Pf como Servidor DHCP sin controlar las VLAN
-
Saludos.
He trabajado pfsense como servidor DHCP, cuando el mismo controla las VLAN, es decir pfsense es el gw lan de los diferentes segmentos. 10.10.10.1 10.10.20.1 10.10.30.1 etc.
Mi pregunta es la siguiente, si Pfsense es el FIrewall mas no controla el enrutamiento intervlan-lan (ya que lo hace un cisco capa3) . Es posible que el sea DHCP de los diferentes segmentos? Ya que en la conf no consigo como realizarla, pareciera que de forma obligada para hacerlo, el debe controlar el segmento en su interfaz.
Gracias.
-
Hola a ver si entiendo, tienes un cisco capa 3, ahi tienes vlans. El cisco en este momento me imagino es el DHCP?
Ahora, cuando se configuran las VLANS necesitas un switch con esa capacidad, posteriormente lo mas comun es que pfsense sea quien administre los IPS atraves del servicio de DHCP para esas vlans.
Ahora, he trabajado con ciscos como en tu caso y claro que puedes hacer que pfsense sea el DHCP de esos segmentos, aqui ya no es configuracion de pfsense, es configuracion del cisco para que el no sea el DHCP.
Si va por aqui tu pregunta? Saludos.
-
@periko Hola. gracias por Responder.
El servidor DHCP es un potecito en Debian.
Mi pfsense es ip lan: 172.20.9.2, el gateway (core) 172.20.9.1. Adicional pfsense maneja una wan /29 para los servicios e internet.
Mi lan es: 10.10.30.0/24 10.10.40.0/24 10.10.50.0/24 Pero son redes enrutadas por el cisco core. Esto quiere decir que mi pfsense maneja solo lo que de la LAN busca hacia la wan y lo que viene de la wan mediante NAT (correo web etc).
Quiero quitar el Debian de DHCP para que esta funcion la tenga el pfsense por un tema de adminsitracion mas amigable.
El tema esta en que no logro crear el "scope" del DHCP para cada una de las vlan, ya que son segmento que no controlo.
Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
Hardening Linux
Telegram: @vtlbackupbacula
http://www.smartitbc.com/en/contact.html -
Leyendo esto https://docs.netgate.com/pfsense/en/latest/dhcp/dhcp-server.html
Pareciera que para ser DHCP de otras redes, solo es posible si y solo si manejo inter interfaz en dicho segmento. Por lo que me llevaría a quitar el enrutamiento invervlan en el core y que pfsense sea el que controle c/u de las vlans.
-
@j-sejo1 creo que un diagrama dira mas de tu caso
-
anexo
Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
Hardening Linux
Telegram: @vtlbackupbacula
http://www.smartitbc.com/en/contact.html -
@j-sejo1 lo que veo es lo siguiente, ahorita el debian se encarga de entregar las IP's a tus redes, es el DHCP, entonces como le hicistes para que el pudiera hablar con esas vlans y entregarles su IP a cada VLAN?
Por que esta en la misma red de pfsense, no deberia ver problema que Pfsense hiciera la misma labor.
Saludos.
-
Revisa la config de tu Switch L3 Cisco por que me imagino que debe tener alguna directiva que diga o indique a los clientes en esas vlan quien es el servidor DHCP... algo asi como DHCP Relay o DHCP Helper ..... y le indicas que sera tu pfsense 10.51.210.15 ahora debe estar apuntando a tu debian box
int vlan 211
ip helper-address 10.51.210.15int vlan 212
ip helper-address 10.51.210.15.
.
. -
@periko Por que el Debian (servicio ISC) Puede crear los scope y entregar sin problemas aunque el solo pertenesca a la red de servidores puedo crear los scope de los otros segmentos.
Pareciera que en el pfsense para poder entregar DHCP, mi lan debe estar sobre VLAN, debo entonces levantar una interfaz (pata) por cada una vlans y alli en la vlan puedo activar el DHCP para esa vlan en especifico. Esto hara que el enrutamiento intervlan ya no lo haga el core.
Sin embargo sobre la lan Actual, solo puedo crear dhcp para mi segmento. No deja crear scope para segmentos diferentes a la vlans.
Es facil, busquen un pfsense que maneje una sola LAN y traten de crear un scope para otro segmento en el DHCP. Para que vean a que me refiero.
-
@luisenrique Gracias.
Pero el problema es, que Pfsense si no controla la interfaz de ese segmento, no puede crear el scope en el DHCP.
Saludos.
-
Un Hilo "antiguo" pero creo que la "limitación" sigue siendo la misma...
https://forum.netgate.com/topic/41599/multiple-dhcp-scopes-without-defining-vlans
-
@j-sejo1
cierto....
en ese caso te recomiendo que le heches un vistaso a estos enlaces:
https://github.com/opnsense/core/issues/2238
https://github.com/pfsense/pfsense/pull/816
https://forum.netgate.com/topic/59570/dhcpd-with-multiple-ipv4-subnets-outside-of-local-interface-network-300us/42https://happy-coder.com/2014/06/27/pfsense-custom-dhcpd-configuration/
https://blog.tinle.org/2013/01/09/single-dhcp-server-for-multiple-subnets-vlans-one-single-interface/Suerte y si te sirve pues dejanos saber aca quizas a alguien mas le sirva.
SAludos
