Isc dhcp server (debian 6) dmz + pfsense (firewall de perimetro) + dhcp relay
-
hola, les escribo tengo un problema estoy configurando una red con las siguientes especificaciones.
WAN –- pfsense ---- 1 dmz
--------------------- 2 lan
la wan es una direccion privada ya que viene desde mi primer firewall. es ip estatica y gw tambien, por esa parte no tengo problemas, la dmz posee direcion privada, tambien y todo funciona correctamente en esa dmz estaran todos mis servidores y mi red local.que trato de hacer? bueno, facil, tengo configurado un servidor dhcp en mi dmz, con ip estatica que repartira direcciones ip a toda mi red local, dependiendo de la red en la que se encuentre, deseo usar el pfsense como segundo firewall de mi red, alli hare el relay de mi red para evitar dejar el servidor en otra ubicacion...
http://imageshack.us/photo/my-images/824/screenhunter01dec261325.jpg/
ese es el esquema de mi red, de esa forma el dhcp server basado en debian funciona correctamente, y sin ningun problema, el problema se da cuando coloco la siguiente configuracion.
http://imageshack.us/photo/my-images/259/screenhunter02dec261350.jpg/
las respuestas llegan al dhcp server, pero este no las envia al host que las solicita, estoy usando vmware workstation 8 y gns3 para emular un switch que acepte encapsulamiento 8021q, todas las tarjetas de red que uso, aceptan vlantaggin, desactive el nat/firewall para pruebas pero sigue igual
configuracion pfsense
equipo con 3 tarjetas fisicas 1-wan 2-dmz - 3-lan
actualmente solo tengo 3 tarjetas virtuales que son desprendidas de la 3lan cada una con ip necesaria para su vlan
configuracion dhcp:
equipo con debian 6
isc-dhcp-server
1 tarjeta fisica mas una por cada vlan requeridaanexo xml con extension .txt de la configuracion del pfsense…
y el packetcapture.cap.txt es un .cap realmente asi que deben cambiar la configuracion! saludos! xDdhcpd.txt
config-scndfw.miempresa.local-20111226135710.txt
isc-dhcp-server.txt
logdhcpd.txt
packetcapture.cap.txt -
Entiendo que quieres que pfSense no sea el DHCP sino que lo sea tu servidor Debian.
Seguramente el único problema que tienes sean las reglas de por medio en cada LAN (LAN física y VLANs) de pfSense. Para probar deja puesta una regla que permita todo, tanto hacia el servidor como desde el servidor.
Esto debería ir. Si no va es que entonces hay alguna incompatibilidad.
Mira bien también cómo funciona DHCP:
http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
-
hola bellera, si el servidor dhcp debe ser el servidor debian, por motivo de diseño no debo dejar el firewall con alguna otra funcion, entonces, mi firewall pfsense debe permitir y redirigir trafico a otros servidores, que la mayoria estaran virtualizados por cuestions de ahorro de energia ymejor utilizacion de los equipos, estoy pensando en dejar el dhcp en el pfsense y quizas el proxy, ya que el equipo tiene con que, es un doble nucleo 1.8 GHZ con 3 nics de 1000MB.
Aun no estoy seguro de eso,! si tienes alguna recomendaciones?
en el post en ingles ( http://forum.pfsense.org/index.php/topic,44388.msg230625.html#msg230625 ), tengo imagenes de las reglas que tengo por ahora, para realizar las pruebas, tengo las politicas de permitir todo eso, pero el dhcp usa puertos udp 68/67 que serian los que permitiria unicamente, sigo probando algunas cosas que vi por alli! cualquier cosa me avisas! saludos!
-
El problema que le veo a lo que quieres hacer es que los broadcast no van más allá de la propia subred.
Mira esto:
http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_Relaying -
@bellera, disculpa si soy grosero pero no es mi intencion, si revisas las configuraciones o por lo menos las lees, sabras que el problema no lo tienen los otros equipos ni los switch, ya que funcionan sin el pfsense.
el problema no es del broadcast, ya que llegan desde su subred ubicada en otro switch, y llegan al dhcp, el problema esta en el reply que el pfsense no lo pasa o no lo permite….
saludos! sigo probando otras cosas
-
A veces uno cree que se explicó muy bien y resulta simplemente que quien le leyó/escuchó no le comprendió.
Mira cómo tienes:
- Block Private Networks
- Block Bogon Networks
en cada interfase.