Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas com DHCP

    Scheduled Pinned Locked Moved Portuguese
    18 Posts 4 Posters 5.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • marcellocM
      marcelloc
      last edited by

      @thiagosf88:

      Tem alguma configuração para isso?

      Para comunicação com a internet, você pode usar o ipguard para bloquear ips não cadastrados.
      Teste a configuração em laboratório antes, ou você vai acabar perdendo acesso ao firewall.

      Para resolver internamente, o melhor seria implementar 802.1x na sua rede. Desta forma só maquinas autenticadas no switch/ad/radius tem acesso a vlan interna.

      Treinamentos de Elite: http://sys-squad.com

      Help a community developer! ;D

      1 Reply Last reply Reply Quote 0
      • T
        thiagosf88
        last edited by

        Marcelloc,

        instalei o ipguard mas não entendi corretamente a lógica de criação das regras.
        Eu terei que re cadastrar todos macs que quero que possam acessar a internet?
        Digo isso pois já uso o DHCP com fixed leases.

        Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

        Abraço

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          @thiagosf88:

          Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

          Não

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • T
            thiagosf88
            last edited by

            Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @thiagosf88:

              Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>

              Você viu isso no arquivo de configuração do dhcp ou no xml do pfsense?

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • T
                thiagosf88
                last edited by

                no xml do pfsense.

                1 Reply Last reply Reply Quote 0
                • J
                  johnnybe
                  last edited by

                  @thiagosf88:

                  Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
                  via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
                  mas gostaria que isso não acontecesse.

                  Tem alguma configuração para isso?

                  Configuração, para evitar isso, acho que não. O que tem é a velha e bem conhecida Engenharia Social. Alguém abre o bico sobre o IP do host e daí basta fazer tentativa e erro: Ah! O IP que me falaram é 192.168.0.30, então vamos tentar 0.10,… 0.19, 0.21, 0.22 e assim por diante.
                  Ou usar algum scanner, como o nmap.

                  Toda vez que marquei a caixa "Deny unknown clients", sendo o pfSense o único servidor DHCP, eu tinha que liberar o host pelo MAC address, do contrário nada de acesso.

                  O que não foi especificado: Qual sua versão do pfSense? Tem mais de uma interface usando a LAN? Qual a Range de IPs na LAN? Habilitou Static ARP na LAN?

                  you would not believe the view up here

                  1 Reply Last reply Reply Quote 0
                  • T
                    thiagosf88
                    last edited by

                    johnnybe,

                    Então comigo também estava funcionando a não disponibilização de ips para os não cadastrados, mas não sei bem o que aconteceu.
                    Hoje vou tentar subir a configuração em um outro servidor pfsense para ver se resolve. Como medida de contenção deixei apenas 1 ip
                    na faixa disponível para o dhcp e bloqueio-o com regras no firewall.
                    Uso a versão 2.0.1 do pfsense. E tem apenas mais de uma rede internet a lan e 2 opt. Mas todas estão com o deny marcado.

                    1 Reply Last reply Reply Quote 0
                    • T
                      thiagosf88
                      last edited by

                      Pessoal,

                      resetei ao padrão de fábrica do pfsense. E subi um backup mas mesmo assim ele continua fornecendo ips para máquinas que não estão
                      cadastrados os endereços MAC. A máquina não navega na internet mas navega na minha rede internet.
                      Está marcado tanto o Deny unknown clients, quanto o Enable Static ARP entries.

                      Muito estranho isso.

                      1 Reply Last reply Reply Quote 0
                      • J
                        johnnybe
                        last edited by

                        @thiagosf88:

                        …resetei ao padrão de fábrica do pfsense. E subi um backup...

                        Hhhmmmm… será que esse backup já não tinha alguma coisa errada que poderia estar causando isso?

                        you would not believe the view up here

                        1 Reply Last reply Reply Quote 0
                        • T
                          thiagosf88
                          last edited by

                          Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
                          O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

                          1 Reply Last reply Reply Quote 0
                          • J
                            johnnybe
                            last edited by

                            @thiagosf88:

                            Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
                            O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

                            Então… mãos à obra: Reinstale o pfsense do zero, e vá recadastrando os MAC.  :)
                            Do que adianta restaurar um backup que não lhe serve?  ???
                            Costumo ser bem chato com isso: Vai alterar uma virgula, faça backup completo antes. Os arquivos de backup são ridiculamente pequenos, mesmo salvando todo histórico dos RRD.  ;D
                            http://nextsense.com.br/blog/archives/706

                            you would not believe the view up here

                            1 Reply Last reply Reply Quote 0
                            • T
                              thiagosf88
                              last edited by

                              Johnnybe,
                              estou tentando adiar essa opção pois tenho uma quantidade grande de mac cadastrados bem como regras de firewall.
                              Estou tentando verificar o erro que causou isso. Se não estou enganado isso começou depois que fiz algumas configurações
                              de regra de firewall que limita o tráfego dos ips usando o limiter e apareceu um erro no pfsense. Um erro que fica passando onde
                              normalmente está o hostname do firewall.

                              Por acaso você sabe qual arquivo de configuração do dhcp no pfsense? Já olhei o backup e realmente está definido para negar ip aos desconhecidos
                              queria dar uma olhada na configuração real do dhcp.

                              1 Reply Last reply Reply Quote 0
                              • T
                                thiagosf88
                                last edited by

                                Encontrei o arquivo do dhcp e nele também parece estar tudo normal.
                                O trecho inicial dele:

                                option domain-name "dominio.local";
                                option ldap-server code 95 = text;
                                option domain-search-list code 119 = text;

                                default-lease-time 7200;
                                max-lease-time 86400;
                                log-facility local7;
                                ddns-update-style none;
                                one-lease-per-client true;
                                deny duplicates;
                                ping-check true;
                                authoritative;
                                subnet 192.168.0.0 netmask 255.255.240.0 {
                                pool {
                                option domain-name-servers 192.168.10.1,192.168.10.2;
                                deny unknown-clients;
                                range 192.168.11.1 192.168.11.1;
                                }
                                option routers 192.168.0.1;
                                option domain-name "dominio.local";
                                option domain-name-servers 192.168.10.1,192.168.10.2;

                                }
                                host s_lan_0 {

                                1 Reply Last reply Reply Quote 0
                                • T
                                  thiagosf88
                                  last edited by

                                  Pessoal,

                                  notei uma coisa. O MAC que está recebendo indevidamente o ip está
                                  cadastrado em outra rede, ou seja, está com fixed leased na rede opt1 e
                                  recebe active lease da rede lan.

                                  1 Reply Last reply Reply Quote 0
                                  • JackLJ
                                    JackL
                                    last edited by

                                    thiagosf88,

                                    Aparentemente seu problema está no endereçamento desta sua rede IPv4. Veja que em função da sua máscara ser "255.255.240.0", equipamentos que teoricamente não estariam no mesmo segmento de rede, passam a estar!  :-\

                                    Abraços!
                                    Jack

                                    Treinamentos de Elite: http://sys-squad.com
                                    Soluções: https://conexti.com.br

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.