Ativar DHCP em todas as interfaces LAN conflito

Kristhian

Boa tarde Pessoal do Fórum!
Sou novo e sempre venho recorrendo a vocês, sempre encontrei as respostas aqui, mas agora precio de uma ajuda.

Recentemente coloqueo o pFsense 2.0 para funcionar, esta tudo perfeito.
porém preciso ativar o dhcp em todas as lan's, o que acontece, é que os micros pegam ip aleatório, as vezes de uma faixa, as vezes de outra

tenho um dual core 3,0, 4gb de ram, 250hd, 3 redes físicas

wan 192.168.1.0/24
lan 1 192.168.0.0/8 (ate arrumar a lan 2, depois será 192.168.72.0/24)
lan 2 10.1.1.1/8

lan 1 com dhcp e filtro por mac, com a opção de "deny unknow clientes" marcada, mesmo asim ele pega ip das 2 lan's.
as vezez 192.168.72.200, as vezes 10.1.1.x(aleatório por que nao esta amarrado o mac neste "dhcp server")
tem como bloquear o acesso destes micro que estao cadastrados na lan 1, para que nao acessem a lan 2, que é livre?
Qual procedimento para que os micros que estão amarrados por MAC pegarem somente o IP correspondente?

Fico no aguardo e agradeço a ajuda de todos.
Obrigado…

cristianonix

Ola seja bem vindo !!!!

Procure por isso no google que vai te ajudar.

shared-network dhcpd.conf

Espero ter ajudado.

Kristhian

Eu encontrei algo sobre o shared-network, porém as informações que encontrei são apenas para 1 interface lan, o que preciso é para 2 interfaces lan.
saberia me informar algum link referente?
obrigado!!

cristianonix

Siga esses link pra voce ter a noção:
http://blog.up-link.ro/how-to-set-up-an-openbsd-router-step-by-step-tutorial/
http://tassio.eti.br/index.php/gnu-linux/96-dhcp-para-2-redes-diferentes

marcelloc

Kristhian,

Duas redes no mesmo segmento de rede não é uma configuração recomendada.
Este conceito é chamado de  "segurança por obscuridade".

Sugiro usar a mesma faixa ou configura dois segmentos de rede.
Se não quiser usar várias placas no pfsense, considere a utlização de switches com suporte a vlan(a interface do firewall também precisa ter este suporte).

att,
Marcello Coutinho

johnnybe

@marcelloc:

Kristhian,

Duas redes no mesmo segmento de rede não é uma configuração recomendada.
Este conceito é chamado de  "segurança por obscuridade".

Sugiro usar a mesma faixa ou configura dois segmentos de rede.
Se não quiser usar várias placas no pfsense, considere a utlização de switches com suporte a vlan(a interface do firewall também precisa ter este suporte).

att,
Marcello Coutinho

Talvez fazer bridge entre as duas LANs seja uma opção, nunca precisei. Alguém já fez isso?

marcelloc

@johnnybe:

Talvez fazer bridge entre as duas LANs seja uma opção, nunca precisei. Alguém já fez isso?

Se for para usar faixas distintas de ip, recomendo roteamento.

Quem precisar usar duas lans em bridge com a mesma faixa de ip, não deixe de testar o throughput que o seu pfsense vai conseguir.

att,
Marcello Coutinho

Kristhian

Primeiramente, agradeço a ajuda de todos, mas eu sou novato no pfsense.
Andei olhando os links mas o meu arquivo de dhcp esta similar aos passados.
A diferença entre eles é o cadastro do mac address.
E mesmo os mac's cadastrados pegam ip em qualquer interface.
Como o Marcelloc falou, preciso de roteamento, terei regras completamente diferentes no firewall, cada adaptador com suas regras, por ex, uma rede nao acessa a outra.
preciso trabalhar com 3 faixas de ip, 2 faixas no mesmo adaptador, liberado pela mascara de rede mesmo.
e outra totalmente independente.

segue abaixo meu dhcpd.conf

option domain-name "localdomain";
option ldap-server code 95 = text;
option domain-search-list code 119 = text;

default-lease-time 7200;
max-lease-time 86400;
log-facility local7;
ddns-update-style none;
one-lease-per-client true;
deny duplicates;
ping-check true;
authoritative;
subnet 192.168.0.0 netmask 255.255.0.0 {
pool {
range 192.168.205.5 192.168.205.50;
}
option routers 192.168.2.253;
option domain-name-servers 192.168.2.253;

