Pfsense erreur serveur dhcp



  • bonjour,
    j'ai eut un problème avec mon routeur cette nuit et je ne sais pas trop quoi en penser
    normalement mon serveur dhcp sert des adresses de cette forme 192.168.0.0/24
    mais a 2:43:16 soudainement mon lien passe down puis revient mais cette fois sert des adresses 192.168.100.0/24
    sa fais plusieurs mois que le routeur fonctionne sans problème aucun changement de setting ou setup

    voici le schéma de mon installation si ça peut aider
    [isp]modem câble internet (ip dynamique)–->
    [wan] core2duo pfsense dernière version –->
    [lan] ip (192.168.0.100) –->
    [switch]–-->
    [client]ip 192.168.0.x–--->

    durant le probleme le schema est devenue
    [isp]modem câble internet (ip dynamique)–->
    [wan] core2duo pfsense dernière version –->
    [lan] ip (192.168.100.1) –->
    [switch]–-->
    [client]ip 192.168.100.x–--->

    bug ou attaque ?

    voici mon log

    Jan 31 02:42:08 dhcpd: DHCPOFFER on 192.168.0.9 to 00:17:88:19:49:5f via rl0
    Jan 31 02:42:08 dhcpd: DHCPREQUEST for 192.168.0.9 (192.168.0.100) from 00:17:88:19:49:5f via rl0
    Jan 31 02:42:08 dhcpd: DHCPACK on 192.168.0.9 to 00:17:88:19:49:5f via rl0
    Jan 31 02:43:16 dhclient[90639]: ale0 link state up -> down
    Jan 31 02:43:17 dhclient[84892]: connection closed
    Jan 31 02:43:17 dhclient[84892]: exiting.
    Jan 31 02:43:19 dhcpd: DHCPREQUEST for 192.168.0.14 from 00:0c:29:0d:e1:54 via rl0
    Jan 31 02:43:19 dhcpd: DHCPACK on 192.168.0.14 to 00:0c:29:0d:e1:54 via rl0
    Jan 31 02:43:37 dhclient: PREINIT
    Jan 31 02:43:37 dhclient[144]: Corrupt lease file - possible data loss!
    Jan 31 02:43:37 dhclient[144]: DHCPREQUEST on ale0 to 255.255.255.255 port 67
    Jan 31 02:43:37 dhclient[144]: DHCPNAK from 192.168.100.1
    Jan 31 02:43:37 dhclient[144]: DHCPDISCOVER on ale0 to 255.255.255.255 port 67 interval 2
    Jan 31 02:43:37 dhclient[144]: DHCPOFFER from 192.168.100.1
    Jan 31 02:43:37 dhclient: ARPSEND
    Jan 31 02:43:39 dhclient: ARPCHECK
    Jan 31 02:43:39 dhclient[144]: DHCPREQUEST on ale0 to 255.255.255.255 port 67
    Jan 31 02:43:40 dhclient[144]: DHCPACK from 192.168.100.1
    Jan 31 02:43:40 dhclient: BOUND
    Jan 31 02:43:40 dhclient: Starting add_new_address()
    Jan 31 02:43:40 dhclient: ifconfig ale0 inet 192.168.100.10 netmask 255.255.255.0 broadcast 192.168.100.255
    Jan 31 02:43:40 dhclient: New IP Address (ale0): 192.168.100.10
    Jan 31 02:43:40 dhclient: New Subnet Mask (ale0): 255.255.255.0
    Jan 31 02:43:40 dhclient: New Broadcast Address (ale0): 192.168.100.255
    Jan 31 02:43:40 dhclient: New Routers (ale0): 192.168.100.1
    Jan 31 02:43:40 dhclient: Adding new routes to interface: ale0
    Jan 31 02:43:40 dhclient: /sbin/route add default 192.168.100.1
    Jan 31 02:43:40 dhclient: Creating resolv.conf
    Jan 31 02:43:40 dhclient[144]: bound to 192.168.100.10 – renewal in 30 seconds.
    Jan 31 02:44:07 dhclient[19331]: ale0 link state up -> down
    Jan 31 02:44:10 dhclient[19331]: ale0 link state down -> up
    Jan 31 02:44:10 dhclient[19331]: DHCPREQUEST on ale0 to 255.255.255.255 port 67
    Jan 31 02:44:10 dhclient[19331]: DHCPREQUEST on ale0 to 192.168.100.1 port 67
    Jan 31 02:44:12 dhclient[19331]: DHCPREQUEST on ale0 to 192.168.100.1 port 67
    Jan 31 02:44:15 dhclient[19331]: DHCPREQUEST on ale0 to 192.168.100.1 port 67
    Jan 31 02:44:17 dhcpd: Internet Systems Consortium DHCP Server 4.2.8
    Jan 31 02:44:17 dhcpd: Copyright 2004-2015 Internet Systems Consortium.
    Jan 31 02:44:17 dhcpd: All rights reserved.
    Jan 31 02:44:17 dhcpd: For info, please visit https://www.isc.org/software/dhcp/
    Jan 31 02:44:17 dhcpd: Internet Systems Consortium DHCP Server 4.2.8
    Jan 31 02:44:17 dhcpd: Copyright 2004-2015 Internet Systems Consortium.
    Jan 31 02:44:17 dhcpd: All rights reserved.
    Jan 31 02:44:17 dhcpd: For info, please visit https://www.isc.org/software/dhcp/



  • J'ai un peu du mal à comprendre le lien avec pfSense  ???

