DHCP der DS vergibt keine IP (mit Fritz!Box)

Status
Für weitere Antworten geschlossen.

Sadam1971

Benutzer
Mitglied seit
28. Jan 2015
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
ok, das verstehe ich. Wenn eins von beidem kaputt dann großes problem.
gibt es sonstige vor- oder Nachteile? evtl. fallback-lösungen?

Nehmen wir an, Du möchtest einen tftpd-Server für eine PXE-Lösung einrichten (auf deutsch: Dein PC soll wegen Festplattendefekt oder aus anderem Anlass aus dem Netzwerk booten), dann muss der DHCP-Server auf einen Bootloader verweisen. Ob und ggf. welche Fritzboxen das können, weiß ich nicht, aber meine kanns nicht. Mit der Synology hingegen ist das möglich und die Images für den Netzwerk-Bootvorgang lassen sich auch direkt in einem gemeinsamen Ordner auf dem NAS einrichten.
 

Cyberbob_at_tot

Benutzer
Mitglied seit
27. Feb 2015
Beiträge
46
Punkte für Reaktionen
2
Punkte
8
Guten Morgen zusammen,

ich hatte das selbe Problem. Bei mir war es aber die Lösung, das ich für 2 Schnittstellen eines PCs die selbe IP Adresse vergeben habe, und dadurch der DHCP nicht startete. Ist mir leider nur in der Systemprotokolldatei/var/log/messages aufgefallen.
 

Outlaw

Benutzer
Mitglied seit
11. Nov 2015
Beiträge
158
Punkte für Reaktionen
0
Punkte
16
Nehmen wir an, Du möchtest einen tftpd-Server für eine PXE-Lösung einrichten (auf deutsch: Dein PC soll wegen Festplattendefekt oder aus anderem Anlass aus dem Netzwerk booten), dann muss der DHCP-Server auf einen Bootloader verweisen. Ob und ggf. welche Fritzboxen das können, weiß ich nicht, aber meine kanns nicht. Mit der Synology hingegen ist das möglich und die Images für den Netzwerk-Bootvorgang lassen sich auch direkt in einem gemeinsamen Ordner auf dem NAS einrichten.

Die Fritzboxen können das nicht aber SynDNSmasq als Paket auf der DS installieren und konfigurieren und fertig. Da muss an der Fritzbox nix geändert werden und DHCP auf der Fritzbox ist auch kein Problem und ne Fritzbox fällt eher seltener aus.
 

Boxxy

Benutzer
Mitglied seit
20. Mrz 2013
Beiträge
46
Punkte für Reaktionen
0
Punkte
0
Ja, hinterher war mir das dann auch klar :p
Hat aber ne Weile gedauert ...

Ohjaa.. so ging es mir eben auch.

Aber eine Frage zur FW Regel. Dieses "Quell-IP: ALLE", wie gefährlich ist das bzw negiert es nicht die komplette Firewall?
Ich hab bisher nur die nötigsten Ports im jeweiligen Subnetz freigegeben. Z.B 192.168.0.0/255.255.255.0

Was heisst denn genau "ALLE"? Alle lokalen IPs oder auch jede von außen? Ich finde die Synology FW etwas verwirrend.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
"Alle" heißt wie sonst auch immer "alle"...
 

catweazle71

Benutzer
Mitglied seit
04. Mrz 2010
Beiträge
473
Punkte für Reaktionen
0
Punkte
0
Hi Boxxy,

Frogman hat natürlich recht, aber vielleicht zum leichteren Verständnis ...

ANgenommen Du betreibst einen Webserver. Beim Betrieb einer DS ja gar nicht so ungewöhnlich. Wie willst Du das dann ausschließen? Du möchtest ja, dass ein beliebiger Client im Internet Deine Webseite erreichen kann. Das geht nur, wenn SourceIP auf Alle steht. Ein anderes Beispiel. DU willst mit einem mobilen Endgerät auf Deine DS zugreifen. Woher willst Du wissen, welche IP Dein mobiles Gerät hat. DArüber hinaus wird es vom Anbieter vermutlich ständig eine neue IP bekommen. Da Du die IP also nicht zu jedem Zeitpunkt kennst und sich diese auch noch regelmäßig ändert, kannst Du die FW nur auf ALLE einstellen. Das geht leider nicht anders.

Du filterst jedoch auf anderem Wege.
1. Die Zieladresse ist immer Deine DS. Ein Zugriff auf andere Geräte im Netz sind also ausgeschlossen (naja, von Hacking mal abgesehen ;-))
2. Du gibst in der Regel ja nur einen oder bestimmte wenige Ports frei. Also z.b. 80, 443 für http/s. Es kann also nur über eine bestimmte ANwendungslogik kommuniziert werden.
3. In der Regel betriebt man ja neben der DS auch einen Internet-Router (DSL, Kabel). Im Falle von DHCP verhindert der, dass DHCP Anfragen aus dem Internet überhaupt an der DS ankommen. Denn an dem Router wirst Du wohl kaum eine Freischaltung für DHCP konfigurieren ;-)

