[pfSense] Configurer son serveur DHCP
06/08/2019
Nous allons configurer ici pfSense en tant que serveur DHCP pour des adresses IPv4.
Article mis à jour le : 06/08/2019
Activer le service DHCP
Pour commencer, se rendre dans le menu "Services" > "DHCP Server" :
On choisi l'interface sur laquelle nous souhaitons activer le serveur DHCP. Dans notre cas, ce sera "LAN".
Pour commencer, nous cochons évidemment la case "Enable DHCP server on LAN interface".
Configuration du serveur DHCP
Les éléments pouvant être configurés sont les suivants :
- BOOTP : cocher cette case permet de désactiver la prise en charge des requêtes BOOTP. Le protocole BOOTP est en quelque sorte l'ancêtre du protocole DHCP.
- Deny unknown clients : cette option permet de filtrer les requêtes DHCP.
- Ignore denied clients : cocher cette case permet d'ignorer les requêtes DHCP des clients interdits plutôt que de leur renvoyer une réponse explicite de refus. Cette option n'est pas compatible avec une configuration de pfSense en haute-disponibilité.
- Ignore client identifiers : permet d'ignorer l'UID du client. Cette option peut être intéressante si l'on souhaite qu'un ordinateur disposant d'un dual-boot conserve la même adresse IP lorsqu'il bascule d'un système d'exploitation à l'autre. Cependant, activer cette option revient à ne pas respecter les spécification officielles du fonctionnement du protocole DHCP.
- Subnet : cette ligne rappelle l'adresse du réseau.
- Subnet mask : cette ligne rappelle le masque de sous-réseau.
- Available range : cette ligne donne la plage maximale sur laquelle des adresses IP peuvent être attribuées. Cette information est bien pratique pour les réseaux n'étant pas en /24.
- Range : permet de définir la plage d'adresses IP qui sera utilisée.
Si nous souhaitons définir plusieurs plages d'adresses IP différentes (soit pour filtrer les terminaux connus des terminaux inconnus, soit pour d'autres raisons liées à notre architecture réseau), il est possible de définir plusieurs plages d'adresses IP (section Additional Pools juste en-dessous).
Pour ajouter une seconde plage d'adresses IP, cliquer sur le bouton "+ Add pool" de la section "Additional Pools". Cela aura pour effet d'ouvrir une nouvelle fenêtre permettant de définir l'ensemble des paramètres propres à cette plage d'adresses IP.
- WINS servers : permet de définir jusqu'à 2 serveurs WINS (Windows Internet Name Service) qui seront passés aux clients DHCP.
Dans le cas où nous n'utilisons pas de serveur WINS (ce qui doit être le cas de la quasi-totalité des réseaux modernes), nous laissons ces champs vides.
- DNS servers : ce champ peut être renseigné ou resté vide. Si l'on souhaite passer au client la même configuration DNS que celle configurée dans pfSense, alors il faut laisser ces champs vides. En revanche, si l'on souhaite passer au client d'autres serveurs DNS que ceux configurés dans pfSense, ou si l'on souhaite que ce soit pfSense qui agisse comme serveur DNS, il faut renseigner les adresse IP correspondantes ici.
- Gateway : si pfSense est la passerelle pour ce réseau, ce champ peut être laissé vide. Dans le cas contraire, nous indiquons ici l'adresse IP de la passerelle.
- Domain name : permet d'indiquer aux clients le nom de domaine correspondant au réseau et donc qu'ils devront utiliser pour former leur FQDN. Si rien n'est indiqué, c'est le nom de domaine renseigné dans la configuration gloable de pfSense qui sera passé aux clients.
- Domain search list : cette information est utile dans le cas où l'on dispose de plusieurs domaines.
- Default lease time et Maximum lease time : ces deux options permettent de contrôler la durée des baux DHCP.
Si les champs sont laissés vides, les valeurs par défaut sont de 7.200 secondes (2h) pour la durée de bail par défaut et 86.400 secondes (1 jour) pour la durée de bail max.
- Failover peer IP : si vous possédez deux serveurs pfSense configurés en failover, renseignez ici l'adresse IP physique (pas l'adresse virtuelle) du second serveur pfSense. Autrement, laissez ce champ vide.
- Static ARP : cette option est l'exact opposé de "Deny unknow clients" : elle permet de lister les machines capables de communiquer avec pfSense sur le réseau. Ainsi, tous les terminaux n'étant pas référencés (c'est-à-dire dont l'adresse MAC est connue et référencée dans pfSense) ne pourront pas communiquer avec pfSense. Il faut faire très attention lorsque l'on manipule cette option ! De plus, lorsqu'elle est cochée, cette option reste active même si le service DHCP est arrêté.
