FritzBox und PXE

Der DHCP-Dienst der Fritzbox ist leider ziemlich inflexibel. Da man ihm keine DHCP-Optionen mitgeben kann, bekommt man auch kein PXE gebaut.

Aber das PXE-ROM hat ein nettes Feature: es redet auch mit zwei DHCP-Servern. Von dem einem Server holt er sich den IP-Kram, von dem anderen DHCP-Server die PXE-Optionen.

Beschrieben wird das alles in der PXE-Spec im Kapitel 2.2.3 (Proxy-DHCP).

Wer also eine Fritzbox hat, installiert sich auf einem Linux-Rechner einen dnsmasq und lässt diesen nur die PXE-DHCP-Optionen verteilen und fertig ist der PXE-Server für zu hause.

/etc/dnsmasq.conf


log-dhcp
conf-dir=/etc/dnsmasq.d
port=0
enable-tftp
tftp-root=/tftpboot
dhcp-no-override
dhcp-range=192.168.0.100,proxy
pxe-service=X86PC,     „Legacy Netzwerkboot“, /tftpboot/pxelinux
pxe-service=X86-64_EFI,“EFI Netzwerkboot“,    /tftpboot/pxelinu
x

Dafür muss man in der dnsmasq.conf alles mögliche abschalten (port=0, leerer range, …) und den PXE-Kram anschalten.

IPV6 mit UCS und Synology

Die Synologys sind recht empfindlich was IPV6 angeht.

Sind im Netzwerk nur die Link Local Adressen aktiv, kann das NAS nicht mit dem UCS reden. Das scheint mir den RFCs nach korrekt zu sein, die QNAPs scheint das aber nicht zu kratzen.

Die Link Local Adressen sind nicht wirklich zur Kommunikation im LAN gedacht. Dafür sollte ein zusätzlicher Adressraum angelegt werden.

Das geht im Router (Fritzbox) los:

Am einfachsten ist es einen Unique Local Bereich anzulegen. Wer nicht selber rechnen will, kann den Generator von Sixxs benutzen.

Dem UCS muss man etwas auf die Sprünge helfen und ihm alle seine Adressen extra eintragen.

Besonders wichtig ist der Default-Eintrag. Die Namen der Bereiche haben nur dokumentarischen Charakter. Bis auf eine Ausnahme (die gut in der Doku vergraben ist), ist der Name default, benutzt der UCS diese Adresse für ausgehende Verbindungen, ansonsten scheint er die Link Local Adresse zu benutzen, was nicht funktioniert.

Da mein UCS eine zweite Schnittstelle hat (das Tunnel-Interface vom OpenVPN) müsste man vermutlich überall eine Scope-Angabe reinbasteln, damit Link Local noch funktioniert. Das macht aber weder Spaß, noch kann die GUI das.

Außerdem besteht das Synology darauf, den ganzen Krams auch im DNS zu finden.

Synology und der Univention Corporate Server

Auch die Synology NAS-Geräte lassen sich an den UCS anbinden. Aber sie haben die gleiche Macke wie die QNAP-Geräte, denn der LDAP-Port lässt sich nicht ändern.

Also müssen auch die Synology-Geräte über das Active Directory des Samba 4 angebunden werden.

Dafür ist die Anbindung total simpel: AD-Name, DNS des AD und der Domain-Admin-Benutzer eingeben und fertig.

Richtig in den Fuß schießen kann man sich dafür beim IPV6 der Synology-Geräte, aber dazu später mehr.

QNAP und Univention Corporate Server

Da wollte ich ein QNAP-NAS an den UCS anbinden: Frust.

  • LDAP
    Bei Unix an Unix anbinden liegt ja LDAP nahe, das geht aber leider nicht. Der UCS hat seinen LDAP auf Port 7389 laufen. QNAP OS macht LDAP-Anfragen jedoch nur auf dem Standard-Port 389, da läuft auf dem UCS aber der Samba. Den Port auf dem QNAP ändern geht nicht; das wurde mir vom QNAP-Support auch bestätigt. Also kein Glück mit LDAP.
  • Active Directory Quick Configuration Wizard
    Der QNAP Wizard generiert einen kaputten Hostnamen (hostname.hostname.domain.tld), was natürlich schief geht. Klappt also auch nicht.
  • Active Directory Manual Configuration
    Geht 🙂

Univention Corporate Server redet nicht mit meinen Clients

Da RedHats FreeIPA mich immer noch nicht wirklich überzeugt, habe ich den UCS mal wieder ausgepackt.

Was mich einen Abend gekostet hat: die lokale Firewall ist aktiv.

Wer ist denn auf die glorreiche Idee gekommen, bei einem Server die lokale Firewall anzuschalten ? Und ich wundere mich, warum meine Clients die Freigaben & Drucker nicht sehen und das DHCP keine Adressen verteilt.

Das Abschalten der Firewall geht über die Config-Option security/packetfilter/disabled .