DHCP sub rede é possivel ?
-
Subrede /32 significa rede de um host só.
Esta Tecnica de roteamento baseada em interface é um tanto quanto esquisita. Deixar o default gateway fora da sua rede é na minha opinião erro de configuração.
O que você pode fazer é instalar um dhcp server em outro servidor, e configurar um dhcp relay em cada uma das suas subredes. Não tenho certeza se o pacote de dhcp do pfsense aceita varias redes para uma mesma interface.
-
Marcelo,
Ops.. desculpe é /30..
Não é esquisita quando você que isolar os usuários uns dos outros e não pode usar vlan e não usa o captive portal.
Exemplo: internet em um condomínio. o mikrotik faz isso.
-
/30 já cabe o default gateway na mesma rede :)
Esta rede é wireless?
A Tecnica que descrevi no primeiro post é usada em redes onde os clientes precisam ficar isolados.
Mas não é uma Tecnica 100% já que eles estão no mesmo segmento de rede.
-
Não é uma rede cabeada que vai para todos apartamento. Eu consegui fazer isso usando o bsd puro.
porem gostaria de controlar a banda e talvez o pfsense fique mais fácil. -
Eu consegui fazer isso usando o bsd puro.
Excelente.
Como você já tem conhecimento de bsd, você consegue ver qual o pacote que o pfsense usa como dhcp.você pode ver a diferença de configuração dos dois e decidir se vale a pena configurar na mão ou se dá para usar o seu arquivo já pronto.
Para instalar pacotes no pfsense, voce precisa baixa-los do http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/
Se quiser ajuda, posta aqui o que você conseguir identificar.
Não estou com muito tempo livre, mas acredito que consigo te ajduar.
-
Para entender melhor esta configuração um pouco fora da didática de redes, segue um dos links para tutoriais na parte de instalação, configuração e backup.
http://blog.magiksys.net/pfsense-firewall-default-gateway-different-subnet
-
Marcelo,
Gostei.. porem ainda não creio que vai me ajudar com o lance dos clientes de comunicarem entre si. Acredito que somente com sub rede em
DHCP ou VLAN.Márcio
-
Se você tiver um switch que possua capacidade para fazer 802.1x, você consegue montar uma solução profissional e top de linha.
No mesmo segmento de rede, como já havia dito, não tem solução 100%.
para o 802.1x você precisa de:
-
switch compatível
-
servidor radius
-
base de usuarios
-
clientes com suporte a 802.1x (a partir do windows xp já é nativo no windows)
posta seu arquivo dhcp para entender um pouco melhor esta configuraçãa que você já tem.
Só uma pergunta:
Você nunca recebeu demandas de usuários querendo aproveitar a rede para jogar entre si? -
-
Marcelo
Você nunca recebeu demandas de usuários querendo aproveitar a rede para jogar entre si?
Pelo contrário.. recebemos reclamação por causa dos "espertinhos" querendo acessar maquina dos outros..
segue o codigo do meu dhcp
subnet 172.20.2.0 netmask 255.255.255.252 { server-identifier 172.20.2.1; option subnet-mask 255.255.255.252; option broadcast-address 172.20.2.3; option routers 172.20.2.1; range 172.20.2.2 172.20.2.2; } subnet 172.20.3.0 netmask 255.255.255.252 { server-identifier 172.20.3.1; option subnet-mask 255.255.255.252; option broadcast-address 172.20.3.3; option routers 172.20.3.1; range 172.20.3.2 172.20.3.2; } subnet 172.20.4.0 netmask 255.255.255.252 { server-identifier 172.20.4.1; option subnet-mask 255.255.255.252; option broadcast-address 172.20.4.3; option routers 172.20.4.1; range 172.20.4.2 172.20.4.2; .... .... ....Note que o meu firewall tem 98 ips na faixa 172.20.X.1; e os clientes 172.20.X.2;
faço uma regra que bloqueio ele.. e pronto.. eles não consegue nem pingar nos clientes.. -
Note que o meu firewall tem 98 ips na faixa 172.20.X.1; e os clientes 172.20.X.2;
faço uma regra que bloqueio ele.. e pronto.. eles não consegue nem pingar nos clientes..Isso exclui script kids e os espertinhos menos espertinhos da sua lista de preocupações. ;)
Olhei a tela do dhcp e ela não contempla dhcp para redes adicionais.
No forum dos gringos tem a mesma pergunta com a mesma solução (use VLANS!)Solução caseira:
OPÇÃO1
Você pode copiar seu arquivo de configuração para o pfsense e subir seu servidor dhcp na mão colocando um script na pasta /usr/local/etc/rc.d/meu_dhcp.conf
OPÇÃO2
Entender como este patch para a versão 1 pode ser aplicado na versão 2 do pfsense. E aplicar em seu pfSense(não esqueça dos backups)
OPÇÃO3
Usar o esquema de default gateway fora da rede, alterando a mascara de rede que o dhcp entrega para /32 e definindo o gateway com o único ip atribuido na lan do pfsense
OPÇÃO4
Substituir seus switches por switches de camada 3 e aplicar em cada uma das portas, regras(access lists) que só permitam trafego para fora da rede, exceto na porta do firewall é claro.
-
mantunespb,
Boa Tarde. Voce já olhou alguma dessas opções que o nosso aigo marcello passou? Estou de olho no seu tópico, pois tenho a mesma duvida que voce em relação a sub-redes com pfsense. Caso tenha chegado em algum resultado satisfatório poderia nos mostrar a solução encontrada?
Abraços e no aguardo.
ATT
Breno Alencar
