Не правильная работа DHCP
-
имеется PFSENSE 2.1.2 c 2wan, 3lan, wanЫ настроен на failover, lan1 -сеть с dhcp pool 192.168.6.10-192.168.6.110(в этой сети есть AP WLAN, но приемущественно стационарные ПК), lan2 -сеть с dhcp pool 192.168.14.10-192.168.14.126(в этой сети приемущественно AP WLAN и немного стационарных ПК), lan3-vpn. Все Интерфейсы между собой не пересекаются. В сетевом экране и нате только одно правило между этими двумя сетями(проброс rdp). В обоих Dhcp ничего кроме 2х dns и gateway нет.
Проблема:
Одному(iphone) из ~300 устройств находясь в lan1 назначается ip из dhcp pool lan2, после того как побывает в зоне lan2.
system log dhcp:Jun 24 12:53:17 dhcpd: DHCPOFFER on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:53:18 dhcpd: DHCPREQUEST for 192.168.14.23 (192.168.14.1) from 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:53:18 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:54:12 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 Jun 24 12:54:12 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via igb0 --[b]устройство находится в зоне действия lan2(работает нормально)[/b] ..... Jun 24 13:23:57 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:23:57 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:26:33 dhcpd: DHCPREQUEST for 192.168.14.23 from 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 Jun 24 13:26:33 dhcpd: DHCPACK on 192.168.14.23 to 40:b3:95:34:53:52 (iPhone-5-DTM) via em1 --[b]устройство находится в зоне действия lan1(работает не нормально)[/b]
нажимаешь забыть сеть, заново присоединяешься и устройство берет нормальный ip
dhcpd: DHCPNAK on 192.168.6.103 to 40:b3:95:34:53:52 via em1 Jun 24 13:45:57 dhcpd: DHCPDISCOVER from 40:b3:95:34:53:52 via em1 Jun 24 13:45:57 dhcpd: DHCPOFFER on 192.168.6.225 to 40:b3:95:34:53:52 via em1 Jun 24 13:45:58 dhcpd: DHCPREQUEST for 192.168.6.225 (192.168.0.99) from 40:b3:95:34:53:52 via em1 Jun 24 13:45:58 dhcpd: DHCPACK on 192.168.6.225 to 40:b3:95:34:53:52 via em1
для примера как отрабатывают другие устройства в такой же ситуации
Jun 24 12:55:39 dhcpd: DHCPOFFER on 192.168.14.10 to cc:fa:00:a7:d0:b3 (Iphone5) via igb0 Jun 24 12:55:39 dhcpd: DHCPREQUEST for 192.168.14.10 (192.168.14.1) from cc:fa:00:a7:d0:b3 (Iphone5) via igb0 Jun 24 12:55:39 dhcpd: DHCPACK on 192.168.14.10 to cc:fa:00:a7:d0:b3 (Iphone5) via igb0 ---[b]устройство находится в зоне действия lan2(работает нормально)[/b] ..... Jun 24 13:30:32 dhcpd: DHCPREQUEST for 192.168.6.106 from cc:fa:00:a7:d0:b3 via em1 Jun 24 13:30:33 dhcpd: DHCPACK on 192.168.6.106 to cc:fa:00:a7:d0:b3 (Iphone5) via em1 ---[b]устройство находится в зоне действия lan1(работает нормально)[/b]
И так постоянно, помогает только DHCP Static Mappings
-
А обратный переход тестировали - взять адрес em1 и перейти в igb0 ?
Что-то похоже по симптомам на это
http://forum.ixbt.com/topic.cgi?id=86:27
http://www.linux.org.ru/forum/admin/8448856 -
в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется
-
в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется
Вторую ссылку выше посмотрите про shared network. У меня сейчас не на чем проверить.
-
в конфиге pfsense ни слова про shared-network
<dhcpd><lan><range><from>192.168.6.10</from> <to>192.168.6.110</to></range> <enable><failover_peerip><dhcpleaseinlocaltime><defaultleasetime>7200</defaultleasetime> <maxleasetime>86400</maxleasetime> <netmask><gateway>192.168.6.1</gateway> <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><staticmap><mac>40:b3:95:34:53:52</mac> <ipaddr>192.168.6.225</ipaddr> <hostname>iPhone-5-DTM</hostname> <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> <dnsserver>192.168.6.1</dnsserver> <dnsserver>8.8.8.8</dnsserver></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></netmask></dhcpleaseinlocaltime></failover_peerip></enable></lan> <opt1><range><from>192.168.14.10</from> <to>192.168.14.126</to></range> <failover_peerip><dhcpleaseinlocaltime></dhcpleaseinlocaltime> <defaultleasetime>7200</defaultleasetime> <maxleasetime>86400</maxleasetime> <netmask></netmask> <gateway>192.168.14.1</gateway> <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><enable><staticmap><mac>40:b3:95:34:53:52</mac> <ipaddr>192.168.14.225</ipaddr> <hostname>Iphone-5-DTM</hostname> <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> <dnsserver>192.168.14.1</dnsserver> <dnsserver>8.8.8.8</dnsserver></enable></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></failover_peerip></opt1></dhcpd>
-
В сетевом экране и нате только одно правило между этими двумя сетями(проброс rdp)
Можно ли глянуть правила fw на LAN-интерфейсах и правила NAT\Port forwarding-а.
