[pfSense 2.5.1] Wie DHCP Scopes für mehrere VLANs anlegen, wenn diese auf L2 verwaltet werden?

iHaveAstream

Hallo,

ich habe ein paar VLANs und diese werden über meinen Switch gemanaged, nicht über die pfSense!
Jedoch soll die pfSense die DHCP Scopes bereitstellen. Per "IP Helper" Config auf dem Switch möchte ich dann auf die LAN IP der pfSense verweisen, sodass alle DHCP Anfragen pauschal dorthin gelangen.

Unter DHCP Relay scheint dies in der Web UI nicht möglich zu sein.
Gibt es eine Alternative das Gewünschte per CLI umzusetzen und wenn ja, wie?

Meine physischen Interfaces der pfSense sind:
em0 = WAN
em1 = LAN (IP der pfSense: 10.10.10.2)

DHCP Scopes sollen angelegt werden für:

VLAN20 (192.168.20.0/24)
VLAN30 (10.10.30.0/24)
VLAN40 (10.10.40.0/24)
VLAN50 (192.168.50.0/24)

Danke vorab!

JeGr

@ihaveastream said in [pfSense 2.5.1] Wie DHCP Scopes für mehrere VLANs anlegen, wenn diese auf L2 verwaltet werden?:

Unter DHCP Relay scheint dies in der Web UI nicht möglich zu sein.

Nein das ist genau der Punkt den du auf dem Switch machst. Wenn die VLANs direkt auf der Sense aufliegen und du willst bspw. alles von einem Windows AD DHCP verwalten lassen. Genau das tut der DHCP Relay Agent.

Gibt es eine Alternative das Gewünschte per CLI umzusetzen und wenn ja, wie?

TL;DR: Nein.

Das gewünschte Setup ist mit der Art wie dhcpd in pfSense integriert ist (noch) nicht möglich. Ich kann mich an ein Feature Request erinnern, welches in die Richtung geht bzw. zutrifft aber aktuell ist das in der UI nicht möglich. Auf CLI / direkt Konfigfile bearbeiten wäre es denkbar, wäre aber zu heikel, da ohne UI Unterstützung ggf. die Modifikationen bei einem Update/Editieren von DHCP Settings in der UI wieder rausfliegen könnten.

Die landläufige Meinung von den meisten in dem Thread/Ticket war, dass recht häufig in so einem Szenario eh ein externer Server DHCP spielt und nicht nicht Firewall (da sie schon nicht die VLANs terminieren soll) und es daher wenig Nutzen für den Aufwand gibt. Auch wenn ich nicht unbedingt zustimme, stimmt allerdings die Beobachtung, dass in den meisten Szenarien wo ich multi-VLANs auf Switchen mit Firewall im Transfernetz davor gesehen habe, meistens noch ein DC oder sonstige Server mit im Spiel waren und dann DHCP eh dorthin ausgelagert wurden und das auf der Firewall deplatziert gewesen wäre.

Cheers

iHaveAstream

@jegr

super, danke für die ausführliche Info, wenngleich ich mir natürlich etwas anderes gewünscht hätte zu lesen.
Aber nun weiß ich wo ich dran bin und kann es dementsprechend berücksichtigen.

JeGr

@ihaveastream ist schade aber schön dass ich weiterhelfen konnte.