Problemas com DHCP



  • Pessoal,

    Fixed leases na minha lan. E marquei a opção que diz para negar ips aos desconhecidos (Deny unknown clients)
    no entanto quando vou em Status -> DHCP Leases tem está sendo distribuido ip para quem não está cadastrado.

    Zerei o Pfsense aos padrões de fabrica e subi um backup mas continua apresentando isso.

    Abraço



  • Pessoal,
    além desse problema que reportei anteriormente. Estou notando uma coisa.
    Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
    via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
    mas gostaria que isso não acontecesse.

    Tem alguma configuração para isso?



  • @thiagosf88:

    Tem alguma configuração para isso?

    Para comunicação com a internet, você pode usar o ipguard para bloquear ips não cadastrados.
    Teste a configuração em laboratório antes, ou você vai acabar perdendo acesso ao firewall.

    Para resolver internamente, o melhor seria implementar 802.1x na sua rede. Desta forma só maquinas autenticadas no switch/ad/radius tem acesso a vlan interna.



  • Marcelloc,

    instalei o ipguard mas não entendi corretamente a lógica de criação das regras.
    Eu terei que re cadastrar todos macs que quero que possam acessar a internet?
    Digo isso pois já uso o DHCP com fixed leases.

    Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

    Abraço



  • @thiagosf88:

    Vcoê tem ideia de por queo deny unknown client não estaria funcionando?

    Não



  • Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>



  • @thiagosf88:

    Já até dei uma olhada. No arquivo de configuração e as existe a tag <denyunknown>nas interfaces onde deveria estar negado o acesso.</denyunknown>

    Você viu isso no arquivo de configuração do dhcp ou no xml do pfsense?



  • no xml do pfsense.



  • @thiagosf88:

    Caso o usuário fixe um ip dentro da faixa da minha rede, ou seja, não o recebe
    via dhcp do pfsense ele consegue navegar na minha rede. Não sei se é esse o padrão
    mas gostaria que isso não acontecesse.

    Tem alguma configuração para isso?

    Configuração, para evitar isso, acho que não. O que tem é a velha e bem conhecida Engenharia Social. Alguém abre o bico sobre o IP do host e daí basta fazer tentativa e erro: Ah! O IP que me falaram é 192.168.0.30, então vamos tentar 0.10,… 0.19, 0.21, 0.22 e assim por diante.
    Ou usar algum scanner, como o nmap.

    Toda vez que marquei a caixa "Deny unknown clients", sendo o pfSense o único servidor DHCP, eu tinha que liberar o host pelo MAC address, do contrário nada de acesso.

    O que não foi especificado: Qual sua versão do pfSense? Tem mais de uma interface usando a LAN? Qual a Range de IPs na LAN? Habilitou Static ARP na LAN?



  • johnnybe,

    Então comigo também estava funcionando a não disponibilização de ips para os não cadastrados, mas não sei bem o que aconteceu.
    Hoje vou tentar subir a configuração em um outro servidor pfsense para ver se resolve. Como medida de contenção deixei apenas 1 ip
    na faixa disponível para o dhcp e bloqueio-o com regras no firewall.
    Uso a versão 2.0.1 do pfsense. E tem apenas mais de uma rede internet a lan e 2 opt. Mas todas estão com o deny marcado.



  • Pessoal,

    resetei ao padrão de fábrica do pfsense. E subi um backup mas mesmo assim ele continua fornecendo ips para máquinas que não estão
    cadastrados os endereços MAC. A máquina não navega na internet mas navega na minha rede internet.
    Está marcado tanto o Deny unknown clients, quanto o Enable Static ARP entries.

    Muito estranho isso.



  • @thiagosf88:

    …resetei ao padrão de fábrica do pfsense. E subi um backup...

    Hhhmmmm… será que esse backup já não tinha alguma coisa errada que poderia estar causando isso?



  • Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
    O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)



  • @thiagosf88:

    Pensei nisso também e cheguei dar um olhada no arquivo .xml e lá realmente tem uma tag para indicar o não fornecimento de ips aos mac não cadastrados.
    O problema é que tenho um grande número de macs cadastrados em 2 lan (lan + opt1)

    Então… mãos à obra: Reinstale o pfsense do zero, e vá recadastrando os MAC.  :)
    Do que adianta restaurar um backup que não lhe serve?  ???
    Costumo ser bem chato com isso: Vai alterar uma virgula, faça backup completo antes. Os arquivos de backup são ridiculamente pequenos, mesmo salvando todo histórico dos RRD.  ;D
    http://nextsense.com.br/blog/archives/706



  • Johnnybe,
    estou tentando adiar essa opção pois tenho uma quantidade grande de mac cadastrados bem como regras de firewall.
    Estou tentando verificar o erro que causou isso. Se não estou enganado isso começou depois que fiz algumas configurações
    de regra de firewall que limita o tráfego dos ips usando o limiter e apareceu um erro no pfsense. Um erro que fica passando onde
    normalmente está o hostname do firewall.

    Por acaso você sabe qual arquivo de configuração do dhcp no pfsense? Já olhei o backup e realmente está definido para negar ip aos desconhecidos
    queria dar uma olhada na configuração real do dhcp.



  • Encontrei o arquivo do dhcp e nele também parece estar tudo normal.
    O trecho inicial dele:

    option domain-name "dominio.local";
    option ldap-server code 95 = text;
    option domain-search-list code 119 = text;

    default-lease-time 7200;
    max-lease-time 86400;
    log-facility local7;
    ddns-update-style none;
    one-lease-per-client true;
    deny duplicates;
    ping-check true;
    authoritative;
    subnet 192.168.0.0 netmask 255.255.240.0 {
    pool {
    option domain-name-servers 192.168.10.1,192.168.10.2;
    deny unknown-clients;
    range 192.168.11.1 192.168.11.1;
    }
    option routers 192.168.0.1;
    option domain-name "dominio.local";
    option domain-name-servers 192.168.10.1,192.168.10.2;

    }
    host s_lan_0 {



  • Pessoal,

    notei uma coisa. O MAC que está recebendo indevidamente o ip está
    cadastrado em outra rede, ou seja, está com fixed leased na rede opt1 e
    recebe active lease da rede lan.



  • thiagosf88,

    Aparentemente seu problema está no endereçamento desta sua rede IPv4. Veja que em função da sua máscara ser "255.255.240.0", equipamentos que teoricamente não estariam no mesmo segmento de rede, passam a estar!  :-\

    Abraços!
    Jack


Log in to reply