<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><div><div>Dear dhcp mailing list,</div><div><br></div><div>I’m testing latest dhcpd 4.3.3 to replace our current production dhcp server, the new server will run dual stack (ipv4/ipv6). On our current dhcp server, (for wired, non 802.1x  enabled networks), we currently implement: deny unknown clients, so only known mac addresses will get an ip. I already read, on several places, this is not possible for ipv6. But last week I found out about  RFC 6939, and now I was trying to figure  out if my ipv6 relay (fortigate firewall) supports this.</div></div></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">Based on the logs below it looks like, this rfc is supported, since the mac address is logged correctly (using the log statement below)</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">Logs:</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; font-family: Calibri, sans-serif;"><p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: Lease for 2001:xxxx:xxxx:3d98:aaaa:8624:d059:50be leased to 40:6c:8f:a:2e:1a</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: did not find: (&(objectClass=dhcpHost)(dhcpClientId=00:01:00:01:1c:e4:9b:70:40:6c:8f:0a:2e:1a))</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: did not find clientid: (&(objectClass=dhcpHost)(dhcpClientId=00:01:00:01:1c:e4:9b:70:40:6c:8f:0a:2e:1a))</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: Lease for 2001:xxxx:xxxx:3d98:aaaa:8624:d059:50be leased to 40:6c:8f:a:2e:1a</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: Reply NA: address 2001:xxxx:xxxx:3d98:aaaa:8624:d059:50be to client with duid 00:01:00:01:1c:e4:9b:70:40:6c:8f:0a:2e:1a iaid = 0 valid for 2592000 seconds</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">Sep  8 10:00:38 komo dhcpd: Sending Relay-reply to 2001:xxxx:xxxx:ab00:ffff:ffff:ffff:ffff port 547</p></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><div>So now I’m trying to find out if there is any possibility to deny unknown clients based on there mac addresses in a pool6 configuration? Is this something on the roadmap? Or will it never be implemented? (For us this would mean: stop using mac address based allow/deny rules and go for 802.1x all the way (we currently implement this on wifi and a few wired networks) </div><div><br></div><div>Remark: Our mac addresses are stored in ldap, and based on the logs (above) it looks like dhcpv6 is searching for DUID rather then mac adress,  do we have any options here?</div></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">Below some more info about my setup:</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">OS: Debian 8.1</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">Subnet cfg:</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; font-family: Calibri, sans-serif;"><p style="margin: 0px; font-size: 12px; font-family: Courier;">subnet6 2001:xxxx:xxxx:3d98::/64  {</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">        pool6 {</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">          </span>option dhcp6.name-servers 2001:xxxx:xxxx:ab00::1, 2001:xxxx:xxxx:ab00::2; </p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">          </span>option dhcp6.domain-search “example.com"; </p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">          </span>ignore unknown-clients;</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">          </span>range6  2001:xxxx:xxxx:3d98:aaaa::/80;<span class="Apple-tab-span" style="white-space:pre"> </span></p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">          </span>range6  2001:xxxx:xxxx:3d98:bbbb::/80 temporary;</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;"><span class="Apple-tab-span" style="white-space:pre">  </span>}</p>
<p style="margin: 0px; font-size: 12px; font-family: Courier;">}</p></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;">Rfc 6939 specific cfg:</div><div style="font-size: 14px; color: rgb(0, 0, 0); font-family: Calibri, sans-serif;"><br></div><div><p style="font-size: 12px; font-family: Courier; margin: 0px;">## RFC  6939</p>
<p style="font-size: 12px; font-family: Courier; margin: 0px;">option dhcp6.macaddr code 193 = string;</p>
<p style="font-size: 12px; font-family: Courier; margin: 0px;">option dhcp6.leased-address code 194 = string;</p>
<p style="font-size: 12px; font-family: Courier; margin: 0px;">option dhcp6.macaddr = binary-to-ascii(16, 8, ":", suffix(option dhcp6.client-id, 6));</p>
<p style="font-size: 12px; font-family: Courier; margin: 0px;">option dhcp6.leased-address = binary-to-ascii(16,16, ":", substring(suffix(option dhcp6.ia-na, 24),0,16));</p>
<p style="font-size: 12px; font-family: Courier; margin: 0px;">log (info, concat ("Lease for ",config-option dhcp6.leased-address, " leased to ", config-option dhcp6.macaddr));</p><p style="margin: 0px;"><br></p><p style="margin: 0px;">Thanks for your reply,</p><p style="margin: 0px;">Kristof van Doorsselaere</p></div></body></html>