Verständnisfrage zum DHCP-Snooping

[CoMo]

Hallo,

bevor ich hier in den Ressourcen versumpfe, frage ich mal hier nach

Ich habe hier neulich ein Gerät in mein Netzwerk aufgenommen, dass mir mein IPv4-Netz durcheinandergeworfen hat, weil es angefangen hat, IP-Adressen per DHCPv4 zu verteilen.

So dachte ich mir, ich aktiviere auf dem Switch, an dem mein OPNSense-Router hängt, DHCP-Snooping und erlaube nur die beiden Ports zur OPNSense.

Aber was ist denn nun mit den Uplink-Ports zu den andern Switchen? Die muss ich doch auch auf Trusted setzen, sonst bekommen doch Geräte an diesen Switches keine Adressen mehr? Aber dann dürfen doch auch alle Geräte, die an diesen Switches hängen, DHCP OFFER/ACK senden? Dann ist die Funktion für ein nicht separiertes Netz relativ sinnfrei, oder?

Ergänzung (Gestern um 14:16)

Ach und was ähnliches ist mir vor einiger Zeit mit Router Advertisements passiert. Da hat ein EdgeRouterX, den ich auf OpenWrt geflasht habe, plötzlich ein Präfix und DNSv6 ins Netzwerk announced, was auch für ziemliches Chaos gesorgt hat.

Seitdem steht die Router Priority meiner OPNSense auf High. Reicht das aus, oder kann ich da auch noch irgendwas auf den Switches konfigurieren?

 

[xexex]

Aber dann dürfen doch auch alle Geräte, die an diesen Switches hängen, DHCP OFFER/ACK senden?

Im Normalfall hat man im Netz nur halbwegs intelligente Switche und kann die Funktion an allen Ports aktivieren, an denen Clients angeschlossen werden können, während man sie am "Backbone" logischerweise deaktiviert hält.

Wenn du aber schon bei einer Handvoll Geräte den Überblick verlierst oder irgendwo "dumme" Switche im Einsatz hast, dann hat diese Funktion in der Tat nur wenig nutzen. Oft kann man auf den Switchen eine Liste mit Servern hinterlegen, die als DHCP Server agieren dürfen, dann braucht man keine speziellen portbasierten Sperren.

 

[Masamune2]

Du konfigurierst in der Regel nicht nur die trusted Ports sondern auch den Server selbst der Adressen verteilen darf. Funktioniert aber wie schon gesagt nur dann wirklich zuverlässig wenn alle Switche im Netz das können, sonst hast nur natürlich wieder einen blinden Fleck.

 

[CoMo]

kann die Funktion an allen Ports aktivieren, an denen Clients angeschlossen werden können, während man sie am "Backbone" logischerweise deaktiviert hält.

Das ist genau der Punkt, den ich nicht ganz verstehe. Ein Client an einem nachgelagerten Switch muss doch auch DHCP OFFER/ACK empfangen können. Wenn ich also die Uplink Ports auf Untrusted lasse, funktioniert da doch kein DHCP mehr?

 

[GTrash81]

Dumme Frage: warum deaktivierst du nicht den DHCP-Server auf dem neuen Gerät?
Wenn die Deaktivierung nicht möglich ist, dann vielleicht einfach den DHCP-Pool auf 1 freie DHCP-Adresse oder so limitieren und dann irgendeiner wilden MAC-Adresse diese IP-Adresse zuweisen.

 

[CoMo]

Dumme Frage: warum deaktivierst du nicht den DHCP-Server auf dem neuen Gerät?

Natürlich mache ich das sofort. Aber ich habe hier eine recht kurze Lease Time von 1800 Sekunden, da ich hier ständig am Basteln bin. Also fragen meine ~50 Geräte alle 15 Minuten nach einer Adresse. Da kann es passieren, dass der dazwischenfunkt, bevor ich das geändert bekomme. Klar könnte ich jedes Gerät erst mal an ein Kabel hängen, das in einem andern Subnetz oder VLAN hängt. Ich versuche nur, mir das Leben leichter zu machen.