Suche Switch mit Port-basierter IP Zuweisung (oder ähnliches)

  • Hallo und guten Morgen zusammen,

    ich habe es ja gestern kurz in der Shoutbox erwähnt...
    hier der zugehörige Aufbau...


    Die Geräte oben sollen an dem Switch immer die gleiche IP bekommen, ABER: die Geräte werden ausgetauscht (es kommen immer wieder neue Geräte dazu...)
    Sprich, die IP .2 z.B. muss an dem Switch Port IMMER die .2 bekommen, egal welches Gerät angeschlossen wird.
    Die Geräte können nur DHCP, KEINE feste IP.

    Dazu kommt, die Geräte müssen über den Switch und dem LTE Router ins Internet kommen können und natürlich mit dem Prüf-PC kommunizieren.

    An dem Switch ist auch der Prüf-PC angeschlossen.
    Dieser hat eine Hersteller-Software der man nur sagen kann, "Flashe/Prüfe mir die IP .2 .3 .4 usw"
    KEINE Möglichkeit die IP von dem Gerät irgendwie / irgendwo auszulesen.
    Ich muss quasi wissen, dass an dem Port diese IP ist, ohne es sonst wo auszulesen.

    Auch darf der Prüf-PC NICHT an den LTE Router / ins Internet kommen.
    Nur ins Firmen-Netz... er muss aber alle einzelnen zu prüfende Geräte erreichen können, sofern sie angeschlossen sind...

    Deshalb dachte ich, es gibt "managed" Switche, denen ich direkt sagen kann, Port 2 bekommt IP .2, Port 3 hat .3 usw...

    Wegen mir kann man das auch per VLAN lösen (falls das denn gehen würde, dann halt mit gefühlt 10 VLAN IDs oder so), die IPs sind komplett egal, also, ich muss an Port 2 nicht die IP .2 haben.
    Kann auch .42 sein, ich muss nur sicher sein, dass an Port 2 IMMER die .42 vergeben wird, egal welches Gerät.

    Hoffe einigermaßen verständlich was ich möchte, bzw. brauche... :)

    Aktuell wird das mit einem PC Gerät gelöst und Router, und die LAN Kabel umgesteckt...
    Dieser PC hat 10 kleinen DHCP Server (DHCPServ) mit 10 USB Netzwerkkarten laufen, mit geringer Lease-Time und nur einem Pool aus einer Adresse.
    Internet / Routing ist da leider nicht möglich bisher...


    Grüße
    Acid


    Edit:
    Alter Prüf-Aufbau:

  • Theoretisch hätte ich gesagt Port Based VLAN zu nutzen, aber ich glaube dann müssen die Clienten trotzdem noch manuell ihre IP zugewiesen bekommen, oder?

    Ansonsten könnte es damit klappen. Dann wäre nur weiterhin wichtig eine DHCP Lease Time von ein paar Sekunden nicht zu überschreiten und dürfte die Geräte niemals in einer anderen Reihenfolge anschließen, da die Reihenfolge dann die Vergabe der IP-Adresse widerspiegeln würde.

    Da ich aber keinen managebaren Switch hab kann ich es leider nicht testen.

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

  • Ganz ehrlich? Jedes zu prüfende Gerät vorab mit MAC Adresse Dokumentieren - somit hast du auf Dauer immer weniger Arbeit. Anhand dessen weißt du immer welches Gerät welche IP Gerade bekommen hat.
    Die Einzige Möglichkeit über die IP Adresse zu wissen an welchem Port das Gerät hängt ginge nur mittels VLANs und selbst dann gibt es durchaus noch Probleme.
    Der DHCP Verteilt nunmal anhand der MAC Adresse. Da wird dir so eine kurze Leasetime nichts bringen. Sobald ein Gerät auch nur etwas zu früh angeschlossen wird, in einer anderen Reihenfolge abgeklemmt oder schlicht einfach etwas träger ist, ist das System kapputt.

    Über VLAN Könntest du es Regeln - brauchst aber einen Routing Fähigen Switch bzw gleich ne Firewall / Firewall VM auf dem PrüfPC, der das Routing übernimmt. Somit kannst du ja jedem Port ein eigenes VLAN geben, aber irgendwer muss das Routing vornehmen. Und immer die gleiche End-IP Kann je nach Anwendungsfall auch nicht funktionieren. eine zu kurze Leasetime hat auch negative Folgen.

    Ich habe solche Aufgaben auch immer wieder und gehe Simpel den MAC Adressen Weg. Geringster Aufwand und sauberste Möglichkeit ohne Störeinflüsse usw. Und der 'Aufwand' die IP nachzusehen ist verschwindend gering, dafür wird gleich alles anständig dokumentiert.
    Noch einfach mit Unifi Switche da ich ja direkt seh welches Gerät wo angeschlossen ist :D

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Einmal editiert, zuletzt von noob_at_pc (16. September 2022 um 08:43)

  • Ich habe solche Aufgaben auch immer wieder und gehe Simpel den MAC Adressen Weg. Geringster Aufwand und sauberste Möglichkeit ohne Störeinflüsse usw.

