DHCP Server bloqué par le firewall [Résolu]

[Spi]

Bonsoir,

J'ai récemment configuré le serveur DHCP directement sur mon Syno, et je me suis également dit que j'allais refaire une conf correcte du pare-feu.
Seulement voilà, après une perte d'accès internet et une petite session de troubleshooting je me suis rendu compte que le pare-feu bloquait le dhcp...

Je possède un DS415+, seule l'interface LAN1 est utilisée, le réseau est 172.16.1.0/24, et je suis certain que ma config firewall est correcte. Sauf que à moins de désactiver ce dernier, les adresses ne sont pas distribuées et impossible de faire un ipconfig /renew par exemple. Je pense donc à une erreur de traduction quelque part ou une petite subtilité de Syno qui fait que cela ne marche pas, voir ma config sur l'image.

- Les ports DHCP sont autorisés

- J'ai autorisé DHCP v6 pour le test

- Les interfaces 1 et 2 avaient une règle "deny all", vu que le firewall est censé matcher les règles de mon screenshot -> je les ai supprimées

- Les interfaces 1 et 2 autorisent l'accès si aucune règle n'est remplie

 

Et donc rien de tout cela n'a fonctionné, et je donne ma langue au chat!

 

Modifié le 26 mai 2017 par Spi

[Spi]

Je vais donc m'auto-répondre... J'ai réglé la solution en autorisant toutes les ip dans la règle du DHCP (que j'avais oublié de mettre en rouge parce-qu'il est tard).

Je suppose que cela ne fonctionnait plus car lors du passage en apipa on tombe sur 169.254.0.0/16 (je n'y avais pas pensé), mais il devrait quand même reconnaître un autodiscover il me semble. Une idée @Fenrir ?

J'avais créé cette règle parce-que je compte monter un tunnel VPN entre deux sites différents, 172.16.1.0 et 172.17.1.0/24 et j'aurais voulu éviter qu'un appareil sollicite le serveur de l'autre site mais ce n'était peut-être pas nécessaire en fait.

Bref je vais attendre des précisions!

[PiwiLAbruti]

Il y a 8 heures, Spi a dit :

J'ai réglé la solution en autorisant toutes les ip dans la règle du DHCP

Si un client envoie une requête DHCP c'est bien parce qu'il n'a pas d'adresse IP (dans le cas de la découverte). Donc si tu n'autorises la réception de requêtes DHCP que depuis le réseau 172.16.1/24 ça ne risque pas de marcher.

En découverte, un client DHCP émet un broadcast depuis 0.0.0.0:68 vers 255.255.255.255:67 (ip:port).

Au passage, je te conseille de définir les règles de pare-feu sur l'interface concernée (LAN1) et non dans "Toutes les interfaces". Ça t'évitera des surprises en cas de connexion avec un client VPN.

[Fenrir]

En complément de la remarque de @PiwiLAbruti, même si ça peut paraître évident, il ne faut pas autoriser ces ports dans le routeur/box.

[Spi]

Ce que tu dis fais sens @PiwiLAbruti, et effectivement même si toutes les ip sont autorisées sur le firewall du Syno les ports ne sont pas ouverts sur le routeur donc pas de soucis.

Merci pour vos infos à tous les deux!

[PiwiLAbruti]

il y a 10 minutes, Spi a dit :

les ports ne sont pas ouverts sur le routeur donc pas de soucis

Beh si justement, il y peut y avoir un gros souci car par défaut tous les ports sont ouverts avec un client VPN. Le routeur ne contrôle plus rien du tout.

Il y a pléthore de sujets sur ce forum où des utilisateurs indiquent des tentatives de connexion SSH alors que le port tcp/22 n'est pas ouvert sur leur routeur. Ça s'expliquait par l'utilisation d'un client VPN, et c'est d'ailleurs pour ça qu'il y a une interface VPN dans le pare-feu.

Donc je te conseille vivement d'appliquer ce que je t'ai indiqué.

[Spi]

Oui je n'avais pas précisé dans mon dernier message mais cela a été fait! Merci des précisions!