Hur man sätter upp en billig, enkel och välfungerande DHCP-tjänst

Stötte alltså vid testarbete med Maxivisions TV-burk på ett problem. Vårt lilla byanät är baserar sig på tanken att varje hushåll skall ha tillgång till några unika IP-adresser och hittills har den generöst specificerade addressrymden räckt till. Det är väl så att man med olika knep kan komma ganska långt med ett sådant tänkesätt.

Men så fungerar det inte i dagens värld, som begränsas av IP4 standarden. IP-nummern baserar sig på 4 byte med 8 bittar var och det ger ju oss 2 i potensen 32, dvs. 4.294.967.296 adresser. Men som bekant så har jorden redan nu 6.700.000.000 innevånare, så dedär numrorna räcker inte ens åt var och en. Därmed är inte de globala IP-administratörerna vide RIPE inte alls intresserade av tanken att var och en skall har rätt till en IP.

Och värre blir det när var och en har mer en apparat som behöver var sin adress. I vår familj har vi 5 datorer, 2 SIP-telefoner, 1 näthårdskiva, 1 UPS, för att inte tala om routern... och dendär Maxivision burken. Någon kan ju säga att vi har dedär grejorna för att jag bedriver forskning på området. Men så är det inte för jag har ju dessutom brandlarm, videokonferensmaskiner, olika små fjärrstyrda aggregat som jag använder för dylika ändamål. Tror nog tvärtom att medborgarna mycket snart har en mängd apparater som måste kunna kommunicera samtidigt på internet.

För att lösa dylika problem gick internetgemenskapen någon gång i början av 90-talet in för ett system som kallas Dynamic Host Configuration Protocol eller DHCP helt kort. DHCP är en tjänst som automatiskt delar ut IP-adresser an efter som de behövs. Det behändiga med tjänsten är att den vid behov samtidigt förser maskinen med annan information, såsom den så kallade IP-masken och gateway värdet etc.

Det är denna tjänst som Maxivision-burken ville att jag skulle ha. Och jag som tänkt att när världen småningom övergår till IP6, så har vi så många addresser till vårt förfogande att så gott som varje föremål kan ha en adress. Så därför har jag inte brytt mig om att sätta upp en DHCP tjänst. Men nu behöver vi alltså en sådan.

Vårt forum kommer i framtiden att alltmer likna en levande encyklopedi, ett uppslagsverk där optofiberbyggare kommer att hitta lösningar på varje problem som man kan råka ut för. Så istället för ringa till min kompis för att fråga vad det billigaste, enklaste och bäst fungerande sättet är att sätta upp en DHCP tjänst, så riktar jag frågan till er, mina kunniga kolleger med tanken på att vi kunde på ett planerat sätt skriva alla dessa viktiga artiklar.

Det allra enklaste är att stoppa in en billig router mellan Internet och ert inre nät. De har nuförtiden DHCP allihopa så det är bara att sätta i stöpslarna och tuta och köra. NAT sköter om konverteringen mellan inre och yttre IP-adresser.

Men om du vill ha vissa burkar kopplade till globala IP-adresser så måste du använda DMZ-funktionen som släpper igenom ALLTING - MEN den fungerar bara för en IP-adress i de billiga routrarna.

Nu finns det dock litet dyrare routrar med s.k. One-to-one-NAT där du kan koppla ALLA inre IP-adresser till lika många globala IP-adresser. Vi har en sådan i vårt nät, en Linksys RV042. Den kostar omkring 130 euro.

Det är all idé att ha en router till omvärlden i alla fall för då kommer ingen skurk in på era maskiner - de ser bara routern utifrån (och de maskiner som är kopplade till yttre IP-adresser). Det är inte alls bra att alla burkar där hemma har globala IP-adresser.

En router har numera också enkla brandmurstjänster som SPI och DoS-skydd.

Men köp INTE de billiga ADSL-routrarna ! De är för långsamma. Vi har använt Zonet som är snabba men de har dålig kvalitet (30 % måste kasseras) så nu har vi gått över till Dlinks DIR-100. Jag använder dessutom DIR-655 som har Gigabits switch och 300 Mbit/s trådlöst WLAN. De kostar 30 resp. 125 euro på multitronic.fi (i Vasa).

IPv4-adresser är en bristvara. IPv6 kommer - sen. Vi lever nu.

Grundprincipen är väl den som Nisse beskriver. Inte mitt område men här några synpunkter.

- Försök snåla på dina publika IP-adresser.

- Använd tex. sådana protokoll som också har andra sätt att identifiera mottagaren, typ http genom en URL. Man kan ju som bekant skicka olika http-adresser till samma IP-adress. Webservern skiljer sedan dem åt så de hamnar rätt.