    So wie ich ihn verstehe besteht aber das Problem darin, dass es niemals wiederkehrende MAC-Adressen geben wird.
    Zudem glaube ich verstanden zu haben, dass er weder IP, noch MAC aus den zu prüfenden Geräten ausgelesen werden können.

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

  • ja klar, wiederkehrende MAC Adresse wäre ja auch komisch :) geht eher drum die Gerät eindeutig zu identifizieren im Netz und sauber zu dokumentieren. Ich schau mir die MAC an und sehe dann im DHCP welche MAC welche IP bekommen hat. Aber so ein Gerät ohne MAC Adressen aufkleben? Ja gut, das kann es geben.
    Die Info kann dir aber der Switch geben - MAC Adresstabelle gibt's immer bei einem managed Switch

    Aber ohne das sind früher oder später Probleme da und die versuche ich einfach so weit wie möglich zu vermeiden.
    Selbst wenn er pro Port ein VLAN mit einem DHCP von 1 IP Adresse und Leasetime von ca. dem gesamten Vorgang gibt wie 10 Minuten - irgendwann wird ein Gerät auch nur eine milisekunde zu früh angeschlossen und bäm der DHCP ist voll Gerät bekommt keine IP. Nur eines der möglichen Probleme dabei. Alternativproblem - der Vorgang benötigt 3 Sekunden länger als die Leasetime und wenn das Endgerät dumm ist will es sich über DHCP eine neue IP Holen, hängt kurz und das während der Datenübertragung im Flashvorgang -> du hast Elektroschrott... Nur 2 von den bereits erfahrenen möglichen Problemen, wir können das gerne ausweiten :D
    Daher der einzig eindeutige Weg (für mich) mit möglichst wenig Störmöglichkeiten ist über die MAC Adresse, dann kann kein Fehler auftreten und ist die sauberste Art und Weise.

    Aber sicher nicht die einzige Lösung :)

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Einmal editiert, zuletzt von noob_at_pc (16. September 2022 um 09:20)

  • sicher, dass man das automatisieren kann.

    ich hätte für den Vorgang genommen:

    • Firewall der Wahl, kann auch als VM sein
    • managed Switch der per skript / API o.Ä. ansprechbar ist

    Pro Port 1 VLAN definieren
    DHCP leasezeit z.B. 1h reicht denke? je nach Vorgangsdauer mit außreichend nachlaufzeit einfach und mit gut und gerne 10-100 Adressen. Je nach Umfang halt
    DHCP macht die Firewall - über script kann man viele Firewalls ansprechen und die gewünschten Daten auslesen.

    ist halt Bastel, Skriptbauarbeit - je nach Aufwand / Menge lohnt sich das natürlich. Immer auslesen welche ist die neuste vergeben IP mit Zeitstempel damit man nochmal gegen prüfen kann ob es sich wirklich um das Gerät handeln kann oder es sich vlt noch garkeine IP gezogen hat :) Irgendetwas benötigt man halt um sicher zu gehen, dass das Gerät auch wirklich das ist was ich will.
    Zum perfektionieren kann man per Skript noch die MAC Adresse aus Switch sowie FW holen und vergleichen vom Zeitstempel her.

    Und die FW regelt dann auch zeitgleich den Verkehr über LTE Modem und das Routing zw. PrüfPC und VLANs der Geräte

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Sooo,
    habe mal den alten Vorgang / Aufbau im ersten Post ergänzt.


    Andere Möglichkeit / Idee wäre, wenn ich dem Windows - Prüf-PC routing beibringen könnte (oder eine Linux VM auf dem Windows PC per HyperV?)
    Aktuell werden die Netzwerkkabel der Geräte 1-10 dann getauscht nach dem Flashen, und an den Router gesteckt, damit die Internetverbindung kurz besteht.
    Dann wieder umgesteckt und anschließend geprüft... :D

  • Ist immer ein USB/Ethernet Adapter dazwischen?
    Wenn ja, müsste dann die erscheinende MAC Adresse nicht immer 1:1 die gleiche sein?

    Dann einfach den Adapter einem Port zuweisen, MAC Adresse einer IP zuweisen und das Thema wäre erledigt...oder denke ich nun zu einfach?

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

  • Jupp, an dem Windows Pc ist aktuell immer ein USB Ethernet Adapter dazwischen (der dann ja wegfallen soll, also, USB an PC, Ethernet an dem Gerät)

    Ich denke du hast es so verstanden, dass das zu prüfende Gerät den USB Adapter hat. Das hat aber Ethernet. Haben die USB Adapter aktuell nur, damit der Prüf Pc die 10 LAN Ports hat :)

  • Das sollte sich lösen lassen mit einer Firewall (z.B. OPNsense) und einem VLAN-fähigen Switch.