- Time format change : par défaut, les durées de baux DHCP sont affichées au format UTC. En cochant cette option, elles sont formatées au fuseau horaire local. C'est une option d'affichage purement esthétique.
- Statistics graphs : cocher cette option permet d'activer les graphiques RRD. Cette option est désactivée par défaut.
- Dynamic DNS : cette option permet de définir un serveur DNS dynamique (à saisir dans le champ correspondant). Dans le cas où pfSense est configuré en mode "DNS forwarder", cette option ne devrait pas être cochée, et le DNS forwarder devrait être configuré en conséquence.
- MAC Address Control : cette option permet de filtrer les accès au serveur DHCP par adresses MAC.
Les adresses MAC (ou adresses MAC partielles) doivent être séparées par une virgule, sans espace. Ces champs peuvent être laissés vides si l'on ne souhaite pas appliquer de contrôle sur les adresses MAC des terminaux.
Il est important de comprendre qu'à partir du moment où une adresse MAC (ou adresse MAC partielle) est saisie dans le champ des adresses autorisées, toutes les autres adresses MAC seront interdites d'accès ; et inversement, si l'on saisi une ou des adresses MAC dans le champ des adresses interdites, toutes les autres adresses MAC seront autorisées.
Un exemple d'utilisation de cette fonctionnalité est la séparation des téléphones IP et des ordinateurs sur un même réseau sans utilisation de VLAN. En admettant que tous les téléphones IP disposent d'une adresses MAC commençant par aa:bb:cc, alors sur la plage d'adresses réservées aux ordinateurs, nous interdirons les adresses MAC commençant par aa:bb:cc (en saisissant cette séquence dans le champ des adresses interdites) ; et sur la plage d'adresse réservées à la VoIP, nous autoriserons uniquement les adresses MAC commençant par aa:bb:cc (en saisissant cette séquence dans le champ des adresses autorisées).
- NTP servers : permet de définir un à deux serveurs NTP.
- TFTP server : permet de saisir l'adresse IP ou le nom d'hôte d'un serveur TFTP. Cette option est principalement utilisée pour l'auto-provisioning pour la téléphonie sur IP. Elle correspond à l'option DHCP 66.
- LDAP : permet d'envoyer l'URI d'un serveur LDAP aux clients en faisant la demande. Cela correspond à l'option DHCP 95. Le format saisi doit être celui d'une URI LDAP tel que ldap://ldap.example.com/dc=example,dc=com.
- Network booting : pour activer cette fonctionnalité, il faut cocher la case correspondante (Enables network booting), saisir l'adresse IP du serveur ainsi que le nom du fichier d'image disque bootable. L'ensemble de ces champs doit être complété pour que cette option fonctionne correctement.
- Additional BOOTP/DHCP Options : permet de pousser n'importe quelle option DHCP (dont nous détaillons le paramétrage au paragraphe suivant).
Une fois l'ensemble des configurations effectué, il ne reste plus qu'à cliquer sur Save !
Les options avancées du serveurs DHCP
L'une des grandes forces du serveur DHCP de pfSense est qu'il offre une interface de configuration simple pour la plupart des fonctionnalités DHCP. De plus, il permet également de délivrer l'intégralité des options DHCP. La liste des options DHCP possibles est disponible sur le site de l'IANA.
Plusieurs formats sont disponibles pour ces options DHCP. Les noms de ces formats pouvant être peu intuitifs, nous les détaillons ici :
Text : texte libre de forme.
String : une suite de chiffres hexadécimaux séparés par le caractère deux-points ":" (ex : 00:a8:c9)
Boolean : la valeur true ou la valeur false
Unsigned 8, 16, or 32-bit Integer : un nombre entier positif (supérieur à zéro), jusqu'à 86400
Signed 8, 16, or 32-bit Integer : un nombre entier positif ou négatif, jusqu'à -512
IP address or host : une adresse IP (ex : 192.168.1.2) ou un nom d'hôte (ex : www.example.com)
Exemple de configuration avancée : serveur DHCP pour ordinateurs et téléphones IP
Nous prendrons l'exemple d'une configuration où les postes téléphoniques et les ordinateurs se trouvent sur le même réseau (sans séparation par VLAN). Nous souhaitons regrouper les adresses IP des postes téléphoniques et celles des ordinateurs.
