Securepoint UTM: DHCP-Reservierung einrichten

Seit ein paar Versionen beherrscht (endlich) auch die Securepoint UTM das Reservieren von IP-Adressen im DHCP-Server.

Im Web-Interface unter

Netzwerk - Netzwerkkonfiguration

auf der Registerkarte “Statisches DHCP” werden die Reservierungen konfiguriert.

Dazu aber noch eine Geschichte aus der Praxis mit einer wichtigen Erkenntnis:

Wir freuten uns sehr und richteten die DHCP-Reservierung auch gleich bei einem Kunden-Projekt ein. Die Aufgabenstellung lautete dabei ein zum LAN hin zusätzliches Netz in einer Fertigungshalle zu etablieren. Via Firewall sollten diese Netze getrennt sein und die Maschinen dürfen nicht ins Internet. Soweit so gut. Nun gibt es ein Notebook in der Halle das bei Bedarf ins Internet kann und zudem auf einen Server zwecks Laden von Maschinendaten zugreifen muss, hinzu kommt das dieses mitunter auch mal im Büro genutzt wird. Daher kam eine statische IP-Konfiguration nicht in Frage, es bot sich die DHCP-Reservierung gerade zu an. Mittels entsprechender Firewall-Regeln war zudem die “Verkehrsregelung” möglich.

Das klappte zunächst ganz gut, doch eines schönen Montag-Morgens klingelte allerdings das Telefon mit der Meldung, dass das Notebook nicht mehr ans Netz gehen würde. Seltsamerweise funktionierte alles im Büro, nur nicht (mehr) in der Halle. Wir hatten zunächst Kabel, Switch-(Port) als auch den Netzwerkkartentreiber in Verdacht, das war’s alles nicht.

Ich muss gestehen, wir haben erstmal eine Weile mit dem Kunden am Telefon zusammen gesucht, bis wir raus hatten das die IP-Adresse doppelt vergeben war, man hatte schlichtweg überhaupt nicht mit sowas gerechnet. Erst als das Netzwerkkabel aus dem Notebook raus war und die betreffende IP-Adresse dennoch angepingt werden konnte machte es Klick auf unserer Seite des Telefons als auch Aha auf der anderen Seite. So stellte sich heraus, das eine der Maschinen sich die IP-Adresse “geschnappt” hatte. Das warum war erstmal nicht klar. Als schneller Workaround wurde für das Notebook eine Reservierung am Ende des Pools eingerichtet. So schnell sollte man da nicht hinkommen.

Neulich war dann der Securepoint Außendienst bei uns und wir sprachen unter anderem über diese Geschichte. Einen Tag später rief dann der Support an und die Angelegenheit konnte geklärt werden.

Weder im Changelog, dem Wiki, noch in der Online-Hilfe der UTM ist dokumentiert, das es sich gar nicht um eine Reservierung sondern (Supportaussage) um eine Priorisierung handelt. D.h. laut Support: Ist die “reservierte” Adresse frei und irgendein Gerät benötigt eine freie IP-Adresse, wird diese vermeintlich reservierte Adresse (dennoch) an andere Geräte vergeben!

Das erklärt, warum es beim Kunden erstmal funktionierte und dann irgendwann schepperte. Die Empfehlung sowohl vom Support als nun auch von uns lautet daher, die reservierten IP-Adressen außerhalb des Pools anzulegen. Dies funktioniert allerdings so ab Version 12.2.2 nicht mehr, daher wenn möglich die statischen Leases an das Ende des Pools legen.

Gut zu wissen und wieder etwas gelernt. Persönlich kenne ich das in ähnlicher Form z.B. von pfSense. Dort kann man DHCP-Reservierungen nur außerhalb des Pools anlegen, innerhalb ist überhaupt nicht möglich. Wäre gut, wenn dies in einer zukünftigen Version der UTM-Firmware ebenfalls verriegelt wäre.

Update 16.03.2022

Kleinere Korrekturen im Text und Anpassung an Version 12.2.2

1 Kommentar

  1. Arno Prinz

    Mit dem UTM Commandline-Tool CLI kann man sich die vergebenen Adressen listen lassen:

    dhcp lease list <== zeigt die vergebenen IP-Adressen an

    dhcp lease get <== zeigt die statischen, reservierten Adressen an

    siehe https://wiki.securepoint.de/UTM/EXTRAS/CLI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