    Man erstellt 11 Subnetze mit jeweils unterschiedlichem Subnetzbereich in jeweils einem eigenen VLAN.
    10 Subnetze haben einen eigenen DHCP-Server mit extrem niedriger Lease-Time und nur einer einzigen Adresse im Adressraum.
    Für diese 10 Subnetze werden dann entsprechende Firewall-Regeln angelegt die einen Internetzugriff ermöglichen.
    Das 11. Subnetz ist das Steuerungs-Netz. In dem sitzt der Steuerungs-PC.
    Über entsprechende Routing-Regeln hat der PC Zugriff auf jedes VLAN und dort jeweils auf die eine IP die der DHCP-Server den zu flashenden Geräten vergibt.

    Auf deiner Grafik würde die Firewall dann zwischen LTE-Router und Switch hängen.

  • Das was du als Steuerungs-PC bezeichnest, wäre dann der Prüf-PC?

    Könnte man die Firewall dann auch z.B. in einer VM auf dem Prüf-PC laufen lassen?
    Oder bräuchte ich dazu ein weiteres Gerät? (wie du sagtest, zw. Router und Switch, notfalls ginge das bestimmt mittels raspi?)

    Und der DHCP Server, bzw. die (sind ja mehrere, wenn ich es richtig verstanden habe), würden dann auch auf dem Prüf-PC (oder ein oder mehrere extra Geräte) laufen?

  • Das was du als Steuerungs-PC bezeichnest, wäre dann der Prüf-PC?

    Ja genau den meinte ich.

    Könnte man die Firewall dann auch z.B. in einer VM auf dem Prüf-PC laufen lassen?

    Ja, das geht auch. Hab OPNsense selbst in einer VM laufen hier.

    Musst nur gut aufpassen dass die Netzwerkkarten dann den richtigen Schnittstellen zugewiesen sind.


    Und der DHCP Server, bzw. die (sind ja mehrere, wenn ich es richtig verstanden habe), würden dann auch auf dem Prüf-PC (oder ein oder mehrere extra Geräte) laufen?

    Die DHCP-Server sind einfach ein Dienst der auf der OPNsense läuft und die du für jedes Subnetz/VLAN einzeln konfigurieren kannst.


    in der Praxis hättest du dann z.B. die Subnetze 172.16.101.1/30 bis 172.16.110.1/30 für die zu flashenden Geräte.
    Die xxx.xxx.xxx.1 ist jeweils das Gateway und zugleich die Schnittstellenadresse auf der OPNsense. Der DHCP-Server im jeweiligen Subnetz vergibt jeweils die xxx.xxx.xxx.2

    Am Switch ist dann Port 1 VLAN101 zugewiesen und das angeschlossene Gerät erhält immer die 172.16.101.2. Bei Port 2 im VLAN102 immer die 172.16.102.2. usw.
    Am letzten Port hängt der Prüf-PC in seinem eigenen VLAN.

  • Das Problem mit den VLANs ist aber, dass du dann auch routen musst und je nach dem was auf den Geräten läuft, kann das problematisch werden (Broadcast, Multicast, mDNS, etc.).

    Ist denn schon Hardware vorhanden? Mit Cisco Switches lässt sich das umsetzen, dort heißt das Ganze "DHCP Server Port-Based Address Allocation". Geht soweit ich weiß aber nur mit den IOS Switches also nicht mit den günstigeren.

  • Das Problem mit den VLANs ist aber, dass du dann auch routen musst und je nach dem was auf den Geräten läuft, kann das problematisch werden (Broadcast, Multicast, mDNS, etc.).

    Das lässt sich bei Bedarf mit OPNsense ebenfalls regeln.
    Entweder durch entsprechende Firewall-Regeln, Port-Forwarding, oder Plugins wie dem mDNS-Repeater oder ubpbroadcastrelay.


    ein günstiger tp Link switch (Managed, glaube sg1016de) von nem Kollegen

    Mit dem sollte das Vorhaben so wie beschrieben funktionieren. Außer VLAN-Fähigkeit (802.1q) werden da keine besonderen Funktionen benötigt.

  • Klar geht das alles, muss aber auch alles konfiguriert werden etc., also braucht es jemanden der Ahnung davon hat.

    Da gebe ich dir recht. Allerdings trifft das wohl auf alle möglichen Lösungsansätze zu. Bei einer Aufgabenstellung wie dieser ist nun mal naturgemäß ein etwas komplexerer Weg sowie etwas Know-How erforderlich.
    Die DHCP Server Port-Based Address Allocation ist sicher auch eine elegante Lösung. Setzt aber auch entsprechende Hardware sowie die Kenntnis davon diese zu bedienen voraus.

    Vorteil bei der OPNsense-Variante wäre halt dass es ohne zusätzliche Hardware oder Lizenzkosten auskäme, und gleichzeitig die Anforderung wer in welchem Umfang Zugriff aufs Internet hat und wer nicht mit abdecken würde.
    Aber gibt natürlich auch andere Wege das umzusetzen. Bzw. falls kein Know-How vorhanden ist oder keine Bereitschaft oder Zeit sich das anzueignen lässt sich das Prinzip sicher auch mit anderen Firewall-Lösungen umsetzen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!