Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas com DHCP

    Portuguese
    4
    18
    5.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      thiagosf88
      last edited by

      Pessoal,

      Fixed leases na minha lan. E marquei a opção que diz para negar ips aos desconhecidos (Deny unknown clients)
      no entanto quando vou em Status -> DHCP Leases tem está sendo distribuido ip para quem não está cadastrado.

      Zerei o Pfsense aos padrões de fabrica e subi um backup mas continua apresentando isso.

      Abraço

      1 Reply Last reply Reply Quote 0
      • T
        thiagosf88
        last edited by

        Pessoal,
        além desse problema que reportei anteriormente. Estou notando uma coisa.
        Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
        via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
        mas gostaria que isso não acontecesse.

        Tem alguma configuração para isso?

        1 Reply Last reply Reply Quote 0
        • marcellocM
          marcelloc
          last edited by

          @thiagosf88:

          Tem alguma configuração para isso?

          Para comunicação com a internet, você pode usar o ipguard para bloquear ips não cadastrados.
          Teste a configuração em laboratório antes, ou você vai acabar perdendo acesso ao firewall.

          Para resolver internamente, o melhor seria implementar 802.1x na sua rede. Desta forma só maquinas autenticadas no switch/ad/radius tem acesso a vlan interna.

          Treinamentos de Elite: http://sys-squad.com

          Help a community developer! ;D

          1 Reply Last reply Reply Quote 0
          • T
            thiagosf88
            last edited by

            Marcelloc,

            instalei o ipguard mas não entendi corretamente a lógica de criação das regras.
            Eu terei que re cadastrar todos macs que quero que possam acessar a internet?
            Digo isso pois já uso o DHCP com fixed leases.

            Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

            Abraço

            1 Reply Last reply Reply Quote 0
            • marcellocM
              marcelloc
              last edited by

              @thiagosf88:

              Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

              Não

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • T
                thiagosf88
                last edited by

                Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @thiagosf88:

                  Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>

                  Você viu isso no arquivo de configuração do dhcp ou no xml do pfsense?

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • T
                    thiagosf88
                    last edited by

                    no xml do pfsense.

                    1 Reply Last reply Reply Quote 0
                    • J
                      johnnybe
                      last edited by

                      @thiagosf88:

                      Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
                      via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
                      mas gostaria que isso não acontecesse.

                      Tem alguma configuração para isso?

                      Configuração, para evitar isso, acho que não. O que tem é a velha e bem conhecida Engenharia Social. Alguém abre o bico sobre o IP do host e daí basta fazer tentativa e erro: Ah! O IP que me falaram é 192.168.0.30, então vamos tentar 0.10,… 0.19, 0.21, 0.22 e assim por diante.
                      Ou usar algum scanner, como o nmap.

                      Toda vez que marquei a caixa "Deny unknown clients", sendo o pfSense o único servidor DHCP, eu tinha que liberar o host pelo MAC address, do contrário nada de acesso.

                      O que não foi especificado: Qual sua versão do pfSense? Tem mais de uma interface usando a LAN? Qual a Range de IPs na LAN? Habilitou Static ARP na LAN?

                      you would not believe the view up here

                      1 Reply Last reply Reply Quote 0
                      • T
                        thiagosf88
                        last edited by

                        johnnybe,

                        Então comigo também estava funcionando a não disponibilização de ips para os não cadastrados, mas não sei bem o que aconteceu.
                        Hoje vou tentar subir a configuração em um outro servidor pfsense para ver se resolve. Como medida de contenção deixei apenas 1 ip
                        na faixa disponível para o dhcp e bloqueio-o com regras no firewall.
                        Uso a versão 2.0.1 do pfsense. E tem apenas mais de uma rede internet a lan e 2 opt. Mas todas estão com o deny marcado.

