Sinn von DHCP im Heimnetz

[mampfi]

Ich war zu blöd für die DHCP-Methode, bin´s wohl immer noch.

Momentan, wie gesagt, bin ich ein Heimbewohner (hat nichts mit meiner Neigung zu Linux zu tun ), da sind die Parameter laut meiner Methode erst zu erfragen.

[mampfi]

Ich poste mal meine Antwort im "Urprungsthread" redundant :

Ich war zu blöd für die DHCP-Methode, bin´s wohl immer noch.

Momentan, wie gesagt, bin ich ein Heimbewohner (hat nichts mit meiner Neigung zu Linux zu tun ), da sind die Parameter laut meiner Methode erst zu erfragen.

[mampfi]

Also, je mehr LInux- (UNIX-?) Rechner man im Netzwerk hat, desto größer wird der Aufwand mit der hosts-Methode.

Ich hab, wie gesagt, diese Methode bevorzugt, weil ich sie verstanden habe.

Und ich weiß, warum ich mich nicht als Netzwerk-Administrator beworben habe.

[MSfree]

Die „Haupt“-Hosts liegt auf meinem Debian Router, wird in dem Fall angepasst, und auf alle anderen Rechner kopiert.

LoL, damit simuierst du einen "Arme-Leute-DNS". Der DNS ist aber im Router bereits vorhanden, also warum doppelte Buchführung?

...aber es sind dann meine Fehler und zu deren Behebung brauch' ich vielleicht keine „Vorlesung über DHCP“.

Nur, daß bei Nutzung des ohnehin vorhandenen DHCP Fehler gar nicht erst auftreten, deine Vorlesung also sowieso ausfallen würde.

Man braucht für DHCP kein Wissen, denn das funktioniert einfach und vollautomatisch, wenn man seinen Rechner bootet. Und das alles, ohne eine einzige Datei auf dem Client manuell ändern zu müssen.

Wen es interessiert, der kann ja gerne in Erfahrung bringen, was DHCP an Daten an den Client übermittelt, nämlich:

• die IP-Adresse
• die Netzwerkmaske
• die IP des DNS
• die IP des Default Gateways.
• (optional) die IP des NTP-Servers
• den Namen der internen Domäne

aber stures Propagieren von DHCP ist vielleicht auch nicht das Alleinseligmachende.

DHCP ist nicht böse, man wird auch nicht zum Zombie oder gerät ins Fegefeuer. Das ist einfach eine Technik, die man auch endlich nach 30 Jahren mal akzeptieren sollte. Ohne DHCP wären das Internet auch längst nicht so verbreitet, denn ohne würden 98% der Haushalte gar nicht in der Lage sein, ins Internet zu gehen, weil sie mit der manuellen IP-Konfiguration hoffnungslos überfordert wären.

Ich verlange ja gar nicht, daß man in der Lage sein sollte, einen DHCP-Server aufzusetzen, wobei das auch keine Raketenwissenschaft ist. Aber gerade für Clients ist es eine enorme Erleichterung.

[fischig]

In welchem Paket steckte der "ohnehin vorhandene DNS"(-Server?)?/Wie lokalisiere ich den?

[KP97]

@MSfree
Volle Zustimmung!!!
Ich verstehe nicht, warum sich Leute im Heimnetz auf Gedeih und Verderb noch nach Abläufen richten wollen, die vor gut 25 Jahren mal angesagt waren. Die Welt hat sich weitergedreht
und die Maintainer haben viele Dinge vereinfacht, u.a. mit DHCP. Mit systemd ist nochmal ein vereinfachter Ablauf hinzugekommen.
Netzwerke in einem großen Rechenzentrum sind da ganz sicher eine andere Hausnummer, aber davon ist hier nicht die Rede.

[cosinus]

Ich verstehe nicht, warum sich Leute im Heimnetz auf Gedeih und Verderb noch nach Abläufen richten wollen, die vor gut 25 Jahren mal angesagt waren.

Bei all den Vorteilen von DHCP: statische Adresskonfigs haben durchaus ihre Berechtigung

[mat6937]

In welchem Paket steckte der "ohnehin vorhandene DNS"(-Server?)?/Wie lokalisiere ich den?

