BINTEC-Router als DHCP-Server --> kein Netboot möglich

[benifrey]

Hallo,

ich benutze seit knapp 2 Jahren OPSI in einer Berufsförderschule, habe mich als Laie bisher tapfer durch alle auftauchenden Problemchen gekämpft... und weiss jetzt nicht mehr weiter. Deshalb hoffe ich auf eure Unterstützung.
Aufgrund der Netzwerkstruktur in dem gewachsenen Schulnetz habe ich den Router als DHCP-Server installiert. Jetzt stand ein Austausch des Routers (Lancom) an und ich habe mich für Bintec RXL12100 entschieden.

Der DHCP-Server wurde identisch zum Vorgänger eingerichtet. Die DHCP-Optionen 66 und 67 gesetzt (nach Handbuch) - und es funktionierte nicht. Netboot mit Lancom funktioniert, mit Bintec nicht. Nach mehreren Wochen Versuch und Irrtum habe ich den Bintec Support kontaktiert, weil mir in den Traces permanent eine falsche Source-IP auftauchte. Mit Hilfe des Supportes wurde das Problem behoben und ich musste auch nichts zahlen, weil es sich wohl um ein Software-Problem handelte (Erster Eintrag der IpRouteTable gibt automatisch die Source-IP vor).

Trotzdem: Lancom geht, Bintec nicht. Weitere freundliche Hilfe vom Support hat ergeben, dass die Option 66 nicht übergeben wird und die Server-IP als DHCP-Relay ("primärer DHCP-Server") gesetzt werden muss. Nächster Test: Tatsächlich, jetzt wird die IP des OPSI-Server übergeben. Funktion 67 kann laut Support aber nicht ersetzt werden und wird angeblich auch vernünftig an den Client übergeben. Dieser gibt dann aber den Pfad linux/pxelinux.0#001#004(gefolgt von 3 unleserlichen Unicode-Zeichen) an den Server weiter. Damit findet er natürlich nichts, weil ab der ersten Raute alles Quatsch ist. Woher dieses Phänomen kommt, kann sich der Bintec-Mitarbeiter nur so erklären, dass der Client nur BootP kann und das mit dem modernen Bintec-Router nicht mehr geht, weil es veraltet ist. Deshalb gibt angeblich mein Client Schrott an den TFTP-Server weiter, der vom Router eigentlich als sauberer Pfad zum Bootimage geliefert wurde. Ich persönlich kann mir das so nicht erklären, weil der alte Lancom-Router ja funktioniert und auf den Clients auch zu sehen ist, dass diese mit PXE arbeiten.

Konkrete Frage: Kann es sein, dass der Bintec als DHCP-Server nicht für OPSI geeignet ist? Welche Lösungswege würde ein Profi vorschlagen? OPSI-Server zum DHCP-Server machen und auf den Router als DHCP-Server verzichten?

Ich würde mich sehr über Hilfe und Ratschläge freuen und bedanke mich für die spannenden Einblicke in die Linux-Welt, die mir die Beschäftigung mit dem OPSI-System eröffnet hat (und entschuldige mich für meine unprofessionelle Ausdrucksweise ).

[Thomas_H]

Moinsens,

Konkrete Frage: Kann es sein, dass der Bintec als DHCP-Server nicht für OPSI geeignet ist? Welche Lösungswege würde ein Profi vorschlagen? OPSI-Server zum DHCP-Server machen und auf den Router als DHCP-Server verzichten?

Nun, als erstes würde ich mal dem Grundprinzip folgen "ein Server für einen Service", oder anders gesagt, für den DHCP einen eigenen Server! Damit folgst Du der Grundregel des BSI (Bundesamtes für Sicherheit in der Informationstechnologie), welches für den Grundschutz gefordert ist. Erst recht in einer Schule, in der Du immer irgendwelche findigen Kids haben wirst, die in ihrer Freizeit und in ihren Freistunden nichts anderes zu tun haben, als zu beweisen, wie gut sie mit aus dem Internet geladenen Scripten umgehen können.
Das bedeutet: der Router ist ein Router und kein DHCP! Der wird nichts anderes machen als doof zu routen, zu firewall'en und darauf zu achten, dass nur erlaubte Clients in das begehrte Internet kommen und dass auch nur Pakete zugelassen sind, die DU zulassen willst (Stichwort illegales Filesharing usw).
Der DHCP ist ein eigener Server, mit eigener Hardware oder - falls vorhanden - auf einem anderen leistungsfähigen Server als virtuelle Maschine, mit eigenen Passworten und eigenem Sicherheitskonzept. Das kann durchaus eine alte Mühle sein, längst ausgesondert und eigentlich reif für den Müll, weil der darin arbeitende Professor noch ein 386er ist. DHCP ist ein anspruchsloser Dienst und verbraucht nicht viele Ressourcen.
Damit aber umgehst Du diese Probleme im internen Netz, was den DHCP betrifft.