Dans notre exemple, nous utiliserons le plan d'adressage suivant : 192.168.2.0/24 ; le serveur pfSense dispose de l'adresse IP 192.168.2.1 ; le serveur de téléphonie de l'adresse IP 192.168.2.2.
Sur ce réseau, nous avons une vingtaine de postes informatiques et autant de postes téléphoniques.
Dans notre exemple, les téléphones IP ont tous une adresse MAC commençant par la séquences AA:BB:CC.
Nous souhaitons attribuer des adresses IP de 192.168.2.10 à 192.168.2.99 aux téléphones IP ; et des adresses IP de 192.168.2.100 à 192.168.2.199 aux autres terminaux (ordinateurs, imprimantes, etc.).
Le schéma de notre réseau est donc le suivant :
Nous configurons pfSense avec une première plage (champ Range) allant de 192.168.2.10 à 192.168.2.99 pour laquelle nous autorisons uniquement les adresses MAC (premier champ de l'option MAC Address Control) commençant par AA:BB:CC :
Nous ajoutons ensuite une seconde plage (bouton "+ Add" de la section "Additional Pools") allant de 192.168.2.100 à 192.168.2.199 pour laquelle nous interdisons les adresses MAC (second champ de l'option MAC Address Control) commençant par AA:BB:CC :
Notre configuration est terminée :
Dernière étape : si un serveur d'auto-provisioning des téléphones IP est présent sur le réseau, on pourrait ajouter ce paramètre au serveur DHCP.
Pour aller plus loin
[pfSense] Configurer ses VLAN
Best practices / Recommandations pour la configuration de votre firewall
Tous nos articles classés par thème
Voir un article au hasard
Vous avez aimé cet article ? Vous cherchez un support professionnel ? Alors contactez-nous.
Retrouvez nos services et firewall pour pfSense & OPNsense
5 commentaires
Cristiano B.Hellwig - 13/05/2016 à 17:05:15
Bonjour !!!
Je suis Cristiano, de Brésil.
Merci beaucoup, J'adore votre des articles.
A bientot
Mophete - 11/04/2020 à 09:19:42
Bonjour, J'ai installé un pfsense 2.4.4-RELEASE-p3 (amd64)
Tout fonctionne bien, mais j'ai créé par erreur un mappage static pour un équipement.
Celui-ci était au moment de la création du mappage static sur un vlan, hors je dois l'untagger sur un autre VLAN.
Aucune difficulté jusque là, sauf qu'une fois sur l'autre vlan, l'équipement ne se voit affecter aucune adresse IP, il est toujours présent dans les bauds DHCP, en hors ligne, avec l'ip qu'il avait sur le premier vlan.
Je pense que c'est à cause du mappage static, mais comment je supprimer ??
Je précise que l'équipement en question, un point d'accès wifi, (Dlink DAP 1620) ne propose pas la possibilité d'avoir une IP fixe, il n'est qu'en DHCP...
je cherche donc le moyen de supprimer un mappage statique mais je trouve pas l'endroit où cliquer pour cela, quelqu'un peut-il m'aider svp ?
Mophete - 11/04/2020 à 09:28:58
@Mophete :
Trouvé, la mise a jour du firmware du dlink a réglé le pb
PierreLyon - 06/04/2021 à 11:47:17
Bonjour
Je poste ce message sous la rubrique DHCP mais elle concerne le portail captif et je n'ai trouvé aucun article sur le sujet ????
Ma problématique est la suivante j'ai plusieurs firewall pfsense sur diffèrent sites qui tournent sans problème avec des version 2.4.x
Chacuns sont dotés d'un portail captif afin de filtrer qui se connecte sur notre réseau.
Ayant a mettre en œuvre un nouveau site j'ai installé la version disponible a savoir la 2.5.0 et là, la fonction portail captif ne réagit pas de la même manière pour les clients.
Si on utilise Chrome la page d'accueil met " certain temps " a s'afficher ce qui n'est pas le cas si l'on utilise Firefox.
N'étant pas maitre du browser utilisé par les clients cela est plus que déroutant alors qu'avec les anciennes version 2.4.x il n'y avait pas cette latence ???
Quelqu'un d'autre e t il rencontré la même problématique?
Merci
Pierre
Guillaume - 07/04/2021 à 10:23:51
@PierreLyon :
Bonjour Pierre,
Vous donnez trop peu d'information sur la configuration de votre portail captif pour que l'on puisse vous aider.
Si vous recherchez une aide communautaire, vous pouvez poser votre question sur le forum officiel pfSense, dans la rubrique francophone : https://forum.netgate.com/.
Cordialement,
Guillaume
--
Provya
Flux RSS des commentaires de cet article