И еще , модели AP WLAN можно ли узнать ?
-
ap разные именно в данном варианте:
lan1 - dlink g700
lan2 - cisco wlc 2504 -
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?http://i61.fastpic.ru/big/2014/0624/10/ef699ca49614f3561b8f71f8297da010.jpg
http://i61.fastpic.ru/big/2014/0624/e7/fd60368e72f93d665dfbf259784b96e7.jpg -
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?И вам доброго времени суток werter, я сделал проброс web морды устройства из lan2 в lan1 :-[ разъясните мне ошибку.
-
@ bill_open
Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?И вам доброго времени суток werter, я сделал проброс web морды устройства из в lan2 в lan1 :-[ разъясните мне ошибку.
[/quote]
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так? -
http://ru.wikipedia.org/wiki/NAT
http://habrahabr.ru/post/147996/Если вы хотите что-то разрешить\запретить - исп-ся правила fw на интерфейсах.
-
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?
Зачем там Port forwarding ? Там достаточно обычного разрешения.
P.s. Покажите скрин Outbound.
-
Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?
Зачем там Port forwarding ? Там достаточно обычного разрешения.
P.s. Покажите скрин Outbound.
стоит на автомате Automatic outbound NAT rule generation
-
А зачем же вы правило на LAN в fw обозвали NAT ?
И зачем создали правила Port forwarding на LAN? -
werter, я понял, что настроил доступ из lan1 в lan2 не правильно, вы лучше объясните, как я это должен был реализовать. И давайте сразу вернемся к исходной проблеме.
p.s. Спасибо -
1. Удаляйте свой портфорвард на LAN (два правила)
2. На LAN для разрешения должно быть правило, разрешающее прохождение пакетов из одной сети в другую по опред протоколам на опред. порты. Всё. -
создаю правило, доступа нет, но это позже
Что насчет проблемы с dhcp? -
На iphone - последняя версия macos? Если нет, то обновите.
-
Да, последняя 7.1.1
-
У др. устройств такой проблемы не наблюдается ?
-
Нет, в 1 сообщении пример, как риагируют другие устройства в данном обстоятельстве
-
Делайте выводы.
Проблема в iPhone, а точнее - в MacOS.Привяжите его адрес жестко в DHCP на нужных вам сегментах.
-
Как я писал выше, так и сделал. Проблема точно не в ios, та же конфигурация, но на zywall usg 1000 великолепно работала.
-
Как я писал выше, так и сделал. Проблема точно не в ios, та же конфигурация, но на zywall usg 1000 великолепно работала.
Выложите Ваш конфиг dhcpd.
-
Выложите Ваш конфиг dhcpd.
В третьем своем сообщении выкладывал dhcpd из confog.xml или вам конкретно нужен dhcpd? вот он.
option domain-name "mydomain"; option ldap-server code 95 = text; option domain-search-list code 119 = text; default-lease-time 7200; max-lease-time 86400; log-facility local7; one-lease-per-client true; deny duplicates; ping-check true; authoritative; subnet 192.168.0.0 netmask 255.255.0.0 { pool { option domain-name-servers 192.168.6.1,8.8.8.8; range 192.168.6.10 192.168.6.110; } option routers 192.168.6.1; option domain-name-servers 192.168.0.99,8.8.8.8; default-lease-time 7200; max-lease-time 86400; } subnet 192.168.14.0 netmask 255.255.255.0 { pool { option domain-name-servers 192.168.14.1,8.8.8.8; range 192.168.14.10 192.168.14.126; } option routers 192.168.14.1; option domain-name "mydomain2"; option domain-name-servers 192.168.14.1,8.8.8.8; default-lease-time 7200; max-lease-time 86400; }
-
Вот это
subnet 192.168.0.0 netmask 255.255.0.0 {
subnet 192.168.14.0 netmask 255.255.255.0 {
В первой строке маска 255.255.0.0 должна быть заменена на 255.255.255.0, т.к. иначе первый пул пересекается с пулом 192.168.14.0
Проверьте настройки в DHCP и самого LAN на интерфейсе сети 192.168.0.0 -
В 100-ый раз убеждаюсь, что именно невнимательность в 99% является проблемой. А никак не конечный продукт.
-
это не невнимательность, такое большое пространство специально было создано для большого кол-ва пк.
-
это не невнимательность, такое большое пространство специально было создано для большого кол-ва пк.
для эксперимента переделаю 14 сеть в 10.100.100.0
-
Все бы ни что, да вот это же разные физические интерфейсы и разные копии dhcp служб(как я понимаю) запущены. Где ж они пересекаются? В любом случае будем посмотреть…
p.s. Аналогичная реализация на win и zywall работает.
-
В разных сервисах DHCP по разному работает поиск диапазонов. В dhcpd видимо ищет первый подходящий по списку конфиге диапазон, в других используется так называемый "жадный" поиск (как по сетям в целом) - подходящим считается наиболее узкий диапазон (range).