Toon posts:

Ipnummer koppelen aan hostname

Pagina: 1
Acties:
  • 464 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Wij hebben het volgende probleem:

Wij hebben een server staan met win2k3 welke ipnummers uitdeeld via dhcp naar de client computers. Maar nu willen wij graag dat de server een ipnummer uitdeeld gekoppeld aan een door ons ingestelde hostname. dwz een client pc heet bijv. jan dan moet er bijv ip. 192.168.1.45 toegewezen worden. Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD

Verwijderd

koppel 't ip vast aan 't MAC address van de NIC, ik dacht dat win2k3 dhcp in combinatie met xp clients dit ondersteund.

Verwijderd

Topicstarter
Aan mac is het probleem niet want dat hadden wij al voor elkaar. Maar er zit een node tussen waardoor er een aantal client zijn waarvan wij niet het mac nummer kunnen bereiken, maar wel de hostname.

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

DNS = the answer.

Laat de DHCP, wanneer er een ipadres wordt uitgedeeld, de DNS server updaten e klaar is klara.
Hoef je ook geen MAC adressen meer bij te houden en is simpel te realiseren op zowel Win32 als de BIND dhcpd combo op een Unix of BSD bak.

Verwijderd

Topicstarter
In dit geval bepaald de server welk ipnummer er wordt toegewezen. Wij willen echter dat de server een door ons bepaald ipnummer aan een hostname gekoppeld wordt. dus ik bepaal dat ip 192.168.1.12 behoord tot computernaam JAN (niet de server). Als een niet opgegeven hostname bij de server een ipnummer probeerd aan te vragen, moet deze geweigerd worden tot het netwerk.

Verwijderd

probleem is, dat IP's en hostnames zich op een andere layer bevinden. 'k weet niet of 't zo eenvoudig kan vastgelegd worden. Ik weet, zoals ik al zei, dat je de meeste DHCP's kunt instellen hun IP's uit te delen aan vaste MAC's, maar aan hostnames, geen idee.

Je kunt eventueel de logs bijhouden van de DHCP, die weet je dan wel te zeggen wie wanneer welk IP had, en dat is fool proof. En dit in combinatie met SpamLame's methode.

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

Verwijderd schreef op 11 augustus 2004 @ 17:11:
probleem is, dat IP's en hostnames zich op een andere layer bevinden. 'k weet niet of 't zo eenvoudig kan vastgelegd worden. Ik weet, zoals ik al zei, dat je de meeste DHCP's kunt instellen hun IP's uit te delen aan vaste MAC's, maar aan hostnames, geen idee.

Je kunt eventueel de logs bijhouden van de DHCP, die weet je dan wel te zeggen wie wanneer welk IP had, en dat is fool proof. En dit in combinatie met SpamLame's methode.
Ff door borduren op NeuralTransmitter.
Aan hostnames kan ook wel maar is meer een houtjetouwtje oplossing die veel beheer vereist.

Je laat je DHCP op basis van macadressen uitdelen. Voor zover ik begrepen heb had je dat al.

Wat anders wordt is de DNS. Hierin neem je handmatig de ipadressen (de hosts) op die je DHCP uitdeelt op basis van MAC adres. (onder Win32 reservations genoemd.)
Aan de ipadressen koppel.je de naam van client en klaar.

Maar ja wel bewerkelijk, aangezien je de dhcp & dns zelf moet bijwerken.

  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Als het 1 PC is, kan je die toch een vast IP-adres opgeven, en in de DHCP instellen, dat hij die niet mag gebruiken? :?

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

GJ-tje schreef op 11 augustus 2004 @ 17:23:
Als het 1 PC is, kan je die toch een vast IP-adres opgeven, en in de DHCP instellen, dat hij die niet mag gebruiken? :?
Zou kunnen, maar zoals ik het lees, denk ik dat ze eea in (groot) bedrijfsnetwerk moet draaien.
Verwijderd schreef op 11 augustus 2004 @ 16:40:
Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD
Geen dank, maar ff zonder gekheid.
Hiermee voorkom je niet dat eoa hobbybob zelf een ipadres in gaat vullen.
Zolang er geen policy is die dat verhinderd, kun je dat nl nog steeds.
En aangezien er bij statische adressen geen request richting dhcp gaat, ben je nog geen steek verder.

