Ipnummer koppelen aan hostname

koppel 't ip vast aan 't MAC address van de NIC, ik dacht dat win2k3 dhcp in combinatie met xp clients dit ondersteund.

DNS = the answer.

Laat de DHCP, wanneer er een ipadres wordt uitgedeeld, de DNS server updaten e klaar is klara.
Hoef je ook geen MAC adressen meer bij te houden en is simpel te realiseren op zowel Win32 als de BIND dhcpd combo op een Unix of BSD bak.

probleem is, dat IP's en hostnames zich op een andere layer bevinden. 'k weet niet of 't zo eenvoudig kan vastgelegd worden. Ik weet, zoals ik al zei, dat je de meeste DHCP's kunt instellen hun IP's uit te delen aan vaste MAC's, maar aan hostnames, geen idee.

Je kunt eventueel de logs bijhouden van de DHCP, die weet je dan wel te zeggen wie wanneer welk IP had, en dat is fool proof. En dit in combinatie met SpamLame's methode.

Verwijderd schreef op 11 augustus 2004 @ 17:11:
probleem is, dat IP's en hostnames zich op een andere layer bevinden. 'k weet niet of 't zo eenvoudig kan vastgelegd worden. Ik weet, zoals ik al zei, dat je de meeste DHCP's kunt instellen hun IP's uit te delen aan vaste MAC's, maar aan hostnames, geen idee.

Je kunt eventueel de logs bijhouden van de DHCP, die weet je dan wel te zeggen wie wanneer welk IP had, en dat is fool proof. En dit in combinatie met SpamLame's methode.

Ff door borduren op NeuralTransmitter.
Aan hostnames kan ook wel maar is meer een houtjetouwtje oplossing die veel beheer vereist.

Je laat je DHCP op basis van macadressen uitdelen. Voor zover ik begrepen heb had je dat al.

Wat anders wordt is de DNS. Hierin neem je handmatig de ipadressen (de hosts) op die je DHCP uitdeelt op basis van MAC adres. (onder Win32 reservations genoemd.)
Aan de ipadressen koppel.je de naam van client en klaar.

Maar ja wel bewerkelijk, aangezien je de dhcp & dns zelf moet bijwerken.

Als het 1 PC is, kan je die toch een vast IP-adres opgeven, en in de DHCP instellen, dat hij die niet mag gebruiken?

GJ-tje schreef op 11 augustus 2004 @ 17:23:
Als het 1 PC is, kan je die toch een vast IP-adres opgeven, en in de DHCP instellen, dat hij die niet mag gebruiken?

Zou kunnen, maar zoals ik het lees, denk ik dat ze eea in (groot) bedrijfsnetwerk moet draaien.

Verwijderd schreef op 11 augustus 2004 @ 16:40:
Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD

Geen dank, maar ff zonder gekheid.
Hiermee voorkom je niet dat eoa hobbybob zelf een ipadres in gaat vullen.
Zolang er geen policy is die dat verhinderd, kun je dat nl nog steeds.
En aangezien er bij statische adressen geen request richting dhcp gaat, ben je nog geen steek verder.

Het lijkt erop dat je iets wilt loggen.
Clients log je op basis van een hostname.
Users aan de hand van userid's.
Misschien dat je niets loggen wilt, ook goed, moet je deze en de 3 bovenstaande negeren

[ Voor 54% gewijzigd door SpamLame op 11-08-2004 17:34 . Reden: nog eens naged8 ]

Verwijderd schreef op 11 augustus 2004 @ 17:34:
[...]

Het gedeelte wat voor de node zit is dus geen probleem icm MAC.
Maar wat achter de node zit, kunnen wij geen mac adressen zien, alleen het mac van de node zelf. Zie dus de node als een client met daarachter weer meerdere clients.


[...]

Hoe moet dit precies ingesteld worden?

Wat is die node voor een ding dan?

In je forward lookup zone van de dns "rechtsklik "add (new) host"" .

Verwijderd schreef op 11 augustus 2004 @ 17:44:
[...]

Dit is een wireless connection node.

En die houd MAC adressen tegen, wat niet anders in te stellen is?
Anders is dát de oplossing. Weet niet of je het zelf al geprobeerd,
maar voor de volledigheid misschien handig te roepen.
PS wat is merk type?

isc dhcpd kan iig wel werken met een lease toekennen op client-hostname, al gaat dat lang niet perfect.
http://www.think-future.d..._docs/dhcpd.leases.5.html

Helaas is windows DHCP server daar niet toe in staat zonder configuratie op de client PC.

