Aller au contenu

DHCP Server bloqué par le firewall [Résolu]


Messages recommandés

Bonsoir,

J'ai récemment configuré le serveur DHCP directement sur mon Syno, et je me suis également dit que j'allais refaire une conf correcte du pare-feu.
Seulement voilà, après une perte d'accès internet et une petite session de troubleshooting je me suis rendu compte que le pare-feu bloquait le dhcp...

Je possède un DS415+, seule l'interface LAN1 est utilisée, le réseau est 172.16.1.0/24, et je suis certain que ma config firewall est correcte. Sauf que à moins de désactiver ce dernier, les adresses ne sont pas distribuées et impossible de faire un ipconfig /renew par exemple. Je pense donc à une erreur de traduction quelque part ou une petite subtilité de Syno qui fait que cela ne marche pas, voir ma config sur l'image.

- Les ports DHCP sont autorisés

- J'ai autorisé DHCP v6 pour le test

- Les interfaces 1 et 2 avaient une règle "deny all", vu que le firewall est censé matcher les règles de mon screenshot -> je les ai supprimées

- Les interfaces 1 et 2 autorisent l'accès si aucune règle n'est remplie

 

Et donc rien de tout cela n'a fonctionné, et je donne ma langue au chat!

 

All_interfaces.PNG

Modifié par Spi
Lien vers le commentaire
Partager sur d’autres sites

Je vais donc m'auto-répondre... J'ai réglé la solution en autorisant toutes les ip dans la règle du DHCP (que j'avais oublié de mettre en rouge parce-qu'il est tard).

Je suppose que cela ne fonctionnait plus car lors du passage en apipa on tombe sur 169.254.0.0/16 (je n'y avais pas pensé), mais il devrait quand même reconnaître un autodiscover il me semble. Une idée @Fenrir ?

J'avais créé cette règle parce-que je compte monter un tunnel VPN entre deux sites différents, 172.16.1.0 et 172.17.1.0/24 et j'aurais voulu éviter qu'un appareil sollicite le serveur de l'autre site mais ce n'était peut-être pas nécessaire en fait.

Bref je vais attendre des précisions!

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Spi a dit :

J'ai réglé la solution en autorisant toutes les ip dans la règle du DHCP

Si un client envoie une requête DHCP c'est bien parce qu'il n'a pas d'adresse IP (dans le cas de la découverte). Donc si tu n'autorises la réception de requêtes DHCP que depuis le réseau 172.16.1/24 ça ne risque pas de marcher.

En découverte, un client DHCP émet un broadcast depuis 0.0.0.0:68 vers 255.255.255.255:67 (ip:port).

Au passage, je te conseille de définir les règles de pare-feu sur l'interface concernée (LAN1) et non dans "Toutes les interfaces". Ça t'évitera des surprises en cas de connexion avec un client VPN.

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, Spi a dit :

les ports ne sont pas ouverts sur le routeur donc pas de soucis

Beh si justement, il y peut y avoir un gros souci car par défaut tous les ports sont ouverts avec un client VPN. Le routeur ne contrôle plus rien du tout.

Il y a pléthore de sujets sur ce forum où des utilisateurs indiquent des tentatives de connexion SSH alors que le port tcp/22 n'est pas ouvert sur leur routeur. Ça s'expliquait par l'utilisation d'un client VPN, et c'est d'ailleurs pour ça qu'il y a une interface VPN dans le pare-feu.

Donc je te conseille vivement d'appliquer ce que je t'ai indiqué.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.