Настройка dhcpd.conf

0

2

Вот кусок параметров из dhcpd.conf на DHCP сервере (Linux SuSE):

shared-network Tech {
  subnet 192.168.11.0 netmask 255.255.255.0 {
    option routers 192.168.11.10;
    option domain-name-servers 192.168.11.10;
    range 192.168.11.10 192.168.11.200;
    deny unknown-clients;
  }
  subnet 192.168.12.0 netmask 255.255.255.0 {
    option routers 192.168.12.10;
    option domain-name-servers 192.168.12.10;
    range 192.168.12.10 192.168.12.200;
    deny unknown-clients;
  }
  subnet 192.168.13.0 netmask 255.255.255.0 {
    option routers 192.168.13.10;
    option domain-name-servers 192.168.13.10;
    range 192.168.13.10 192.168.13.200;
    deny unknown-clients;
  }
  subnet 192.168.14.0 netmask 255.255.255.0 {
    option routers 192.168.14.10;
    option domain-name-servers 192.168.14.10;
    range 192.168.14.10 192.168.14.200;
    allow unknown-clients;
  }
}
host MANAGER-1             { hardware ethernet 1C:6F:65:A8:AB:0F; fixed-address 192.168.11.102;}
... дальше пошли аналогичные параметры присвоения IP по MAC адресу

Идея такова, что 11, 12 и 13 подсети - рабочие подсети для сотрудников на авторизированных устройствах (для каждого устройства прописывается своя айпишка по мак-адресу), а 14 подсеть - для всех остальных устройств (личные ноутбуки сотрудников, мобильники и т.д.). Именно для этого в секциях 11, 12 и 13 подсети было прописано «deny unknown-clients», что означает, что те устройства, которые не прописаны в dhcpd.conf не будут попадать в эти подсети, они должны попадать в 14 подсеть, соответственно в секции 14 подсети прописан параметр «allow unknown-clients». Проблема в том, что это не работает. При таких параметрах, как выше, неавторизированные устройства вообще не могут получать никакую айпишку до тех пор, пока я не закомментирую все параметры «deny unknown-clients». Что я не так делаю, что не так в параметрах? Заранее спасибо за помощь.

Ссылка

←	squashfs записать в qcow

systemctl подскажите

→

Кажется, пытаешься «авторизовать» устройства по маку.

Давай всю задачу в студию, потому что твоё решение ничем хорошим не кажется.

t184256 ★★★★★
(07.04.21 23:03:31 MSK)

Секция shared-network сообщает серверу DHCP что несколько IP-подсетей используют один физический сегмент. Каждая подсеть в такой сети объявляется внутри секции shared-network. Параметры указанные для shared-network используются при загрузке клиента если значения указанные в секциях subnet или host не переопределяют их. Если для какой-либо подсети указан диапазон динамически раздаваемых адресов, эти адреса собираются в общий пул и назначаются клиентам по мере необходимости. Нет способа различать к какой IP-подсети принадлежит клиент.

Так что у тебя адреса из 14 подсети начнут раздаваться только когда закончатся в 11-13. Но вообще, ты делаешь что-то странное и пытаешься для этого применить странные вещи.

gremlin_the_red ★★★★★
(07.04.21 23:17:15 MSK)

Ответ на: комментарий от t184256 07.04.21 23:03:31 MSK

Слово «авторизованные» я использовал как обобщенное понятие, имелось в виду, что компьютер с таким-то мак адресом получает конкретно ту айпишку, которую я укажу, чтобы не было такого, что сегодня один и тот же компьютер имеет одну айпишку, завтра будет другую иметь. Во-первых это упрощает администрирование, потому что я знаю что такой-то компьютер имеет точно такую-то айпишку, плюс есть сетевые принтеры. Если компьютер, который шарит принтер, будет каждый день менять айпишку - сотрудники не смогут печатать. Не спорю, можно статически прописать, но зачем, если всю работу может делать dhcp сервер. Задача, в общем-то, и изложена в первом посте. Три подсети (11,12,13) нужны для разделения сотрудников, чтобы они не пересекались между собой. 11 для коммерческого отдела, 12 для разработчиков, 13 для производственного отдела. Хотелось чтобы все неизвестные устройства (мобильники по вай-фаю, личные ноутбуки и т.д.) не попадали в 11,12 и 13 подсети. Вот и вся задача. Не спорю, что то, что я пытаюсь придумать - не выглядит умно, но мне это упрощает администрирование. Если можешь предложить какой-то другой нормальный вариант, то только буду рад подсказке.

ethernal_store
(07.04.21 23:57:38 MSK) автор топика

Ссылка

Ответ на: комментарий от gremlin_the_red 07.04.21 23:17:15 MSK

То есть, если я сделаю 10 подсеть вместо 14, то должно заработать? Я правильно понимаю?

ethernal_store
(08.04.21 00:00:34 MSK) автор топика

Ответ на: комментарий от ethernal_store 08.04.21 00:00:34 MSK

ну это будет коряво, но в твоём кейсе должно работать до тех пор, пока у тебя не кончится пул 10 сети. вообще похоже что ты хочешь вланы(если нужно прям отделить телефоны и личные буки от всей сети) и днс(для резолва устройств по имени, а не по ИП)

fresa ★
(08.04.21 06:56:53 MSK)
Последнее исправление: fresa 08.04.21 06:57:55 MSK (всего исправлений: 1)

Ссылка

А как у вас сеть организованна, все в одном VLAN сидят или всё таки в разных (или в разных физических подсетях)? Если в разных, то у вас на DHCP сервере сколько интерфейсов? По одному на подсеть или указан DHCP relay в VLANах/подсетях?

gfh ★★★
(08.04.21 08:27:07 MSK)

Ссылка

Убери range из всех сетей, кроме 14, в твоём конфиге они там не нужны.

А вообще, зовите учёных, похоже, у нас тут дикий зюзероутер в естественной среде обитания!

Khnazile ★★★★★
(08.04.21 09:17:06 MSK)