PFsense no entrega ip a los clientes

bellera

Únicamente veo las MAC de los AP a los que se conectan los clientes y NO veo en el portal cautivo las MAC de los clientes.

No me gusta nada esto… Siempre he manejado instalaciones WiFi viendo las MAC de los clientes desde la interfase del cortafuegos (pfSense, Mikrotik...)

Me atrevería a decir que el problema viene de ahí.

En /var/dhcpd/etc/dhcpd.conf veo:

one-lease-per-client true;
deny duplicates;

Al parecer pfSense emplea el DHCP Server de ISC (Internet Systems Consortium), http://svnweb.freebsd.org/ports/head/net/isc-dhcp42-relay/pkg-descr?revision=HEAD

Encontré el manual en NetBSD (otra distribución BSD, que lo incorpora "de base"),

http://netbsd.gw.com/cgi-bin/man-cgi?dhcpd.conf++NetBSD-current

Creo que la cláusula deny duplicates te está afectando, pues en el manual dice que pueden darse confusiones entre equipos que anuncien una misma MAC, si no entendí mal.

Yo revisaría la configuración de los APs para que lleguen las MAC de los clientes a pfSense.

ptt

Los "Enlaces Airmax" (marcados en Rojo) los Tienes en modo "Bridge", y como "AP WDS" - "STA WDS" ? (Con los Radios Ubiquiti esto te permite obtener Transparencia en capa 2)

Los Radios Ubiquiti ( AP's en 2.4 / 5.8 ) conectados "detras" de los PtP ("Enlaces Airmax" marcados en rojo) cómo estan configurados ? Bridge ? WDS habilitado ?

Cab

Voy a probar Don Ballera con las modificaciones especialmente la deny duplicates.
Lo que me extraña es que el pFsense "ve" las mac de los equipos pero las registra en el portal cautivo con la mac del ap, de ahí que estimo que el modo transparente es relativo ya que las mac son reconocidas por el pfsense.

Respecto de los ap estan todos en modo bridge tanto los que tienen airmax como los que no.
Ya probé poner todas las antenas en modo transparente y de igual manera no me registra las ip's de los clientes; volví a dejar sin efecto el modo transparente ya que en determinados momentos enlentecía mucho el tráfico.

Les acompaño un recorte de lo que les digo.

Se aprecia que la ip que les muestro tiene una ip en dhcp leases y las misma ip otra mac en el portal cautivo

Cab

Saludos ptt

Cab

Esta es la que me muestra el dhcp leases

bellera

http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
http://www.see-my-ip.com/tutoriales/protocolos/dhcp.php

En Status: System logs: DHCP puedes ver las negociaciones. Ejemplo, donde 192.168.0.1 es pfSense:

Jun 9 20:04:47 	dhcpd: DHCPACK on 192.168.0.108 to 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3
Jun 9 20:04:47 	dhcpd: DHCPREQUEST for 192.168.0.108 (192.168.0.1) from 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3
Jun 9 20:04:33 	dhcpd: DHCPOFFER on 192.168.0.108 to 0b:1c:ef:17:a0:f1 (nombre_maquina) via fxp3
Jun 9 20:04:32 	dhcpd: DHCPDISCOVER from 0b:1c:ef:17:a0:f1 via fxp3

Observa que el servidor diferencia las máquinas por su MAC y nombre de máquina. Caso de coincidir, problemas, en mi opinión.

En Status: System logs: System salen errores. No puedo reproducir tu caso, pero sí el de un pfSense que deniega IP a MAC desconocidas. Ejemplo:

Jun 9 18:17:29 	dhcpd: DHCPDISCOVER from fa:0b:f3:b1:b4:ea via em3_vlan7: network 192.168.0.0/21: no free leases

Cab

Tu dices bellera que aunque las mac sean diferentes si coinciden los nombres de las máquinas podría haber algún conflicto?

bellera

Sí, si no entendí mal todo lo que leí… porque no lo encontré claramente documentado.

En algunos textos habla de nombre de máquina y en otros de identificador de máquina. Parece que cada servidor y cliente DHCP lo hace "a su manera".

Es más, suele ser habitual que el identificador de máquina no sea recibido por el servidor DHCP, aumentando el problema. Te paso un enlace de una universidad donde tienen ese problema en su campus y dicen que su servicio DHCP se basa en la MAC más el identificador (con problemas):

Google dhcp client identifier

http://www.net.princeton.edu/announcements/dhcp-cliid-must-match-chaddr.html

Sigo pensando que es un mal asunto que no veas las MAC de los clientes desde pfSense. Por el problema que tienes y por si quisieras hacer alguna política de seguridad basada en MAC. Que no es una seguridad al 100%, pues las MAC se pueden falsear.

Cab

Gracias ballera, por ahora lo que hago es darle una ip fija en el tcpip y si el cliente quisiera usar algún router inalambrico le cargo ahí una ip fija con la puerta de enlace al pfsense, luego en el dhcp leases veo a que mac corresponde la ip otorgada y puedo identificar al cliente. Hice la prueba en el portal cautivo en la solapa pass trough MAC de cargar la mac de dicho cliente para ver si podía navegar sin que el sistema le solicite usuario y cseña y navegaba sin problemas; de ahí que sigo manteniendo que el pFsense sabe exactamente la MAC de cada cliente, el problema es que a la hora de verlo en el portal cautivo no lo muestra.

bellera

A la hora de verlo en el portal cautivo no lo muestra.

Normal, Services: Captive portal: Pass-through MAC significa que esas MAC se saltan el portal cautivo.