Ik heb even gezocht in de MSKB en kwam wel wat mogelijke opties tegen die de moeite kunnen zijn om eens te bekijken:

http://support.microsoft....aspx?scid=kb;en-us;821388
(client geeft dhcp option field 12 mee, daar staat de hostname dan in)

http://search.support.mic...uery=Vendor+Class+Options
zoeken op Vendor + User options (die wil je in dit geval kunnen gebruiken)

http://search.support.mic...ryc=dhcp+Class+Options+XP


Overigens is het goed om in de gaten te houden dat je hier hoogstwaarschijnlijk ook nog met een DHCP-relay functie te maken hebt op die wireless node, geen idee wat daar de beperkingen van kunnen zijn.
Lijkt me erg sterk dat die opeens geen client - macadressen doorgeeft.

Dat terzijde; je probleem van rogue Fixed-ip clients blijft nog steeds van kracht.

Als het om een wireless deel gaat zou je eens kunnen kijken of je niet wat met provisioning + EAP kan doen, waardoor je bijv. een certificaat nodig hebt per PC om aan te kunnen melden op het wlan deel.

Ik weet uit ervaring dat SonicWall een dergelijke constructie gebruikt voor hun Wireless Nodes (TZ 170 Wireless bijvoorbeeld)

[ Voor 81% gewijzigd door alt-92 op 11-08-2004 18:54 ]

Ik denk dat je verhaal toch technisch wat duidelijker zal moeten worden. Ik kan er weinig touw aan vast knopen. Ik moet bekennen dat ik geen expert ben op Wireless gebied, maar wat bedoel je exact met 'AP ingesteld als client'? Als ik je verhaal zo hoor gedraagt die AP zich dan als een zo'n wireless internet doosje: 1 adres van buiten (nog via DHCP, dus zichtbaar zoals je stelt), en de rest achter NAT.

Er bekruipt me een beetje een gevoel van te hoog gegrepen, eerlijk gezegd.

[ Voor 159% gewijzigd door ijdod op 11-08-2004 19:32 ]

Misschien een betere optie om die wlan AP < > Client AP constructie naar een bridge om te zetten, en dan vanaf dat punt verder te kijken?
Zo krijg je namelijk nooit die dhcp requests binnen zoals jij ze wil controleren lijkt me..
* alt-92 gokt dat dat AP aan die kant geen dhcp proxy functionaliteit heeft?

[ Voor 16% gewijzigd door alt-92 op 11-08-2004 19:37 ]

BackSlash32 schreef op 11 augustus 2004 @ 19:36:
Misschien een betere optie om die wlan AP < > Client AP constructie naar een bridge om te zetten, en dan vanaf dat punt verder te kijken?
Zo krijg je namelijk nooit die dhcp requests binnen zoals jij ze wil controleren lijkt me..

Bridge lijkt mij ook de beste optie op dit moment.
AP <> client constructies zijn voor PDA's Laptop's bedoelt.
Ze zijn minder geschikt om netwerken aan elkaar te knopen.
Bridgen dus

Ik snap het niet. Er moet toch "iets" vast staan? Je kunt volgens mij niet èn de hostname, èn het IP-adres voor die bepaalde machine reserveren als je het MAC-adres niet weet (en je dus aanneemt dat het onbekend is). Wordt wel erg "random" dan. Hoe weet je dan zeker dat het die bewuste wireless client is?

Ik weet dat Linux clients (maar ook Solaris en vast wel meer OS'en) een hostname per netwerkinterface ondersteunen, en dat de "eigen" hostname (& localhost uiteraard) dan uitsluitend op het loopback device (127.0.0.1) draait.

Verder kan een "normale" DHCP server juist onderscheid maken tussen aanvragers op basis van gegevens uit de DataLink Layer (het MAC adres dus), een DHCP server houdt juist bij aan welk MAC-adres er een IP-adres is uitgedeeld. Het verhaal dat het MAC-adres van de client onzichtbaar is vind ik heel vreemd, hoe moeten hosts in hetzelfde subnet dan hun ARP-tabel vullen (who has <IP adress>, tell <IP-adres van afzender>)?

Ja, het schijnt dus te kunnen om aan een host zowel een hostname als een IP-adres toe te kennen (een erfenis uit het bootp tijdperk?), maar dan moet je het MAC-adres wel weten!

Verwijderd schreef op 11 augustus 2004 @ 19:43:
Ja, het schijnt dus te kunnen om aan een host zowel een hostname als een IP-adres toe te kennen (een erfenis uit het bootp tijdperk?), maar dan moet je het MAC-adres wel weten!

Dat is inderdaad een bootp optie, maar dat bedoelt de TS niet eens.

Hij wil een lease toekennen op basis van hostname.

