Nouvelle interface

compton03

ca y est avec ma VM je peux pingé le client!!!

Par contre je suis désolé, mais je suis incapable de vous dire ce qui j'ai changé! A force de modifier ma conf ca marche finalement mais pourquoi?

Cependant cette réussite m'ammène à un nouveau problème ^^. Mon dhcp relay ne relais pas vraiment :S (que ce soit avec une machine physique ou VM)

Ma configuration sur ma machine physique est la suivante:

LAN -> 172.31.0.10 vlan 100 untagged (donc non déclaré)
WAN -> pas d'adresse ip je m'en sers pour créer mes VLANs
OPT1 -> vlan 101 taggé sur interface WAN en 172.27.3.254
OPT2 -> vlan 102 taggé sur interface WAN en 192.168.7.240

le firewall PFsense est actif mais pour plus de simplicité sur toute les interfaces j'ai tout autorisé sur toutes les interfaces(voir imprim écran n°2).

L'interface OPT2 ping bien mon DHCP. OPT1 ping mon client (quand je lui mets une adresse statique).

Je vous joint aussi les logs que je peux voir sur mon PFsense lors d'une requête DHCP.

J'ai aussi effectué un tcpdump sur mon interface OPT1, elle voit la requète DHCP. Cependant OPT2 ne la voit pas passer.

ccnet

Mon dhcp relay ne relais pas vraiment :S (que ce soit avec une machine physique ou VM)

Le DHCP Relay est prévu pour traiter le problème des broadcasts ip qui ne sont diffusés par un routeur. A ma connaissance le dhcp relay n'est pas concerné par la couche liaison de données. Or, dans le protocole dhcp, le client envoi son premier paquet (dhcpdiscover) en utilisant un broadcast ethernet car il ne peut faire autrement puisqu'il ignore justement l'adresse (les adresses mac et ip en fait) du serveur dhcp. Il se trouve que vous avez deux vlans qui justement interdisent les brodcasts ethernet d'un segment vers l'autre. Je crains que le dhcpdiscover ne parvienne pas au dhcp relay. Il faudrait pousser l'analyse un peu plus loin sur votre réseau pour valider l'hypothèse.

compton03

bonjour,

je suis entièrement d'accord avec votre réponse. Ce que j'ai oublié (encore!!!) de préciser c'est que mon dhcp relay est configuré sur mon OPT1.

Je pense à un problème de routage, OPT1 ping OPT2
Cependant OPT1 ne ping pas le DHCP se trouvant du côté OPT2

Pour reprendre mon architecture:

Radius/DHCP
                                          |
                                          |
Internet–----Firewall-------VLAN910-----------OPT2/PFsense/OPT1------------VLAN810 (clients)
                                                                            LAN
                                                                              |
                                                                              |
                                                                        Supervision

Je vous mets les routes déclarées sur mon PFsense.

Je précise aussi que j'ai réalisé un tcpdump sur OPT1, elle voit arrivé la trame DHCP. Par contre OPT2 ne la voit pas...

Cdt

compton03

c'est bien un problème de routage qui me bloque.

Pourtant les routes sont bien déclarées. Faut il activer le routage? Je pensais que le routage était effectué de base…(ce n'est pas fondé mais je n'ai rien lu mentionnant le fait d'activer le routage).

ccnet

Sans créer de route je suggère que vous testiez avec un protocole autre que DHCP, vous verrez ce qu'il en est. je ne suis ni certain que la création des routes soit nécessaire, ni que ce soit un problème de routage. Mais j'avoue ne pas avoir plus de temps pour tester le problème en lab.

compton03

aucun soucis je comprends tout à fait.

je n'ai pas rajouté les routes, c'est celles crées par défaut lors de la création de mes interfaces. J'ai essayé avec le protocole ICMP (ping tout simple ^^). le ping entre OPT1 et OPT2 fonctionne parfaitement (quoi de plus normal). Mais avec OPT1 je ne peux pas joindre les machines se trouvant sur le réseau du côté d'OPT2

je continue mais recherches et je vous tient au courant. Si vous avez quelques choses pour moi d'ici la, je suis preneur!

bonne fin de journée.

ccnet

le ping entre OPT1 et OPT2 fonctionne parfaitement (quoi de plus normal). Mais avec OPT1 je ne peux pas joindre les machines se trouvant sur le réseau du côté d'OPT2

Une faute de frappe ?

compton03

Non. Si je reprends, OPT1 adressée en 172.27.3.254, OPT2 en 192.168.7.240. Machine cliente du côté d'OPT2 en 192.168.7.100.

Ping d'OPT1 vers OPT2 -> ok
ping d'OPT2 vers client -> ok
ping OPT1 vers client -> problème.

C'est ce pourquoi je pense à un problème de routage. Je vous ai lié précédemment mes règles de routage et on observe bien la règle permettant de joindre le réseau 192.168.7.0/24.

ccnet

Je comprend mieux. Il serait intéressant d'observer le trafic venant de opt2 lorsque vous émettez une requête icmp depuis opt1 vers ue machine connecté à OPT2. En toute logique on devrait voir l'émission d'un arp request sur le réseau connecté à OPT2, c'est à dire un broadcast ethernet.

compton03

je viens d'effectuer un "tcpdump -i vlan0 arp" sur le pfsense alors que j'effectuai un ping de l'OPT1 (172.31.3.254) vers mon DHCP en 192.168.7.100. L'interface vlan0 est mon OPT2 adressé en 192.168.7.240.

je vous joint mes résultats

compton03

j'ai du nouveau!

le routage marche enfin. Je vous mets ma conf des vlans, rien de particulier mais maintenant ca marche! Quelques soucis avec le dhcp relay, je ne chope toujours pas d'adresse mais je sens que je ne suis pas loin ^^. en tout cas le problème des pings est résolu. Je peux avec ma patte lan ou avec mon interface dans le vlan810 pingé des machines se trouvant du côté du vlan950!!!

compton03

j'ai un doute concernant le circuit ID dans le DHCP relay. Pour moi le circuit ID correspond à l'ID du vlan configuré sur l'interface servant pour effectuer le relay. Est-ce bien le cas sur Pfsense? Car entre parenthèse il y a marqué "pfsense interface number". Qu'est ce que l'interface number?

je demande ça car dans mon dhcp, j'ai un range pour chaque VLAN, grâce à des classes préalablement définis. Et pour que l'utilisateur soit redirigé dans une classe, je me sers de l'ID du vlan véhiculé grâce au circuit ID.