# OPNsense DHCP Server: Dynamische Adressvergabe für Profis
TL;DR / Management Summary Der DHCP (Dynamic Host Configuration Protocol) Dienst in OPNsense ist mehr als nur ein IP-Verteiler. Er ist tief in den DNS-Resolver (Unbound) integriert und ermöglicht die automatische Namensregistrierung von Clients. Ein Senior Admin nutzt statische DHCP-Mappings (Reservierungen) für alle Infrastruktur-Komponenten, setzt spezifische DHCP-Optionen für VoIP-Telefone und PXE-Boot (Artikel 494) und sichert den Pool gegen Erschöpfung ab.
# 1. Einführung & Architektur
Das Herz des LANs.
OPNsense nutzt den bewährten ISC DHCP Server. Er vergibt:
- IPv4 Adressen aus einem definierten Pool (Range).
- Subnetzmaske, Default Gateway und DNS-Server.
- Zusatz-Infos (Optionen) wie NTP-Server oder Boot-Files.
# 2. Einrichtung in der Praxis
Der Standard-Pool.
# Schritt 1: Aktivierung
Services -> DHCPv4 -> [Interface Name].
- Haken bei Enable DHCP server on interface setzen.
- Range: Definieren Sie den Pool (z.B.
10.0.0.100bis10.0.0.250). - DNS Servers: Wenn leer, wird die IP der OPNsense übermittelt.
# Schritt 2: Statische Mappings (Reservierungen)
Anstatt IPs am Gerät (Drucker, Server) manuell zu vergeben:
- Scrollen Sie zum Ende der DHCP-Seite.
- Klicken Sie auf das Plus-Symbol bei “Static Mappings”.
- Geben Sie MAC-Adresse und Wunsch-IP an.
- Vorteil: Zentrale Verwaltung aller IPs. Wenn sich der DNS-Server ändert, muss er nur an einer Stelle (DHCP) angepasst werden.
# 3. Deep Dive: Fortgeschrittene Optionen
Spezial-Konfigurationen.
# DHCP Options
Nutzen Sie das Feld “Additional Options”, um Herstellerspezifische Daten zu senden:
- Option 66: TFTP Server IP (für VoIP-Telefone oder PXE).
- Option 150: Cisco Call Manager IP.
# PXE-Boot (Network Booting)
Wenn Sie OPNsense als Boot-Server für Proxmox-Installationen nutzen:
- Next-server: IP des WDS/MDT Servers.
- Filename:
undionly.kpxe(Legacy) oderwdsmgfw.efi(UEFI).
# 4. Day-2 Operations: Pool-Management
Wenn die Adressen knapp werden.
# Lease Time
- Standard: 7200 Sekunden (2 Stunden).
- Empfehlung für Office: 86400 (24 Stunden).
- Empfehlung für Gäste-WLAN: 1800 (30 Min), um den Pool schnell wieder freizugeben.
# DHCP Leases einsehen
Services -> DHCPv4 -> Leases.
- Hier sehen Sie alle aktiven Geräte, deren Hostnamen und wann die Lease abläuft.
# 5. Troubleshooting & “War Stories”
Wenn der Client keine IP bekommt.
# Top 3 Fehlerbilder
-
Symptom: Client bekommt keine IP (“Eingeschränkte Konnektivität”).
- Ursache: IP-Pool ist voll.
- Lösung: Range vergrößern oder Lease-Time verkürzen.
-
Symptom: “Rogue DHCP” Warnung.
- Ursache: Ein zweiter DHCP-Server (z.B. FritzBox) im gleichen Netz.
- Tool:
nmap --script broadcast-dhcp-discover.
-
Symptom: Statische Reservierung funktioniert nicht.
- Ursache: MAC-Adresse falsch eingegeben oder das Gerät nutzt eine “Private/Random MAC” (Smartphone-Feature).
- Lösung: Zufällige MACs am Smartphone für das Firmen-WLAN deaktivieren.
# “War Story”: Der “Geister”-DHCP
In einem Unternehmen konnten plötzlich keine neuen Laptops mehr ins Netz. Der OPNsense-Pool war laut GUI zu 50% frei. Die Entdeckung: Ein Mitarbeiter hatte einen alten WLAN-Router von zu Hause mitgebracht und falsch herum (LAN an LAN) eingesteckt. Dieser Router verteilte IPs aus einem völlig anderen Subnetz schneller als die OPNsense. Lehre: Aktivieren Sie DHCP Snooping auf Ihren Managed Switches. Nur der Port, an dem die OPNsense hängt, darf DHCP-Antworten schicken.
# 6. Monitoring & Alerting
Auslastung überwachen.
# Dashboard Widget
Fügen Sie das Widget “DHCP Leases” hinzu.
- KPI: Pool Usage %. Wenn ein Subnetz dauerhaft bei > 90% liegt, planen Sie eine Erweiterung der Subnetzmaske (z.B. von
/24auf/23).
# 7. Fazit & Empfehlung
Der DHCP-Server ist ein kritisches Infrastruktur-Element.
- Empfehlung: Nutzen Sie Static Mappings konsequent für alles, was kein Laptop oder Smartphone ist.
- Sicherheit: Nutzen Sie MAC-Filtering (Allow/Deny Listen), um nur bekannte Hardware in sensible VLANs zu lassen.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| Pool konfigurieren | Services -> DHCPv4 -> [Interface] |
| Aktive Leases | Services -> DHCPv4 -> Leases |
| DHCP Log | System -> Log-Files -> General (Filter: dhcpd) |
| Config Pfad (SSH) | /var/dhcpd/var/db/dhcpd.leases |