DHCP Relay Agent

Status
Niet open voor verdere reacties.

Pepsiman

Gebruiker
Lid geworden
19 sep 2010
Berichten
252
Hallo,

Sinds ik bezig ben met een thuis project heb ik nog één enkel probleem. Dit is de opzet van mijn project:
3 locaties, 2 domeinen

domein 1, locatie 1 -
1 DC en 1 VPN router Server. Subnet: 192.168.1.0


domein 1, locatie 2 -
1 DC en 1 VPN router Server. Subnet: 192.168.2.0


domein 2, locatie 1 -
2x DC en 1 VPN router Server. Subnet: 192.168.3.0

Ik gebruik zelf Windows Server 2008 R2 Enterprise.

Op de VPN router staat Routing and Remote Access met een VPN verbinding naar de andere locaties.

Wel is nu het probleem wanneer de server op locatie 1 uitvalt de server van locatie 2 alles moet overnemen, zoals DHCP.
Helaas lukt het mij niet om DHCP Relay Agent in te stellen zoals het behoort om wanneer een Client inlogd hij het IP moet krijgen van de server van locatie 2.

Kan iemand mij uit uitleggen hoe het instellen van DHCP Relay Agent op de VPN/Router Servers in zijn werking gaat?

groeten,
PepsimanGroningen
 
Beetje roestig over het onderwerp, maar misschien heb je er wat aan:

een dhcp relay server impliceert dat je voor dit alles een enkele DHCP hebt die authoritive is. Echter als een enkel domein via twee ranges gaat, kan dat volgens mij niet eenvoudig. de router kan wel de relay zijn voor elke DC apart of beide routers zijn relay voor een enkele authorative DHCP.

Door in de router de relayer field in te vullen kan de DC weten dat een request van een specifieke VPN komt en dan een nummer uitdelen in de juiste range, echter moeten de beide DC's wel synched zijn en een enkele moet authoritive zijn. Ik weet niet of in het geval van twee ranges elke DC authorative kan zijn voor zijn deel en backup voor de ander. Dat is echt te specifiek en te lang geleden.
 
@wampier

Voor het domein heb ik 2 verschillende subnetten. Per locatie 1 subnet Wanneer locatie 1 uitvalt, behoort de Client een IP te krijgen via het 2de subnet. Dit is via Cisco mogelijk te maken, maar ik wil graag weten of dit ook kan met Windows en hoe ?
 
domein 1, locatie 1 -
1 DC en 1 VPN router Server. Subnet: 192.168.1.0


domein 1, locatie 2 -
1 DC en 1 VPN router Server. Subnet: 192.168.2.0


domein 2, locatie 1 -
2x DC en 1 VPN router Server. Subnet: 192.168.3.0

Oke, laten we als eerste even iets meer duidelijkheid creëren.

Locatie 1
# domein: bedrijf1.nl
- Gateway (+ VPN)
- 2008R2 Domain controller (+ DHCP 192.168.1.0/24)
- 192.168.1.0/24

# domein: bedrijf2.nl
- Gateway (+ VPN)
- 2008R2 Domain controller (+ DHCP 192.168.3.0/24)
- 2008R2 Domain controller
- 192.168.3.0/24

Locatie 2
# domein: bedrijf1.nl
- Gateway (+ VPN)
- 2008R2 Domein controller (+ DHCP 192.168.2.0/24)
- 192.168.2.0/24

Dan ga ik er van uit dat je de DHCP servers hebt opgezet zoals hier boven beschreven. Correct?
En klopt het dat je voor de VPN techniek gebruikt maakt van IPsec ?

Wat voor routers gebruik je hier? PfSense? Untaggle? of een hardware variatie?
 
Laatst bewerkt:
@jordy14nl

Ik heb aparte VPN Routers die figureren als Windows Server 2008 R2. En ik heb inderdaad IPsec ingesteld hiervoor
 
Okee, als eerste heb je meer domain controllers dan nodig. maar dat is een ander verhaal.

Wat je nu wilt bereiken is als op L2B1 de DHCP server uitvalt, de DHCP server op L1B1 de taak overneemt.
Hiervoor moet je op de server van L1B1 de 192.168.2.0/24 scope toevoegen aan de DHCP server. vervolgens kun je door rechtermuisknop op deze scope te doen een partner server instellen.
Het probleem is dat je router dan als relay de request moet gaan doorsturen naar de DC op L1B1 wanneer de DC op L2B1 offline is.
#L1B1 = Locatie 1 Bedrijf 1

Ik neem aan dat zowel Bedrijf 1 en bedrijf 2 in het zelfde forest zitten. persoonlijk zou ik dan de domain controllers op L2B1 en L1B2 weghalen. en alleen 2 domain controllers instellen op L1B1, die ook failover DHCP hebben ingesteld. en daarvan af alle DHCP scopes doen, en de verdeleing van L1B2, en L2B1 alleen via DHCP relay doen. en vervolgens de clients de DNS adressen van deze DC's meegeven.

