Клиенты получают неверные настройки (IP-адреса) по DHCP

DHCP является сетевым сервером, который автоматически обеспечивает и назначает IP-адрес, шлюзы и другие сетевые параметры для клиентских устройств. Он полагается на стандартный протокол, известный как протокол конфигурации динамического хоста или DHCP, для ответа на широковещательные запросы пользователей.

Обзор DHCP Snooping

Во время процесса, в котором DHCP-клиент динамически получает IP-адрес, DHCP snooping анализирует и фильтрует DHCP-пакеты между клиентом и сервером. Правильная настройка DHCP snooping реализует фильтрацию несанкционированных серверов, предотвращая получение клиентами адресов, предоставленных несанкционированным сервером DHCP, и невозможность доступа к сети. DHCP snooping может использоваться, если атаки несанкционированного DHCP— сервера происходят в сети. Примеры сценариев в нижеследующем:

·       Используется Windows-сервер 2003 или 2008 для некоторых терминалов в сети и распределяются IP-адреса с помощью DHCP по умолчанию.

·       Некоторые интерфейсы на уровне доступа подключены к беспроводному маршрутизатору, который имеет возможность выделять IP-адреса с помощью DHCP.

Рекомендуется развернуть DHCP snooping на коммутаторе доступа. Управление интерфейсом является точным при развертывании DHCP snooping на коммутаторе ближе к ПК. Каждый интерфейс коммутатора должен быть подключен только к одному ПК. Если определенный интерфейс подключен к нескольким ПК через концентратор, атаки DHCP snooping, происходящие на концентраторе, не могут быть предотвращены, поскольку snooping-пакеты напрямую пересылаются между интерфейсами концентратора и не могут контролироваться посредством DHCP snooping, развернутого на коммутаторе доступа.

Как управлять вашим новым Windows Server DHCP

Подобно установке, управление DHCP сервером Windows Server 2008 так же очень легко. Необходимо вернуться в Windows Server 2008 Server Manager, затем Roles, и нажал на новую запись DHCP Server.

Как управлять вашим новым Windows Server DHCP

Хотя я не могу управлять областью DHCP сервера и клиентам отсюда, я имею возможность управлять событиями, службами и ресурсами имеющими отношениями к установке DHCP сервера. Однако здесь хорошее место для проверки статуса DHCP сервера и событий, произошедших с ним.

Для того чтобы действительно настроить DHCP сервер и увидеть клиентов, получивших IP адреса, необходимо перейти в оснастку MMC DHCP сервер. Чтобы сделать это, я перешел в Start → Administrative Tools → DHCP Server, примерно так:

Как управлять вашим новым Windows Server DHCP

Оснастка MMC предложит вам гораздо большее количество возможностей:

Читайте также:  Порядок отключения пуш-уведомлений Сбербанка

Оснастка DHCP Server MMC предлагает IPv4 & IPv6 DHCP Server которые включают все области, пулы, аренды, зарезервированные области, настройи областей, и настройки сервера.

Как управлять вашим новым Windows Server DHCP

Мы видем, что наш DHCP сервер настроен и работает, теперь не помешало бы потестировать его.

Сохранение и восстановление конфигурации DHCP.

После настройки всех необходимых параметров DHCP вам может понадобиться сохранить конфигурацию DHCP, чтобы затем ее можно было восстановить на сервере.

Для этого наберите в командной строке:

netsh dump dhcp >

Здесь — имя создаваемого сценария конфигурации.

Создав сценарий, вы можете восстановить конфигурацию, набрав:

netsh exec

Совет: эта методика позволяет идентично настроить другой сервер DHCP: просто скопируйте сценарий в папку целевого компьютера и выполните указанную команду.

Как настроить DHCP

По умолчанию служба DHCP на роутерах уже настроена. Достаточно подключить клиентское устройство через Wi-Fi или кабель и ему будет автоматически присвоен IP-адрес. Однако может возникнуть потребность изменить настройки DHCP, отключить или включить его. Рассмотрим настройку DHCP на примере роутера TP-link. Для других маршрутизаторов алгоритм будет точно такой же.

Заходим в веб-интерфейс роутера и в меню справа видим пункт «DHCP» и подпункт «Настройка DHCP». На открывшейся вкладке можно изменить параметры, прописанные по умолчанию. Также здесь можно включить или выключить службу DHCP.

Для службы DHCP должен быть задан диапазон используемых IP-адресов, которые вписываются в соответствующие поля. Начальный IP-адрес это соответственно первый адрес диапазона, а конечный IP-адрес — последний. По умолчанию диапазон IP указан с по Но можно прописать, например, с 10.1.1.1 по Можно вообще указать диапазон в пределах двух-трёх адресов, например, по количеству клиентских устройств.

Следующий обязательный пункт — срок действия адреса в минутах. Это время, на которое конкретный IP может присваиваться конкретному устройству. По его истечении IP может быть изменён или присвоен другому устройству.

Остальные пункты заполнять необязательно, DHCP сам укажет нужные параметры для клиентских устройств. Однако эти параметры при желании можно прописать вручную.

Основной шлюз это IP-адрес маршрутизатора — канал, по которому происходит обмен трафиком с интернетом. Обычно он указывается, если доступ в интернет осуществляется через точку доступа с другим адресом. Но если в вашей сети только один роутер и он подключён к интернету напрямую, прописывать здесь ничего не нужно.

Как настроить DHCP

Домен по умолчанию — это доменное имя вашей сети. В небольших сетях, где используется небольшое количество клиентских устройств, настраивать его не имеет смысла.

Предпочитаемый и альтернативный DNS-сервер обычно указываются провайдером. Но можно вписать сюда публичные DNS-сервера Google — 8.8.8.8 и 8.8.4.4. Это, например, помогает устранить неполадки с доступом к интернету — бывает, что DNS провайдера глючат, подключение есть, но страницы не открываются. Также это часто позволяет обойти блокировки доступа к определённым ресурсам, например, торрентам.

Читайте также:  Установка клиента WebDAV в Windows Server 2016

После внесения изменений нажмите кнопку «Сохранить», чтобы применить новые настройки.

Для того, чтобы ваша сеть начала работать с новыми параметрами, роутер необходимо перезагрузить.

Чтобы клиентские устройства могли подключиться к службе DHCP, в настройках сетевого подключения у них должен быть установлен параметр «Получить IP-адрес автоматически».

Диагностика на стороне клиента

Чтобы понять, что происходит, первым делом, конечно, следует проверить, подключён ли клиент физически к проводной или беспроводной сети. Если да, то самое время приступать к проверке сетевых настроек на устройстве клиента с помощью утилит ipconfig /all (в командной строке Windows), ifconfig или ip addr (в терминале Linux).

Вывод команд покажет текущий IP-адрес и другие настройки на сетевом адаптере (или всех адаптерах, если их несколько). При этом, если на сетевом адаптере нет корректного IP-адреса, возможных вариантов его настроек может быть немного. 

Вариант 1. Текущий IP-адрес имеет вид Х.Х

Скорее всего, на клиентской машине при этом установлена ОС Windows. Это значит, что клиенту действительно не удалось получить сетевые настройки, потому что DHCP-сервер не отвечал, и адрес был сгенерирован службой APIPA (Automatic Private IP Addressing) из диапазона – Если клиент — Linux-машина, адрес может принимать вид 0.0.0.0, либо отсутствовать в принципе.

Пожалуй, самое очевидное действие в такой ситуации — попытаться снова получить IP-адрес, отправив повторно DHCP-запрос, а заодно убедиться, что на устройстве запущен DHCP-клиент. Это можно сделать несколькими способами:

  • отключиться от сети на 10–30 секунд и подключиться снова; 
  • перезагрузить устройство; 
  • выполнить последовательно команды. В командной строке Windows: ipconfig /release, затем ipconfig /renew. В терминале Linux: dhclient -v -r, потом dhclient или dhcpcd -k, затем dhcpcd ().

При выводе каких-либо ошибок и/или предупреждений нужно в первую очередь их устранить — например если DHCP-клиент не запущен, сперва его необходимо включить. После этого нужно снова проверить настройки. Если результат остался прежним, проверьте работоспособность сетевого драйвера и стека протоколов TCP/IP в целом. Проще всего это сделать с помощью команды ping 127.0.0.1 (так называемая проверка внутренней обратной петли). Если в результате выполнения команды ответ от собственного сетевого адаптера получен, можно считать диагностику на стороне клиента завершённой и переходить к диагностике со стороны DHCP-сервера.

Вариант 2. Текущий IP-адрес не из диапазона – , но и не из того диапазона адресов, которые должен выдавать DHCP-сервер

Диагностика на стороне клиента

Как известно, чудес не бывает. Если настройки, которые получает клиент, не от доверенного DHCP-сервера в сети, значит, их раздаёт кто-то другой. Тот, кто случайно или специально подключил к сети DHCP-сервер со своей конфигурацией. Возможно, это обычный Wi-Fi-роутер, к которому кабель по ошибке подключили через один из LAN-портов. Тогда ваша задача — найти недоверенный DHCP-сервер и предотвратить такие попытки в будущем.

Здесь нужно вспомнить, как работает DHCP-протокол. Клиент отправляет широковещательный запрос (DHCPDISCOVER), который получат все DHCP-серверы в сети и отправят в ответ свои предложения IP-адреса (DHCPOFFER). При этом клиент примет первое полученное предложение (DHCPOFFER), скорее всего, от ближайшего DHCP-сервера, а остальные отклонит.

Читайте также:  Не удалось настроить обновление виндовс выполняется отмена

Очевидно, что предложение от доверенного DHCP-сервера приходит позже, скорее всего, потому, что он дальше от клиента. Для последующей диагностики на устройстве клиента нужно установить анализатор сетевого трафика (Wireshark или tcpdump), запустить его, отфильтровав трафик по типу протокола DHCP или портам 67–68, и посмотреть в DHCP-ответах IP и MAC адрес DHCP-сервера, который их отправляет: 

Дальше дело за малым. Во-первых, можно воспользоваться сервисом или аналогичным и по MAC-адресу определить производителя оборудования этого устройства. У Wireshark есть такая функция. Во-вторых, если есть управляемые коммутаторы в сети, найти по MAC, в какой порт какого коммутатора подключено это устройство. После нейтрализации недоверенного DHCP-сервера клиенту, скорее всего, удастся получить верные настройки. Для предотвращения таких инцидентов в будущем рекомендуется внедрить методы защиты от атак на DHCP на сетевом оборудовании.

Вариант 3. Текущий IP-адрес корректный, но доступа к интернету и другим сетевым ресурсам по-прежнему нет 

Если это так, то стоит вернуться к проверке не только самого IP-адреса, но и всех остальных настроек. И особенно к проверке маски, адреса шлюза по умолчанию и адресов DNS-серверов, так как именно через шлюз устройству предстоит связываться с другими сетями, а с помощью DNS-серверов — преобразовывать доменные имена в IP-адреса.

Следует помнить, что DHCP-сервер может раздавать настройки выборочно, а сам клиент может выборочно их применять. Например, только IP-адрес, маску и шлюз. Это скорее исключение, но в таком случае адреса DNS придётся прописать руками. Гораздо хуже, если настройки адресов DNS-серверов от DHCP-сервера игнорируются просто потому, что их переопределяет стороннее ПО или неверные статические настройки. Такое тоже бывает. 

Устройства FastIron

Все устройства FastIron могут быть настроены для работы с функциями серверов. DHCP представляет концепцию аренды по адресу и выделяет IP в течение определенного диапазона или может продлить срок аренды. DHCP обеспечивает больший контроль над распределением адресов. Эта функция имеет решающее значение, если имеется больше устройств, чем доступных адресов. В отличие от BOOTP, который имеет два вида сообщений, используемых для арендованных переговоров, DHCP — имеет семь.

Он выделяет временные или постоянные адреса для пользователей. Когда они арендуют адрес, сервер гарантирует не перераспределять его другому пользователю и попытается вернуть и будет сделан новый запрос. В некоторых средах может потребоваться переназначить адрес из-за исчерпания доступности пула. В этом случае механизм распределения повторно использует адреса с истекшим сроком аренды. DHCP-сервер по умолчанию отключен на всех устройствах FastIron.