Ich wünsche mir einen richtigen DHCP-Server auf ner DS

olevomdachsberg · 08. Apr 2012

Hallo Ihr fleißigen Bienchen,
um einen wirklichen und brauchbaren DHCP-Server im Netzwerk zu betreiben (außerhalb einer FritzBox und deren rudimentären Einstellmöglichkeiten...!!!) wünsche ich mir von Synology einen DHCP-Server auf der DS mit der Option der MAC-Adressen-Filterung, mit einer Ausgrenzung von physikalischen Geräten, welche nicht tatsächlich zum Netzwerk gehören oder sich unberechtig daran anmelden wollen (ähnlich WLan-Sicherheit!).
Meine Freude wäre übergroß.
Beste Grüße (auch an den Osterhasen)

Anzeige · 08. Apr 2012

Hallo olevomdachsberg,

Bücher und Hardware zum Thema gibt es bei Amazon: Ich wünsche mir einen richtigen DHCP-Server auf ner DS

mega · 08. Apr 2012

Da man MAC-Adressen fälschen kann, wäre die Frage ob das wirklich Sicherheit bringt.

jahlives · 08. Apr 2012

Vergiss MAC-Filter, das bringt wirklich nicht viel ausser Scheinsicherheit. Zudem wäre das imho eh eher die Aufgabe einer Firewall und nicht diejenige eines dhcp. Da stell ich beim Client eine fixe IP ein und der dhcp hätte nichts mehr zum Filtern. Solche Filter gehören wenn schon auf eine Gateway Firewall

olevomdachsberg · 10. Apr 2012

Scheinbar - Schweres Thema

An alle Besserwisser und Schnellschreiber,
…ja, ja und ja! Natürlich kann man mit einem MAC-Adressen-Filter beim DHCP keinen Missbrauch verhindern und selbstredend gehört dieser in die Funktion einer Firewall (schnellstmöglich!!!) …. Aber, meine Herren, wir sind NUR Anwender und haben in der Praxis die eine oder andere brauchbare Verbesserungslücke gefunden.

Fallbeispiel:
Zwei Filialen- verbunden über VPN- beidseitig DHCP über Fritzbox (je Segment). Nun kommt Aussendienstler von einer Dienstreise nach Filiale A und hat Probleme mit dem örtlichen DHCP (FritzBox, warum auch immer?, egal!).
+keine gültige IP-Adresse+ Keine Verbindung+ Problemsuche eines Halbwissenden…
Nun konnte sich aber der schlaue Mann an seine letzte alte Netzwerkeinstellung erinnern und trug die IP-Adresse per Hand ein!
-Na klingelts?-

Fazit:
Es wäre also supergeil, wenn VOR der Vergabe einer IP-Adresse über DHCP eine MAC-Adressen-Prüfung stattfände, um diese (berechtigt oder unberechtigt) in die Vergabe aufzunehmen (Eineindeutig) oder auszuschließen.

Ist diese MAC-Adresse nicht von einem registrierten Teilnehmer der Netzwerkes, bekommt er über DHCP KEINE Adresse zugeteilt, schlimmstenfalls eben keine IP-Adresse (oder genau nur diese spezielle-was ja in der DS schon eingebaut ist).

Wir halten diese Funktion für eine sehr bedeutende (kleine) Verbesserung der Betriebssicherheit und Stabilität, als vielmehr der Unternehmungen von außen (durch Fremde und Eindringlinge), Schaden zu verursachen.

Gott zum Gruße

Puppetmaster · 10. Apr 2012

olevomdachsberg schrieb:
...wünsche ich mir von Synology...

Hallo!

Dann solltest du dich aber direkt an Synology wenden (die lesen hier nicht mit!) und dein Anliegen vortragen.
Es ist unwahrscheinlich, daß ein "nur Anwender" hier dir dazu eine Lösung basteln wird, zumal es ja bereits eine eigene DHCP Anwendung von Synology im Paketzentrum des DSM gibt.

jahlives · 10. Apr 2012

Klar man kann das so sehen wie du, aber Sicherheit gewinnst du dadurch sicher nicht. IP manuell einstellen und eine ganze Filterei ist für die Katz. Auf einem Gateway, wo aller LAN-Traffic zusammenkommt, könnte es ggf ein bissl was bringen. Aber auch dort lässt sich das umgehen. Mac-Spoofing ist wirklich eine recht einfach Übung ;-)
Und was bitte soll das mit Stabilität zu tun haben?
Alles in allen wirst du damit legitimen Usern u.U. Steine in den Weg legen, für den bösen Zeitgenossen ist sowas jedoch kein Hindernis. Bei jedem Hardwarewechsel einer Netzwerkkarte, WLAN Stick wirst du die neuen MACs nachtragen müssen

mega · 10. Apr 2012

Was will jetzt dieses Fallbeispiel sagen?
Das ein Client Probleme mit einem bestimmten DHCP-Server hat, ist äußerst selten.
Und wenn, kann so ein Fehler dann genausogut auch mit dem DHCP-Server der Synology auftreten.

Da es in einem Netzwerk nur einen DHCP geben kann, ist so also nix gewonnen.

olevomdachsberg · 10. Apr 2012

Dieses (nicht ganz glückliche aber dennoch passierte) Fallbeispiel sollte andeuten, wie komplex der Mischbetrieb von DHCP-Automatismus und (ungewollter) Mitarbeitermanipulation heutzutage ist (im Büro- Arbeitsalltag sein kann).

Mit (unüberlegten) Kleinigkeiten (hier-fand keine zielgerichteten bewusste Aktionen durch den Mitarbeiter statt!) können Knotenpunkte ausgehebelt oder diese zumindest erheblich beeinträchtigt werden. AVM hat da auch noch nachzubessern.

Wie gesagt, um solchen Unannehmlichkeiten zukünftig vorzubeugen, schreibe ich für unsere beiden Arbeitsgruppen gerne Filtertabellen, sowohl in die Einstellungen der Firewall (?) und wenn möglich auch in die Tabellen des DHCP-Servers der DS. Somit wären die Netzwerkeinstellungen IMMER automatisch (DHCP im GESCHLOSSENEN Benutzerkreis) und stabil (statisch); ein großer Vorteil, auch für die Außendienstmitarbeiter und ihren wechselnden Gastnetzwerken im Außendienst…

P.S. Wie kann man sich direkt an Synology und deren Entwicklung wenden?

goetz · 10. Apr 2012

Hallo,
das DHCP-Paket verwendet einen "richtigen" DHCP/DNS Server, dnsmasq. Dieser hat gefühlte 200 Konfigurationsparameter nur werden die nie alle in eine GUI gepresst werden. Entweder ausprobieren die .conf den eigenen Bedürfnissen anzupassen oder gleich auf die ipkg Variante umschwenken.

Synology-Kontaktformular

Gruß Götz

Suche

Ich wünsche mir einen richtigen DHCP-Server auf ner DS

olevomdachsberg

Benutzer

Anzeige

mega

Benutzer

jahlives

Benutzer

olevomdachsberg

Benutzer

Puppetmaster

Benutzer

jahlives

Benutzer

mega

Benutzer

olevomdachsberg

Benutzer

goetz

Super-Moderator

Kaffeautomat