Не правильная работа DHCP



  • в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется



  • @bill_open:

    в обратном - все норм, только один клиент, может конечно и больше, но ни кто не жалуется

    Вторую ссылку выше посмотрите про shared network. У меня сейчас не на чем проверить.



  • в конфиге pfsense ни слова про shared-network

    
     <dhcpd><lan><range><from>192.168.6.10</from>
    				<to>192.168.6.110</to></range> 
    			 <enable><failover_peerip><dhcpleaseinlocaltime><defaultleasetime>7200</defaultleasetime>
    			<maxleasetime>86400</maxleasetime>
    			 <netmask><gateway>192.168.6.1</gateway>
    			 <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><staticmap><mac>40:b3:95:34:53:52</mac>
    				<ipaddr>192.168.6.225</ipaddr>
    				<hostname>iPhone-5-DTM</hostname>
    				 <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> 
    			<dnsserver>192.168.6.1</dnsserver>
    			<dnsserver>8.8.8.8</dnsserver></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></netmask></dhcpleaseinlocaltime></failover_peerip></enable></lan> 
    		 <opt1><range><from>192.168.14.10</from>
    				<to>192.168.14.126</to></range> 
    			 <failover_peerip><dhcpleaseinlocaltime></dhcpleaseinlocaltime>
    			<defaultleasetime>7200</defaultleasetime>
    			<maxleasetime>86400</maxleasetime>
    			<netmask></netmask>
    			<gateway>192.168.14.1</gateway>
    			 <domain><domainsearchlist><ddnsdomain><mac_allow><mac_deny><tftp><ldap><nextserver><filename><rootpath><numberoptions><enable><staticmap><mac>40:b3:95:34:53:52</mac>
    				<ipaddr>192.168.14.225</ipaddr>
    				<hostname>Iphone-5-DTM</hostname>
    				 <descr><filename><rootpath><defaultleasetime><maxleasetime><gateway><domain><domainsearchlist><ddnsdomain><tftp><ldap></ldap></tftp></ddnsdomain></domainsearchlist></domain></gateway></maxleasetime></defaultleasetime></rootpath></filename></descr></staticmap> 
    			<dnsserver>192.168.14.1</dnsserver>
    			<dnsserver>8.8.8.8</dnsserver></enable></numberoptions></rootpath></filename></nextserver></ldap></tftp></mac_deny></mac_allow></ddnsdomain></domainsearchlist></domain></failover_peerip></opt1></dhcpd> 
    
    


  • В сетевом экране и нате только одно правило между этими двумя сетями(проброс rdp)

    Можно ли глянуть правила fw на LAN-интерфейсах и правила NAT\Port forwarding-а.

    И еще , модели AP WLAN можно ли узнать ?



  • ap разные именно в данном варианте:
    lan1 - dlink g700
    lan2 - cisco wlc 2504



  • @ bill_open
    Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?

    http://i61.fastpic.ru/big/2014/0624/10/ef699ca49614f3561b8f71f8297da010.jpg
    http://i61.fastpic.ru/big/2014/0624/e7/fd60368e72f93d665dfbf259784b96e7.jpg



  • @werter:

    @ bill_open
    Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?

    И вам доброго времени суток werter, я сделал проброс web морды устройства из lan2 в lan1 :-[ разъясните мне ошибку.



  • @bill_open:

    @werter:

    @ bill_open
    Дорогой вы мой человечище, ну с каких пор вдруг правила NAT стали использоваться как правила fw для разрешения\запрета чего-то ?! Ну на кой же хрен вы на LAN такое с NAT-ом накрутили?

    И вам доброго времени суток werter, я сделал проброс web морды устройства из в lan2 в lan1 :-[ разъясните мне ошибку.
    [/quote]
    Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?



  • http://ru.wikipedia.org/wiki/NAT
    http://habrahabr.ru/post/147996/

    Если вы хотите что-то разрешить\запретить - исп-ся правила fw на интерфейсах.



  • Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?

    Зачем там Port forwarding ? Там достаточно обычного разрешения.

    P.s. Покажите скрин Outbound.



  • @werter:

    Чем дальше, тем меньше вообще понимаю. Я создал pf , правило для него появилось автоматом. проброс заработал, устройство стало доступно. Что ни так?