Um Kommunikation nur in Deinem LAN zu ermöglichen, kannst Du in der FW in der DS Subnetze eintragen. Das geht super. ABER aus den oben beschriebenen Gründen eben gerade nicht bei DHCP ;-)

Hoffe das hilft Dir ein wenig zum Verständnis :)
 

Boxxy

Benutzer
Mitglied seit
20. Mrz 2013
Beiträge
46
Punkte für Reaktionen
0
Punkte
0
Das "alle" alle heißt ist mir schon klar. Hab mich vielleicht ein wenig unklar ausgedrückt :)


Danke Catweazle für die Erklärung

3. In der Regel betriebt man ja neben der DS auch einen Internet-Router (DSL, Kabel). Im Falle von DHCP verhindert der, dass DHCP Anfragen aus dem Internet überhaupt an der DS ankommen. Denn an dem Router wirst Du wohl kaum eine Freischaltung für DHCP konfigurieren ;-)

Genau das meinte ich.
Meine DS hängt an einer managed Switch, welche widerum am Router hängt. Internetzugang an der DS ist konfiguriert und aktiv.
Die Verwirrung war ob Synology mit "alle" eben alle IPs aus dem lokalen Netz meint oder eben alle im Sinne von weltweit/Internet. Schließlich habe ich ja einen Router davor, der eigentlich exterenen traffic filtern soll.

Das heißt aber in dem Fall, falls jemand durch meinen Router durchbricht, er vollen zugang zur DS hat?! Da kann man sich die FireWall also gleich schenken, wenn man wegen dem DHCP alle IPs freigeben muss, oder?
Die Reihenfolge der Regeln spielt anscheinend ebenfalls eine Rolle.

Bei mir habe ich die DHCP Ports (und alle anderen, die ich benötige) auf LAN4 eingetragen.
Jedoch getrennt.
Erste Regel: meine Ports. (192.168.0.0/255.255.255.0)
Zweite Regel: DHCP Server und DHCPv6 Server. (Alle)

Funktionieren tut es, aber ich weiß nicht ob das richtig ist oder überhaupt eingreift.
Theoretisch müsste so die FireWall korrekt eingestellt sein. Alles ist gesperrt, bis auf die einzelnen Ports und dann auch nur im lokalen Netwerk. Und der DHCP ist zwar frei für alle, was aber hoffentlich keine allzugroße Sicherheitslücke darstellt, da er zum einen, dadurch, dass die DS hinter dem Router sitzt sowieso aus dem Internet geschützt sein sollte, also trotzt "alle" bloß im lokalen Netzwerk offen ist. Und sowieso nur Port 67,68 und 546,547 betroffen sind.


Gedanke meinerseits:
Und ist es nicht so, dass eine default IP im Bereich 169.254.xxx.xxx zugewiesen wird? Kann man in der Firewall, statt "alle", nicht nur 0.0.0.0 und 169.254.0.0 öffnen, damit der DHCP funktioniert?


Da ich momentan mein komplettes Netzwerk erweitere und umstrukturiere, möchte ich es so stark absichern wie es geht.
 

catweazle71

Benutzer
Mitglied seit
04. Mrz 2010
Beiträge
473
Punkte für Reaktionen
0
Punkte
0
Hi Boxxy,

Deinen "Gedanken" habe ich persönlich noch nicht ausprobiert. Aber ehrlich gesagt, wenn jemand durch Deinen Router kommt (hackt), dann steht er eh in Deinem LAN und kann IP-technisch alles erreichen und fröhlich weiter hacken. Ob nun Deine DS oder Dein Router oder sonst was DHCP Server spielt, ist dann auch egal, erbekommt so oder so eine IP in Deinem LAN zugewiesen. Es sein denn Du würdest nur feste IP's vergeben und diese an die MAC Adresse binden. Jemand, der durch Deinen Router kommt, wird dann aber mal eben seine MAC faken und ggf. doch eine IP bekommen. Und Nein, die FW kannst Du Dir natürlich nicht schenken, denn sie filter ja auch über Ports. Es ist also nur DHCP für alle freigegeben. Hast Du kein FTP z.b., dann kann auch keiner über FTP Ports zugreifen und Schwachstellen im FTP Protokoll ausnutzen.

Kurz gesagt ist das "works as designed" ;-) Du kannst Dir natürlich noch ein IDPS dazu basteln und versuchen, solche Angriffe zu erkennen. Oder Du baust Dir eine DMZ auf und versuchst dadurch, die Kommunikation von der DMZ ins LAN weiter abzusichern. Aber 100% Schutz gibt es eben nicht.

Wenn Du nach außen erreichbar sein willst, dann bist Du auch von außen angreifbar. Ansonsten musst Du halt Dein Netzwerkkabel ziehen und Du bist sicher ;-) War'n Scherz :)

Ich habe z.b. aktuell 10 Portfreigaben in der FritzBox aktiviert, die alle auf die DS gehen. No Risk, no Fun ;-)

Lass einfach nur das durch, was Du wirklich ganz sicher benötigst, und Du bist besser abgesichert als jedes mittlere und große Unternehmen. Gute Passwörter wählen etc.

ps: Alle heißt natürlich intern und extern, den gesamten IPv4 / IPv6 Adressraum
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat