Zur Startseite gehen
0,00 €*

DHCP

Sie können Sophos Firewall als DHCP-Server und Relay-Agent konfigurieren, um Clients IP-Adressen und Netzwerkparameter bereitzustellen.

Zu den Netzwerkparametern gehören Standard-Gateway, Subnetzmaske, Domänenname, DNS-Server und WINS-Server. Sie können zusätzliche Parameter über DHCP-Optionen in der Befehlszeilenschnittstelle an Clients senden.

Auf der Webadministratorkonsole können Sie auch Leasingdatensätze für an Clients vermietete IP-Adressen anzeigen.

Notiz

Für die DHCP-Kommunikation über VPN unterstützt die Sophos Firewall nur DHCP-Relays für IPsec-Site-to-Site-Verbindungen. Derzeit können Sie keine DHCP-Relays für routenbasierte VPNs erstellen.

Notiz

Sie können DHCP-Server und Relay-Agenten auf physischen und virtuellen Schnittstellen wie VLANs, drahtlosen Netzwerken und Bridge-Schnittstellen konfigurieren, jedoch nicht auf einem Schnittstellenalias.

Vorteile von DHCP:

  • Vereinfacht die Konfiguration von Endpunktgeräten, einschließlich Mobilgeräten, Servern und Routern.
  • Ermöglicht mobilen Geräten den nahtlosen Wechsel zwischen Netzwerken.
  • Ermöglicht Ihnen, den Adressraum effektiv zu nutzen und nicht verwendete IP-Adressen neu zu verteilen.
  • Ermöglicht Ihnen, Probleme im Zusammenhang mit IP-Adressen schneller zu lokalisieren und zu beheben.

Überblick

DHCP-Server: Als DHCP-Server weist die Sophos Firewall DHCP-Clients IP-Adressen und Netzwerkparameter zu. Verlassen Clients das Netzwerk, gibt der Server die zugewiesenen IP-Adressen frei und verwendet diese erneut.

Damit die Sophos Firewall IP-Adressen direkt an Clients innerhalb des Servernetzwerks vermieten kann, muss die DHCP-Schnittstelle zum Clientnetzwerk gehören.

Damit die Sophos Firewall IP-Adressen an Clients in anderen Netzwerken vergeben kann, müssen Sie einen DHCP-Relay-Agenten konfigurieren. Da Clients in jedem Netzwerk unterschiedliche Netzwerkparameter benötigen (z. B. Standard-Gateway), müssen Sie den DHCP-Server so oft konfigurieren, wie Sie IP-Adressen vergeben möchten. Für diese Serverkonfigurationen können Sie dieselbe DHCP-Schnittstelle verwenden, auf der der Server auf DHCP-Anfragen wartet. Der Server vergibt IP-Adressen, die zum selben Subnetz gehören wie die Quelladresse des Relay-Agenten.

Sie können den Server auch so konfigurieren, dass er statische IP-Adressen zuweist, die den MAC-Adressen der Clients zugeordnet sind.

  • Um Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie zu Server und klicken Sie auf Hinzufügen.

DHCP-Relay-Agent: Sie können die Sophos Firewall als DHCP-Relay-Agent konfigurieren. Sie leitet dann die DHCP-Kommunikation zwischen Clients im Netzwerk des Relay-Agenten und DHCP-Servern in anderen Netzwerken weiter. Sie können Agenten auch so konfigurieren, dass sie DHCP-Pakete über IPsec-VPN-Tunnel weiterleiten.

Warnung

Stellen Sie sicher, dass sich die ausgewählte Schnittstelle des Relay-Agenten im selben Subnetz wie die DHCP-Clients befindet. Geben Sie die DHCP-Serverschnittstelle nicht als Relay-Schnittstelle für einen Relay-Agenten an. Der Agent leitet keine Client-Anfragen weiter.

Konfigurieren Sie keinen Relay-Agenten für das Subnetz, in dem sich der DHCP-Server befindet. Der Server vergibt IP-Adressen direkt an Clients innerhalb seines Subnetzes.

Notiz

Sie können Sophos Firewall nicht gleichzeitig als DHCPv6-Server und DHCPv6-Relay-Agent konfigurieren.

Wenn Sie einen externen DHCP-Server anstelle der Sophos Firewall als Server verwenden, müssen Sie den externen Server so konfigurieren, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.

  • Um ein DHCP-Relay zu erstellen, gehen Sie zu Relais und klicken Sie auf Hinzufügen.

DHCP-Clients: Dies sind Hosts wie Endpunkte, Server und Router, die dynamische IP-Adressen vom DHCP-Server erhalten. Sie müssen die Clients so konfigurieren, dass sie IP-Adressen über DHCP erhalten.

Notiz

DHCP-Clients senden DHCP-Anfragen über die Quell-IP-Adresse 0.0.0.0. Die Firewall verwirft diese Anfragen, wenn kein DHCP-Server konfiguriert ist, und erstellt den folgenden Protokolleintrag: Richtlinienregel abgelehnt.

