Problemas com DHCP

thiagosf88 · Sep 24, 2012, 5:15 PM

no xml do pfsense.

johnnybe · Sep 24, 2012, 9:04 PM

Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
mas gostaria que isso não acontecesse.

Tem alguma configuração para isso?

Configuração, para evitar isso, acho que não. O que tem é a velha e bem conhecida Engenharia Social. Alguém abre o bico sobre o IP do host e daí basta fazer tentativa e erro: Ah! O IP que me falaram é 192.168.0.30, então vamos tentar 0.10,… 0.19, 0.21, 0.22 e assim por diante.
Ou usar algum scanner, como o nmap.

Toda vez que marquei a caixa "Deny unknown clients", sendo o pfSense o único servidor DHCP, eu tinha que liberar o host pelo MAC address, do contrário nada de acesso.

O que não foi especificado: Qual sua versão do pfSense? Tem mais de uma interface usando a LAN? Qual a Range de IPs na LAN? Habilitou Static ARP na LAN?

thiagosf88 · Sep 25, 2012, 11:02 AM

johnnybe,

Então comigo também estava funcionando a não disponibilização de ips para os não cadastrados, mas não sei bem o que aconteceu.
Hoje vou tentar subir a configuração em um outro servidor pfsense para ver se resolve. Como medida de contenção deixei apenas 1 ip
na faixa disponível para o dhcp e bloqueio-o com regras no firewall.
Uso a versão 2.0.1 do pfsense. E tem apenas mais de uma rede internet a lan e 2 opt. Mas todas estão com o deny marcado.

thiagosf88 · Sep 25, 2012, 4:56 PM

Pessoal,

resetei ao padrão de fábrica do pfsense. E subi um backup mas mesmo assim ele continua fornecendo ips para máquinas que não estão
cadastrados os endereços MAC. A máquina não navega na internet mas navega na minha rede internet.
Está marcado tanto o Deny unknown clients, quanto o Enable Static ARP entries.

Muito estranho isso.

johnnybe · Sep 25, 2012, 6:08 PM

@thiagosf88:

…resetei ao padrão de fábrica do pfsense. E subi um backup...

Hhhmmmm… será que esse backup já não tinha alguma coisa errada que poderia estar causando isso?

thiagosf88 · Sep 25, 2012, 6:22 PM

Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

johnnybe · Sep 25, 2012, 10:28 PM

@thiagosf88:

Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

Então… mãos à obra: Reinstale o pfsense do zero, e vá recadastrando os MAC. :)
Do que adianta restaurar um backup que não lhe serve? ???
Costumo ser bem chato com isso: Vai alterar uma virgula, faça backup completo antes. Os arquivos de backup são ridiculamente pequenos, mesmo salvando todo histórico dos RRD. ;D
http://nextsense.com.br/blog/archives/706

thiagosf88 · Sep 26, 2012, 11:24 AM

Johnnybe,
estou tentando adiar essa opção pois tenho uma quantidade grande de mac cadastrados bem como regras de firewall.
Estou tentando verificar o erro que causou isso. Se não estou enganado isso começou depois que fiz algumas configurações
de regra de firewall que limita o tráfego dos ips usando o limiter e apareceu um erro no pfsense. Um erro que fica passando onde
normalmente está o hostname do firewall.

Por acaso você sabe qual arquivo de configuração do dhcp no pfsense? Já olhei o backup e realmente está definido para negar ip aos desconhecidos
queria dar uma olhada na configuração real do dhcp.

thiagosf88 · Sep 26, 2012, 6:14 PM

Encontrei o arquivo do dhcp e nele também parece estar tudo normal.
O trecho inicial dele:

option domain-name "dominio.local";
option ldap-server code 95 = text;
option domain-search-list code 119 = text;

default-lease-time 7200;
max-lease-time 86400;
log-facility local7;
ddns-update-style none;
one-lease-per-client true;
deny duplicates;
ping-check true;
authoritative;
subnet 192.168.0.0 netmask 255.255.240.0 {
pool {
option domain-name-servers 192.168.10.1,192.168.10.2;
deny unknown-clients;
range 192.168.11.1 192.168.11.1;
}
option routers 192.168.0.1;
option domain-name "dominio.local";
option domain-name-servers 192.168.10.1,192.168.10.2;

}
host s_lan_0 {

thiagosf88 · Oct 8, 2012, 1:50 PM

Pessoal,

notei uma coisa. O MAC que está recebendo indevidamente o ip está
cadastrado em outra rede, ou seja, está com fixed leased na rede opt1 e
recebe active lease da rede lan.

JackL · Oct 10, 2012, 5:46 PM

thiagosf88,

Aparentemente seu problema está no endereçamento desta sua rede IPv4. Veja que em função da sua máscara ser "255.255.240.0", equipamentos que teoricamente não estariam no mesmo segmento de rede, passam a estar! :-\

Abraços!
Jack