++ SUBLAN3  ++++++++++++++++++++++++++++++++++++++++++++++++++++++++#
subnet 192.168.3.0 netmask 255.255.255.0 {
        option routers                  192.168.3.10;
        option subnet-mask              255.255.255.0;
        option broadcast-address        192.168.3.255;

host user3 {user3;hardware ethernet F0:4D:A2:A6:3A:2C;fixed-address 192.168.3.101;}
                                        }

Firewalla również przerobiłem i niby wszystko działa ale... Jeżeli przyjrzeć się konfiguracji w "Szczegółach połączenia sieciowego" pod windowsem to widać że adres dhcp jest z innej podsieci!

Kod: [Zaznacz]

IPv4 address: 192.168.2.101
NETMASK IPv4: 255.255.255.0
IPv4 gateway: 192.168.2.10
Server DHCP IPv4: 192.168.3.10
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Kod: [Zaznacz]

IPv4 address: 192.168.1.103
NETMASK IPv4: 255.255.255.0
IPv4 gateway: 192.168.1.10
Server DHCP IPv4: 192.168.3.10
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Kod: [Zaznacz]

IPv4 address: 192.168.3.101
NETMASK IPv4: 255.255.255.0
IPv4 gateway: 192.168.3.10
Server DHCP IPv4: 192.168.2.10
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Nie rozumiem dlaczego w konfiguracji pojawia się niewłaściwy dla tej podsieci adres serwera? Powinien być przecież z tej samej puli adresowej! Próbowałem z clasami i poolami w dhcp (stąd mój poprzedni post na forum)  ale efekt jest dokładnie ten sam.
Dlaczego mam tak jest? Coś skopałem w konfiguracji ? Może ktoś z Was miał podobny problem i go rozwiązał? Za wszelkie rady będę niezmiernie wdzięczny...

Pozdrawiam
mariusz

[Paweł Kraszewski]

Jeżeli podsieci nie są podzielone VLANami, to wynik jest prawidłowy.

W wielkim uogólnieniu:

Parametr "shared-network" informuje serwer, że klienci obsługiwani przez daną kartę mogą być w dowolnej podsieci należącej do tej grupy. Więc jak przychodzi pakiet zapytania od klienta, to na samym początku serwer rzuca monetą. Jak wypadnie orzeł, to przydziela subnet 1.0, jak reszka to 2.0 a jak cthulu to 3.0.

Potem skanuje reguły host i przydziela właściwy adres z właściwej podsieci docelowej.

Wysyła odpowiedź w właściwymi danymi ale z adresem nadawcy właściwym dla rzutu monetą. Nie ma to wpływu na poprawne działanie ani DHCP ani sieci IP jako takiej.

Konkluzja:
 Poprawne rozwiązanie problemu to odpalenie VLANów na switchu, podpięcie serwera trunkiem i skonfigurowanie DHCPd bez shared-network.

Dodatek #1 do konkuzji:
 Kiedy masz wątpliwości, obejrzyj ruch WireSharkiem.

[mariuszad]

Dzięki za informację. Teraz wiem na czym stoję.

Pozdrawiam
mariusz

[mariuszad]

Witam
Jeszcze chciałem  się podpytać - co z drukarkami? Wszystkie są sieciowe i chciałbym nimi zarządzać przez CUPS. Często jest tak że zachodzi potrzeba drukowania na innej drukarce niż ta co jest w wydziale. W takiej sytuacji lepiej wrzucić drukarki wydziałowe do tych samych vlanów w których będą komputery czy stworzyć dla nich oddzielną podsieć ? Czy w ogóle możliwe jest aby potem za pomocą CUPS-a przypisać je do poszczególnych vlanów?. Oczywiście w przypadku gdy rozważam wrzucenie ich do oddzielnej podsieci.

Pozdrawiam
Mariusz

[Paweł Kraszewski]

CUPS może działać przy drukarkach sieciowych w 2 "trybach":
* każdy na swojego CUPSa ze skonfigurowaną drukarką sieciową i zainstalowanymi do niej driverami. Przy wrzuceniu wszystkich drukarek do osobnego VLANu, regulujesz do nich dostęp po prostu za pomocą reguł firewalla.
* jest jeden wydzielony komputer (coś typu printserver) na którym są zainstalowane drivery do wszystkich drukarek sieciowych i to tam są one "zaterminowane" a wszyscy klienci drukują na tym komputerze via protokół IPP. W tym przypadku CUPS ma access listy, np dana drukarka jest dostępna tylko dla IP z konkretnej podsieci albo dla konkretnego usera/grupy. Dodatkową zaletą jest możliwość zainstalowania na takim kompie Samby i udostępnienie drukarek dla Windowsów (choć z drugiej strony jest driver IPP dla Windows).

[mariuszad]

Dzięki za info. Tak właśnie myślałem ale wolałem się upewnić.
Jeszcze raz dziękuję i pozdrawiam

Mariusz