UTM DHCP - Vendor Class and Options

Hallo zusammen,

 

wir versuchen aktuell unser Siemens Telefone mit einer SDLP-URL via DHCP zu füttern. Unter einem Windows 2008R2 DHCP Server läuft das ganze nach dieser Anleitung (http://wiki.unify.com/wiki/Configuring_the_DHCP_Server_for_DLS) ohne Probleme.

Wir möchten allerdings die Sophos UTM als DHCP Verwerden. Hier ist es mir bisher nicht gelungen eine neue Vendor Class zu erstellen. Es gibt zwar laut dieser Liste https://community.sophos.com/kb/en-us/123529 die Option 43 und 124 für Vendor Informations, allerdings werde ich aus der Art und Weise diese zu konfigurieren nicht schlaut.

VLAN ist in unserem Fall irrelevant, da der DHCP nur diese Netz beliefert und nur 1 VLAN in diesem Netz ist. Für die Scope Option hatte ich Server ausgewählt und das entsprechende Netz.

Leider komm ich von hier aus nicht weiter. Ich kann kann die Optionen (wie in der Windows DHCP Anleitung) leider nicht "taggen".

Theoretisch musste ich ja den HEX Wert mit einem Tag + Länge + Values versehen können. Also z.B 01 07 5369656d656e73 was den Tag 1 mit dem Wert "Siemens" entsprechen müsste.

Die Frage die sich stellt: Muss ein 2ter Tag direkt hintendran sprich 02: .... oder mache ichd a eine 2te Option mit Code 43 auf usw.?

 

Danke und Viele Grüße

roge

 

 

  • Hallo,

    schau die das mal an.

    http://wiki.unify.com/wiki/VLAN_ID_Discovery_over_DHCP

    Hier ist sehr schön erklärt, wie die werte für die Option 43 zusammengebastelt werden.

    Beispiel:
    There are three Tags, each with an explicit length value. List if tags is delimited by a ending ff

    • Tag 01 specifies the vendor (here: Siemens)
      • Tag: 01; Length: 07; Value: Siemens
    • Tag 02 specifies VLAN ID of Voice VLAN (here: 101)
      • Tag: 02; Length: 04; Value: 65 (Hex)
    • Tag 03 specifies IP address of DLS-Server (here: 93.122.114.96:18443)
      • Tag: 03; Length: 1a; Value: sdlp://93.122.114.96:18443 (Hex)
    • End of record
      • End: ff (Hex)

    Data VLAN ID: 0 (native VLAN)
    Voice VLAN ID: 101 (hex 65)
    DLS URL: sdlp://93.122.114.96:18443

    Tag Len Content (Example)
    01  07  5369656d656e73
    02  04  00000065
    03  1a  73646c703a2f2f39332E3132322E3131342E39363a3138343433
    ff
    
    ip dhcp pool de-msr-Data
       network 192.168.37.0 255.255.255.224
       default-router 192.168.37.1
       option 43 hex 0107.5369.656d.656e.7302.0400.0000.6503.1a73.646c.703a.2f2f.3933.2e31.3232.2e31.3134.2e39.363a.3138.3434.33ff
  • In reply to dirkkotte:

    und um den tag3 von ASCII nach HEX zu übersetzen braucht man dann nur noch eine ASCII tabelle.

    http://www.asciitable.com/

    s = 73
    d = 64
    l = 6c
    ....

    und wenn jemand daran keinen Spaß oder Angst vor Fehlern hat ...

    http://www.asciitohex.com/

  • In reply to dirkkotte:

    Das hatten wir ausprobiert, ohne Tag 2 weil das VLAN wie gesagt nicht relevant ist in unserem Netz. Hat aber leider nicht funktioniert. Die Frage die sich hier stellt, wie ist die korrekte Syntax für die UTM. Wie wird z.B. Tag 1 und Tag 3 getrennt? 2 Einträge mit der Option 43 in der UTM? Oder schreibt man alles in einen HEX Eintrag mit Option 43. Und ob das FF bei der UTM gebraucht wird konnte ich bisher auch nicht heraus finden.