}
host s_lan_0 {
hardware ethernet 00:0c:29:a6:26:83;
fixed-address 192.168.20.20;
option host-name "teste";
}
host s_lan_1 {
hardware ethernet 00:19:d1:aa:2d:cc;
fixed-address 192.168.72.21;
option host-name "Cameras1";
}
host s_lan_2 {
hardware ethernet 00:23:54:e3:96:1e;
fixed-address 192.168.72.22;
option host-name "Cameras2";
}
host s_lan_3 {
hardware ethernet 0c:ee:e6:fc:92:2b;
fixed-address 192.168.72.35;
option host-name "secretaria2";
}
host s_lan_4 {
hardware ethernet 00:1f:e2:31:d1:3c;
fixed-address 192.168.72.36;
option host-name "biblioteca1";
}
host s_lan_5 {
hardware ethernet 00:16:ec:09:f1:9e;
fixed-address 192.168.72.38;
option host-name "Franquia1";
}
host s_lan_6 {
hardware ethernet f4:6d:04:df:16:b1;
fixed-address 192.168.72.40;
option host-name "AssessoraDiretoria";
}
host s_lan_7 {
hardware ethernet 0c:ee:e6:fc:91:e6;
fixed-address 192.168.72.42;
option host-name "Secretaria1";
}
host s_lan_8 {
hardware ethernet 00:1b:b9:60:70:8a;
fixed-address 192.168.72.51;
option host-name "Comercial7";
}
host s_lan_9 {
hardware ethernet 00:30:67:50:08:66;
fixed-address 192.168.72.56;
option host-name "GerenteFinanceiro";
}
host s_lan_10 {
hardware ethernet 00:21:97:9e:12:12;
fixed-address 192.168.72.57;
option host-name "Comercial4";
}
host s_lan_11 {
hardware ethernet 00:25:22:38:03:19;
fixed-address 192.168.72.66;
option host-name "Comercial1";
}
host s_lan_12 {
hardware ethernet f4:6d:04:9f:91:b7;
fixed-address 192.168.72.68;
option host-name "Protocolo";
}
host s_lan_13 {
hardware ethernet 00:25:22:38:03:5d;
fixed-address 192.168.72.71;
option host-name "Comercial-7";
}
host s_lan_14 {
hardware ethernet 00:21:97:9e:0e:9d;
fixed-address 192.168.72.72;
option host-name "Comercial5";
}
host s_lan_15 {
hardware ethernet f4:6d:04:9f:95:98;
fixed-address 192.168.72.75;
option host-name "pos-estagiario";
}
host s_lan_16 {
hardware ethernet 00:24:21:fa:bd:49;
fixed-address 192.168.72.76;
option host-name "Financeiro3";
}
host s_lan_17 {
hardware ethernet 00:0c:6e:ec:d7:8a;
fixed-address 192.168.72.79;
option host-name "Franquia2";
}
host s_lan_18 {
hardware ethernet 00:25:11:e4:bd:c6;
fixed-address 192.168.72.84;
option host-name "pos3";
}
host s_lan_19 {
hardware ethernet 00:1c:25:46:9a:6b;
fixed-address 192.168.72.89;
option host-name "Extensao";
}
host s_lan_20 {
hardware ethernet 00:1e:90:fa:d4:e8;
fixed-address 192.168.72.92;
option host-name "Comercial2";
}
host s_lan_21 {
hardware ethernet 00:24:21:c5:91:dc;
fixed-address 192.168.72.94;
option host-name "financeiro2";
}
host s_lan_22 {
hardware ethernet 00:17:31:62:68:67;
fixed-address 192.168.72.95;
option host-name "professores-02";
}
host s_lan_23 {
hardware ethernet 00:1f:d0:f5:0a:dc;
fixed-address 192.168.72.97;
option host-name "Presidencia";
}
host s_lan_24 {
hardware ethernet 00:19:21:3a:2e:d7;
fixed-address 192.168.72.98;
option host-name "GerenteComercial";
}
host s_lan_25 {
hardware ethernet 00:22:68:4e:46:e3;
fixed-address 192.168.72.99;
option host-name "biblioteca2";
}
host s_lan_26 {
hardware ethernet 00:30:67:08:65:83;
fixed-address 192.168.72.100;
option host-name "Impressora";
}
host s_lan_27 {
hardware ethernet 00:16:ec:db:72:a0;
fixed-address 192.168.72.101;
option host-name "graduacao1";
}
host s_lan_28 {
hardware ethernet 00:03:2f:37:7e:06;
fixed-address 192.168.72.102;
option host-name "estag-pos-extensao";
}
host s_lan_29 {
hardware ethernet 0c:ee:e6:fc:98:3a;
fixed-address 192.168.72.114;
option host-name "DiretorPosGraduacao";
}
host s_lan_30 {
hardware ethernet 0c:ee:e6:fc:98:49;
fixed-address 192.168.72.134;
option host-name "professores-03";
}
host s_lan_31 {
hardware ethernet 0c:ee:e6:fc:99:81;
fixed-address 192.168.72.149;
option host-name "Recepcao";
}
host s_lan_32 {
hardware ethernet 00:1c:25:46:38:f8;
fixed-address 192.168.72.165;
option host-name "pos";
}
host s_lan_33 {