Im systemd:

Code: Alles auswählen

apt show systemd

[DHCPSERVER] SECTION OPTIONS
The [DHCPServer] section contains settings for the DHCP server, if enabled via the DHCPServer= option described
above:

[MSfree]

In welchem Paket steckte der "ohnehin vorhandene DNS"(-Server?)?/Wie lokalisiere ich den?

Der steckt in deinem Router von der Telekom/Vodafone/O2...

[ernohl]

Das sind 4 haltlose Unterstellungen. Warum? Du interpretierst Dinge hinzu, die ich nicht geschrieben oder gemeint habe.

Nein, ich nterpretiere gar nichts. Deine Unwissenheit hast du selbst hier:

Ist dir bei deiner Missionarstätigkeit aufgefallen, dass du verschiedene User zitierst?

[fischig]

Der steckt in deinem Router von der Telekom/Vodafone/O2...

Ach den meinst du! ich dachte du meinst meinen Debian-Router. Den Telkom-DNS gebe ich via Debian-Router an.

[mat6937]

Der steckt in deinem Router von der Telekom/Vodafone/O2...

Lt. seinem Beitrag:

... auf meinem Debian Router, ...

BTW: Es gibt Leute die haben z. B. keinen (providereigenen) Router vom ISP (Telekom, VF, ...), dafür ein transparentes Modem und benutzen ihren eigenen Router (mit Debian oder mit OpenBSD oder mit ...).

[MSfree]

Bei all den Vorteilen von DHCP: statische Adresskonfigs haben durchaus ihre Berechtigung

Ja, aber nur für Server, die unterbrechungsfrei vom Internet aus erreichbar sein sollen.

Die statischen IP-Zuwweisungen macht man dann aber auch via DHCP. Sprich, die Clients holen sich ihre Konfiguration per DHCP, bekommen aber vom DHCP-Server immer dieselbe (statische) Konfiguration ausgeliefert.

[MSfree]

BTW: Es gibt Leute die haben z. B. keinen (providereigenen) Router vom ISP (Telekom, VF, ...), dafür ein transparentes Modem und benutzen ihren eigenen Router (mit Debian oder mit OpenBSD oder mit ...).

Mein Modem hatte ein opaques Gehäuse. *SCNR*

Welcher ISP liefert denn heutzutage noch Modems aus? Mein ISP hat mir bedingt durch einen Technologiewechsel (ADSL zu ADSL2+ vor ca. 8 Jahren) das Modem gegen einen Router getauscht und auch auf Nachfrage konnte ich kein Modem mehr bekommen. Inzwischen bekommst du nicht mal mehr mit einem mit einem Businesstarif ein Modem.

Ich habe allerdings trotzdem noch meinen Debianrouter hinter meiner Fritzbox, inklusiver DHCP-Server und DNS.

[fischig]

Ich muss mich entschuldigen und korrigieren. Für's Thema wird's wohl irrelevant sein, aber zumindest der Ordnung halber will ich's genannt haben: mein Debian-Router ist ein Devuan-Router. In meinem Bewusstsein ist das - abgesehen von eudev und systemd - immer noch dasselbe.

[mat6937]

Die statischen IP-Zuwweisungen macht man dann aber auch via DHCP. Sprich, die Clients holen sich ihre Konfiguration per DHCP, bekommen aber vom DHCP-Server immer dieselbe (statische) Konfiguration ausgeliefert.

In der Regel ja, aber nicht immer und nicht überall. D. h. es ist auch möglich, vom ISP eine externe/öffentliche statische IPv4-Adresse zu bekommen die man manuell in seinem "border device" konfiguriert.
Hier ein Auszug aus dem Schreiben, das ich damals mit den Daten für die feste/statische externe IPv4-Adresse bekommen habe:

Sehr geehrter xxxx Kunde,

wir nehmen Bezug auf die Beantragung der festen IP-Adresse(n) und übersenden
Ihnen hiermit die relevanten Daten und die Zuweisung Ihrer festen IP-Adresse(n).
Um die gewünschten Änderungen zu aktivieren, starten Sie bitte Ihr Kabelmodem
und gegebenenfalls angeschlossene Endgerät(e) neu.