Hmm, o, ik snap het ja, maar zit de hostname van een client wel in een DHCP Req?

Ik zie ineens met het sniffen dat er in het DHCP-request in het DHCP options veld weldegelijk de hostname wordt meegestuurd. Het is dus zaak een DHCP-server te vinden die hier raad mee weet.

[ Voor 55% gewijzigd door Verwijderd op 11-08-2004 20:04 ]

Verwijderd schreef op 11 augustus 2004 @ 16:40:
Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD

Nu wil ik wel even opmerken, dat het wijzigen van de hostname op een computer even simpel, zoniet simpeler, is als het wijzigen van een statisch ip!

Je zal toch nog steeds met een goede security policy op je clients moeten forcen dat deze gegevens niet kunnen veranderd worden. (gewoon non-admin account)

Verder, weet je dan toch steeds wie op welke pc wat doet adv zijn of haar login op het domein?

Verwijderd schreef op 11 augustus 2004 @ 16:40:
... om misbruik via statisch invullen van ip adres te voorkomen. BVD

Alsof iemand die een statisch IP-adres kan invoeren, niet slim genoeg zou zijn om de hostname te wijzigen. Je bent gewoon ontzettend je tijd aan het verspillen aan een enorme prutsoplossing.
Als jij er niet in slaagt om de MAC-adressen achter jouw "node" uit te lezen, dan huur je iemand in die mbv van een van de vele remote control tools die er bestaan, dat wel kan en die laat je een lijstje maken wat je vervolgens in je DHCP server invoert

volgens mij is het doel:

Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD

Zet je DHCP leases zo hoog mogelijk, maak een uitdraai van je dns of wins en klaar ben je. Vraag me trouwens af of de clients 5km verderop wel dhcp van Windows krijgen, maybe van AP ?

Om te kunnen kijken wie er is ingelogd en om dubbele logins te voorkomen, kun je pakketten als ServerBoss gebruiken.

[ Voor 11% gewijzigd door Taigu op 12-08-2004 00:45 ]

Het is trouwens vrij gebruikelijk om op je AP toegang in te stellen op basis van MAC-adres. Een vreemde wifi-kaart krijgt dan geeneens een verbinding met je AP.

blijkbaar wil je dus enkel bepaalde computers toegang kunnen geven tot het netwerk. Er is een deel waar je het mac adres kan bepaken dus hier zou ik de dhcp server instellen dat andere mac adressen gewoon geen ip adres krijgen.
Wat betreft het draadloze deel waar je de mac adressen niet te zien krijgt: Wat dacht je van een radius server?
Gewoon elke wifi verbinding een ip toekennen maar de verbinding pas toelaten als op userniveau alles in orde is?
Zo kan je in de logs van uw dhcp server nog altijd opvragen welke ip adressen er wireless zijn uitgedeeld

als je zeker wilt zijn, is de enige optie toegang op mac

toegang op hostname is onveilig
toegang op static ip is onveilig
tenzij je de juiste accounts instelt.

vraag nu nog: hoe weet je zeker dat persoon Jan wel degelijk op hostname Jan zit bvb? Daarvoor moet je toch steeds je login log files nagaan? En zoja, is heel het nut van ip's gelocked aan macs of hostnames toch weg?

Toegang bepalen op hostname is en blijft een prutsoplossing. Waarom zou er iets als userid's met wachtwoorden verzonnen zijn.

---

Bovendien: Als je niet wilt dat computer JAN toegang heeft tot het netwerk, flikker hem dan uit je domain.
Aan de andere kant, elke PC die geen lid is van je domain heeft geen toegang tot je domain.
* Equator ziet het probleem nog steeds niet.

Je bedoeld toch niet dat je login audits wilt hebben hè. Dat is namelijk gewoon een policy. Dan kan je precies zien wie, waar en wanneer inlogt. iis5_rulez kan je hier wel meer over vertellen.

Gebruik de MS grouppolicy truuk om te zorgen dat de toegang tot de netwerkconfiguratie van een machine in het domein geblokkeerd wordt.

Zet die Wireless verbinding in bridgemode, zodat deze nooit zal interfereren met je verdere communicatie op IP niveau.

Bereken een subnetmasker wat alleen ruimte geeft aan het aantal netwerknodes dat op dit moment aanwezig is in je netwerk.

Vervolgens zet je een statische DHCP lease op basis van het MAC adres van elk werkstation/printer.

Je zou nog kunnen kijken naar een optie om alle machines die geen lease van de DHCP server gekregen hebben, toegang te weigeren tot de fileserver...zie ook christophe0 in dit topic over de RADIUS oplossing.