Не правильная работа DHCP
-
имеется PFSENSE 2.1.2 c 2wan, 3lan, wanЫ настроен на failover, lan1 -сеть с dhcp pool 192.168.6.10-192.168.6.110(в этой сети есть AP WLAN, но приемущественно стационарные ПК), lan2 -сеть с dhcp pool 192.168.14.10-192.168.14.126(в этой сети приемущественно AP WLAN и немного стационарных ПК), lan3-vpn. Все Интерфейсы между собой не пересекаются. В сетевом экране и нате только одно правило между этими двумя сетями(проброс rdp). В обоих Dhcp ничего кроме 2х dns и gateway нет.
Проблема:
Одному(iphone) из ~300 устройств находясь в lan1 назначается ip из dhcp pool lan2, после того как побывает в зоне lan2.
system log dhcp:Jun 24 12:53:17 dhcpd: DHCPOFFER on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:53:18 dhcpd: DHCPREQUEST for 192.168.14.23 (192.168.14.1) from 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:53:18 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:54:12 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:54:12 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 --[b]устройство находится в зоне действия lan2(работает нормально)[/b] ..... Jun 24 13:23:57 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:23:57 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:26:33 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:26:33 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 --[b]устройство находится в зоне действия lan1(работает не нормально)[/b]нажимаешь забыть сеть, заново присоединяешься и устройство берет нормальный ip
dhcpd: DHCPNAK on 192.168.6.103 to 40:b3:95:34:53:52 via em1 Jun 24 13:45:57 dhcpd: DHCPDISCOVER from 40:b3:95:34:53:52 via em1 Jun 24 13:45:57 dhcpd: DHCPOFFER on 192.168.6.225 to 40:b3:95:34:53:52 via em1 Jun 24 13:45:58 dhcpd: DHCPREQUEST for 192.168.6.225 (192.168.0.99) from 40:b3:95:34:53:52 via em1 Jun 24 13:45:58 dhcpd: DHCPACK on 192.168.6.225 to 40:b3:95:34:53:52 via em1для примера как отрабатывают другие устройства в такой же ситуации
Jun 24 12:55:39 dhcpd: DHCPOFFER on 192.168.14.10 to cc:fa:00:a7:d0:b3 (Iphone5) via igb0 Jun 24 12:55:39 dhcpd: DHCPREQUEST for 192.168.14.10 (192.168.14.1) from cc:fa:00:a7:d0:b3 (Iphone5) via igb0 Jun 24 12:55:39 dhcpd: DHCPACK on 192.168.14.10 to cc:fa:00:a7:d0:b3 (Iphone5) via igb0 ---[b]устройство находится в зоне действия lan2(работает нормально)[/b] ..... Jun 24 13:30:32 dhcpd: DHCPREQUEST for 192.168.6.106 from cc:fa:00:a7:d0:b3 via em1 Jun 24 13:30:33 dhcpd: DHCPACK on 192.168.6.106 to cc:fa:00:a7:d0:b3 (Iphone5) via em1 ---[b]устройство находится в зоне действия lan1(работает нормально)[/b]И так постоянно, помогает только DHCP Static Mappings
-
А обратный переход тестировали - взять адрес em1 и перейти в igb0 ?
Что-то похоже по симптомам на это
http://forum.ixbt.com/topic.cgi?id=86:27
http://www.linux.org.ru/forum/admin/8448856 -
в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется
-
в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется
Вторую ссылку выше посмотрите про shared network. У меня сейчас не на чем проверить.
-
в конфиге pfsense ни слова про shared-network
<dhcpd><lan><range><from>192.168.6.10</from> <to>192.168.6.110</to></range> <enable><failover_peerip><dhcpleaseinlocaltime><defaultleasetime>7200</defaultleasetime> <maxleasetime>86400</maxleasetime> <netmask><gateway>192.168.6.1</gateway> <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><staticmap><mac>40:b3:95:34:53:52</mac> <ipaddr>192.168.6.225</ipaddr> <hostname>iPhone-5-DTM</hostname> <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> <dnsserver>192.168.6.1</dnsserver> <dnsserver>8.8.8.8</dnsserver></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></netmask></dhcpleaseinlocaltime></failover_peerip></enable></lan> <opt1><range><from>192.168.14.10</from> <to>192.168.14.126</to></range> <failover_peerip><dhcpleaseinlocaltime></dhcpleaseinlocaltime> <defaultleasetime>7200</defaultleasetime> <maxleasetime>86400</maxleasetime> <netmask></netmask> <gateway>192.168.14.1</gateway> <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><enable><staticmap><mac>40:b3:95:34:53:52</mac> <ipaddr>192.168.14.225</ipaddr> <hostname>Iphone-5-DTM</hostname> <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> <dnsserver>192.168.14.1</dnsserver> <dnsserver>8.8.8.8</dnsserver></enable></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></failover_peerip></opt1></dhcpd> -
В сетевом экране и нате только одно правило между этими двумя сетями(проброс rdp)
Можно ли глянуть правила fw на LAN-интерфейсах и правила NAT\Port forwarding-а.
И еще , модели AP WLAN можно ли узнать ?
-
ap разные именно в данном варианте:
lan1 - dlink g700
lan2 - cisco wlc 2504 -
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?http://i61.fastpic.ru/big/2014/0624/10/ef699ca49614f3561b8f71f8297da010.jpg
http://i61.fastpic.ru/big/2014/0624/e7/fd60368e72f93d665dfbf259784b96e7.jpg -
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?И вам доброго времени суток werter, я сделал проброс web морды устройства из lan2 в lan1 :-[ разъясните мне ошибку.
-
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?И вам доброго времени суток werter, я сделал проброс web морды устройства из в lan2 в lan1 :-[ разъясните мне ошибку.
[/quote]
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так? -
http://ru.wikipedia.org/wiki/NAT
http://habrahabr.ru/post/147996/Если вы хотите что-то разрешить\запретить - исп-ся правила fw на интерфейсах.
-
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?
Зачем там Port forwarding ? Там достаточно обычного разрешения.
P.s. Покажите скрин Outbound.
-
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?
Зачем там Port forwarding ? Там достаточно обычного разрешения.
P.s. Покажите скрин Outbound.
стоит на автомате Automatic outbound NAT rule generation
-
А зачем же вы правило на LAN в fw обозвали NAT ?
И зачем создали правила Port forwarding на LAN? -
werter, я понял, что настроил доступ из lan1 в lan2 не правильно, вы лучше объясните, как я это должен был реализовать. И давайте сразу вернемся к исходной проблеме.
p.s. Спасибо -
1. Удаляйте свой портфорвард на LAN (два правила)
2. На LAN для разрешения должно быть правило, разрешающее прохождение пакетов из одной сети в другую по опред протоколам на опред. порты. Всё. -
создаю правило, доступа нет, но это позже
Что насчет проблемы с dhcp? -
На iphone - последняя версия macos? Если нет, то обновите.
-
Да, последняя 7.1.1
-
У др. устройств такой проблемы не наблюдается ?