- Måste du använda IP-adress - kör in trafiken via olika portar, ex. 192.168.0.110:22000 och 192.168.0.110:23000.
Observera att många firmor brukar stoppa trafik mot okända portar.

- Tag en proxy i bruk som analyserar trafiken och styr den enligt önskemål. Lite som en DMZ, men med fiffigare styrmöjligheter.

- Kryptering kan ställa till det. Observera att tex. https-trafik har mottagar-URL:en krypterad och kan således inte analyseras på vanligt sätt. Brukar leda till att man är tvungen att reservera en IP-adress bara för den trafiken. Man kan i allmänhet inte köra in flera webbadresser på port 443 men på okrypterad port 80 går det bra.

- Låt inte DHCP-servern dela ut alla adresser i intervallet. Reservera ett område för fasta IP:n. Varje server bör tex. ha fast intern IP.

- Var inte rädd att använda dynamiska IP:n på Internet. Använd en dynamisk namnserver som byter IP efter behov. Så funkar tex. vårt forum. ADSL-modemet ställs in på dynamisk DNS och så är det igång.
På dethär sättet undviker man problem då IP:nummern av nån anledning plötsligt ändrar för din tjänst. (Se http://dyndns.org )

Varning! Har du två dynDNS-burkar inställda på samma adress (i tex. ett reservsystem) så se till att de INTE står påslagna samtidigt. Annars spelar de ping-pong med din IP. Som i somras på vårt forum.

Och man måste se till att det INTE finns två DHCP-servrar i samma nät !

Och man måste se till att det INTE finns två DHCP-servrar i samma nät !

Så hur upptäcker man om det finns a) ingen, b) en eller c) flere DHCP-servrar på nätet? Jag kan tänka mig att det går att ringa till operatorns rådgivning, men deras svar brukar inte vara särskilt pålitliga. Och hur skall jag ringa om inte IP-telefonen har fått sin adress av DHCP-servern.

Det finns sniffare som söker efter DHCP-servrar.

Har man ingen sniffare kan man koppla på sin egen DHCP-klient och be om en IP. Får du en IP så har du bara en DHCP-server i nätet. Annars hade det inte funkat.

Det ligger på nätadministratörens ansvar att nätet du ansluter till har bara en DHCP. Egentligen startar inte ens flera servrar upp eftersom de först kollar att de är ensamma. (Så är det på Windows, men på tex. en brandvägg är det kasnke annorlunda)

Det ligger på nätadministratörens ansvar att nätet du ansluter till har bara en DHCP.

Några dumma frågor (var det inte så som uttrycket lydde?):

- Kanhända, men var står dethär?
- Avser du faktiskt nätadministratören eller nätoperatören?
- Om det är ett ansvar, så kan man rentav kräva att nätadministratören skall starta upp en DHCP-tjänst?
- Och vad händer om någon annan trots allt hittar på att starta upp en annan DHCP-server?
- Har vi ett antal IP-numror till mitt förfogande, så undrar jag om vi inte i så fall kan distribuera dem till våra klientmaskiner genom DHCP, trots att operatorn har en DHCP server?
- När du säger att Windows servern inte startar upp om den inte är ensam, så avser du säkert Windows DHCP servern, eller hur?

Några dumma frågor (var det inte så som uttrycket lydde?):

Den som inget frågar får inte heller veta något. Frågor är inte dumma!

- Kanhända, men var står dethär?

En DHCP, står mellan öronen på mig. Om vi talar om ett enkelt system så har det inte subnät (skilda avdelningar inom nätet).
I det fallet har man bara en DHCP. Men man kan fundera på att säkerställa den tjänsten på nåt sätt. Tänk om DHCP-servern faller och folk inte får IP-nummer. Då står det nätet stilla.

I princip kan man ha flera DHCP-servrar men dom kan inte dela ut samma IP-adresser.

Kom ihåg att DHCP i grunden är ett mycket enkelt verktyg som hjälper administratörern att dela ut IP-adresser. Alternativet är att dela ut fasta, dvs. statiska, adresser. I ett litet nät på några tiotal PC:n kan det tom. vara enklast så. Men den som har många PC:n att hålla reda på gör nog klokt i att automatisera den processen mha. DHCP.



- Avser du faktiskt nätadministratören eller nätoperatören?
- Om det är ett ansvar, så kan man rentav kräva att nätadministratören skall starta upp en DHCP-tjänst?
- Och vad händer om någon annan trots allt hittar på att starta upp en annan DHCP-server?
- Har vi ett antal IP-numror till mitt förfogande, så undrar jag om vi inte i så fall kan distribuera dem till våra klientmaskiner genom DHCP, trots att operatorn har en DHCP server?
- När du säger att Windows servern inte startar upp om den inte är ensam, så avser du säkert Windows DHCP servern, eller hur?


