Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DHCP über IPSec

    Deutsch
    2
    3
    77
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      itBJA
      last edited by

      Hallo zusammen,
      ich habe zukünftig die Herausforderung von einer PFSense zentral in der Firma DHCP-Requests über Site2Site-VPN ins Rechenzentrum zu bekommen.
      Ich habe gelernt, dass dies wohl mit VTI-based IPSec gehen soll und bin nach Anleitung vorgegangen, dies einzurichten.
      Allerdings werden die Requests, z.B. DHCP-DISCOVER nicht ins VTI weitergegeben, sondern bleiben auf der LAN-Schnittstelle.
      Ich komm einfach nicht dahinter, was das Problem noch sein könnte.
      Hat jemand schon mal eine ähnliche Konstellation in Betrieb genommen?
      Viele schreiben dazu, dass man einfach die Switche über IP-Helper den Job machen lassen soll, dies kann ich aber vor Umzug des RZ nicht testen, da ein Parallel-Betrieb von alter Firewall und PFSense nicht funktioniert.

      Lokal wird es später keine Hardware im RZ geben, also kommt ein DHCP im Büro nicht in Frage, den internen DHCP der PF zu verwenden ebenfalls nicht, da der DHCP zentral im RZ laufen muss, hier werden die Daten der Leases noch für andere Dinge benötigt.

      Kann jemand helfen?

      micneuM 1 Reply Last reply Reply Quote 0
      • micneuM
        micneu @itBJA
        last edited by

        @itBJA ich finde dein vorhabend spannend, ich frage mich welchen anwendungszweck ist das, warum will/muss man das machen. Ich hinterfrage gerne solche vorgaben. Kannst du mir mal mehr Hintergründe geben, warum ihr das so machen wollt/sollt?
        Vielleicht gibt es bessere Lösungen (OpenVPN mit TAP interface)?

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        I 1 Reply Last reply Reply Quote 0
        • I
          itBJA @micneu
          last edited by

          @micneu
          Ganz einfach.
          Wir lösen unsere OnPrem-Landschaft auf und verlagern alles in ein Cloud-RZ.
          Damit habe ich an keinem Standort noch Hardware, auf welcher ich einen Domaincontroller laufen lassen könnte.
          Da unsere Intrusion-Detection-Lösung am DHCP-Server unter Windows andockt, muss es leider ein zentraler Server für alle Standorte sein und ich kann die DHCP-Server-Funktion der PF nicht verwenden.
          Die DCHP-Discover-Pakete der Clients kommen an der PF an, dort ist DCHP-Relay aktiviert, die Pakete werden aber nicht in den Tunnel weitergeleitet, sondern einfach nicht beantwortet.
          Würde statt Relay die PF die IP-Helper-Funktion unterstützen, dem Client die Serveradresse mitteilen und der Client von Broadcast auf Unicast switchen, würde das Paket in den Tunnel gehen.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.