Het lijkt erop dat je iets wilt loggen.
Clients log je op basis van een hostname.
Users aan de hand van userid's.
Misschien dat je niets loggen wilt, ook goed, moet je deze en de 3 bovenstaande negeren ;)

[ Voor 54% gewijzigd door SpamLame op 11-08-2004 17:34 . Reden: nog eens naged8 ]


Verwijderd

Topicstarter
Maar er zit een node tussen waardoor er een aantal client zijn waarvan wij niet het mac nummer kunnen bereiken, maar wel de hostname.
Het gedeelte wat voor de node zit is dus geen probleem icm MAC.
Maar wat achter de node zit, kunnen wij geen mac adressen zien, alleen het mac van de node zelf. Zie dus de node als een client met daarachter weer meerdere clients.
Aan de ipadressen koppel.je de naam van client en klaar.
Hoe moet dit precies ingesteld worden?

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

Verwijderd schreef op 11 augustus 2004 @ 17:34:
[...]

Het gedeelte wat voor de node zit is dus geen probleem icm MAC.
Maar wat achter de node zit, kunnen wij geen mac adressen zien, alleen het mac van de node zelf. Zie dus de node als een client met daarachter weer meerdere clients.


[...]

Hoe moet dit precies ingesteld worden?
Wat is die node voor een ding dan?

In je forward lookup zone van de dns "rechtsklik "add (new) host"" .

Verwijderd

Topicstarter
Wat is die node voor een ding dan?
Dit is een wireless connection node.

  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

Verwijderd schreef op 11 augustus 2004 @ 17:44:
[...]

Dit is een wireless connection node.
En die houd MAC adressen tegen, wat niet anders in te stellen is?
Anders is dát de oplossing. Weet niet of je het zelf al geprobeerd,
maar voor de volledigheid misschien handig te roepen.
PS wat is merk type?

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

isc dhcpd kan iig wel werken met een lease toekennen op client-hostname, al gaat dat lang niet perfect.
http://www.think-future.d..._docs/dhcpd.leases.5.html

Helaas is windows DHCP server daar niet toe in staat zonder configuratie op de client PC.

Ik heb even gezocht in de MSKB en kwam wel wat mogelijke opties tegen die de moeite kunnen zijn om eens te bekijken:

http://support.microsoft....aspx?scid=kb;en-us;821388
(client geeft dhcp option field 12 mee, daar staat de hostname dan in)

http://search.support.mic...uery=Vendor+Class+Options
zoeken op Vendor + User options (die wil je in dit geval kunnen gebruiken)

http://search.support.mic...ryc=dhcp+Class+Options+XP


Overigens is het goed om in de gaten te houden dat je hier hoogstwaarschijnlijk ook nog met een DHCP-relay functie te maken hebt op die wireless node, geen idee wat daar de beperkingen van kunnen zijn.
Lijkt me erg sterk dat die opeens geen client - macadressen doorgeeft.

Dat terzijde; je probleem van rogue Fixed-ip clients blijft nog steeds van kracht.

Als het om een wireless deel gaat zou je eens kunnen kijken of je niet wat met provisioning + EAP kan doen, waardoor je bijv. een certificaat nodig hebt per PC om aan te kunnen melden op het wlan deel.

Ik weet uit ervaring dat SonicWall een dergelijke constructie gebruikt voor hun Wireless Nodes (TZ 170 Wireless bijvoorbeeld)

[ Voor 81% gewijzigd door alt-92 op 11-08-2004 18:54 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Topicstarter
Om de vraag nog even complexer te maken wil ik dus eigenlijk dat er in de server bekent is wie er ingelogd is. Ik werk met de ingebouwde router van W2k3 waaraan een switch zit zodat er binnen mijn netwerk gewoon gewerkt kan worden en ge-internet kan worden. Dit is allemaal OK. Maar aan de switch zit een Accespoint welke het netwerk verstuurd naar een accespoint (ingesteld als client) welke 5 km verderop staat(dit is het laatste MAC adress die ik kan zien in de server). tot hier gaat het nog goed.
Op die client is weer een accespoint aangesloten om het netwerk weer te verspreiden. Dit werkt allemaal, maar ik wil de hostnames kunnen blocken die achter de laatste Accespoint zitten. zodat er aan de ingelogde clients niet meer een 2de pc gebruikt kan worden middels een switch.
Kortom. Een hostnaam moet toegang hebben tot de server of nou juist niet....(waar ie zich dan ook bevind)

  • ijdod
  • Registratie: April 2000
  • Laatst online: 22-02 17:44
Ik denk dat je verhaal toch technisch wat duidelijker zal moeten worden. Ik kan er weinig touw aan vast knopen. Ik moet bekennen dat ik geen expert ben op Wireless gebied, maar wat bedoel je exact met 'AP ingesteld als client'? Als ik je verhaal zo hoor gedraagt die AP zich dan als een zo'n wireless internet doosje: 1 adres van buiten (nog via DHCP, dus zichtbaar zoals je stelt), en de rest achter NAT.

Er bekruipt me een beetje een gevoel van te hoog gegrepen, eerlijk gezegd.

[ Voor 159% gewijzigd door ijdod op 11-08-2004 19:32 ]

Root don't mean a thing, if you ain't got that ping...


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Misschien een betere optie om die wlan AP < > Client AP constructie naar een bridge om te zetten, en dan vanaf dat punt verder te kijken?
Zo krijg je namelijk nooit die dhcp requests binnen zoals jij ze wil controleren lijkt me..
* alt-92 gokt dat dat AP aan die kant geen dhcp proxy functionaliteit heeft?

[ Voor 16% gewijzigd door alt-92 op 11-08-2004 19:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 15:32

SpamLame

niks

BackSlash32 schreef op 11 augustus 2004 @ 19:36:
Misschien een betere optie om die wlan AP < > Client AP constructie naar een bridge om te zetten, en dan vanaf dat punt verder te kijken?
Zo krijg je namelijk nooit die dhcp requests binnen zoals jij ze wil controleren lijkt me..
Bridge lijkt mij ook de beste optie op dit moment.
AP <> client constructies zijn voor PDA's Laptop's bedoelt.
Ze zijn minder geschikt om netwerken aan elkaar te knopen.
Bridgen dus

Verwijderd

Ik snap het niet. Er moet toch "iets" vast staan? Je kunt volgens mij niet èn de hostname, èn het IP-adres voor die bepaalde machine reserveren als je het MAC-adres niet weet (en je dus aanneemt dat het onbekend is). Wordt wel erg "random" dan. Hoe weet je dan zeker dat het die bewuste wireless client is?

Ik weet dat Linux clients (maar ook Solaris en vast wel meer OS'en) een hostname per netwerkinterface ondersteunen, en dat de "eigen" hostname (& localhost uiteraard) dan uitsluitend op het loopback device (127.0.0.1) draait.

Verder kan een "normale" DHCP server juist onderscheid maken tussen aanvragers op basis van gegevens uit de DataLink Layer (het MAC adres dus), een DHCP server houdt juist bij aan welk MAC-adres er een IP-adres is uitgedeeld. Het verhaal dat het MAC-adres van de client onzichtbaar is vind ik heel vreemd, hoe moeten hosts in hetzelfde subnet dan hun ARP-tabel vullen (who has <IP adress>, tell <IP-adres van afzender>)?

Ja, het schijnt dus te kunnen om aan een host zowel een hostname als een IP-adres toe te kennen (een erfenis uit het bootp tijdperk?), maar dan moet je het MAC-adres wel weten!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op 11 augustus 2004 @ 19:43:
Ja, het schijnt dus te kunnen om aan een host zowel een hostname als een IP-adres toe te kennen (een erfenis uit het bootp tijdperk?), maar dan moet je het MAC-adres wel weten!
Dat is inderdaad een bootp optie, maar dat bedoelt de TS niet eens.

Hij wil een lease toekennen op basis van hostname.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Hmm, o, ik snap het ja, maar zit de hostname van een client wel in een DHCP Req?

Ik zie ineens met het sniffen dat er in het DHCP-request in het DHCP options veld weldegelijk de hostname wordt meegestuurd. Het is dus zaak een DHCP-server te vinden die hier raad mee weet.

[ Voor 55% gewijzigd door Verwijderd op 11-08-2004 20:04 ]


Verwijderd

Verwijderd schreef op 11 augustus 2004 @ 16:40:
Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD
Nu wil ik wel even opmerken, dat het wijzigen van de hostname op een computer even simpel, zoniet simpeler, is als het wijzigen van een statisch ip!

Je zal toch nog steeds met een goede security policy op je clients moeten forcen dat deze gegevens niet kunnen veranderd worden. (gewoon non-admin account)

Verder, weet je dan toch steeds wie op welke pc wat doet adv zijn of haar login op het domein?

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Verwijderd schreef op 11 augustus 2004 @ 16:40:
... om misbruik via statisch invullen van ip adres te voorkomen. BVD
Alsof iemand die een statisch IP-adres kan invoeren, niet slim genoeg zou zijn om de hostname te wijzigen. Je bent gewoon ontzettend je tijd aan het verspillen aan een enorme prutsoplossing.
Als jij er niet in slaagt om de MAC-adressen achter jouw "node" uit te lezen, dan huur je iemand in die mbv van een van de vele remote control tools die er bestaan, dat wel kan en die laat je een lijstje maken wat je vervolgens in je DHCP server invoert

QnJhaGlld2FoaWV3YQ==


  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25
volgens mij is het doel:
Dit zodat wij ten alle tijden weten van wie welk ip nummer is. om misbruik via statisch invullen van ip adres te voorkomen. BVD
Zet je DHCP leases zo hoog mogelijk, maak een uitdraai van je dns of wins en klaar ben je. Vraag me trouwens af of de clients 5km verderop wel dhcp van Windows krijgen, maybe van AP ?

Om te kunnen kijken wie er is ingelogd en om dubbele logins te voorkomen, kun je pakketten als ServerBoss gebruiken.

[ Voor 11% gewijzigd door Taigu op 12-08-2004 00:45 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.


Verwijderd

Topicstarter
De Clients krijgen wel degelijk een ip nummer van de windows bak (niet van de AP). Maar ik denk dat het probleem opgelost is. STOM..... maar ip-mac werkt dus wel door de Node heen. Na veel gepruts in de server is dit waarschijnlijk goed nu. Althans getest op een client achter een AP(client) dus ik neem aan dat het nu ook gaat via de node.
Nu alleen nog alles blocken en dan toegang geven op hostname of mac.

Verwijderd

Het is trouwens vrij gebruikelijk om op je AP toegang in te stellen op basis van MAC-adres. Een vreemde wifi-kaart krijgt dan geeneens een verbinding met je AP.

Verwijderd

blijkbaar wil je dus enkel bepaalde computers toegang kunnen geven tot het netwerk. Er is een deel waar je het mac adres kan bepaken dus hier zou ik de dhcp server instellen dat andere mac adressen gewoon geen ip adres krijgen.
Wat betreft het draadloze deel waar je de mac adressen niet te zien krijgt: Wat dacht je van een radius server?
Gewoon elke wifi verbinding een ip toekennen maar de verbinding pas toelaten als op userniveau alles in orde is?
Zo kan je in de logs van uw dhcp server nog altijd opvragen welke ip adressen er wireless zijn uitgedeeld

Verwijderd

als je zeker wilt zijn, is de enige optie toegang op mac

toegang op hostname is onveilig
toegang op static ip is onveilig
tenzij je de juiste accounts instelt.

vraag nu nog: hoe weet je zeker dat persoon Jan wel degelijk op hostname Jan zit bvb? Daarvoor moet je toch steeds je login log files nagaan? En zoja, is heel het nut van ip's gelocked aan macs of hostnames toch weg?

  • Equator
  • Registratie: April 2001
  • Laatst online: 12:55

Equator

Crew Council

#whisky #barista

Toegang bepalen op hostname is en blijft een prutsoplossing. Waarom zou er iets als userid's met wachtwoorden verzonnen zijn.


Bovendien: Als je niet wilt dat computer JAN 8)7 toegang heeft tot het netwerk, flikker hem dan uit je domain.
Aan de andere kant, elke PC die geen lid is van je domain heeft geen toegang tot je domain.
* Equator ziet het probleem nog steeds niet.

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 20-02 15:44
Je bedoeld toch niet dat je login audits wilt hebben hè. Dat is namelijk gewoon een policy. Dan kan je precies zien wie, waar en wanneer inlogt. iis5_rulez kan je hier wel meer over vertellen.

  • MissingDog
  • Registratie: Augustus 2002
  • Niet online
Gebruik de MS grouppolicy truuk om te zorgen dat de toegang tot de netwerkconfiguratie van een machine in het domein geblokkeerd wordt.

Zet die Wireless verbinding in bridgemode, zodat deze nooit zal interfereren met je verdere communicatie op IP niveau.

Bereken een subnetmasker wat alleen ruimte geeft aan het aantal netwerknodes dat op dit moment aanwezig is in je netwerk.

Vervolgens zet je een statische DHCP lease op basis van het MAC adres van elk werkstation/printer.

Je zou nog kunnen kijken naar een optie om alle machines die geen lease van de DHCP server gekregen hebben, toegang te weigeren tot de fileserver...zie ook christophe0 in dit topic over de RADIUS oplossing.
Pagina: 1