    C'est quoi ce routeur ?

    Un lease à 30 secondes  :o  elle vient d'où cette conf ?



  • ce routeur et un pc monter avec le système pfsense (core2duo )

    la config de dhcp lease n'est pas de 30 sec mais de 120minute de mémoire (je ne sui pas de vans pour vérifier desoler)

    mais justement c la tout le problème

    il c'est mis a faire des redistribution de lease aléatoire et avec les mauvaise adresse un phénomène que je n'est jamais vue sur un routeur pfsense ou public

    sa lui a pris que je le coupe entièrement de L'internet puis une restauration de ma dernière config
    ensuit j'ai rebrancher et tous a fonctionner parfaitement

    seul hic c que je n'est pas changer la config du routeur depuis 2 mois et que je suis seul a i avoir acces physiquement



  • :o

    Ce que tu appelles "routeur", c'est en fait pfSense.
    Je vais essayer de relire ton message mais la densité de fautes est telle que c'est pour le moment incompréhensible  :-X



  • merci du commentaire
    j'ai corriger les 4 fautes trouver
    le rester sont des anglicisme sinon antidot ne vaut rien!!!
    update (deuxième message corriger aussi!!)



  • voici le schéma de mon installation si ça peut aider
    [isp]modem câble internet (ip dynamique)–->
    [wan] core2duo pfsense dernière version –->
    [lan] ip (192.168.0.100) –->
    [switch]–-->
    [client]ip 192.168.0.x–--->



  • Salut salut

    Sans pour autant donner une solution sur le qui quoi ou à hack votre pfense.

    • 1 - je sauvegarde les conf du pf et les autres éléments dessus pour analyse des log.
    • 1 bis - vérification avant réinstallation des informations et param, ne pas laisser de fichiers partagés com
    • 2 - je repose le pf from scratch avec mot de passe fort + usage du port 443 pour l'interface de management pfsense.
    • 3 - je sauvegarde nouvelle conf.

    Si cela change encore une fois c'est probablement que l'un des clients a les login qui vont bien pour modifier le pfsense ou un outils malveillant.

    Cordialement.



  • Le log indique bien que le client dhcp, donc on suppose l'interface WAN sur ale0, c'est retrouvé avec une adresse 192.168.100.10 à la suite d'une transition d'état du lien.
    Dans le log c'est c'est assez claire ce qui se produit.
    dhcpclient = client DHCP sur l'interface WAN
    dhcpd = deamon dhcp sur l'interface LAN

    Si toutefois les postes client se trouvent à avoir des adresses 192.168.100.x je soupçonne qu'il y a une connexion physique qui a été fait entre le WAN et le LAN.



  • salut salut

    Forte chance que vous vous etes fait casser votre pfsense.

    Donc deux options s'offre à vous

    • 1 - soit vous vous cassé la tete à trouver par où,
    • 2 - soit vous faites table rase en le réinstallant.

    Pour un réseau perso je prendrais l'option 2
    pour un réseau pro je monterais un pf a coté que j'aurais sécurisé avec acces interface d'administration par le port 443 sans diffuser le mdp non caché sous un fichier partagé ni sous le clavier…
    je remplace le pf cassé dans un réseau autre pour etude et met en prod le nouveau pf pour ne pas géner au plus les user du lan.

    savoir quand il y a eu soucis c'est bien , savoir pourquoi cela c'est passé est une autre paire de manche, et y mettre les bonnes contre mesures en est une autre.

    Bon courrage



  • @Tatave:

    Forte chance que vous vous etes fait casser votre pfsense.

    ???  pourquoi ?
    qu'est-ce qui te fait dire ça ?

    Je n'avais pas tout lu des messages initiaux car c'était la syntaxe et l'orthographe étaient vraiment trop difficiles mais je pense que l'explication de awebster est parfaite: le modem qui fournit l'adresse IP à l'interface externe est tombé pendant une vingtaine de secondes et à redemandé une IP lorsque 'interface est remontée.

    Avec un bail de 30 seconde de la part du serveur DHCP coté WAN, (ce qui me semble très court), pas étonnant que toutes les 15 secondes le client DHCP (ici pfSense) demande un renouvellement  ;)



  • Salut salut

    Ce qui me gêne le plus c'est le changement d'adressage de xxx.yyy.0.zzz a xxx.yyy.100.zzz coté dhcp.
    Cela me gêne grandement, seul celui qui à les log admin ou pourrait connaitre une faille sur pfsense qui n'est pas encore connu sur la place publique qui me fait tiquer.
    Par le passé j'ai plus fait attention à ce type de soucis et changé illico tout les mot de passe de serveur dont j'avais la charge.
    Même si cela pouvait être par excès de prudence cela ne fit jamais de mal, et cela permet de voir qui demande quel est le passe pour x ou y serveur et découvrir qui n'est pas sensé avoir accès au dit serveur.

    Ce qui m’intéresserait est de voir si qq un se log sur le pf et modifie les param de ce dernier et depuis quel ip. la routine en somme et la précaution.

    Cordialement.