Es könnte allerdings ein anderes, neues Problem auftreten, je nach Deiner Infrastruktur: Wenn Du einen Zugriff auf das Internet auch basierend auf erlaubte und tatsächlich vergebene IP-Adressen zulässt, müsstest Du unter Umständen einen Weg finden, wie der DHCP den Router die erlaubten MAC-Adressen mitteilt. Sinnvoller in einer Schule allerdings halte ich den Zugang per Benutzername und Passwort auf Basis eines weiteren LDAP-Servers...

Gruß

Thomas_H

[SisterOfMercy]

Or use pfSense as your router
Yes I know you already have the box!

I don't entirely agree with Thomas_H, I would run all basic networking services on one server. You can also go the "virtual" route with FreeBSD jails. Then you can have the benefit of a modern server with IPMI, and it still is seperated from the rest of the OS.

Trotzdem: Lancom geht, Bintec nicht. Weitere freundliche Hilfe vom Support hat ergeben, dass die Option 66 nicht übergeben wird und die Server-IP als DHCP-Relay ("primärer DHCP-Server") gesetzt werden muss. Nächster Test: Tatsächlich, jetzt wird die IP des OPSI-Server übergeben. Funktion 67 kann laut Support aber nicht ersetzt werden und wird angeblich auch vernünftig an den Client übergeben. Dieser gibt dann aber den Pfad linux/pxelinux.0#001#004(gefolgt von 3 unleserlichen Unicode-Zeichen) an den Server weiter. Damit findet er natürlich nichts, weil ab der ersten Raute alles Quatsch ist. Woher dieses Phänomen kommt, kann sich der Bintec-Mitarbeiter nur so erklären, dass der Client nur BootP kann und das mit dem modernen Bintec-Router nicht mehr geht, weil es veraltet ist. Deshalb gibt angeblich mein Client Schrott an den TFTP-Server weiter, der vom Router eigentlich als sauberer Pfad zum Bootimage geliefert wurde. Ich persönlich kann mir das so nicht erklären, weil der alte Lancom-Router ja funktioniert und auf den Clients auch zu sehen ist, dass diese mit PXE arbeiten.

I think they (bintec) are talking out of their asses.

[Thomas_H]

Moinsens,

I don't entirely agree with Thomas_H, I would run all basic networking services on one server. You can also go the "virtual" route with FreeBSD jails. Then you can have the benefit of a modern server with IPMI, and it still is seperated from the rest of the OS.

...auf keinen Fall! K*ckt Dir die Kiste ab, zum Beispiel durch Hardwaredefekt, ist im worst case das gesamte Netzwerk tot und das kann unter Umständen richtig teuer werden, wenn die Produktivumgebung essentiell ist zu Geldverdienen, oder wenn in Schulen die Kids ihre Hausaufgaben nicht machen können, weil das System nicht läuft. Wenn nur ein einzelnder DHCP oder Fileserver zusammenbricht, stört es zwar, legt aber nicht alles lahm. Und ein komplett ausgefallenes System setzt den Admin unnötig unter Druck bei der Reaktivierung.
Und: in Schulen ist der Admin zumeist auch nur ein armer Lehrer, der das als "Zugleichaufgabe" übrgeholfen bekommen hat, weil er "mehr Ahnung hat als alle anderen".

Für das Netzwerk zu Hause teile ich Deine Meinung zu "einen Server für alles". In Produktivumgebungen nicht. Ausserdem erhöht es die Sicherheit, wenn ein Angreifer bei jedem Server neu anfangen muss zu knacken. Und knackt er einen Server für alles, hat er die volle Kontrolle über das gesamte System bis hin zu den Clients. In Schulen ein absolutes NO!GO! Die Kids von heute sind nicht dußlig, die probieren so lange, bis es geklappt hat. Und dann sollten sie auf keinen Fall die volle Kontrolle haben! Der Schaden wäre unabsehbar. Nicht umsonst verweist das BSI immer wieder auf diese Richtlinie! Und auch Schulen sind zum Grundschutz verpflichtet...

Bin *ich* zu altmodisch oder zu paranoid um virtualisierten Systemen zusammengefasst auf einer Hardware eine Chance zu geben? Kommt sicher auch auf den Zweck der Nutzung an...

Gruß

Thomas_H

[benifrey]

Hallo,

vielen Dank für die Beiträge.