Fortsättning följer då jag har tid att skirva....

Ett vanligt problem är att folk kopplar in sin router till nätet på LAN-sidan i stället för WAN-sidan. Och då de flesta har DHCP påkopplad så har vi bums TVÅ DHCP-servrar på nätet ! Då gäller det att hitta den felaktigt inkopplade routern ...

Därför har vi en OVANLIG adressrymd i vårt lokalnät. De flesta routrar har 192.168.0.x eller 192.168.1.x så vi har satt 192.168.100.x.

Guje: Alternativet är att dela ut fasta, dvs. statiska, adresser. I ett litet nät på några tiotal PC:n kan det tom. vara enklast så.

Det var ju här vi körde på grund. Vårt nät var uppbyggt på tanken att varje dator och burk har en fast ip, som vi generöst delar ut åt alla som vill ha en. Så har vi några burkar som delar på ip men som använder olika portar. Men så började vi använda en burk (i detta fall Maxivisions nät-TV) som förutsatte att vi har en DHCP-server i nätet och några IP-numror att dela ut åt dem som behöver. Det var bara omöjligt att skriva en IP-address i deras burk. Dålig tjänst när den inte klarar av våra behov, men det kan jag inte göra något åt.

Nisse: ... då de flesta har DHCP påkopplad så har vi bums TVÅ DHCP-servrar på nätet ! Då gäller det att hitta den felaktigt inkopplade routern ...

Så egentligen har vi två problem som gör DHCP en ganska bräcklig tjänst. Dels verkar det som om det inte skulle finnas någon mekanism som hindrar att nätet saboteras genom att någon ondsint person sätter upp en extra DHCP-server. Dels verkar det trots alla DHCP-sniffare att vara ganska svårt att lokalisera den felaktigt inkopplade routern.

Detdär att "dela på IP" låter inte särskilt sunt...
Varje burk skall ha sin egen IP. Men kanske jag missförstår.

Maxivisions nät-TV antar säkert att den får jobba i eget subnät. Och i det nätet skall du ha en DHCP som förser TV-titt-burkarna med egna IP:n.

Ex.

Maxivision ansluter till omvärldens nät = 192.168.100.0
Maxivision får sin yttre IP via DHCP, tex. 192.168.100.2

Maxivision skapar ett eget nät på 10.10.10.*
Maxivision skickar alltså ut TV på nätet = 10.10.10.*
Maxivision har fast intern IP = 10.10.10.1

Om Maxivision saknar DHCP-server måste du sätta upp en sådan på annat håll i subnätet.
I vilket fall som helst skall DHCP-servern dela ut IP-nummer i 10.10.10.2 och uppåt området.
(eller så tilldelar du TV-klienterna IP nummer i 10.10.10.3, ...4, ... osv manuellt)

Klienterna skall använda Maxivision 10.10.10.1 som gateway.

pdonner: "...att nätet saboteras genom att någon ondsint person sätter upp en extra DHCP-server"

Det är just därför jag är mån om att nätoperatören måste kunna sin sak. Hushållen skall inte på något sätt kunna störa byns nättrafik. Oberoende av vad de kopplar in. Medvetet eller i misstag.

Därför är jag glad att staten har tagit upp dehär säkerhetsaspekterna i en arbetsgrupp som förbereder regler för hur nättjänster skall produceras.

Om Nisse stött på dehär DHCP-problemet i sitt byanät skulle jag nog rekommendera en översyn av burkarnas inställningar och funktioner.

Jag skulle ALLVARLIGT uppmana att INTE dela på en IP-adress ! Det är ganska farligt om inte nån expert kollar konfigurationen hela tiden.
'
Annars går det bra att ha både fasta och dynamiska IP-adresser. Så har vi i vårt nät. De flesta är fasta (insatta i routern) men vi har 10 dynamiska adresser också för tillfälliga uppkopplingar.

Vanligen är det inga problem alls med DHCP eftersom folk inte VÅGAR koppla in routern själva så jag gör det och sätter EN fast IP-adress per hushåll och sedan inåt huset får de köra med så många dynamiska adresser som de vill ...

Guje: Detdär att "dela på IP" låter inte särskilt sunt...
Nisse: Jag skulle ALLVARLIGT uppmana att INTE dela på en IP-adress ! Det är ganska farligt om inte nån expert kollar konfigurationen hela tiden.

Mycket riktigt. Det här är dock små burkar (Moxa NE-4110) som har bara ett par portar öppna. Det handlar om fjärrstyrning av serieport och 4 I/O linjer. Ingen utomstående kommer åt att ändra på konfigurationen. -- Låter det fortfarande osunt så bör man väl låta bli att göra såhär, utan gnälla efter en större IP-rymd (om det går att få några numror till).