hardware ethernet 00:19:66:aa:4a:13;
fixed-address 192.168.72.199;
option host-name "rh01";
}
host s_lan_34 {
hardware ethernet 00:1c:25:46:33:5b;
fixed-address 192.168.72.200;
option host-name "gracuacao2";
}
host s_lan_35 {
hardware ethernet f4:6d:04:df:17:03;
fixed-address 192.168.72.203;
option host-name "mkt-06";
}
host s_lan_36 {
hardware ethernet 00:30:67:50:0a:92;
fixed-address 192.168.72.204;
option host-name "mkt-01";
}
host s_lan_37 {
hardware ethernet 00:1c:25:46:2b:80;
fixed-address 192.168.72.205;
option host-name "atendimento-4";
}
host s_lan_38 {
hardware ethernet 00:1c:25:48:b4:fe;
fixed-address 192.168.72.206;
option host-name "GerenteExtensao";
}
host s_lan_39 {
hardware ethernet c8:3a:35:cc:97:93;
fixed-address 192.168.72.208;
option host-name "mkt-03";
}
host s_lan_40 {
hardware ethernet c8:3a:35:cc:97:9e;
fixed-address 192.168.72.209;
option host-name "Fisioterapia";
}
host s_lan_41 {
hardware ethernet 00:24:8c:ff:4f:c6;
fixed-address 192.168.72.210;
option host-name "MKT-02";
}
host s_lan_42 {
hardware ethernet f4:6d:04:df:16:b0;
fixed-address 192.168.72.211;
option host-name "DiretoriaAdministrativa";
}
host s_lan_43 {
hardware ethernet 00:1e:90:f6:8c:fc;
fixed-address 192.168.72.212;
option host-name "ti";
}
host s_lan_44 {
hardware ethernet 00:30:67:5b:28:b9;
fixed-address 192.168.72.220;
option host-name "mkt-05";
}
host s_lan_45 {
hardware ethernet 14:da:e9:6e:b3:de;
fixed-address 192.168.72.224;
option host-name "mkt-04-pc";
}
host s_lan_46 {
hardware ethernet 00:25:11:be:ae:93;
fixed-address 192.168.72.225;
option host-name "InspirarSP-PC";
}
host s_lan_47 {
hardware ethernet 0c:ee:e6:fc:92:5c;
fixed-address 192.168.200.121;
option host-name "sala1";
}
host s_lan_48 {
hardware ethernet 0c:ee:e6:fc:98:4c;
fixed-address 192.168.200.122;
option host-name "sala4";
}
host s_lan_49 {
hardware ethernet 0c:ee:e6:fc:99:82;
fixed-address 192.168.200.123;
option host-name "sala-03";
}
host s_lan_50 {
hardware ethernet 0c:ee:e6:fc:9a:9d;
fixed-address 192.168.200.124;
option host-name "sala2";
}
host s_lan_51 {
hardware ethernet 0c:ee:e6:fc:9a:a3;
fixed-address 192.168.200.125;
option host-name "sala5";
}
host s_lan_52 {
hardware ethernet 00:1e:90:fa:98:f1;
fixed-address 192.168.200.127;
option host-name "Auditorio";
}
host s_lan_53 {
hardware ethernet 0c:ee:e6:fc:95:e1;
fixed-address 192.168.200.140;
option host-name "Alunos1_Biblioteca";
}
host s_lan_54 {
hardware ethernet 00:1b:b9:61:56:7e;
fixed-address 192.168.200.141;
option host-name "Alunos2_Biblio";
}
host s_lan_55 {
hardware ethernet 00:0f:ea:d8:46:74;
fixed-address 192.168.200.142;
option host-name "Alunos3_Biblioteca";
}
host s_lan_56 {
hardware ethernet 00:1e:90:f6:7f:75;
fixed-address 192.168.200.143;
option host-name "alunos1";
}
host s_lan_57 {
hardware ethernet 00:21:97:76:63:35;
fixed-address 192.168.200.144;
option host-name "Alunos5_Biblioteca";
}
host s_lan_58 {
hardware ethernet 0c:ee:e6:fc:96:95;
fixed-address 192.168.200.245;
option host-name "Alunos-1";
}
host s_lan_59 {
hardware ethernet 0c:ee:e6:fc:98:10;
fixed-address 192.168.200.246;
option host-name "Alunos-2";
}
host s_lan_60 {
hardware ethernet 0c:ee:e6:fc:94:ea;
fixed-address 192.168.200.247;
option host-name "Alunos-3";
}
host s_lan_61 {
hardware ethernet 0c:ee:e6:fc:91:f5;
fixed-address 192.168.200.248;
option host-name "Alunos-4";
}
host s_lan_62 {
hardware ethernet 0c:ee:e6:fc:98:3c;
fixed-address 192.168.200.249;
option host-name "Alunos-5";
}
host s_lan_63 {
hardware ethernet 00:03:2f:37:7f:ef;
fixed-address 192.168.200.250;
option host-name "Alunos3-sandar";
}
host s_lan_64 {
hardware ethernet 00:08:54:88:d9:92;
fixed-address 192.168.200.251;
option host-name "alunos2_2andar";
}
host s_lan_65 {
hardware ethernet 00:18:e7:02:a2:a7;
fixed-address 192.168.200.252;
option host-name "alunos1_2andar";
}