DHCP-Optionen: Über die CLI und die Benutzeroberfläche können Sie DHCP-Optionen konfigurieren, um zusätzliche Parameter an bestimmte oder alle Clients zu senden. Sie können beispielsweise die LAN-Schnittstelle ändern, die Access Points zur Registrierung kontaktieren müssen, den primären DNS-Server ändern, einen anderen NTP-Server einrichten oder PXE-Clients auf einen Server umleiten, der eine Datei mit Startoptionen enthält. Sie können auch die Standardoptionen verwenden oder benutzerdefinierte Optionen erstellen. Die vollständige Liste der DHCP-Optionen finden Sie unter DHCP-Optionen.

Anwendungsfall: Sophos Firewall als DHCP-Server (HO) und als Relay-Agent (BO)

In diesem Szenario haben wir eine IPsec-Verbindung für die DHCP-Kommunikation verwendet.

Gehen Sie auf der Firewall der Zentrale wie folgt vor:

  1. Konfigurieren Sie den DHCP-Server.
  2. Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
  3. Aktivieren Sie auf der CLI DHCP-Lease über IPsec.

Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:

  1. Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie Weiterleitung über IPsec in der Konfiguration.
  2. Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
  3. Fügen Sie in der CLI eine IPsec-Route hinzu.
  4. Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.

Anwendungsfall: DHCP-Server eines Drittanbieters (HO) und Sophos Firewall als Relay-Agent (BO)

Sie können einen Drittanbieterserver, z. B. einen Windows-Server, als DHCP-Server konfigurieren. In diesem Szenario verwenden wir eine IPsec-Verbindung für die DHCP-Kommunikation.

Konfigurieren Sie den Server des Drittanbieters so, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.

Gehen Sie auf der Firewall der Zentrale wie folgt vor:

  1. Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
  2. Fügen Sie eine ausgehende Firewall-Regel hinzu, um DHCP-Verkehr vom Server zum Client-Netzwerk zuzulassen.
  3. Fügen Sie eine entsprechende Firewall-Regel für eingehenden Datenverkehr hinzu.

Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:

  1. Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie Weiterleitung über IPsec in der Konfiguration.
  2. Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
  3. Fügen Sie in der CLI eine IPsec-Route hinzu.
  4. Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.

Anwendungsfall: Sophos Firewall als DHCP-Server und Relay-Agent

Für IPv6-Adressen können Sie Sophos Firewall nur als DHCP-Server oder Relay-Agent konfigurieren.

Um Sophos Firewall als DHCPv4-Server zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie die Schnittstelle an, die zum Abhören von DHCP-Abfragen verwendet werden soll.
  2. Aktivieren Sie das Kontrollkästchen, um Clientanforderungen zur Weiterleitung anzunehmen.
  3. Geben Sie den IP-Adress-Lease-Bereich des Client-Netzwerks an.
  4. Geben Sie die Subnetzmaske und das Gateway des Clientnetzwerks an.
  5. Geben Sie den DNS-Server an.

Um dieselbe Sophos Firewall als DHCPv4-Relay-Agent zu konfigurieren, gehen Sie für jedes Client-Netzwerk wie folgt vor:

  1. Geben Sie die clientseitige Schnittstelle an.
  2. Geben Sie die IP-Adresse des DHCP-Servers an.

Anwendungsfall: Sophos Firewall als DHCP-Server und DHCP-Clients innerhalb des Subnetzes des Servers

Um IP-Adressen an Clients im Subnetz des DHCP-Servers zu leasen, konfigurieren Sie keinen Relay-Agenten. Der Server vergibt IP-Adressen direkt an diese Clients.

Um Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie die Schnittstelle an, die auf DHCP-Abfragen warten soll.
  2. Geben Sie den IP-Lease-Bereich ein. Der Bereich muss zum Subnetz der von Ihnen angegebenen Schnittstelle gehören.
  3. Geben Sie die Netzwerkparameter an, beispielsweise die Subnetzmaske und das Gateway des Clientnetzwerks.
  4. Geben Sie den DNS-Server an.

RED DHCP-Server: Update der RED-Schnittstelle

Wenn Sie die IP-Adresse einer vorhandenen RED-Schnittstelle in eine Adresse außerhalb des dynamischen Lease-Bereichs des RED-DHCP-Servers ändern, schaltet die Sophos Firewall den RED-DHCP-Server aus.

Damit RED DHCP wieder funktioniert, können Sie einen der folgenden Schritte ausführen:

  • Aktualisieren Sie die vorhandenen DHCP-Servereinstellungen, wie z. B. Dynamische IP-Lease, Statische IP-MAC-Zuordnung, Und DNS.
  • Erstellen Sie einen neuen DHCP-Server für den neuen IP-Adressbereich.

Weitere Ressourcen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung