Автоматизация сети: как настроить DHCP-сервер в Astra Linux и забыть о ручной настройке IP

[Johan_Palych]

Может стоит почитать этот док?
DHCP: служба isc-dhcp-server:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=27361760

[Admin_root]

Да, конечно можно прочесть там, я просто пишу свой опыт, а так же с какими ошибками сталкивался. Я все же в верю в то, что тут чуть понагляднее чем на сайте. Ну и вопросы могут задать.

[RomanKu]

При всем уважении, но статья уровня "как выйти из vim"

1. Как минимум есть неплохая документация (в родительском комментарии) с траблшутингом и пояснениями, было бы неплохо на нее сослаться, а так Вы просто скопировали оттуда нужные команды и вставили себе в формате "вставить вот это вот сюда"

2. При этом, в самой документации написано, что isc-dhcp-server устарел и будет удален в версии 1.8, поэтому пользуйте kea

3. Про ошибки что-то в статье как раз таки и не написано, это к первому пункту, что статья эта похожа на копипасту из локальной WiKi, где при известной топологии сети и версии ПО вместо Ansible просто написано, что надо прописать, чтобы настроить службу (тыкнуть носом в джуна, чтобы он настроил), но до туториала на хабре это таки не дотягивает

4. Не в минус статье, но в 25году использовать сеть 192.168.1.0/24 в корп. сегменте (а у вас же Астра) - ну такое, как и выдавать 8.8.8.8 в качестве ДНС сервера, правилтно написали в комментариях про dynamic DNS и в официальном мануале про это тоже написано.

Плюс за то, что учитесь более или менее нормальному сисадминству, но надо ли эти шаги выкладывать в интернеты (и за это минус)?

[wkon]

Наверно надо просто на Хабре рубрику завести "Мой первый опыт". Даже не знаю, стоит ли здесь ставить смайлик. В конце концов любая хорошая инициатива должна поощряться.

[surly]

А что не так с сетью 192.168.*.*? Какие нынче доминируют тенденции в адресации?

[RomanKu]

Ну это прям оффтопик, но если кратко, то,основные проблемы с VPN

1. в 99% случаях домашние роутеры выдают эту сеть и при подключении по VPN получаем конфликт адресов и сетей, в итоге удаленные сотрудники не могут нормально работать

2. Таки сеть класса А, например, 10.х.х.х.х проще нарезать на подсети, чем класса В (мы говорим про Астру и корп. сегмент, понятно, что в мелкой компании достаточно потребительского роутера с 1 общей сетью)

3. Некоторые VPN используют классовую маршрутизацию без возможности передать маршруты непосредственно в момент установления соединения, в итоге опять конфликты и невозможность получить доступ к некоторым подсетям компании, с если VPN подсеть выделить вида 10.10.10.X, то в этом случае маршрутизироваться на клиенте будет 10.х.х.х, а как я написал во 2м пункте - /8 проще нарезать, чем /16, в том числе, если у вас множество офисов.

Вывод: если маленькая сеть и нет потребности в удаленном подключении сотрудников, то без разницы какая сеть, но задать 192.168.0.0/24 или 192.168.1.0/24 -- верный способ получить себе кучу геморроя при подключении удаленных сотрудников (что ощутили на себе тысячи сисадминов в 20м году)

[surly]

Значит, если мы берём, например, 192.168.19.0/24 (т.е. третье число не 0 и не 1, а, скажем, 19, как в моём примере) — то мы избавляемся от большинства потенциальных конфликтов и проблем?

[RomanKu]

в целом, да, для мелких сетей этого хватит.

[igrblkv]

Я бы не стал выбирать 0, 1, 2, 8 и 88 как минимум.
И 10.10.10.х, например, мне припоминается у какого-то производителя по-дефолту.
Получается, если глубоко копнуть, можно и в 172.х.х.х найти у кого-нибудь по-умолчанию.

[RomanKu]

Подсети использует докер 172.x.x.x

А так да, я за подход 10.AA.BB.CC, где

• AA - рандомная сеть предприятия, 10, 88 пропускаем, дальше назначаем случайную или на уровень предприятия или большого сегмента. тогда есть вероятность, что 2 разных предприятния и домашняя сеть будут иметь разные подсети.

• BB - крупное деление с округлением на подсети, например, 0 - локалка офиса илидепортамента, 12 - гостевая сеть, 254 - VPN? почему с округлением? чтобы можно было выделять не только /24, но и /23 или /22, можно BB поделить на /20, чтобы раздать разным филиалам, а они уже делят на /22

• CC - до NN статика, больше NN - динамика

Это позволяет создать более или менее вменяемую топологию. без конфликтов.

192.168.{0/1}.x/24 с вероятностью 99% приведет к проблемам при масштабировании сети или же подключению VPN

[TerAnYu]

Интересно, сколько ещё будут мучать труп isc-dhcp-server и упорно не переходить на kea?
Такие же свидетели как и chan_sip которые против pjsip (в Asterisk)....

[wkon]

А вот если бы не автор, то я бы и не знал, что уже пора переходить на KEA. Сидел бы дальше в своей дремучести 😏

[JayDee89]

Isc-dhcp? Серьезно? Я понимаю конечно, что я не гуру сетей, а просто самоучка, но, заголовок несколько меня смущает, использовать сервис, у которого уже 3ий год отсутствует поддержка и разработка. Чем не устраивает KEA-dhcp

[maisvendoo]

Весь астралинукс - набор древностей, собранных в дистрибутив с нарушениями свободных лицензий. Не стоит ни минуты удаленного времени. Достаточно нормальных линуксов. Вполне

[unreal_undead2]

Насколько понимаю, в некоторых организациях нельзя просто поставить любой "нормальный линукс".

[randomsimplenumber]

А что есть в kea DHCP из того, чего нет в ics DHCP?

[voidstrx]

Мда... DHCP без ddns-updates. Если у тебя есть лицензия на серверную астру, то уже нужно смотреть в сторону FreeIPA.

[vviz]

С нетерпением жду статей уровня - сумма углов в треугольнике равна...