                        1 Reply Last reply Reply Quote 0
                        • T
                          thiagosf88
                          last edited by

                          Pessoal,

                          resetei ao padrão de fábrica do pfsense. E subi um backup mas mesmo assim ele continua fornecendo ips para máquinas que não estão
                          cadastrados os endereços MAC. A máquina não navega na internet mas navega na minha rede internet.
                          Está marcado tanto o Deny unknown clients, quanto o Enable Static ARP entries.

                          Muito estranho isso.

                          1 Reply Last reply Reply Quote 0
                          • J
                            johnnybe
                            last edited by

                            @thiagosf88:

                            …resetei ao padrão de fábrica do pfsense. E subi um backup...

                            Hhhmmmm… será que esse backup já não tinha alguma coisa errada que poderia estar causando isso?

                            you would not believe the view up here

                            1 Reply Last reply Reply Quote 0
                            • T
                              thiagosf88
                              last edited by

                              Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
                              O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

                              1 Reply Last reply Reply Quote 0
                              • J
                                johnnybe
                                last edited by

                                @thiagosf88:

                                Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
                                O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

                                Então… mãos à obra: Reinstale o pfsense do zero, e vá recadastrando os MAC.  :)
                                Do que adianta restaurar um backup que não lhe serve?  ???
                                Costumo ser bem chato com isso: Vai alterar uma virgula, faça backup completo antes. Os arquivos de backup são ridiculamente pequenos, mesmo salvando todo histórico dos RRD.  ;D
                                http://nextsense.com.br/blog/archives/706

                                you would not believe the view up here

                                1 Reply Last reply Reply Quote 0
                                • T
                                  thiagosf88
                                  last edited by

                                  Johnnybe,
                                  estou tentando adiar essa opção pois tenho uma quantidade grande de mac cadastrados bem como regras de firewall.
                                  Estou tentando verificar o erro que causou isso. Se não estou enganado isso começou depois que fiz algumas configurações
                                  de regra de firewall que limita o tráfego dos ips usando o limiter e apareceu um erro no pfsense. Um erro que fica passando onde
                                  normalmente está o hostname do firewall.

                                  Por acaso você sabe qual arquivo de configuração do dhcp no pfsense? Já olhei o backup e realmente está definido para negar ip aos desconhecidos
                                  queria dar uma olhada na configuração real do dhcp.

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    thiagosf88
                                    last edited by

                                    Encontrei o arquivo do dhcp e nele também parece estar tudo normal.
                                    O trecho inicial dele:

                                    option domain-name "dominio.local";
                                    option ldap-server code 95 = text;
                                    option domain-search-list code 119 = text;

                                    default-lease-time 7200;
                                    max-lease-time 86400;
                                    log-facility local7;
                                    ddns-update-style none;
                                    one-lease-per-client true;
                                    deny duplicates;
                                    ping-check true;
                                    authoritative;
                                    subnet 192.168.0.0 netmask 255.255.240.0 {
                                    pool {
                                    option domain-name-servers 192.168.10.1,192.168.10.2;
                                    deny unknown-clients;
                                    range 192.168.11.1 192.168.11.1;
                                    }
                                    option routers 192.168.0.1;
                                    option domain-name "dominio.local";
                                    option domain-name-servers 192.168.10.1,192.168.10.2;

                                    }
                                    host s_lan_0 {

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      thiagosf88
                                      last edited by

                                      Pessoal,

                                      notei uma coisa. O MAC que está recebendo indevidamente o ip está
                                      cadastrado em outra rede, ou seja, está com fixed leased na rede opt1 e
                                      recebe active lease da rede lan.

                                      1 Reply Last reply Reply Quote 0
                                      • JackLJ
                                        JackL
                                        last edited by

                                        thiagosf88,

                                        Aparentemente seu problema está no endereçamento desta sua rede IPv4. Veja que em função da sua máscara ser "255.255.240.0", equipamentos que teoricamente não estariam no mesmo segmento de rede, passam a estar!  :-\

                                        Abraços!
                                        Jack

                                        Treinamentos de Elite: http://sys-squad.com
                                        Soluções: https://conexti.com.br

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.