PFsense no entrega ip a los clientes
-
Estimados amigos, sucede desde que uso el pfsense hay ciertas computadoras a las que al identiifcar la red una vez configurada la antena el servidor le da una ip inmediatamente y en otros casos (la mayoría) debo cargar yo una ip disponible y (por supuesto) la puerta de enlace del servidor etc.
Alguien me podría explicar porqué algunas si y a otras no ?Una abrazo a todos en el foro.
-
¿Alguna característica en común en esos equipos con problemas?
¿Estás haciendo algo con las MAC en la configuración del DHCP Server o no hay MAC "fijadas".
¿Tienes Captive Portal funcionando?
Por favor, procuremos explicar con más detalle los escenarios.
-
Gracias Bellera y disculpe; Las MAC no estan fijadas, El captive portal funciona sin problemas, la mayoría de los equipos con problemas son pc´s de escritorio y con cualquier versión de windows ocurre lo mismo. En algunas notebook toma la ip sin problemas.
-
¿Probaste sin Captive Portal?
¿A qué se conectan los equipos? ¿A un switch administrable? ¿A APs? ¿A pfSense como AP?
-
No probé sin captive portal ya que si lo deshabilito me preocupa la cantidad de pc's,celulares, tables, etc que van a incursionar por el sistema liberado.
Las computadoras se conectan con antenas exteriores Ubiquiti ó Tp-Link configuradas en modo Estación a distintos AP que poseo dentro de mi red de distribución. Todos los enlaces están con airmax y los ap sin airmax para que los clientes que descubren en sus notebook puedan conectar directamente (previa provisión de clave y cseña). En los nodos hay antenas en 5,8 y en 2,4. Te repito mi duda: porque algunas pc's si y otras no ?. -
Croquis.
 -
Los swich no son administrables.
-
Tienes una instalación compleja y tendrás que ir descartando cosas.
Me recuerda una instalación de hace unos 6 meses, donde todos los equipos se conectaban a la WiFi menos los Iphone.
Al final resultó ser un parámetro de configuración del sistema de APs. Era algo de la compatibilidad b/g/n, http://es.wikipedia.org/wiki/IEEE_802.11
Tienes que ir descartando cosas…
¿Vienen siempre del mismo AP los equipos con problemas?
¿Estás seguro de no tener más de un equipo haciendo de servidor DHCP? Sólo puede haber uno (¿pfSense?), por red.
¿Todos los APs anuncian los equipos conectados por su MAC? Me encontré hace años con unos APs que no entregaban la MAC de los clientes, sino la suya.
¿Hay encriptación? ¿Si la hay, de qué tipo? Con WPA Enterprise hay que estar con los firmware y drivers a la última porque suelen haber problemas, http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access
-
Vamos por parte estimado Bellera.
-
De cualquier AP menos del principal que comparte el swich con la LAN del pfsense.
-
Tengo solamente un equipo haciendo de servidor y es el que figura en el croquis.
-
Únicamente veo las MAC de los AP a los que se conectan los clientes y NO veo en el portal cautivo las MAC de los clientes. Aunque en el DHCP lease se puede apreciar la MAC de cada cliente. Cuando entro al portal cautivo veo a todos los clientes conectados con distintas IP's c/u aunque muchos repiten las MAC, todos los que estan conectados a un determinado AP figuran con la MAC de ese AP pero por lo visto pFsense los ve ya que, como te dije, puedo saber de que cliente se trata al ver la mac del equipo en dhcp lease.
-
No utilizo ningun tipo de encriptacion ni clave de acceso.
-
-
Únicamente veo las MAC de los AP a los que se conectan los clientes y NO veo en el portal cautivo las MAC de los clientes.
No me gusta nada esto… Siempre he manejado instalaciones WiFi viendo las MAC de los clientes desde la interfase del cortafuegos (pfSense, Mikrotik...)
Me atrevería a decir que el problema viene de ahí.
En /var/dhcpd/etc/dhcpd.conf veo:
one-lease-per-client true;
deny duplicates;Al parecer pfSense emplea el DHCP Server de ISC (Internet Systems Consortium), http://svnweb.freebsd.org/ports/head/net/isc-dhcp42-relay/pkg-descr?revision=HEAD
Encontré el manual en NetBSD (otra distribución BSD, que lo incorpora "de base"),
http://netbsd.gw.com/cgi-bin/man-cgi?dhcpd.conf++NetBSD-current
Creo que la cláusula deny duplicates te está afectando, pues en el manual dice que pueden darse confusiones entre equipos que anuncien una misma MAC, si no entendí mal.
