[Résolu] Serveur DHCP sur LAN2 ne renvoie pas d'adresse

chris4916

Seule l'interface LAN a un accès par défaut.
Pour toutes les autres interfaces, il faut spécifiquement autoriser les flux.

Dimix971

Merci chris pour ta réponse, mais comment autoriser les flux ?

Gertjan

@Dimix971:

Merci chris pour ta réponse, mais comment autoriser les flux ?

=> ajoute des règles sur toutes interfaces 'internes' (sauf LAN, qui a un règle pas-tout paramaétéré par défaut).

Mais ….
Toutes les interfaces LAN 'internes' , (donc aussi OPT1, etc etc) ont des règle cachés.
Un petite inspection les montre bien :

[2.4.2-RELEASE][admin@pfsense.brit-hotel-fumel.net]/root: pfctl -vvsr

.....

  @66(1000002641) pass in quick on fxp0 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server"
  [ Evaluations: 2290571   Packets: 972       Bytes: 332651      States: 0     ]
  [ Inserted: pid 71439 State Creations: 250   ]
@67(1000002642) pass in quick on fxp0 inet proto udp from any port = bootpc to 192.168.1.1 port = bootps keep state label "allow access to DHCP server"
  [ Evaluations: 254       Packets: 555       Bytes: 215874      States: 0     ]
  [ Inserted: pid 71439 State Creations: 86    ]
@68(1000002643) pass out quick on fxp0 inet proto udp from 192.168.1.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server"
  [ Evaluations: 3085108   Packets: 53        Bytes: 17384       States: 0     ]
  [ Inserted: pid 71439 State Creations: 19    ]

.....  

@78(1000003691) pass in quick on sis0 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server"
  [ Evaluations: 256185    Packets: 4543      Bytes: 1503797     States: 0     ]
  [ Inserted: pid 71439 State Creations: 778   ]
@79(1000003692) pass in quick on sis0 inet proto udp from any port = bootpc to 192.168.2.1 port = bootps keep state label "allow access to DHCP server"
  [ Evaluations: 166       Packets: 404       Bytes: 133975      States: 0     ]
  [ Inserted: pid 71439 State Creations: 11    ]
@80(1000003693) pass out quick on sis0 inet proto udp from 192.168.2.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server"
  [ Evaluations: 2229902   Packets: 67        Bytes: 21976       States: 0     ]
  [ Inserted: pid 71439 State Creations: 0     ]

.....

NB : fxp0 est mon interface LAN sis0 est mon interface OPT1
Autrement dit, les requêtes UDP, portes 67 et 68, sont acceptées => c'est tout l'activité lié à DHCP qui passe toujours.
Un client (==appareil) que tu connecte sur cet interface pourrait demander un IP (passerelle, DNS), et le serveur DHCP de pfSEnse qui tourne pour cet interface va lui répondre.
En absence d'autres règles, les tiennes - dans le GUI - section : cet interface concernant, cet appareil ne pourrait pas communiquer car rien passera plus loin que 'pfSense'.

Si dès le début le DHCP n'a pas l'aire de fonctionner, c'est ton setup que est … foiré.

Dimix971

Effectivement mon setup doit être foiré comme tu dis car après vérification je possède exactement les même règles cachée que toi.  :(

Une piste pour régler mon problème ?

tom072

Hello
Je pense que tu dois avoir un autre problème que le DHCP:
1- as-tu du trafic réseau sur ton LAN2, histoire de voir si c'est ton serveur DHCP qui est en cause ?  Tu mets une IP fixe sur ton Seven virtuel et tu ping
2- ne pas oublier au moins une règle sur le parefeu du Lan2: au moins une sur IPV4 tout protocol vers tous réseaux, le temps de tester)
3- Si tu est en virtuel : attention: pas de vlan sur tes cartes

Dimix971

Hello @Tom072
@tom072:

1- as-tu du trafic réseau sur ton LAN2, histoire de voir si c'est ton serveur DHCP qui est en cause ?  Tu mets une IP fixe sur ton Seven virtuel et tu ping

Lorsque je mets une IP fixe sur mon Seven virtuel avec le LAN2 en passerelle, j'ai effectivement du trafic (PING, Internet)

@tom072:

2- ne pas oublier au moins une règle sur le parefeu du Lan2: au moins une sur IPV4 tout protocol vers tous réseaux, le temps de tester)

J'ai rajouté la règle et j'ai toujours le même problème  :-\

@tom072:

3- Si tu est en virtuel : attention: pas de vlan sur tes cartes

Effectivement je me suis renseigné au préalable vis-à-vis du VLAN avant d'apprendre que ce n'était pas conseillé

tom072

Hello
1- vérifie tes logs system dans la rubrique DHCP si ton DHCP marche bien sur tes 2 lans

2- Supprime tes 2 cartes lan et recommence que pour ton LAN2: c'est souvent là où le bas blesse !

3- ta version Pfsense ?

4- Attention : si tu es en virtuel sous VirtualBox :
    - bien utiliser une carte réseau virtuelle Intel PRO : j'ai déjà eu des trucs bizarres  avec les autres modèles
    - Attention aux émulations d'OS : même chose, cela peut faire des trucs très louches dans les couches réseaux : pour ma part, je met une émulation Linux 2.6 64 bits

5- Après, je ne sais pas: cela devrait marcher : j'ai 6 serveurs DHCP sur x Vlan et aucun problème de fonctionnement

Gérard

Dimix971

@tom072:

1- vérifie tes logs system dans la rubrique DHCP si ton DHCP marche bien sur tes 2 lans

Pas de DHCPOFFER sur mon LAN2 : (Mon premier LAN n'ayant plus besoin de DHCP je l'ai donc supprimé)
Dec 27 10:58:11 dhcpd DHCPDISCOVER from f0:1f:af:d1:9f:61 via hn3: peer holds all free leases
Dec 27 10:58:14 dhcpd DHCPDISCOVER from f0:1f:af:d1:9f:61 via hn3: peer holds all free leases
Dec 27 10:58:17 dhcpd DHCPDISCOVER from f0:1f:af:d1:9f:61 via hn3: peer holds all free leases

Dec 27 11:28:54 dhcpd DHCPDISCOVER from 00:15:5d:0a:21:10 via hn3: peer holds all free leases <== Seven virtuel
@tom072:

2- Supprime tes 2 cartes lan et recommence que pour ton LAN2: c'est souvent là où le bas blesse !

J'ai pensé à mettre toute la configuration du LAN2 sur mon LAN et celle du LAN sur mon LAN2 car lorsque je supprime le DHCP sur mon LAN2 et que j'en place un sur mon LAN, ma machine de test obtient bien une adresse
@tom072:

3- ta version Pfsense ?

2.4.2-RELEASE-p1 (amd64)
@tom072:

4- Attention : si tu es en virtuel sous VirtualBox :
    - bien utiliser une carte réseau virtuelle Intel PRO : j'ai déjà eu des trucs bizarres  avec les autres modèles
    - Attention aux émulations d'OS : même chose, cela peut faire des trucs très louches dans les couches réseaux : pour ma part, je met une émulation Linux 2.6 64 bits

Je suis sous Hyper-V sur un Windows Server 2012 R2
@tom072:

5- Après, je ne sais pas: cela devrait marcher : j'ai 6 serveurs DHCP sur x Vlan et aucun problème de fonctionnement

Merci pour ton aide en tout cas  :D

jdh

Il y a un élément oublié dans tous les commentaires : virtualisation (avec HyperV)

La virtualisation complique la juste perception des choses !

En l'espèce, il y a a minima 3 switchs (WAN, LAN, LAN2), et il est préférable que le dhcp soit bien fourni sur le bon switch …

Il eut été bon de tester d'abord avec une VM configurée en statique, puis que cette VM écoute ce qu'il se passe (avec arpwatch et/ou un mode promiscious).

Dimix971

@jdh:

Il y a un élément oublié dans tous les commentaires : virtualisation (avec HyperV)

Je l'ai mentionné que mon pfsense était installé sur Hyper-V

@jdh:

En l'espèce, il y a a minima 3 switchs (WAN, LAN, LAN2), et il est préférable que le dhcp soit bien fourni sur le bon switch …

En théorie le DHCP est bien fourni sur le bon commutateur virtuel étant donné que chaque interface possède son propre commutateur virtuel

baalserv

Bonjour,

Que les interfaces sync ne soit que virtuelle, ok ; mais les 3 autres doivent être associer à 3 cartes eth physique sur l'hyperviseur. Les avez-vous ?

Dimix971

Bonjour,
@baalserv:

Que les interfaces sync ne soit que virtuelle, ok ; mais les 3 autres doivent être associer à 3 cartes eth physique sur l'hyperviseur. Les avez-vous ?

Du coup j'avais mal compris la phrase de @jdh, effectivement je n'ai que 2 cartes eth physique, une sur le WAN et la deuxième sur le LAN.
Si j'ai bien compris, il me faut donc obligatoirement une 3ème carte physique pour mettre en place mon DHCP sur mon LAN2 ?

Dimix971

J'ai finalement réglé mon problème.

Le problème venait du failover, je ne sais pour quelle raison lorsque je rentre l'adresse de mon second pfsense (dans failover peer IP) aucune IP n'est renvoyé et lorsque je ne mets pas l'adresse du second plus de problèmes.

Je vous remercie de votre aide ;D

chris4916

Ce dysfonctionnement, car s'en est un, devrait t'alerter qu'il y a un problème quelque part dans ta conf.
Car en effet tu es supposé renseigner dans ton serveur DHCP l'adresse IP de l'autre noeud du cluster (puisque c'est de cela dont il s'agit).

Si ça ne fonctionne pas c'est qu'il y a un souci.

Je te confirme par ailleurs que le cluster via CARP et pfSync fonctionne bien avec cette IP si tout est bien configuré.

Dimix971

@chris4916:

Ce dysfonctionnement, car s'en est un, devrait t'alerter qu'il y a un problème quelque part dans ta conf.

Vous pensez que le problème peut venir d'où ?
Configuration du failover ou du serveur DHCP en lui-même ?

chris4916

Je ne sais pas. De pfSync peut-être… tu ne donnes aucune indication sur cet aspect de la configuration, nu peu comme si c'était naturel.
"je suis en CARP...." et donc tout marche bien :-)  mais non.
Tu dois d'ailleurs avoir des messages d'erreur sur un de tes serveurs DHCP non ?

Dimix971

@chris4916:

Ce dysfonctionnement, car s'en est un, devrait t'alerter qu'il y a un problème quelque part dans ta conf.

Je viens de trouver le problème effectivement c'était un problème de conf du DHCP.
Au lieu de mettre l'adresse de l'interface LAN2 du pfsense backup je saisissais l'adresse de sync (Quel boulet)  :'(

Merci à toi @chris4916