# DHCP Protocol Deep Dive: Der D.O.R.A.-Prozess & IP-Lifecycle

TL;DR / Management Summary Ohne das Dynamic Host Configuration Protocol (DHCP) wäre die Verwaltung moderner Netze mit tausenden Geräten unmöglich. Es automatisiert die Zuweisung von IP-Adressen, Gateways und DNS-Servern. Ein Senior Admin versteht den vierstufigen D.O.R.A.-Handshake (Discover, Offer, Request, Acknowledge) auf UDP-Ebene (Port 67/68), um DHCP-Probleme in VLAN-Umgebungen (Artikel 729) via Packet-Capture präzise zu diagnostizieren.

# 1. Die Anatomie des D.O.R.A. Prozesses

Vom Ruf im Wald zur Zuweisung.

DHCP arbeitet über Broadcasts (da der Client noch keine IP hat):

1. Discover (Broadcast): Client schickt ein Paket an 255.255.255.255. “Ist hier jemand, der mir eine IP geben kann?”.
2. Offer (Unicast/Broadcast): Ein (oder mehrere) DHCP-Server antworten mit einer freien IP.
3. Request (Broadcast): Der Client wählt ein Angebot aus und schreit zurück: “Ich nehme die IP 10.0.0.50 von Server X!”. (Die anderen Server ziehen ihre Angebote zurück).
4. Acknowledge (Unicast): Der Server bestätigt die Zuweisung inklusive Lease-Dauer und Optionen.

# 2. Der Lease-Lifecycle

Miete statt Besitz.

Eine IP-Adresse wird nicht verschenkt, sondern vermietet.

• T1 (Renew): Nach 50% der Lease-Zeit versucht der Client die Miete beim ursprünglichen Server zu verlängern.
• T2 (Rebind): Nach 87.5% der Zeit (falls der erste Server nicht antwortet) schreit der Client erneut per Broadcast ins Netz nach irgendeinem DHCP-Server.
• Expiry: Wenn keine Antwort kommt, verliert der Client die IP.

# 3. Deep Dive: DHCP Optionen

Mehr als nur eine IP.

Der DHCP-Standard erlaubt hunderte Zusatz-Informationen (Tags):

• Option 3: Default Gateway.
• Option 6: DNS Server.
• Option 66/67: PXE Boot Server & Filename. (Für Proxmox-Provisionierung, Artikel 713).
• Option 121: Statische Routen (erlaubt es dem DHCP, dem Client mitzuteilen, welche Netze nicht über das Default Gateway laufen).

# 4. Day-2 Operations: Pool-Management & Sicherheit

Hygiene im Adressraum.

# 1. Pool-Größe & Erschöpfung

Vermeiden Sie zu kleine Pools.

• Symptom: Neue Geräte bekommen keine IP.
• Lösung: Erhöhen Sie die Poolgröße oder senken Sie die Lease-Dauer (z.B. von 8 Tagen auf 4 Stunden in Gäste-WLANs).

# 2. DHCP Snooping

Schützen Sie Ihr Netz vor Rogue DHCP Servern (z.B. privat mitgebrachte FritzBoxen).

• Aktion: Konfigurieren Sie Ihren Switch so, dass nur der Port, an dem die echte OPNsense (Artikel 541) hängt, DHCP-Antworten schicken darf (“Trusted Port”).

# 5. Troubleshooting & “War Stories”

Wenn die IP ausbleibt.

# Top 3 Fehlerbilder

1. Symptom: “IP Address Conflict” Warnung in Windows.

   • Ursache: Ein Gerät hat eine statische IP im DHCP-Pool-Bereich konfiguriert.
   • Lösung: Nutzen Sie DHCP Reservations (Artikel 732) für alle festen Geräte!

2. Symptom: DHCP funktioniert im LAN, aber nicht via VPN.

   • Grund: Broadcasts (Discover) fließen nicht über VPN-Tunnel (Layer 3).
   • Lösung: Nutzen Sie statische IPs für VPN-Clients oder integrierte VPN-IP-Pools.

3. Symptom: Client hat IP, aber kein Internet.

   • Check: DNS-Server (Option 6) prüfen. Oft steht dort noch eine alte IP.

# “War Story”: Das “Zufalls-Netz” beim Umzug

Ein Unternehmen zog in ein neues Büro. Die PCs bekamen IPs, aber das Internet ging nicht. Die Entdeckung: In einem Bodentank war noch ein alter Router vom Vormieter eingesteckt und aktiv. Das Ergebnis: Dieser “Geister-Server” antwortete bei 50% der Anfragen schneller als die neue Firmen-Firewall. Die Hälfte der Mitarbeiter landete in einem toten Netz. Lehre: Nutzen Sie den Befehl dhcpdump auf Ihrem Management-PC, um alle im Netz fliegenden DHCP-Offers zu sehen. Jedes “Offer” von einer unbekannten MAC ist ein Sicherheitsvorfall.

# 6. Monitoring & Reporting

Füllstände im Dashboard.

# DHCP Lease Monitor (SNMP)

Überwachen Sie via Zabbix/Prometheus:

• Free_Leases_Count.
• Alert: Wenn weniger als 10 freie IPs im Server-VLAN vorhanden sind -> Planung der Subnetz-Erweiterung (Artikel 725).

# 7. Fazit & Empfehlung

DHCP ist die Basis für “Plug & Play” im Enterprise.

• Empfehlung: Nutzen Sie feste Reservierungen für alles, was kein Laptop ist.
• Wichtig: Verwenden Sie für geschäftskritische Infrastruktur (Switche, Proxmox-Hosts) niemals DHCP. Diese Geräte müssen auch dann erreichbar sein, wenn der DHCP-Dienst (z.B. bei einem AD-Ausfall) offline ist.

# Anhang: Cheatsheet (Wichtige Ports)

# Referenzen

• RFC 2131: Dynamic Host Configuration Protocol
• IANA: DHCP Option Numbers
• Infoblox: The DHCP Handbook