Yo revisaría la configuración de los APs para que lleguen las MAC de los clientes a pfSense.
-
Los "Enlaces Airmax" (marcados en Rojo) los Tienes en modo "Bridge", y como "AP WDS" - "STA WDS" ? (Con los Radios Ubiquiti esto te permite obtener Transparencia en capa 2)
Los Radios Ubiquiti ( AP's en 2.4 / 5.8 ) conectados "detras" de los PtP ("Enlaces Airmax" marcados en rojo) cómo estan configurados ? Bridge ? WDS habilitado ?
-
Voy a probar Don Ballera con las modificaciones especialmente la deny duplicates.
Lo que me extraña es que el pFsense "ve" las mac de los equipos pero las registra en el portal cautivo con la mac del ap, de ahí que estimo que el modo transparente es relativo ya que las mac son reconocidas por el pfsense.Respecto de los ap estan todos en modo bridge tanto los que tienen airmax como los que no.
Ya probé poner todas las antenas en modo transparente y de igual manera no me registra las ip's de los clientes; volví a dejar sin efecto el modo transparente ya que en determinados momentos enlentecía mucho el tráfico.Les acompaño un recorte de lo que les digo.
Se aprecia que la ip que les muestro tiene una ip en dhcp leases y las misma ip otra mac en el portal cautivo
-
Saludos ptt
-
Esta es la que me muestra el dhcp leases
-
http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
http://www.see-my-ip.com/tutoriales/protocolos/dhcp.phpEn Status: System logs: DHCP puedes ver las negociaciones. Ejemplo, donde 192.168.0.1 es pfSense:
Jun 9 20:04:47 dhcpd: DHCPACK on 192.168.0.108 to 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3 Jun 9 20:04:47 dhcpd: DHCPREQUEST for 192.168.0.108 (192.168.0.1) from 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3 Jun 9 20:04:33 dhcpd: DHCPOFFER on 192.168.0.108 to 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3 Jun 9 20:04:32 dhcpd: DHCPDISCOVER from 0b:1c:ef:17:a0:f1 via fxp3Observa que el servidor diferencia las máquinas por su MAC y nombre de máquina. Caso de coincidir, problemas, en mi opinión.
En Status: System logs: System salen errores. No puedo reproducir tu caso, pero sí el de un pfSense que deniega IP a MAC desconocidas. Ejemplo:
Jun 9 18:17:29 dhcpd: DHCPDISCOVER from fa:0b:f3:b1:b4:ea via em3_vlan7: network 192.168.0.0/21: no free leases -
Tu dices bellera que aunque las mac sean diferentes si coinciden los nombres de las máquinas podría haber algún conflicto?
-
Sí, si no entendí mal todo lo que leí… porque no lo encontré claramente documentado.
En algunos textos habla de nombre de máquina y en otros de identificador de máquina. Parece que cada servidor y cliente DHCP lo hace "a su manera".
Es más, suele ser habitual que el identificador de máquina no sea recibido por el servidor DHCP, aumentando el problema. Te paso un enlace de una universidad donde tienen ese problema en su campus y dicen que su servicio DHCP se basa en la MAC más el identificador (con problemas):
Google dhcp client identifier
http://www.net.princeton.edu/announcements/dhcp-cliid-must-match-chaddr.html
Sigo pensando que es un mal asunto que no veas las MAC de los clientes desde pfSense. Por el problema que tienes y por si quisieras hacer alguna política de seguridad basada en MAC. Que no es una seguridad al 100%, pues las MAC se pueden falsear.
-
Gracias ballera, por ahora lo que hago es darle una ip fija en el tcpip y si el cliente quisiera usar algún router inalambrico le cargo ahí una ip fija con la puerta de enlace al pfsense, luego en el dhcp leases veo a que mac corresponde la ip otorgada y puedo identificar al cliente. Hice la prueba en el portal cautivo en la solapa pass trough MAC de cargar la mac de dicho cliente para ver si podía navegar sin que el sistema le solicite usuario y cseña y navegaba sin problemas; de ahí que sigo manteniendo que el pFsense sabe exactamente la MAC de cada cliente, el problema es que a la hora de verlo en el portal cautivo no lo muestra.
-
A la hora de verlo en el portal cautivo no lo muestra.
Normal, Services: Captive portal: Pass-through MAC significa que esas MAC se saltan el portal cautivo.
