DHCP Relay en Windows Server 2012 R2

    A la hora de montar la infraestructura de una empresa, debemos tener muy en cuenta, entre otras muchas cosas, la arquitectura de red. Para poder llegar a unos niveles de seguridad, fiabilidad y servicio aceptables uno de los pasos es la segmentación de la red. Para llevar a cabo la segmentación de esta, normalmente, hacemos uso de Vlan´s, DMZ, etcétera.

     Todo esto conlleva que tengamos que hacer uso de dispositivos capaces de enrutar, para poder establecer comunicación entre nuestras subredes, garantizando asi el acceso de los clientes a los servicios.

     En el próximo post veremos cómo asignar direcciones desde un solo dhcp a todas las vlan´s, haciendo que este asigne una dirección correspondiente al rango de la vlan en la que se encuentre cada cliente.

     Pero para poder configurar esto, primero, debemos poder tener el servidor dhcp accesible desde cualquier segmento de nuestra infraestructura de red, para lo cual montaremos un relay para DHCP.

     Pongámonos en situación, cuando conectamos un dispositivo con dhcp habilitado a una red, este emite un broadcast para descubrir quien oferta el servicio dhcp y poder solicitar una dirección. El problema, nos lo encontramos cuando entre el cliente y el servidor tenemos dispositivos de capa 3, ya sea un simple router, un switch con funcionalidad de capa 3 o un servidor con el servicio RRAS levantado, ya que estos dispositivos al trabajar direccionando segmentos de red diferentes, también contienen e impiden la propagación de broadcast entre estos. Debido a esto el cliente nunca recibirá respuesta de un DHCP que se encuentre ubicado en otro segmento de red.

     Para dar solución a estos casos podemos hacer uso de una de las funciones que podemos encontrar dentro del rol de acceso remoto en Windows server 2012. Haciendo que nuestro dispositivo de capa 3, en este caso será un servidor con el servicio de enrutamiento y acceso remoto levantado sea capaz de retransmitir las peticiones que le llegan a la interfaz correspondiente al segmento 1 y reenviarlas al servidor DHCP.

clip_image002

     Para ello vamos a configurar nuestro DHCP Relay desde cero, para lo cual desde el administrador del servidor, accedemos a agregar roles y características e instalamos el rol de acceso remoto.

clip_image004

     En los servicios de rol elegimos enrutamiento, este también nos activara la instalación correspondiente a DirectAccess y VPN.

clip_image006

     Una vez instalado el rol, accedemos al panel de configuración de enrutamiento y acceso remoto y con botón derecho sobre el servidor procedemos a configurarlo mediante el asistente. Podeis seleccionar cualquiera de las opciones dependiendo de vuestros requerimientos, por ahora solo voy a explicar cómo configurar el relay, para lo cual usaremos configuración personalizada.

clip_image007

     Tras esto seleccionaremos la opción enrutamiento LAN, ya que lo que vamos a hacer es enrutar peticiones dentro de nuestra red local.

clip_image008

     Una vez tengamos ya configurado el servidor, desplegamos IPv4 y con botón derecho seleccionamos Nuevo protocolo de enrutamiento y dentro de este DHCP Relay Agent.

clip_image009

     El siguiente paso es decirle las dirección/es de los servidores dhcp a los que se desea mandar las solicitudes, dado que el agente cogerá la solicitud que le llega por el broadcast iniciado en el cliente y la retransmitirá al segmento correspondiente pero no como broadcast, si no como un tráfico unicast dirigido exclusivamente a los servidores que nosotros deseemos.

clip_image010

     Nos aparecerá en el desplegable correspondiente a IPv4 nuestro agente de retransmisión. Ya solo nos queda decirle en que interfaz recibirá las peticiones DHCP, para ello botón derecho sobre Agente de retransmisión DHCP y seleccionamos nueva interfaz. Aquí aparecerán todas las interfaces de las que disponga el servidor y, cuidado, debemos seleccionar cual escucha las peticiones y nunca por cual deseamos que se reenvíen, de eso se encarga el agente. Básicamente deberemos generar una interfaz nueva para el agente por segmento de red desde el que deseamos redireccionar peticiones.

clip_image011

     Con esto ya tendremos funcionando nuestro agente, reenviando las solicitudes a nuestro DHCP desde cualquier segmento.

     Podéis ver las estadísticas desde el propio agente, ordenadas por la interfaz desde la que se recibe la solicitud DHCP.

08

     Espero os sea de ayuda la información y en el próximo post veremos cómo asignar desde un solo DHCP direccionamiento a todas nuestras Vlan´s, haciendo uso de un DHCP Relay.

10 comments

  1. Fran dice:

    Cojonudo Sergio, seguro que muchos agradeceran este tipo de informacion.

    un saludo viejo amigo.

