DHCP
Sie können Sophos Firewall als DHCP-Server und Relay-Agent konfigurieren, um Clients IP-Adressen und Netzwerkparameter bereitzustellen.
Zu den Netzwerkparametern gehören Standard-Gateway, Subnetzmaske, Domänenname, DNS-Server und WINS-Server. Sie können zusätzliche Parameter über DHCP-Optionen in der Befehlszeilenschnittstelle an Clients senden.
Auf der Webadministratorkonsole können Sie auch Leasingdatensätze für an Clients vermietete IP-Adressen anzeigen.
Notiz
Für die DHCP-Kommunikation über VPN unterstützt die Sophos Firewall nur DHCP-Relays für IPsec-Site-to-Site-Verbindungen. Derzeit können Sie keine DHCP-Relays für routenbasierte VPNs erstellen.
Notiz
Sie können DHCP-Server und Relay-Agenten auf physischen und virtuellen Schnittstellen wie VLANs, drahtlosen Netzwerken und Bridge-Schnittstellen konfigurieren, jedoch nicht auf einem Schnittstellenalias.
Vorteile von DHCP:
- Vereinfacht die Konfiguration von Endpunktgeräten, einschließlich Mobilgeräten, Servern und Routern.
- Ermöglicht mobilen Geräten den nahtlosen Wechsel zwischen Netzwerken.
- Ermöglicht Ihnen, den Adressraum effektiv zu nutzen und nicht verwendete IP-Adressen neu zu verteilen.
- Ermöglicht Ihnen, Probleme im Zusammenhang mit IP-Adressen schneller zu lokalisieren und zu beheben.
Überblick
DHCP-Server: Als DHCP-Server weist die Sophos Firewall DHCP-Clients IP-Adressen und Netzwerkparameter zu. Verlassen Clients das Netzwerk, gibt der Server die zugewiesenen IP-Adressen frei und verwendet diese erneut.
Damit die Sophos Firewall IP-Adressen direkt an Clients innerhalb des Servernetzwerks vermieten kann, muss die DHCP-Schnittstelle zum Clientnetzwerk gehören.
Damit die Sophos Firewall IP-Adressen an Clients in anderen Netzwerken vergeben kann, müssen Sie einen DHCP-Relay-Agenten konfigurieren. Da Clients in jedem Netzwerk unterschiedliche Netzwerkparameter benötigen (z. B. Standard-Gateway), müssen Sie den DHCP-Server so oft konfigurieren, wie Sie IP-Adressen vergeben möchten. Für diese Serverkonfigurationen können Sie dieselbe DHCP-Schnittstelle verwenden, auf der der Server auf DHCP-Anfragen wartet. Der Server vergibt IP-Adressen, die zum selben Subnetz gehören wie die Quelladresse des Relay-Agenten.
Sie können den Server auch so konfigurieren, dass er statische IP-Adressen zuweist, die den MAC-Adressen der Clients zugeordnet sind.
- Um Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie zu Server und klicken Sie auf Hinzufügen.
DHCP-Relay-Agent: Sie können die Sophos Firewall als DHCP-Relay-Agent konfigurieren. Sie leitet dann die DHCP-Kommunikation zwischen Clients im Netzwerk des Relay-Agenten und DHCP-Servern in anderen Netzwerken weiter. Sie können Agenten auch so konfigurieren, dass sie DHCP-Pakete über IPsec-VPN-Tunnel weiterleiten.
Warnung
Stellen Sie sicher, dass sich die ausgewählte Schnittstelle des Relay-Agenten im selben Subnetz wie die DHCP-Clients befindet. Geben Sie die DHCP-Serverschnittstelle nicht als Relay-Schnittstelle für einen Relay-Agenten an. Der Agent leitet keine Client-Anfragen weiter.
Konfigurieren Sie keinen Relay-Agenten für das Subnetz, in dem sich der DHCP-Server befindet. Der Server vergibt IP-Adressen direkt an Clients innerhalb seines Subnetzes.
Notiz
Sie können Sophos Firewall nicht gleichzeitig als DHCPv6-Server und DHCPv6-Relay-Agent konfigurieren.
Wenn Sie einen externen DHCP-Server anstelle der Sophos Firewall als Server verwenden, müssen Sie den externen Server so konfigurieren, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.
- Um ein DHCP-Relay zu erstellen, gehen Sie zu Relais und klicken Sie auf Hinzufügen.
DHCP-Clients: Dies sind Hosts wie Endpunkte, Server und Router, die dynamische IP-Adressen vom DHCP-Server erhalten. Sie müssen die Clients so konfigurieren, dass sie IP-Adressen über DHCP erhalten.
Notiz
DHCP-Clients senden DHCP-Anfragen über die Quell-IP-Adresse 0.0.0.0. Die Firewall verwirft diese Anfragen, wenn kein DHCP-Server konfiguriert ist, und erstellt den folgenden Protokolleintrag: Richtlinienregel abgelehnt.