    Зачем там Port forwarding ? Там достаточно обычного разрешения.

    P.s. Покажите скрин Outbound.

    стоит на автомате Automatic outbound NAT rule generation



  • А зачем же вы правило на LAN в fw обозвали NAT ?
    И зачем создали правила Port forwarding на LAN?



  • werter, я понял, что настроил доступ из lan1 в lan2 не правильно, вы лучше объясните, как я это должен был реализовать. И давайте сразу вернемся к исходной проблеме.
    p.s. Спасибо



  • 1. Удаляйте свой портфорвард на LAN (два правила)
    2. На LAN для разрешения должно быть правило, разрешающее прохождение пакетов из одной сети в другую по опред протоколам на опред. порты. Всё.



  • создаю правило, доступа нет, но это позже
    Что насчет проблемы с dhcp?



  • На iphone - последняя версия macos? Если нет, то обновите.



  • Да, последняя 7.1.1



  • У др. устройств такой проблемы не наблюдается ?



  • Нет, в 1 сообщении пример, как риагируют другие устройства в данном обстоятельстве



  • Делайте выводы.
    Проблема в iPhone, а точнее - в MacOS.

    Привяжите его адрес жестко в DHCP на нужных вам сегментах.



  • Как я писал выше, так и сделал. Проблема точно не в ios, та же конфигурация, но на zywall usg 1000 великолепно работала.



  • @bill_open:

    Как я писал выше, так и сделал. Проблема точно не в ios, та же конфигурация, но на zywall usg 1000 великолепно работала.

    Выложите Ваш конфиг dhcpd.



  • Выложите Ваш конфиг dhcpd.

    В третьем своем сообщении выкладывал dhcpd из confog.xml или вам конкретно нужен dhcpd? вот он.

    
    option domain-name "mydomain";
    option ldap-server code 95 = text;
    option domain-search-list code 119 = text;
    
    default-lease-time 7200;
    max-lease-time 86400;
    log-facility local7;
    one-lease-per-client true;
    deny duplicates;
    ping-check true;
    authoritative;
    subnet 192.168.0.0 netmask 255.255.0.0 {
    	pool {
    		option domain-name-servers 192.168.6.1,8.8.8.8;
    		range 192.168.6.10 192.168.6.110;
    	}
    
    	option routers 192.168.6.1;
    	option domain-name-servers 192.168.0.99,8.8.8.8;
    	default-lease-time 7200;
    	max-lease-time 86400;
    
    }
    subnet 192.168.14.0 netmask 255.255.255.0 {
    	pool {
    		option domain-name-servers 192.168.14.1,8.8.8.8;
    		range 192.168.14.10 192.168.14.126;
    	}
    
    	option routers 192.168.14.1;
    	option domain-name "mydomain2";
    	option domain-name-servers 192.168.14.1,8.8.8.8;
    	default-lease-time 7200;
    	max-lease-time 86400;
    
    }
    
    


  • Вот это

    subnet 192.168.0.0 netmask 255.255.0.0 {

    subnet 192.168.14.0 netmask 255.255.255.0 {

    В первой строке маска 255.255.0.0 должна быть заменена на 255.255.255.0, т.к. иначе первый пул пересекается с пулом 192.168.14.0
    Проверьте настройки в DHCP и самого LAN на интерфейсе сети 192.168.0.0



  • В 100-ый раз убеждаюсь, что именно невнимательность в 99% является проблемой. А никак не конечный продукт.



  • это не невнимательность, такое большое пространство специально было создано для большого кол-ва пк.



  • @bill_open:

    это не невнимательность, такое большое пространство специально было создано для большого кол-ва пк.

    для эксперимента переделаю 14 сеть в 10.100.100.0



  • Все бы ни что, да вот это же разные физические интерфейсы и разные копии dhcp служб(как я понимаю) запущены. Где ж они пересекаются? В любом случае будем посмотреть…

    p.s. Аналогичная реализация на win и zywall работает.



  • В разных сервисах DHCP по разному работает поиск диапазонов. В dhcpd видимо ищет первый подходящий по списку конфиге  диапазон, в других используется так называемый "жадный" поиск (как по сетям в целом) - подходящим считается наиболее узкий диапазон (range).


Log in to reply