Activer et configurer le serveur DHCP sous pfSense 2.6 - Pare-feu - Tutoriels

pfSense peut agir en tant que serveur DHCP pour distribuer des adresses IP aux machines de votre réseau, ainsi que les informations (IP de la passerelle, IPs des serveurs DNS, ...) dont ils ont besoin.

Activer et configurer le serveur DHCP de pfSense
Obtenir une adresse IP sous Windows (Server) depuis un serveur DHCP
1. Obtenir une adresse IP sous Windows (Server) en utilisant l'interface graphique
2. Obtenir une adresse IP sous Windows (Server) en utilisant la ligne de commandes
Voir les baux DHCP sous pfSense
Consulter les journaux DHCP pour du dépannage
Bonus : utiliser un agent relais DHCP au lieu du serveur DHCP

1. Activer et configurer le serveur DHCP de pfSense

Pour activer et configurer le serveur DHCP de pfSense, allez dans : Services -> DHCP Server.

Sur la page qui apparait, cochez la case "Enable DHCP server on LAN interface" pour activer le serveur DHCP et configurer le paramètre "Range" pour spécifier la plage d'adresses IP à distribuer aux machines de votre réseau.
Notez que l'utilisation d'un serveur DHCP n'est utile que sur l'interface LAN ou une interface connectée à un réseau local ou un sous-réseau.
Cela n'a pas d'intérêt pour l'interface WAN.

Dans la section "General Options" des paramètres du serveur DHCP de pfSense, vous trouverez ces paramètres :

Enable : cochez la case "Enable DHCP server on LAN interface" pour activer le service DHCP pour l'interface LAN et décochez celle-ci pour le désactiver.
BOOTP : cochez la case "Ignore BOOTP queries" si vous souhaitez désactiver BOOTP. BOOTP étant en quelque sorte l'ancêtre du serveur DHCP.
Notez que BOOTP permet aux machines sans disque dur démarrant sur le réseau d'obtenir une adresse IP, l'adresse d'un serveur hôte et le nom du fichier image à charger pour démarrer.
Si le serveur DHCP de pfSense ignore les requêtes BOOTP, le démarrage sur le réseau risque donc de ne pas fonctionner pour les machines de votre réseau.
Deny unknown clients :
- Allow all clients : par défaut, le serveur DHCP répondra à toutes les demandes d'adresses IP envoyées par les machines de votre réseau (auquel est connectée l'interface LAN, dans ce cas-ci, de pfSense).
- All known clients from any interface : le serveur DHCP répondra aux demandes DHCP uniquement pour les clients connus (possédant un mappage statique DHCP sur au moins une interface de pfSense). Le client étant identifié grâce à son adresse MAC.
- All known clients from any interface : similaire à l'option précédente, mais il faut que le client DHCP possède un mappage statique DHCP sur la même interface.
Ignore denied clients : cochez la case "Denied clients will be ignored rather than rejected" pour ignorer les clients dont l'adresse MAC fait partie de la liste "MAC address control - MAC Deny" située en bas de la page de configuration.
Ignore client identifiers : cochez la case "If a client includes a unique identifier in its DHCP request, that UID will not be recorded in its lease" pour que le serveur DHCP ignore l'identifiant client.
Ainsi, un client configuré avec un multi-boot pourra utiliser la même adresse IP si l'adresse MAC source de la demande DHCP est la même.
Néanmoins, activer cette option signifiera aussi que votre serveur DHCP ne respectera plus la spécification DHCP officielle.
Subnet : sous-réseau utilisé sur le réseau auquel cette interface (LAN dans ce cas-ci) est connectée.
Subnet mask : le masque de sous-réseau associé.
Available range : la plage d'adresse IP disponible pour cette combinaison (sous-réseau + masque de sous-réseau).
Range : la plage d'adresses IP que votre serveur DHCP pourra distribuer.
Eviter de créer des plages trop grandes si vous souhaitez éviter le bug qui se produit avec la plage par défaut "10.0.0.10-10.255.255.245" que pfSense avait défini automatiquement dans notre cas.
D'où le fait que nous ayons modifié notre plage d'adresses IP en : 10.0.0.10 à 10.0.0.254.

