DHCP multiplos escopos e faixas de rede

marcelloc

Pra quem acompanha o fórum a algum tempo sabe que fui bem relutante a tal da "segurança por obscuridade" onde o sysadmin configura duas redes no mesmo segmento de rede para dividir servidores de estações ou qualquer coisa do tipo.

Isso gerava uma demanda de "Como configurar vários escopos de dhcp no pfsense?" E a resposta era a mesma…

"Não dá".

A novidade agora é:

Pensando em usar todas as funcionalidades do dhcp, incluindo distribuir ip para redes que ele não faz parte, Acabei de alterar o código da 2.1 em uma vm para aceitar vários escopos por interface.

Vejam os screenshots e configuração resultante:

option domain-name "localdomain";
option ldap-server code 95 = text;
option domain-search-list code 119 = text;

default-lease-time 7200;
max-lease-time 86400;
log-facility local7;
one-lease-per-client true;
deny duplicates;
ping-check true;
authoritative;
subnet 192.168.5.0 netmask 255.255.255.0 {
        pool {
                option domain-name-servers 8.8.8.8;
                range 192.168.5.10 192.168.5.25;
        }

        option routers 192.168.5.1;
        option domain-name-servers 8.8.8.8;

}
subnet 192.168.6.0 netmask 255.255.255.0 {
        pool {
                option domain-name-servers 8.8.8.8;
                deny unknown-clients;
                option routers 192.168.6.1;
                range 192.168.6.35 192.168.6.140;
        }

}subnet 192.168.7.0 netmask 255.255.255.128 {
        pool {
                option routers 192.168.7.1;
                range 192.168.7.10 192.168.7.90;
        }

}

Este novo código mantém compatibilidade com versões anteriores e portanto não afeta a configuração básica do DHCP utilizada no pfsense. :)

marcioducrato

como é esse codigo onde aplica e tudo mais? e outra duvida quando coloquei um range para ficar separado ai coloquei pra negar clientes desconhecido, só que quando fui adicionar um ip fixo pelo mac ele deu erro avisando que o ip não podia ser adicionado por pq o ip tava no pool, ai fica a pegunta se o range estar separado do pool e tem a opção do negar desconhecido de que serve se eu não posso adiconar o mac para ele pegar ip?

marcelloc

@marcioducrato:

como é esse codigo onde aplica e tudo mais?

Por enquanto ele ainda está em fase de testes e atrás de recompensas. Você pode ajudar neste link

@marcioducrato:

E outra duvida quando coloquei um range para ficar separado ai coloquei pra negar clientes desconhecido, só que quando fui adicionar um ip fixo pelo mac ele deu erro avisando que o ip não podia ser adicionado por pq o ip tava no pool, ai fica a pegunta se o range estar separado do pool e tem a opção do negar desconhecido de que serve se eu não posso adiconar o mac para ele pegar ip?

Posso testar o código da forma que você esta dizendo para ver se é alguma restrição imposta ou se é um bug na validação dos campos.

elizeufreitas

Olá marcelloc, essa solução já existe ou pode ser implantada nas versões acima da 2.2 ?

marcelloc

@elizeufreitas:

Olá marcelloc, essa solução já existe ou pode ser implantada nas versões acima da 2.2 ?

Fiz o port e o pull request para a 2.0, 2.1 e 2.2. Mas infelizmente nenhuma delas foi "vista a tempo" pelo core team e acabou que ficaram pra trás.

Não sei se vou mais uma vez "perder tempo" sugerindo melhorias para > /dev/null

tomaswaldow

Esse tipo de situação é ruim para o projeto.
Não é primeira vez que vejo isso acontecer.
Tomara que alguém de lá veja isso com mais atenção.

marcelloc

@Tomas:

Tomara que alguém de lá veja isso com mais atenção.

Ou pelo menos alguma atenção.

elizeufreitas

Então atualmente não dá pra fazer a modificação? Já procurei em vários lugares essa solução, esse foi o único post que vi o que realmente procuro.

marcelloc

Veja os pull requests do projeto no github, os códigos estão lá.

https://github.com/pfsense/pfsense/pull/1406