*1. IP Adresse: 46.###.###.### (MAC: xyxyxy623cae)
Gateway: 46.###.###.##9
Subnet-Mask: 255.255.255.192

DNS1: 78.2##.##.##
DNS2: 78.4##.##.##

(BTW: Die feste/statische IPv4-Adresse war auch an eine bestimmte MAC-Adresse "gebunden", was mich nicht gestört hat, denn MAC-Adressen kann man spoofen.)

[mat6937]

Welcher ISP liefert denn heutzutage noch Modems aus?

Das muss kein ISP mehr machen, denn die Modems kann man heutzutage kaufen bzw. privat erwerben.

[MSfree]

D. h. es ist auch möglich, vom ISP eine externe/öffentliche statische IPv4-Adresse zu bekommen die man manuell in seinem "border device" konfiguriert.

Das ist aber die einzge Situation, in der man um die manuelle Konfiguration nicht herum kommt. Aber wir waren eigentlich beim Sinn von DHCP in Heimnetzen.

Das muss kein ISP mehr machen, denn die Modems kann man heutzutage kaufen bzw. privat erwerben.

Selbst mit dem Kauf ist das so eine Sache. Viel Auswahl gibt es da nicht, und dann sind die in der Regel 2-3 mal so teuer wie selbst die fetteste Fritzbox.

[mat6937]

... die in der Regel 2-3 mal so teuer wie selbst die fetteste Fritzbox.

Kann schon sein, aber das ändert nichts an der Konstellation bzw. an der Vorgehensweise. Denn z. B. eine FritzBox 6591-cable kann auch (zusätzlich) als Kabel-Modem fungieren, wenn man z. B. (in privaten Tarifen) zusätzliche statische/feste externe/öffentliche IP(v4)-Adressen hat, die nicht per DHCP zugewiesen werden. Z. B. mein OpenBSD-Server (als border device) an der FB6591-cable:

Code: Alles auswählen

:~# cat /etc/hostname.re0                                                                                   
media autoselect
!/sbin/ifconfig re0 lladdr ##:##:##:CF:3F:38
inet 109.###.###.### 255.255.255.252 109.###.###.### mtu 1472
!route add default 109.###.###.##3
up

Code: Alles auswählen

:~# rcctl check dhcpleased
dhcpleased(failed)

[cosinus]

Die statischen IP-Zuwweisungen macht man dann aber auch via DHCP. Sprich, die Clients holen sich ihre Konfiguration per DHCP, bekommen aber vom DHCP-Server immer dieselbe (statische) Konfiguration ausgeliefert.

Kann man machen, muss man aber nicht
In Büros wird sehr oft Windows als Domain Controller mit DHCP-Server genutzt. Da sollte man diesem schon sinnigerweise eine statische Adresse geben. Ich verpasse Servern grundsätzlich statische IPs, Clients (bis auf ein paar wenige Ausnahmen) dynamisch per DHCP bzw. SLAAC bei IPv6. So hab ich Adressbereiche, die ich eindeutig Servern und Clients zuordnen kann.

[fischig]

Ich stell' mal so nebenbei und für mich fest: hier äußeren sich viele, sehr mehrfach, die nach meinem Eindruck ziemlich viel von der Materie (auch beruflich) verstehen (müssen).