  2. […] Ya hable un poquito de la segmentación de redes en el post anterior sobre cómo realizar un relay dhcp, ahora vamos a ver como configurar ese dhcp para que acepte las peticiones que le reenvía el relay […]

  3. […]     Ya hable un poquito de la segmentación de redes en el post anterior sobre cómo realizar un relay dhcp, ahora vamos a ver como configurar ese dhcp para que acepte las peticiones que le reenvía el relay […]

  4. […]    Hasta la fecha, hemos visto como configurar un relay dhcp y la configuración de  nuestro dhcp para asignar direccionamiento a los distintos dispositivos […]

  5. Javier dice:

    Muchas gracias Sergio! esta información esta genial.

    Espero que me puedas ayudar con una duda: en mi empresa tenemos windows server 2012 r2 y tenemos el fw dando dhcp a 4 sedes del rango 192.168.1.0.

    El caso es que se nos ha quedado pequeño las 254 ips para las 4 sedes ya que ahora tenemos un montón de dispositivos colgando y la VPN etc…

    En las 4 sedes hay switch de nivel 2 (no pueden enrutar), mi duda es si podemos crear wlans y que el DHCP de windows asigne para cada una de las sedes un rango (desactivando el DHCP de fw):
    192.168.1.0.
    192.168.2.0.
    192.168.3.0.
    192.168.4.0.
    Y el rango 3 sea para VPN’s que de DHCP el server de windows que solo puedan acceder al rango 192.168.4.0.

    ¿se puede con el DHCP de windows? ¿alguna sugerencia/recomendación?

    Gracias!!!

    • Sergio San Roman Moreno dice:

      Gracias Javier.
      Es posible crear vlan´s en switch´s de capa 2, y asignar rangos por sede, pero una vlan solo puede tener un direccionamiento asignado, por lo que cada sede tendría una única vlan y un único direccionamiento en el caso que me planteas. Ya cada sede estaría en un segmento de red, para que las sedes puedan verse entre si, ya que corresponden a segmentos diferentes, si que es necesario un dispositivo que enrute. Desconozco la arquitectura de conexión que tenéis entre las sedes, pero supongo, que será a través de un servicio tipo macrolan desde vuestro ISP o mediante tuneles vpn, de cualquiera de los modos salís hacia vuestro ISP, por lo que tendréis un router con ese fin y con el cual podréis enrutar, ya que por sede solo necesitareis un segmento de red. También podéis hacer uso del servicio de enrutamiento y acceso remoto de Windows server para enrutar.

      El rango de vpn depende del segmento de red hacia el cual se realice la conexión, puedes usar el NAT para redirigir las peticiones hacia el rango que comentas, pero para ello deberías tener ese rango en todas las sedes, es mas, los servicios a los que desees acceder por el rango vpn deben estar en el mismo segmento de red, en caso contrario, también seria necesario un dispositivo capaz de enrutar para que los clientes en el rango vpn sean capaces de acceder a los servicios del resto de segmentos.

      Con la información que tengo poco mas puedo aconsejarte, si quieres puedes ponerte en contacto conmigo, puedes contactar conmigo via linkedin desde el link.

      https://www.linkedin.com/pub/sergio-san-rom%C3%A1n-moreno/68/129/58b

  6. Jose Eduardo dice:

    ¿La configuración de dhcp relay se le hace al servidor dhcp no? ¿Con el rol de enrutamiento lo unico que indica es que necesitará pasar por un dispositivo de capa 3 para poder dar y escuchar peticiones no?

    • Sergio San Roman Moreno dice:

      Buenos dias Jose, la configuración del relay debe hacerse en el dispositivo que tenga que reenviar las tramas al dhcp, puede ser un servidor con RRAS, un router o un switch de capa 3.
      Como explico en el post, el protocolo dhcp funciona de la siguiente manera, cuando se conecta un cliente nuevo a la red, este emite un broadcast dhcp discovery, con la intención de descubrir un servidor dhcp que responda a su petición de direccionamiento, si el cliente y el servidor se encuentran en diferentes segmentos de red, nunca se establecera la comunicacion, ya que tanto cliente como servidor se encuentran en diferentes dominios de broadcast.
      La solucion, es hacer que ese broadcast sea redirigido como trafico unicast al servidor dhcp, ese es el trabajo que hace el Relay DHCP, por lo tanto dicho relay tiene que ser configurado en el dispositivo que enruta los diferentes segmentos de red, ya que a su vez es el mismo que segmenta los dominios de broadcas.
      Una vez configurado el Relay en el dispositivo, este escuchara las peticiones para el puerto asignado al protocolo DHCP. Cuando llegue un broadcast con una peticion dhcp la reenviara como trafico unicast al servidor que hallamos configurando, haciendo asi posible que la peticion dhcp sea enrutada hacia el servidor correspondiente, y el servidor contestara al cliente pudiendo proporcionar asi un direccionamiento valido para el cliente.
      Espero quede aclarada tu duda, saludos y si necesitas mas informacion puedes contactar conmigo desde aqui:

      http://es.linkedin.com/pub/sergio-san-román-moreno/68/129/58b/es

  7. You actually make it seem so easy along with your presentation however I find this matter to be really something that I feel I would never understand. It kind of feels too complicated and very broad for me. I’m looking forward on your subsequent publish, Il try to get the cling of it!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *