Problème de DHCP avec Pfsense



  • Bonsoir!!
    Voici la configuration de mon réseau

    *Routeur
    IP 192.168.1.1; DNS 192.168.1.1; DHCP activé.

    *Pfsense
    WAN 192.168.1.100 (DHCP); LAN 192.168.0.13 (static); DHCP activé.

    *Windows 2008
    IP 192.168.1.10; Passerelle 192.168.1.1; DNS 192.168.1.10 et 206.82.130.196

    *Point d'accès
    IP 192.168.0.1

    Pfsense est connecté au routeur. Windows 2008 branché à un switch qui est lui aussi connecté au routeur. Ensuite tous les clients desktop sont reliés au switch et les laptop au wifi du point d'accès.

    J'ai effectué quelques recherches au préalable sur le sujet mais je n'ai trouvé aucun qui repond parfaitement à ce que je veux vraiment. J'ai un petit soucis. Mon serveur pfsense fonctionne correctement avec l'interface WAN en DHCP et LAN static évidemment. Le soucis est que je viens d'ajouter un serveur windows 2008 dont le dhcp aussi est actif. Ce qui me fait 3 DHCP dans mon réseau (routeur, pfsense et windows 2008). Quand le serveur windows est en marche, pfsense recupère les paramètres (adresse IP, DNS) et en ce moment les utilisateurs qui se connecte au serveur pfsense n'ont plus accès à internet. Pourtant je tiens à conserver le DHCP du serveur. Si je dois configurer le WAN en static quelles sont les paramètres que je dois désactiver svp? Je sais que je dois désactiver un DHCP mais lequel?

    J'espère avoir été clair dans mes explications et respecté les précieuses règles de ce forum dont je visite souvent :D
    ![gnrl setup.JPG](/public/imported_attachments/1/gnrl setup.JPG)
    ![gnrl setup.JPG_thumb](/public/imported_attachments/1/gnrl setup.JPG_thumb)
    ![dhcp server.JPG](/public/imported_attachments/1/dhcp server.JPG)
    ![dhcp server.JPG_thumb](/public/imported_attachments/1/dhcp server.JPG_thumb)
    ![dns forwader.JPG](/public/imported_attachments/1/dns forwader.JPG)
    ![dns forwader.JPG_thumb](/public/imported_attachments/1/dns forwader.JPG_thumb)
    ![dns resolver.JPG](/public/imported_attachments/1/dns resolver.JPG)
    ![dns resolver.JPG_thumb](/public/imported_attachments/1/dns resolver.JPG_thumb)





  • heu rien compris



  • Ce qui me fait 3 DHCP dans mon réseau (routeur, pfsense et windows 2008).

    Pourquoi ? Clairement, il y en a en trop !

    Apprenez à noter les choses et à faire de bons réglages :

    • réseau WAN : 192.168.1.x/24
    • réseau LAN : 192.168.0.x/24
      Vous ne devriez pas utiliser ces valeurs, car elles sont trop fréquentes …

    DHCP c'est simple : un réseau physique = UN et UN SEUL serveur DHCP

    Le réseau WAN devant être réduit à un simple câble RJ (routeur-WAN pfSense), il n'y a pas lieu à avoir de DHCP : WAN serait mieux en statique.

    Le réseau LAN comportant un serveur Windows (que je suppose contrôleur de domaine), le seul DHCP utile devrait être le serveur Windows 2008 (qui mettra à jour le dns interne ce qu'est incapable de faire pfSense). => arrêt de DHCP sur pfSense



  • Windows 2008 branché à un switch qui est lui aussi connecté au routeur.

    Je ne comprend pas la logique de cette architecture. Peut être voulez vous dire que Windows2008 est connecté à l'interface lan de Pfsense ? Ce qui devrait être le cas.

    Je sais que je dois désactiver un DHCP mais lequel?

    Comme indiqué précédemment, un seul serveur DHCP sur le lan est nécessaire dans votre cas. Lequel conserver ? Si je suppose comme jdh que nous avons un domaine AD ce sera celui du serveur 2008.
    Pas de DHCP nécessaire dans la partie Wan.
    Comme l'indique jdh, les valeurs 192.168.0.0/24 et 192.168.1.0/24 sont à éviter. Dès que vous allez utiliser des solutions d'interconnexion de réseaux (vpn) les ennuis vont commencer car vous allez trouver des numéros de réseaux identiques de chaque côté du lien, ce qui sera sources d'ennuis. Vous avez tout le loisir de choisir un adressage du lan de 192.168.255.0/24 à 192.168.2.0/24.



  • Merci pour vos interventions et vos conseils.
    Oui il y a un controlleur de domaine en place. Pfsense n'est pas connecté à windows 2008 mais directement sur le routeur. Lorsque le serveur est en marche pfsense prend les configurations de windows 2008 au lieu de celles du routeur.ce qui fait que ceux qui se connecte sur le point d'accès n'ont un accès a internet (paramètres IP non valides je suppose). Si je comprends bien c'est le DHCP de pfsense qui attribue les adresses au client du point d'accès. Donc je le garde. Ensuite WAN je le met en static (des paramètres doivent changées au niveau de pfsense, c'est-à-dire dns forwader ou dns resolver doit être désactivé ??). Je garde le DHCP de windows 2008 pour les utilisateurs en local. Enfin je désactive le DHCP sur le routeur. Pour tenir compte de vos suggestions j'utilises d'autres adresses que celles 192.168.1.x et 192.168.0.x



  • Je n'avais même pas vu 'Windows 2008 branché à un switch qui est lui aussi connecté au routeur' !

    Si on met un firewall en séparation de 2 réseaux physiques distincts, ce n'est pas pour créer des 'court-circuits' comme cela !
    En reliant les 2 réseaux, comment voulez vous comprendre ce qu'il se passe : un PC reçoit une adresse du DHCP le plus rapide !

    Sauf pour les habitants de l'Ain, je préconise de choisir un réseau 192.168.(département).x/24 …



  • @jdh:

    En reliant les 2 réseaux, comment voulez vous comprendre ce qu'il se passe : un PC reçoit une adresse du DHCP le plus rapide !

    Effectivement j'ai constaté ca. Parfois pfsense prend les paramètres du routeur, parfois celles de windows 2008.
    Souvent ca balance même.

    Ma dernière question c'est par rapport a la configuration static WAN. Si je dois mettre WamAN en static, quelles sont les autres paramètres que je dois modifier au niveau de pfsense pour que ca marche correctement?

    En attendant que je fouille de mon côte aussi voir je trouve quelque chose par rapport a la configuration du WAN sratic ;D ;D

    Cordialement !!



  • Si je dois mettre WamAN en static, quelles sont les autres paramètres que je dois modifier au niveau de pfsense pour que ca marche correctement?

    Rien de particulier. Vous renseignez correctement la configuration de l'interface Wan.
    A lire vos questions je pense qu'une amélioration de vos connaissances réseau ne seraient pas inutile, tout comme la lecture attentive de la documentation de Pfsense. Ce n'est pas ce qui manque.



  • @ccnet:

    Rien de particulier. Vous renseignez correctement la configuration de l'interface Wan.
    A lire vos questions je pense qu'une amélioration de vos connaissances réseau ne seraient pas inutile, tout comme la lecture attentive de la documentation de Pfsense. Ce n'est pas ce qui manque.

    C'est exact. En fait j'ai pfsense cook book mais comme c'est en anglais j'ai un peu de mal vue que mon niveau en anglais en faible. C'est bien vu.Je reconnais avoir des petits trous en reseau et je compte les combler. Merci infiniment!!

    Cordialement



  • Parfois pfsense prend les paramètres du routeur, parfois celles de windows 2008

    Tiens donc … cela aurait du mettre 'la puce à l'oreille' !

    Pour passer WAN en statique, il faut

    • définir une gateway (par défaut) : System > Routing > Gateways
    • définir le dns de pfSense : System > General Setup
      (- associer la gateway à WAN : Interfaces > WAN : non nécessaire dans le cas 1 seule WAN !)


  • @jdh:

    Tiens donc … cela aurait du mettre 'la puce à l'oreille' !

    ;D ;D Parfois on cherche le problème trop loin alors qu'il est à côté. Dommage que ca ne m'est pas venu à l'idée
    Vraiment merci pour les configurations!!! Je vais changer les adresses IP 192.168.1.x et 192.168.0.x qui sont à éviter et refaire la configuration.

    Cordialement!!



  • @jerrynho:

    Je vais changer les adresses IP 192.168.1.x et 192.168.0.x qui sont à éviter et refaire la configuration.

    Ce qui est important, c'est surtout de comprendre pourquoi utiliser telle ou telle plage d'adresse.

    Le seul risque avec les adresses que tout le monde utilise par défaut, c'est que le jour ou tu vas vouloir interconnecter des réseau qui ont la même plage, il va falloir faire de la translation d'adresse.
    Mais en dehors de ce cas, il n'y a pas de vrai risque  ;) ce qui n'empêche pas de manière préventive de choisir une autre plage… mais ce n'est absolument pas une garantie qu'un jour tu ne devras pas faire de translation d'adresse. Et il y a quelques services qui supportent mal ce genre de chose.

    J'habite dans l'Ain  :P et j'inter-connecte  plusieurs sites qui sont dans ce même département. C'est sous forme d'une demi-blague mais ce qui importe, c'est vraiment de comprendre le pourquoi de cette préconisation de changement d'adresse.



  • La remarque vaut aussi pour les connexions dites nomade (utilisateurs isolés vers le SI) en vpn puisque, le plus souvent, ils sont connectés via une box dont le dhcp, chez pratiquement tous les opérateurs, propose du 192.168.0.0/24 ou 192.168.1.0/24. Là aussi des ennuis potentiels.



  • Salut,

    la bonne pratique windows serveur est de désactiver tous les autres serveurs DHCP sur ton réseau. il faut que win serveur qui attribue les adresses IP sur ton réseau LAN.