Sources :

Dans la section "Additional Pools" située juste en dessous, vous pourrez ajouter des plages DHCP supplémentaires pour le sous-réseau affiché ci-dessus.
Pour cela, cliquez sur le bouton "Add pool".

Sur la page qui apparait, vous verrez que l'URL termine par "newpool". Malgré que la page ressemble fortement à celle permettant de configurer votre serveur DHCP.

Sur cette page, vous verrez la plage d'adresses disponible (Available range) pour votre sous-réseau, ainsi que les plages d'adresses IP déjà définies sur votre serveur DHCP (In-use DHCP Pool Ranges).
Configurez la plage d'adresses IP supplémentaire que votre serveur DHCP pourra distribuer, puis modifier les autres paramètres disponibles si nécessaires.

Important : comme indiqué en haut de la page (sur fond bleu), lorsque vous ajoutez une nouvelle plage d'adresses IP, les paramètres configurés sur celle-ci seront appliqués uniquement à celle-ci.

Dans la section "Servers", vous pourrez spécifier :

WINS servers : l'adresse IPv4 d'un ou deux serveurs WINS (si vous en possédez un sur votre réseau).
DNS servers : l'adresse IPv4 d'un ou plusieurs serveurs DNS à envoyer au client.
En entreprise, si vous avez déployé une infrastructure Active Directory, vous indiquerez l'adresse IP d'un ou plusieurs contrôleurs de domaine Active Directory (d'un même domaine AD).
Par défaut, pfSense indiquera sa propre adresse pour l'interface concernée si le résolveur DNS (DNS Resolver) et le redirecteur DNS (DNS Forwarder) sont activés sous pfSense.
Si le redirecteur DNS est désactivé, pfSense enverra l'adresse des serveurs DNS spécifiés dans "System -> General Setup".

Dans la section "OMAPI", vous pourrez configurer les paramètres liés à la couche de programmation OMAPI.
OMAPI permet de contrôler des applications distantes et de connaitre leur état et la connexion à OMAPI peut être sécurisée grâce à un secret partagé.

OMAPI Port : port sur lequel OMAPI devra écouter. Par défaut, le port à utiliser est 7911.
Néanmoins, si vous laissez la case vide, OMAPI sera désactivé.
OMAPI Key : spécifiez la clé (secret partagé) à utiliser pour OMAPI ou générez une nouvelle clé en cochant la case "Generate New Key".
Key Algorithm : algorithme à utiliser pour la clé OMAPI.
Valeurs possibles : HMAC-MD5, HMAC-SHA1, HMAC-SHA256, HMAC-SHA512, ...

Source : ISC DHCP 4.1 Manual Pages - omapi.

Dans la section "Other Options", vous pourrez configurer d'autres options :

Gateway : l'adresse IP de la passerelle par défaut à envoyer au client.
Ce qui permet au client d'accéder à Internet via celle-ci (une passerelle correspond à un routeur).
Par défaut, l'adresse IP envoyée sera l'adresse IP de pfSense pour l'interface concernée (dans notre cas, l'interface LAN).
Domain name : le nom de domaine utilisé sur votre réseau. Ce nom de domaine sera utilisé par les clients pour former leur nom de domaine pleinement qualifié (FQDN).
Dans une infrastructure Active Directory, vous indiquerez votre nom de domaine Active Directory.
Si vous laissez cette case vide, le nom de domaine de pfSense (configuré dans "System -> General Setup") sera utilisé.
Domain search list : permet de spécifier une liste de domaines à utiliser pour tenter de résoudre les noms courts (ex : noms NETBIOS) en noms de domaines pleinement qualifiés (FQDN).
A nouveau, dans une infrastructure Active Directory, vous indiquerez au moins votre nom de domaine Active Directory.
Si vous souhaitez spécifier plusieurs domaines, il vous suffira de les séparer par des virgules.
Default lease time : durée de bail par défaut que votre serveur DHCP utilisera lorsqu'il attribue une adresse IP à une machine de votre réseau.
Cette valeur n'est utilisée que si le client ne spécifie pas une durée de bail spécifique dans sa demande DHCP.
Maximum lease time : durée de bail maximum que votre serveur DHCP utilisera lorsqu'il attribue une adresse IP à une machine de votre réseau.
Si le client demande une durée de bail plus grande que cette valeur maximum, votre serveur DHCP utilisera la valeur maximum définie ici au lieu de celle demandée par le client. C'est donc surtout une protection pour éviter qu'un client ne demande une durée de bail beaucoup trop longue.
Failover peer IP : si vous activez la haute disponibilité sur 2 serveurs pfSense, vous devrez indiquer l'adresse IP réelle (donc pas l'IP virtuelle CARP) de l'autre serveur pfSense.
Static ARP : pour autoriser seulement les machines listées en bas de page (dans la section "DHCP Static Mappings for this interface") à communiquer avec votre machine pfSense, cochez la case "Enable Static ARP entries".
Attention : assurez-vous d'avoir renseigné les machines devant pouvoir communiquer avec pfSense en bas de page avant d'activer cette option. Sinon, vous n'y aurez plus accès.
Time format change : permet d'afficher les durées de baux DHCP dans le format local plutôt qu'avec le fuseau horaire UTC.
Pour cela, cochez simplement la case "Change DHCP display lease time from UTC to local time".
Note : le fuseau horaire de pfSense peut être configuré via le menu "System -> General Setup".
Statistics graphs : permet d'activer la création de graphiques pour les statistiques de votre serveur DHCP.
Ces graphiques pourront être visualisés via le menu "Status -> Monitoring".
Pour cela, cochez la case "Enable RRD statistics graphs".
Ping check : par défaut, ce paramètre est activé et permet au serveur DHCP d'envoyer un ping à l'adresse IP qu'il souhaite attribuer à votre client. Ensuite, il attend 1 seconde et s'il ne reçoit aucune réponse, alors il attribue l'adresse IP au client. Ce qui évite donc d'allouer une adresse IP qui existerait déjà actuellement sur votre réseau et donc évite également qu'un conflit d'adresse IP n'apparaisse sur ce réseau.
Dans de rares cas, en cas de problème, vous pourrez désactiver cette vérification en cochant la case "Disable ping check".

Sources :

Ensuite, vous trouverez plusieurs boutons concernant des paramètres avancés :

Dynamic DNS : permet d'enregistrer le nom des clients DHCP dans le système DNS (d'un serveur DNS externe).
MAC address control : permet d'autoriser / refusés des clients grâce à leurs adresses MAC.
NTP : permet de spécifier un ou plusieurs serveurs de temps (NTP) à utiliser.
TFTP : permet de spécifier les paramètres d'accès à un serveur TFTP (utile pour la téléphonie ou le démarrage sur le réseau, par exemple).
LDAP : permet de spécifier une URI LDAP qui sera envoyée au client.
Utile pour des systèmes utilisant OpenDirectory, par exemple.
Network Booting : permet de spécifier les paramètres nécessaires au démarrage d'une machine sur le réseau (PXE).
Additional BBOTP/DHCP Options : permet de spécifier manuellement les autres options DHCP existantes, mais non configurables via les paramètres de pfSense.

Pour afficher les paramètres avancés d'une des sections ci-dessus, cliquez simplement sur le bouton "Display Advanced" concerné.

Pour la section "Dynamic DNS", vous pourrez spécifier :

Enable registration of DHCP client names in DNS : permet d'activer l'enregistrement du nom des clients DHCP dans un serveur DNS externe. Vous ne pouvez pas utiliser le serveur DNS de pfSense, mais par exemple "ISC BIND".
DDNS Domain : indiquez le nom de domaine à utiliser pour enregistrer le nom des clients DHCP dans le serveur DNS externe. Par exemple : informatiweb.lan.
DDNS Hostnames : forcer les noms de domaines DNS à correspondre aux noms configurés dans les mappages statiques DHCP.
Primary DDNS address : adresse IP du serveur DNS principal où se trouve le domaine spécifié dans la case "DDNS Domain" et où sera mis à jour le nom d'hôte des clients DHCP.
Secondary DDNS address : même principe, mais pour l'adresse IP d'un serveur DNS secondaire.
Dans le cas où vous auriez 2 serveurs DNS (un principal et un secondaire) pour le même domaine à mettre à jour.
DNS Domain key : clé à utiliser pour mettre à jour la zone DNS du domaine spécifié ci-dessus.
Key algorithm : permet de spécifier l'algorithme utilisé pour sécuriser les mises à jour DNS dynamiques.
DNS Domain key secret : le secret partagé (défini sur le serveur DNS externe pour sécuriser les mises à jour DNS dynamiques) à utiliser.
DDNS Clients Updates : permet d'autoriser ou non les mises à jour DNS dynamiques.

Source : ISC DHCP 4.1 Manual Pages - dhcpd.conf - DYNAMIC DNS UPDATE SECURITY.

Pour la section "MAC address control", vous pourrez spécifier :

MAC Allow : les préfixes d'adresses MAC à autoriser.
MAC Deny : les préfixes d'adresses MAC à refuser.

Cela permet d'autoriser ou non les machines de votre réseau à obtenir une adresse IP depuis votre serveur DHCP.
Notez que chaque préfixe "xx.xx.xx" des adresses MAC correspond à un fabricant.
Par exemple : dans le cas des machines virtuelles VMware, il existe les préfixes "00:0C:29" et "00:50:56".

Pour connaitre le fabricant correspondant au préfixe d'une adresse MAC, accédez à la page "Welcome to The Public Listing For IEEE Standards Registration Authority", sélectionnez "All MAC (...)" et tapez uniquement les 6 chiffres du préfixe souhaité.

Note : vous pouvez très bien refuser des adresses MAC ici et les autoriser sur une autre plage d'adresses IP de votre serveur DHCP, pour que les clients reçoivent des adresses IP d'une ou l'autre plage d'IPs en fonction de leur adresse MAC.
Ce qui permet de séparer la plage d'IPs de téléphones VoIP de celle concernant les PCs clients, par exemple.

Important : un périphérique (ordinateur, serveur, smartphone, ...) peut, à l'heure actuelle, utiliser très facilement une fausse adresse MAC. Cette protection peut donc être contournée très facilement.
De plus, cette protection n'empêche pas une machine de votre réseau de communiquer avec les autres machines de votre réseau. Cette protection concerne uniquement l'attribution d'adresses IP de votre serveur DHCP aux clients concernés.

Sources :

Pour la section "NTP", vous pourrez spécifier un ou plusieurs serveurs de temps qui seront utilisés par la machine cliente pour mettre à jour son horloge (grâce aux paramètres NTP Server 1, ...).
La synchronisation de l'horloge sur un réseau étant nécessaire pour éviter les problèmes d'authentification (ex : Kerberos), ainsi que pour la validité des certificats utilisés sur votre réseau (si applicable).

Note : ce paramètre correspond à l'option DHCP 042.

Source : Feature #9661: Increase the number of DHCP/DHCPv6 NTP server options to three (or more) - pfSense - pfSense bugtracker.

Pour la section "NTP", vous pourrez spécifier l'adresse d'un serveur TFTP grâce au paramètre "TFTP Server".
Ce serveur TFTP est principalement utilisé pour la téléphonie sur IP (VoIP), mais peut aussi servir au démarrage d'une machine client sur le réseau (PXE). Voir la section "Network Booting" pour le démarrage sur le réseau.

Note : ce paramètre correspond à l'option DHCP 066.

Pour la section "LDAP", vous pourrez spécifier l'URI d'un serveur LDAP grâce au paramètre "LDAP Server URI".
Ce paramètre sera envoyé au client pour aider certains clients à trouver leur serveur LDAP (ex : OpenDirectory).

Note : ce paramètre correspond à l'option DHCP 095.

Pour la section "LDAP", vous pourrez spécifier des paramètres concernant le démarrage d'une machine cliente sur le réseau via PXE.
Par exemple : un client léger sans disque dur pourra démarrer sur le réseau en obtenant une adresse IP depuis votre serveur DHCP, ainsi que télécharger une image démarrable depuis un serveur TFTP pour démarrer grâce à celle-ci.

Enable : cochez la case "Enables network booting" pour activer le démarrage sur le réseau.
Next Server : l'adresse d'un serveur (ex : un serveur de fichiers TFTP) depuis lequel la machine client téléchargera une image démarrable.
Default BIOS file name : le nom du fichier d'image démarrable (pour les anciens BIOS = BIOS Legacy).
UEFI 32 bit file name : idem, mais pour le fichier d'image démarrable UEFI en 32 bits (x86).
UEFI 64 bit file name : idem, mais en UEFI 64 bits (x64).
ARM 32 bit file name : idem, mais pour l'architecture ARM x32 bits (au lieu des architectures classiques : x86/x64).
ARM 64 bit file name : idem, mais en ARM 64 bits (x64).
UEFI HTTPBoot URL : permet d'utiliser un lien HTTP pour le démarrage sur le réseau (en mode UEFI).
Root path : permet de cibler un périphérique spécifique comme périphérique système racine pour le client.

Important : si vous souhaitez utiliser le démarrage sur le réseau (PXE), assurez-vous que BOOTP est activé (en haut de page).
En effet, BOOTP sera utilisé par la machine cliente pour obtenir son adresse IP, ainsi que les paramètres configurés ici.

Pour la section "Additional BOOTP/DHCP Options", vous pourrez spécifier toutes les autres options DHCP non disponibles via les paramètres précédents.
Ce qui vous permet d'utiliser toutes les options DHCP existantes dans la spécification officielle (dont le lien est disponible sur le mot "URL" visible dans le cadre bleu) même si pfSense ne propose pas les paramètres correspondant actuellement.

En bas de page, dans la section "DHCP Static Mappings for this Interface", vous pourrez ajouter des mappages statiques pour des clients DHCP spécifiques (grâce à leur adresse MAC).
Ainsi, ces clients recevront toujours la même adresse IP depuis votre serveur DHCP. L'avantage étant de pouvoir définir des adresses IP statiques sans pour autant passer manuellement sur chaque poste ou serveur séparément.

Attention : cliquer sur le bouton "Add" de cette section vous renverra vers une autre page (Static DHCP Mapping on LAN).
D'où le fait que cette section soit affichée après le bouton "Save".

Si vous avez cliqué sur le bouton "Add" de la section "DHCP Static Mappings for this Interface", la page "Edit Static Mapping" apparaitra avec une section "Static DHCP Mapping on LAN" dans laquelle vous pourrez spécifier :

MAC Address : l'adresse MAC du client auquel vous souhaitez attribuer une adresse IP statique (fixe).
Client Identifier : l'identifiant du client (facultatif).
IP Address : l'adresse IP que vous préférez attribuer à ce client spécifique.
Attention : il s'agit uniquement d'une préférence et non d'une réservation (comme vous pourriez le faire sous Windows Server, par exemple).
Ce qui signifie que si le client spécifié n'est pas allumé et que l'adresse IP spécifiée ici fait partie d'une plage d'adresses IP distribuées par votre serveur DHCP, il se peut que votre serveur DHCP attribue cette adresse IP à une autre machine du réseau.
Lorsque le client spécifié sera allumé, il ne pourra pas utiliser cette adresse IP étant donné que celle-ci est déjà utilisée.
Il est donc recommandé de la spécifier en dehors de la plage d'adresses IP distribuées par votre serveur DHCP.
D'ailleurs, de manière générale, les adresses IP statiques définies sur des machines d'un réseau doivent toujours se trouver en dehors de la plage d'adresses IP distribuées par votre serveur DHCP pour éviter les conflits d'adresses IP.
Hostname : le nom de la machine ciblée. Ex : son nom NETBIOS. Pas son nom de domaine complet (si applicable).
Description : une description que vous souhaitez indiquer pour ce client. Information purement indicative affichée sous pfSense.
ARP Table Static Entry : permet de créer une entrée statique de table ARP pour cette combinaison "Adresse MAC / Adresse IP". Ce qui est inutile en règle générale, mais ce qui peut aussi être utile pour éviter l'usurpation d'identité (spoofing) ARP, le WoL (Wake on LAN), pour diminuer le trafic ARP sur un réseau, ...
Pour cela, cochez simplement la case "Create an ARP Table Static Entry for this MAC & IP Address pair".
WINS Servers : permet de spécifier le ou les serveurs WINS que le client devra utiliser.
DNS Servers : permet de spécifier le ou les serveurs DNS que le client devra utiliser.
Dans une infrastructure Active Directory, indiquez de préférence l'adresse IP du contrôleur de domaine AD en 1er.
Gateway : permet de spécifier l'adresse IP de la passerelle par défaut à utiliser.

Ensuite, les autres paramètres proposés sont les mêmes que lors de la configuration de votre serveur DHCP.
Du coup, référez-vous aux explications données précédemment pour ces paramètres.

Sources :