cristianonix

Setasse as interfaces no arquivo do dhcp ?

att,

marcelloc

@Kristhian:

preciso trabalhar com 3 faixas de ip, 2 faixas no mesmo adaptador, liberado pela mascara de rede mesmo.

Segmente usa rede usando vlans, vai ficar mais seguro e profissional.

Kristhian

cristianonix
sim, eu setei as configurações no arquivo, mas tive que remover para nao dar conflito na rede.

marcelloc
gostaria de trabalhar com vlan, mas nao consegui tambem.
criei ela e o ip não responde, alem de criar precisa de mais alguma regra?

mas eu gostaria de trabalhar com 2 redes fisicas mesmo, para o que temos hoje, estaria excelente.

tem algum exemplo do arquivo dhcpd.conf para me passar?

cristianonix

Separa, cada placa de rede, uma rede.
;D

Kristhian

@cristianonix:

Separa, cada placa de rede, uma rede.
;D

é exatamente esta a intenção, porem tenho o problema com o dhcp..
rsrs

marcelloc

@Kristhian:

marcelloc
gostaria de trabalhar com vlan, mas nao consegui tambem.
criei ela e o ip não responde, alem de criar precisa de mais alguma regra?

Os switches da usa rede tem suporte a vlan? Se tiver a configuração é mais simples do que você imagina.

att,
Marcello Coutinho

Kristhian

Sim, tenho 2 switch swt24cg da trellis (não gostei!!)

eles tem suporte a vlan.

cristianonix

Leia o manual de teu switch para aprender a fazer a vlan.
É tranquilo.

marcelloc

@Kristhian:

Sim, tenho 2 switch swt24cg da trellis (não gostei!!)

basicamente o que você precisa é o seguinte:

• crie as vlans no switch

• na porta do pfsense e na porta de uplink para o outro switch, configure todas as vlans como TAGGED(ou porta no modo trunk em alguns switches)

• para as portas dos clientes, configure a sua respectiva vlan como UNTAG

explicação simples:
UNTAG - modo onde a maquina não precisa de configuração nenhuma para acessar a rede
TAG - modo onde a maquina/servidor precisa especificar na sua configuração o id da vlan a ser acessada.

configurações que não funcionam:

• Configurar duas vlans UNTAG na mesma porta

configurações que devem ser evitadas:

• Configurar na mesma porta uma vlan UNTAG e outra TAG (o modo hibrido não é 100% compatível com todos os equipamentos)

att,
Marcello Coutinho

Kristhian

eu ja li o manual, mas ele é muito fraco.

vou tentar fazer o que o Marcelo falou, porem somente final de semana, não posso para a empresa..
agradeço a atenção e assim que testar eu posto novamente.