Het lijkt me dat je een echte bedrijfs omgeving probeerd te simuleren, het probleem hier mee is dat je in een echte bedrijfs omgeving van deze schaal ook de hardware hebt om zulke dingen te kunnen doen. nu is dat hier niet het geval. DHCP failover naar een andere SITE is erg tricky, en door hogere pings en IPsec word het niet makkelijker.
 
Laatst bewerkt:
@jordy14nl

Ik heb per bedrijf een Forest. Dus locatie 1 en 2 van bedrijf 1 zitten in 1 Forest en bedrijf 2 daarvan de locatie met de 2 DC's ook in 1 Forest.
 
Oke. dus bedrijf 2 heeft eigenlijk niks met bedrijf 1 te maken. en de vraag gaat daan ook alleen over L1B1 en L2B1.

Je zou de setup kunnen proberen wat ik zei. het is alleen lastig om een windows server te laten zoeken naar discovery packets op een ander subnet via een tunnel. wanneer dus je L2B1 DC uitvalt. kom je weer bij het het verhaal dat de router dan de packets moet gaan relayen naar de L1B1 server.
 
Laatst bewerkt:
@jordy14nl

De setup die je voorstelde weet ik niet goed hoe ik die moet uitvoeren. Kan je hier meer over uitleggen ?
 
Oke in details:

Stel je hebt 1 machine. en je zet hem aan. hij stuurd een DHCP request en krijgt als reactie 192.168.2.10 van de DC op L2B1.
Vervolgens zet je nog een machine aan. maar in dit geval is de DC van L2B1 offline en gaat de vraag naar L1B1, deze DC weet niet dat 192.168.2.10 al uitgedeeld was, en geeft deze vervolgens aan de nieuwe machine.

Resultaat is een IP conflict.
Wat je dus wilt doen is de DHCP servers zo instellen dat ze van elkaar weten wat wel en wat niet uitgegeven is. dit kan door middel van DHCP failover.
https://www.youtube.com/watch?v=6zjU6uQMY3o deze video is een goede plek om te starten.

Vervolgens is je grootste probleem dat je een router moet hebben die dus gebruikt maakt van 2 DHCP relay servers. Wij gebruiken PfSense voor onze zakelijk oplossing. dit is een gratis firewall die virtueel draaid, hier kan ik meerdere relays instellen:
pfsense.PNG
Hier kan je zien dat 10.10.3.2 mijn hoofd DHCP server is, en dat 10.10.3.1 mijn failover DHCP is.

Edit: mocht je geïnteresseerd zijn, ISO's zijn hier te vinden https://www.pfsense.org/download/, zorg wel dat je 2 netwerk kaarten hebt voor de WAN en de LAN link. Dit kan je ook op een oude PC installeren, hoeft niet virtueel.
 
Laatst bewerkt:
Vervolgens zet je nog een machine aan. maar in dit geval is de DC van L2B1 offline en gaat de vraag naar L1B1, deze DC weet niet dat 192.168.2.10 al uitgedeeld was, en geeft deze vervolgens aan de nieuwe machine.
Dat is te ondervangen door op beide DHCP server een subset van de DHCP scope te laten uitdelen (dus óf de reeksen uit te geven ip-adressen van hetzelfde subnet verdelen, hetzij in ieders scope exclusion aangeven voor de reeks van de ander). Ook wel Split Scopes genoemd. Een regel daarbij is om 80% van de scope te laten uitdelen door de normale dhcp server en 20% van de scope te laten uitdelen door de backup dhcp server.
Dus (bijv.)
DHCP server 1 geeft 192.168.1.20 t/m 192.168.1.120 uit en 192.168.2.121 t/m 192.168.2.200
DHCP server 2 geeft 192.168.2.20 t/m 192.168.2.120 uit en 192.168.1.121 t/m 192.168.1.200
Zie voorbeeld hier en hier en hier en hier
Let wel op: Voer de Split Scopes wizard vanaf de normale dhcp server uit, dan komt de dhcp scope automatisch bij de backup dhcp server erbij. Dus op beide dhcp servers uitvoeren, voor de scope waar ze zélf authoritief zijn.