Da ich zur Zeit in einem anderen VLAN den OpenSchoolServer als neue Struktur für unser Netzwerk aufbaue, werde ich keinen großen Aufriss machen und habe jetzt den Ubuntu-Server, auf dem OPSI läuft, zum DHCP-Server gemacht. Soweit funktioniert jetzt alles, bis auf dass das UBUNTU 12.04 via SSH plötzlich nur noch aus dem LAN erreichbar ist und nicht mehr über meinen VPN-Zugang (auch nicht pingbar). Aber damit bin ich hier natürlich im falschen Forum.

Meine Hoffnung war, dass irgendein Experte sagt: Das muss gehen und Bintec redet sich da heraus. Mir persönlich fehlt die argumentative Grundlage und auch das Verständnis in Bezug auf Bootp usw. Scheint aber so zu sein, dass die Bintec-DHCP-Server-Funktion und OPSI inkompatibel sind.

Zum Thema Sicherheit ist es tatsächlich so, dass im schulischen Bereich oft die Anforderungen an ein zeitgemäßes und den Auflagen entsprechendes schulisches Netzwerk stark kollidieren mit der fachlichen Qualifikation vieler Systembetreuer. Da schließe ich mich ein.

[ueluekmen]

Hi,

ich habe keine Ahnung, was Bintec so herstellt, aber BOOTP ist quatsch. Da du schreibst, dass es mit Lancom funktioniert, also einem anderen TFTP-Server und mit dem Bintec nicht, würde ich erst mal davon ausgehen, dass es nicht am Client sondern am eigentlichen Service liegt.

Da die Optionen über das Gerät an den Client verteilt wird und diese Geräte einem nicht wirklich viele Zugänge ermöglichen, wird es wahrscheinlich nur über die Firmware des Geräts fixbar sein. Da der Hersteller sich aber windet, so wie du erzählst, würde ich nicht darauf bauen.

Zu den Schulen, es gibt einige Schulen, die OPSI einsetzen. Vielleicht sollte man, eventuell auch über die opsi-Map mal Kontakt aufnehmen und sich untereinander austauschen. Ich denke, man kann sehr davon profitieren, wenn man sieht, was andere mit den gleichen Anforderungen so einsetzen.

[SisterOfMercy]

Apparently they make technology that goes right in the bin!
(the recycling bin that is)

[Thomas_H]

Moinsens,

Meine Hoffnung war, dass irgendein Experte sagt: Das muss gehen und Bintec redet sich da heraus. Mir persönlich fehlt die argumentative Grundlage und auch das Verständnis in Bezug auf Bootp usw. Scheint aber so zu sein, dass die Bintec-DHCP-Server-Funktion und OPSI inkompatibel sind.

Das muss gehen... wenn der DHCP-Server im verbauten Gerät auch alle Optionen für DHCP, oder konfigurierbare Möglichkeiten für DHCP bereithält.

DHCP-sofern nicht dynamisch- kennt nicht nur alle Clients mit ihrer MAC-Adresse und weist ihnen - ob dynamisch oder nicht - eine IP-Adresse zu, sondern übermittelt auch weitere Optionen, sofern sie denn vom Administrator (oder /root - der darf das! ) vorgegeben sind und der Client sie verarbeiten kann, was wir hier voraussetzen. Das kann beispielsweise ein NTP-Server sein, oder auch eben der nächste TFTP-Server.

Die meisten einfachen Router mit DHCP sind allerdings was diese Optionen angeht, strunzdumm. Selbst die meisten Fritz!Box'en können nicht auf ihrer normalen Weboberfläche mit diesen zusätzlichen Optionen bestückt werden. Folge: Ein Client, der bei diesen Routern anfragt, bekommt zwar eine IP-Adresse, aber eben nicht die Option "nextserver=xx.yy.zz.aa", womit der Client, sofern PXE-Boot eingeschaltet, weiss, wo er nach weiteren Optionen (Startmenü zum Beispiel) fragen soll.
Der Opsi in so einem Netzwerk feilt und lackiert sich inzwischen die Fingernägel, er weiss weder etwas von dem startenden Client noch von seiner Existenz, bis der opsiclientd im Rechner anfragt, ob es etwas zu tun gibt.

Kurzum: wenn der Bintec weitere Optionen - auch frei definiertbar - zulässt / zulassen würde, müsste auch er in der Lage sein, auf den opsi-Server als "nextserver" zu verweisen. Vergibt er aber nur strunzdumm IP-Adressen, vielleicht noch nach vorgegebenen MAC-Adressen, dann wird es sich hierbei einfach nur um ein billiges Gerät handeln.

Mehr über DHCP'ing findest Du hier.

Gruß

Thomas_H