Problemas com DHCP
-
Pessoal,
Fixed leases na minha lan. E marquei a opção que diz para negar ips aos desconhecidos (Deny unknown clients)
no entanto quando vou em Status -> DHCP Leases tem está sendo distribuido ip para quem não está cadastrado.Zerei o Pfsense aos padrões de fabrica e subi um backup mas continua apresentando isso.
Abraço
-
Pessoal,
além desse problema que reportei anteriormente. Estou notando uma coisa.
Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
mas gostaria que isso não acontecesse.Tem alguma configuração para isso?
-
Tem alguma configuração para isso?
Para comunicação com a internet, você pode usar o ipguard para bloquear ips não cadastrados.
Teste a configuração em laboratório antes, ou você vai acabar perdendo acesso ao firewall.Para resolver internamente, o melhor seria implementar 802.1x na sua rede. Desta forma só maquinas autenticadas no switch/ad/radius tem acesso a vlan interna.
-
Marcelloc,
instalei o ipguard mas não entendi corretamente a lógica de criação das regras.
Eu terei que re cadastrar todos macs que quero que possam acessar a internet?
Digo isso pois já uso o DHCP com fixed leases.Vcoê tem ideia de por queo deny unknown client não estaria funcionando?
Abraço
-
-
Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>
-
Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>
Você viu isso no arquivo de configuração do dhcp ou no xml do pfsense?
-
no xml do pfsense.
-
Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
mas gostaria que isso não acontecesse.Tem alguma configuração para isso?
Configuração, para evitar isso, acho que não. O que tem é a velha e bem conhecida Engenharia Social. Alguém abre o bico sobre o IP do host e daí basta fazer tentativa e erro: Ah! O IP que me falaram é 192.168.0.30, então vamos tentar 0.10,… 0.19, 0.21, 0.22 e assim por diante.
Ou usar algum scanner, como o nmap.Toda vez que marquei a caixa "Deny unknown clients", sendo o pfSense o único servidor DHCP, eu tinha que liberar o host pelo MAC address, do contrário nada de acesso.
O que não foi especificado: Qual sua versão do pfSense? Tem mais de uma interface usando a LAN? Qual a Range de IPs na LAN? Habilitou Static ARP na LAN?
-
johnnybe,
Então comigo também estava funcionando a não disponibilização de ips para os não cadastrados, mas não sei bem o que aconteceu.
Hoje vou tentar subir a configuração em um outro servidor pfsense para ver se resolve. Como medida de contenção deixei apenas 1 ip
na faixa disponível para o dhcp e bloqueio-o com regras no firewall.
Uso a versão 2.0.1 do pfsense. E tem apenas mais de uma rede internet a lan e 2 opt. Mas todas estão com o deny marcado. -
Pessoal,
resetei ao padrão de fábrica do pfsense. E subi um backup mas mesmo assim ele continua fornecendo ips para máquinas que não estão
cadastrados os endereços MAC. A máquina não navega na internet mas navega na minha rede internet.
Está marcado tanto o Deny unknown clients, quanto o Enable Static ARP entries.Muito estranho isso.
-
…resetei ao padrão de fábrica do pfsense. E subi um backup...
Hhhmmmm… será que esse backup já não tinha alguma coisa errada que poderia estar causando isso?
-
Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1) -
Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)Então… mãos à obra: Reinstale o pfsense do zero, e vá recadastrando os MAC. :)
Do que adianta restaurar um backup que não lhe serve? ???
Costumo ser bem chato com isso: Vai alterar uma virgula, faça backup completo antes. Os arquivos de backup são ridiculamente pequenos, mesmo salvando todo histórico dos RRD. ;D
http://nextsense.com.br/blog/archives/706 -
Johnnybe,
estou tentando adiar essa opção pois tenho uma quantidade grande de mac cadastrados bem como regras de firewall.
Estou tentando verificar o erro que causou isso. Se não estou enganado isso começou depois que fiz algumas configurações
de regra de firewall que limita o tráfego dos ips usando o limiter e apareceu um erro no pfsense. Um erro que fica passando onde
normalmente está o hostname do firewall.Por acaso você sabe qual arquivo de configuração do dhcp no pfsense? Já olhei o backup e realmente está definido para negar ip aos desconhecidos
queria dar uma olhada na configuração real do dhcp. -
Encontrei o arquivo do dhcp e nele também parece estar tudo normal.
O trecho inicial dele:option domain-name "dominio.local";
option ldap-server code 95 = text;
option domain-search-list code 119 = text;default-lease-time 7200;
max-lease-time 86400;
log-facility local7;
ddns-update-style none;
one-lease-per-client true;
deny duplicates;
ping-check true;
authoritative;
subnet 192.168.0.0 netmask 255.255.240.0 {
pool {
option domain-name-servers 192.168.10.1,192.168.10.2;
deny unknown-clients;
range 192.168.11.1 192.168.11.1;
}
option routers 192.168.0.1;
option domain-name "dominio.local";
option domain-name-servers 192.168.10.1,192.168.10.2;}
host s_lan_0 { -
Pessoal,
notei uma coisa. O MAC que está recebendo indevidamente o ip está
cadastrado em outra rede, ou seja, está com fixed leased na rede opt1 e
recebe active lease da rede lan. -
thiagosf88,
Aparentemente seu problema está no endereçamento desta sua rede IPv4. Veja que em função da sua máscara ser "255.255.240.0", equipamentos que teoricamente não estariam no mesmo segmento de rede, passam a estar! :-\
Abraços!
Jack