Overigens is de oplossing met DHCP failover een mooiere. Met Windows Server kan het, met precies 2 dhcp servers en alleen ipv4 adressen, dus zou (met de setup van de topic-starter) moeten kunnen werken. Zie (o.a.) deze link [Werkt alleen in Windows Server 2012, niet 2008]

Tijs.
 
Laatst bewerkt:
Vervolgens is je grootste probleem dat je een router moet hebben die dus gebruikt maakt van 2 DHCP relay servers.

Dat hoeft dus niet. Zoals ik aangaf in mijn eerste post kan de router een relay-id in het bericht invoegen. De DHCP server kan dan vervolgens via het relay ID zien via welke router de request binnenkomt en een selectie maken voor die router.
 
Wanneer ik geen gebruik wil maken van overige software, maar gewoon wil gaan werken met de huidige software.

Mijn Client machine krijgt het DHCP IP van Server L1B1 (192.168.1.61) Wanneer ik deze uit zet, moet het zo gaan dan Server L2B1 een IP krijgt uit de DHCP range van die server (dus bijvoorbeeld: 192.168.2.61).

Via DHCP Relay Agent op de Router Servers die ik heb op alle locaties, zou ik dit moeten instellen heb ik ergens begrepen. Maar omdat ik via Routing and Remote Access een VPN verbinding voor elke locatie heb gemaakt, kan dit problemen opleveren.
 
lees even je post door, want volgens mij klopt je middelste alinea niet met wat je bedoeld.

Het is ook een beetje tegenstrijdig met je eerste post. Als je via dezelfde VPN binnenkomt zou je altijd dezelfde IP range moeten hebben. bij uitvallen van de ene DC ineens verwachtten dat al je clients naar een ander subnet gaan is vragen om problemen. Kun je net zo goed 2 gescheiden oplossingen draaien en twee inbelpunten.
 
Ik zal eerlijk zeggen dat ook ik er vanuit was gegaan dat je een dedicated VPN router had, dus geen gebruik maakt van RRAS. Maar ja, ik realiseer me ook dat je met een thuis-/test-netwerk bezig bent, dus niet "in het echt".

Dat is wel een probleem, want.... Als de server uitvalt dan is er ook geen VPN. Dus het nut van dhcp failover danwel split scopes is er dan niet (ik zou niet weten waarom de DHCP server functie uitvalt terwijl de rest (van de functies van) de server goed blijft draaien).
Het wordt dus zo wel een heel theoretisch verhaal. :rolleyes:

Tijs.
 
Er is een aparte VPN server, dus de VPN blijft gewoon werken, alleen de Server waar de DHCP op staat niet.

Als ik zo lees, lijkt het onmogelijk wanneer er een Client een IP krijgt van server 1, die server uitvalt hij geen IP kan krijgen van server 2.
 
Ik krijg het idee dat het wel werkbaar te krijgen is, maar dan moet je Split Scopes gaan inrichten (zoals ik al eerder aangaf) en daarna op de individuele VPN servers DHCP Relay agent aanzetten
Mogelijk heb je hierbij per VPN server een helper ip-adres nodig dat valt in de reeks van de alternatieve DHCP server.

Tijs.
 
Laatst bewerkt:
Dus ik heb dan 2 subnetten. Ieder subnet heeft een DHCP scope. en ik moet een kleine range van de 2de DHCP scope pakken en die door middel van Split Scopes in de 1ste DHCP scope zetten ?
 
Heb je de voorbeelden wel bekeken? Als het goed is wordt automatisch bij het instellen van Split Scopes van de DHCP scope van DHCPserver1 een (kleine, je geeft zelf aan groot via de schuif) DCHP scope gemaakt op DHCPserver2.
Je moet dus op beide server het doen, maar dan alleen voor de scope die ze zelf hosten.
Dus (concreet):
Op de DHCP server die op subnet 1 staat laat je via Split Scopes de bij subnet 1 horende DHCP scope splitsen in een (groot) deel dat hij zelf blijft doen en een deel dat de DHCP server op subnet 2 gaat doen.
Op de DHCP server die op subnet 2 staat laat je via Split Scopes de bij subnet 2 horende DHCP scope splitsen in een (groot) deel dat hij zelf blijft doen en een deel dat de DHCP server op subnet 1 gaat doen.
Het moet zo werken dat automatisch de juiste (deel-)scopes worden aangemaakt op de andere DHCP server zodra je de scope splitst op deze manier.

Tijs.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan