DHCP 派送 static route – pfSense 2.1

最近在研究 pfSense
主要是把它接上一條光世代分流
降低實驗室內部 VPN 的 loading

因為不想, 也暫時沒權限動到 VPN 用的那台 Fortinet 的設定
於是就在 pfSene 上的 System > Routing 的部份加上幾條 static routes
並在 Firewall > Rules > LAN 把 VPN 內的 IPs 全部設成 pass

但遇到一個小狀況
就是外點有兩台 AS/400 都可以順利連上
但沒多久就會被踢掉

一度在懷疑是 Idle Timeout 造成的
但查了 pfSense 上 Firewall 的 Rules,
並沒有特別去調整 Session 的 Timeout 的地方

後來, 試了一下
如果直接在 PC 端就加了條 static route
把到外點的 default gateway 改成 VPN 的 ip
這個問題就解決了

看來, 只能透過 DHCP 來丟 static route
在 PC 端抓到 IP 時就直接調整 routing 了 = =

pfSense 的 DHCP 設定要加 static route
可以使用 DHCP option 121 或 249 來處理
但因為微軟早期的作業系統會忽略 option 121
這幾天又發現 Sony Xperia Sola 更狠,
遇到 Option 121 後就直接不處理

所以, 只能用 Option 249 來指定 static route

在 pfSense 的 Services -> DHCP Server 設定下方
可以找到 Additional BOOTP/DHCP Options

Number 的部份輸入 249
Type 選 String
後方的值, 則輸入 16 進制的數值..

hpcstaticr

Option 249 的寫法是
Subnet mask + Destination + Router
其中如果值是 0,就直接忽略跳過

舉例來說:
Destination: 192.168.123.0 (Hex: C0:A8:7B:0)
Router: 10.34.72.42 (Hex: 0A:22:48:2A)
Subnet mask: 24 (Hex: 18)

那你的 Value 會是 24.192.168.123.10.34.72.42 (數值是0的就忽略)
但必須換算成 16 進制,
所以你在 Value 的地方就填上 18:C0:A8:7B:0A:22:48:2A

如果一次要設定多組 static route
寫法就會變成

Subnet mask + Destination + Router + Subnet mask + Destination + Router

收工

2,247 total views, 2 views today

Leave a Comment

Your email address will not be published. Required fields are marked *