DHCP-Optionen: Über die CLI und die Benutzeroberfläche können Sie DHCP-Optionen konfigurieren, um zusätzliche Parameter an bestimmte oder alle Clients zu senden. Sie können beispielsweise die LAN-Schnittstelle ändern, die Access Points zur Registrierung kontaktieren müssen, den primären DNS-Server ändern, einen anderen NTP-Server einrichten oder PXE-Clients auf einen Server umleiten, der eine Datei mit Startoptionen enthält. Sie können auch die Standardoptionen verwenden oder benutzerdefinierte Optionen erstellen. Die vollständige Liste der DHCP-Optionen finden Sie unter DHCP-Optionen.
Anwendungsfall: Sophos Firewall als DHCP-Server (HO) und als Relay-Agent (BO)
In diesem Szenario haben wir eine IPsec-Verbindung für die DHCP-Kommunikation verwendet.
Gehen Sie auf der Firewall der Zentrale wie folgt vor:
- Konfigurieren Sie den DHCP-Server.
- Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
- Aktivieren Sie auf der CLI DHCP-Lease über IPsec.
Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:
- Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie Weiterleitung über IPsec in der Konfiguration.
- Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
- Fügen Sie in der CLI eine IPsec-Route hinzu.
- Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.
Anwendungsfall: DHCP-Server eines Drittanbieters (HO) und Sophos Firewall als Relay-Agent (BO)
Sie können einen Drittanbieterserver, z. B. einen Windows-Server, als DHCP-Server konfigurieren. In diesem Szenario verwenden wir eine IPsec-Verbindung für die DHCP-Kommunikation.
Konfigurieren Sie den Server des Drittanbieters so, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.
Gehen Sie auf der Firewall der Zentrale wie folgt vor:
- Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
- Fügen Sie eine ausgehende Firewall-Regel hinzu, um DHCP-Verkehr vom Server zum Client-Netzwerk zuzulassen.
- Fügen Sie eine entsprechende Firewall-Regel für eingehenden Datenverkehr hinzu.
Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:
- Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie Weiterleitung über IPsec in der Konfiguration.
- Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
- Fügen Sie in der CLI eine IPsec-Route hinzu.
- Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.
Anwendungsfall: Sophos Firewall als DHCP-Server und Relay-Agent
Für IPv6-Adressen können Sie Sophos Firewall nur als DHCP-Server oder Relay-Agent konfigurieren.
Um Sophos Firewall als DHCPv4-Server zu konfigurieren, gehen Sie wie folgt vor:
- Geben Sie die Schnittstelle an, die zum Abhören von DHCP-Abfragen verwendet werden soll.
- Aktivieren Sie das Kontrollkästchen, um Clientanforderungen zur Weiterleitung anzunehmen.
- Geben Sie den IP-Adress-Lease-Bereich des Client-Netzwerks an.
- Geben Sie die Subnetzmaske und das Gateway des Clientnetzwerks an.
- Geben Sie den DNS-Server an.
Um dieselbe Sophos Firewall als DHCPv4-Relay-Agent zu konfigurieren, gehen Sie für jedes Client-Netzwerk wie folgt vor:
- Geben Sie die clientseitige Schnittstelle an.
- Geben Sie die IP-Adresse des DHCP-Servers an.
Anwendungsfall: Sophos Firewall als DHCP-Server und DHCP-Clients innerhalb des Subnetzes des Servers
Um IP-Adressen an Clients im Subnetz des DHCP-Servers zu leasen, konfigurieren Sie keinen Relay-Agenten. Der Server vergibt IP-Adressen direkt an diese Clients.
Um Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie wie folgt vor:
- Geben Sie die Schnittstelle an, die auf DHCP-Abfragen warten soll.
- Geben Sie den IP-Lease-Bereich ein. Der Bereich muss zum Subnetz der von Ihnen angegebenen Schnittstelle gehören.
- Geben Sie die Netzwerkparameter an, beispielsweise die Subnetzmaske und das Gateway des Clientnetzwerks.
- Geben Sie den DNS-Server an.
RED DHCP-Server: Update der RED-Schnittstelle
Wenn Sie die IP-Adresse einer vorhandenen RED-Schnittstelle in eine Adresse außerhalb des dynamischen Lease-Bereichs des RED-DHCP-Servers ändern, schaltet die Sophos Firewall den RED-DHCP-Server aus.
Damit RED DHCP wieder funktioniert, können Sie einen der folgenden Schritte ausführen:
- Aktualisieren Sie die vorhandenen DHCP-Servereinstellungen, wie z. B. Dynamische IP-Lease, Statische IP-MAC-Zuordnung, Und DNS.
- Erstellen Sie einen neuen DHCP-Server für den neuen IP-Adressbereich.
Weitere Ressourcen