  • In reply to roge:

    der HEX String von oben:

    0107.5369.656d.656e.7302.0400.0000.6503.1a73.646c.703a.2f2f.3933.2e31.3232.2e31.3134.2e39.363a.3138.3434.33ff
    teilt sich in tag1, Tag2 und Tag3 wie folgt
    0107.5369.656d.656e.73--02.0400.0000.65--03.1a73.646c.703a.2f2f.3933.2e31.3232.2e31.3134.2e39.363a.3138.3434.33ff
    das bedeutet:
    TAG1 7(*2)2Stellen -- TAG2 4(*2)2Stellen -- TAG3 16(*2)2Stellen

    wenn tag2 weg sollte, muß das folgender Maßen aussehen:
    0107.5369.656d.656e.73--03.1a73.646c.703a.2f2f.3933.2e31.3232.2e31.3134.2e39.363a.3138.3434.33ff
    also ohne mein Trennzeichen:
    0107.5369.656d.656e.7303.1a73.646c.703a.2f2f.3933.2e31.3232.2e31.3134.2e39.363a.3138.3434.33ff

    das ist zumindest die korrekte Syntax für die Übertragung.
    Wenn das Telefon aber aber TAG2 verlangt und sonst den ganzen String ignoriert ... muß man weitersuchen
  • In reply to dirkkotte:

    Ja das ist mir klar :) Mir gings um die Sytax im Options Feld der UTM. Laut Handbuch steht da folgendes:

     

    Hex: Enter the hexadecimal value to be submitted with this DHCP option to the DHCP client. Please note that you have to enter the groups of two hexa decimal digits separated by colons (e.g., 00:04:76:16:EA:62).

     

    Folglich müsste das dann 01:07:53:69: usw. sein. Das hat aber leider nicht geklappt.

  • In reply to roge:

    Hi nochmal,

     

    man sollte es kaum glauben, aber ich habe es hinbekommen und zwar unter Verwendung der Option 43. Allerdings sind die oben beschriebenen Wege der Hex Berechnung nur zur Hälfte korrekt für die UTM. Diese verwendet ja einen Linux DHCP was sich merklich von den Windows DHCP unterscheidet. Also mal geschaut wie die Optionen in Linux eingetragen werden und da bin ich auf diese Seite hier gestoßen:

     

    http://www.ingmarverheij.com/microsoft-vendor-specific-dhcp-options-explained-and-demystified/

     

    Hier wird alles super erklärt und ganz unten findet sich auch ein Tool von Igmar, mit welchem Strings erzeugt werden können. Hier fängt der Hex Wert prinzipiell  immer mit "2B:0A" an. Des weiteren gibt es einen Zeichentrennen nämlich "00" welche auch in der Länge berücksichtigt werden muss. Somit entsteht z.B. für einen Code 1 mit der Value = Siemens folgender HEX Wert:

    2B:0A:01:08:53:69:65:6D:65:6E:73:00

    Ansonsten ist der Aufbau gleich. Möchte man oben einen Tag 3 hinzufügen ginge es mit 03:Length:Value in Hex weiter.

     

    Ich hoffe ich konnte etwas Licht ins Dunkle bringen.

     

    Edit: Wie unten schon beschrieben funktioniert das ganze auch ohne 2B:0A

  • In reply to roge:

    Hi,

    bist Du mit der 2B:0A sicher?

    Hier die Option 43 bei uns in der UTM: 01:07:53:69:65:6d:65:6e:73:02:04:00:00:00:3C:03:19:73:64:6c:70:3a:2f:2f:31:39:32:2e:31:36:38:2e:36:30:2e:32:3a:31:38:34:34:33
    VLAN 60 und TK-IP 192.168.60.2

    Wichtig ist da nur, dass die Value 02 "vierstellig" sein muss.

  • In reply to ManuelAbeledo:

    Hi,

     

    also ich hab das gerade mal getestet. Es geht sowohl mit der 2B:0A also auch ohne. Keine Ahnung warum das Tool diese vorne dran stellt. Die Value 02 verwenden wir nicht, aber gut zu wissen, dass die 4 stellig sein muss :-)

     

    Danke und Grüße

  • Genau in dieser Situation war ich auch schon; für ein RED-Netz. Die Konfiguration in der Sophos war mir allerdings zu viel Hickhack. Ich habe das nach Anleitung auf einem Windowsserver eingerichtet und anschließend mit IP-Helper auf der Sophos eingerichtet.