[debianuser4782]

Die Deinstallation von DHCP kann für eine erhöhte IT-Sicherhiet sorgen. DHCP stellt eine umfangreiche Automatisierung im sicherheitsrelevanten Netzwerkbereich dar. Zudem hat zum Beispiel das Paket isc-dhcp-client eine Größe von 1070 kb. Das ist viel Code für die recht überschaubare Funktion von DHCP. Ich hätte mich um eine Deinstallation auf meinem Rechner bemüht, wenn dieser kein Virtualisierungs-Host wäre, auf dem DHCP als Konfigurator des virtuellen Netzwerkes agiert. Denn eine manuelle Konfiguration eines virtuellen Netzwerkes stelle ich mir - je nach Anzahl und Fluktuation der virtuellen Maschinen - recht mühselig vor. Vielleicht könnte man das oben benannte Paket an die eigenen Bedürfnisse anpassen und neu kompillieren/reduzieren. Bei debian ist DHCP in apparmor immerhin per default als "enforced" gelistet.
In Wikipedia findet man zu einigen Schwachstellen von DHCP folgende Ausführungen:

DHCP kann leicht gestört und manipuliert werden, weil DHCP-Clients jeden DHCP-Server akzeptieren.
Die versehentliche Aktivierung eines DHCP-Servers, beispielsweise durch den Anschluss eines einfachen DSL-Routers oder WLAN-Routers im Auslieferungszustand, kann ein Netz weitgehend lahmlegen. Dieser antwortet möglicherweise schneller als der eigentlich vorgesehene DHCP-Server und verteilt dadurch ggf. ungültige Konfigurationen.
Ein Angreifer kann alle Adressen eines DHCP-Servers reservieren (DHCP Starvation Attack), dadurch dessen Antwort auf weitere Anfragen verhindern und anschließend als einziger DHCP-Server auftreten. Er hat nun die Möglichkeit ein rogue DHCP Spoofing zu betreiben, indem er auf andere DNS-Server umleitet, die auf Computer verweisen, die die Kommunikation kompromittieren.
Zum einen kann der Angreifer beispielsweise Denial-of-Service-Angriffe starten, indem er jedem Client ein eigenes Subnetz zuweist, kein Gateway übermittelt oder auf alle Anfragen mit der gleichen IP-Adresse antwortet. Zum anderen kann er versuchen, mithilfe falscher Gateway- und DNS-Angaben einen fremden Router einzuschleusen, der den Datenverkehr des Clients mitschneidet oder umleitet (Man-in-the-Middle-Angriff).
Die vermeintliche Eindeutigkeit der MAC-Adresse darf nicht als Sicherheitskriterium angewandt werden. Es ist viel zu einfach, MAC-Adressen-Spoofing zu betreiben. Fast alle Betriebssysteme erlauben es gewöhnlichen Benutzern, die MAC-Adresse komfortabel in Konfigurationsmasken oder mit einfachen Tools wie ifconfig (UNIX, Linux) oder ip link (Linux) zu überschreiben. Gültige MAC-Adressen in einem Schicht-2-Netz können durch Abhören des Netzverkehrs ausfindig gemacht werden. Dazu ist lediglich der physische Zugang zum Netzwerk nötig. Die exklusive Vergabe von IP-Adressen nur an registrierte MAC-Adressen über RARP oder DHCP schließt also nicht aus, dass Unberechtigte Zugriff auf das Netzwerk erhalten; dafür ist der Einsatz eines sicheren Authentifizierungsmechanismus wie IEEE 802.1X notwendig.
Eine Persiflage der Bemühungen, diese Probleme zu umgehen, ist das Wäscheklammerprotokoll Peg DHCP.

https://de.wikipedia.org/wiki/Dynamic_H ... n_Protocol

[reox]

In Wikipedia findet man zu einigen Schwachstellen von DHCP folgende Ausführungen:

Es geht hier aber um DHCP im Heimnetz...
Wenn der Angreifer zB eine DHCP Starvation Attack in meinem Heimnetz machen kann, dann ist schon mal ganz viel anderes schief gelaufen.

Wieso eigentlich immer noch DHCP mit IPv4? es gibt doch link-local IPv6 *scnr*

[cosinus]

Wieso eigentlich immer noch DHCP mit IPv4? es gibt doch link-local IPv6 *scnr*

Tja, viele Geräte können immer noch kein IPv6!
Es gibt ja auch immer noch Provider, die kein IPv6 verteilen. Und dann gibt es alteingesessene Admins, die von IPv6 nichts hören oder sehen wollen.

[reox]

Welche (modernen) Geräte können kein v6?
v4 kann man ja sowieso immer weiter verwenden.