Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=network-DHCP

DHCP

Sie können die Sophos Firewall als DHCP-Server und Relay-Agent konfigurieren, um Clients IP-Adressen und Netzwerkparameter bereitzustellen.

Zu den Netzwerkparametern gehören das Standardgateway, die Subnetzmaske, der Domänenname, die DNS-Server und die WINS-Server. Über die Befehlszeilenschnittstelle (CLI) können Sie mithilfe von DHCP-Optionen zusätzliche Parameter an Clients senden.

In der Web-Administrationskonsole können Sie auch die Lease-Datensätze für an Clients vergebene IP-Adressen einsehen.

Notiz

Für die DHCP-Kommunikation über VPN unterstützt die Sophos Firewall DHCP-Relays nur bei IPsec-Site-to-Site-Verbindungen. Derzeit können Sie keine DHCP-Relays für routenbasierte VPNs erstellen.

Notiz

DHCP-Server und Relay-Agenten können auf physischen und virtuellen Schnittstellen wie VLANs, drahtlosen Netzwerken und Bridge-Schnittstellen konfiguriert werden, jedoch nicht auf einem Schnittstellenalias.

Vorteile von DHCP:

  • Vereinfacht die Konfiguration von Endgeräten, einschließlich Mobilgeräten, Servern und Routern.
  • Ermöglicht es mobilen Geräten, nahtlos zwischen Netzwerken zu wechseln.
  • Ermöglicht die effektive Nutzung des Adressraums durch die Neuverteilung nicht verwendeter IP-Adressen.
  • Ermöglicht es Ihnen, Probleme im Zusammenhang mit IP-Adressen schneller zu lokalisieren und zu beheben.

Überblick

DHCP-Server: Als DHCP-Server weist die Sophos Firewall DHCP-Clients IP-Adressen und Netzwerkparameter zu. Wenn Clients das Netzwerk verlassen, gibt der Server die zugewiesenen IP-Adressen frei und verwendet sie wieder.

Damit die Sophos Firewall IP-Adressen direkt an Clients innerhalb des Servernetzwerks vergeben kann, muss die DHCP-Schnittstelle zum Clientnetzwerk gehören.

Damit die Sophos Firewall Clients in anderen Netzwerken IP-Adressen zuweisen kann, muss ein DHCP-Relay-Agent konfiguriert werden. Da Clients in jedem Netzwerk unterschiedliche Netzwerkparameter benötigen (z. B. Standardgateway), muss der DHCP-Server für jedes Netzwerk, für das IP-Adressen zugewiesen werden sollen, konfiguriert werden. Für diese Serverkonfigurationen kann dieselbe DHCP-Schnittstelle verwendet werden, auf der der Server auf DHCP-Anfragen wartet. Der Server weist IP-Adressen zu, die zum selben Subnetz wie die Quelladresse des Relay-Agents gehören.

Sie können den Server auch so konfigurieren, dass er statische IP-Adressen zuweist, die den MAC-Adressen der Clients zugeordnet sind.

  • Um die Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie zu Server Abschnitt und klicken Hinzufügen.

DHCP-Relay-Agent: Sie können die Sophos Firewall als DHCP-Relay-Agent konfigurieren. Dieser leitet dann die DHCP-Kommunikation zwischen Clients im Netzwerk des Relay-Agents und DHCP-Servern in anderen Netzwerken weiter. Sie können Agents auch so konfigurieren, dass sie DHCP-Pakete über IPsec-VPN-Tunnel weiterleiten.

Warnung

Stellen Sie sicher, dass sich die Schnittstelle des Relay-Agents im selben Subnetz wie die DHCP-Clients befindet. Verwenden Sie für keinen Relay-Agenten die Schnittstelle des DHCP-Servers als Relay-Schnittstelle. Der Agent leitet sonst keine Client-Anfragen weiter.

Konfigurieren Sie keinen Relay-Agenten für das Subnetz, in dem sich der DHCP-Server befindet. Der Server vergibt IP-Adressen direkt an Clients innerhalb seines Subnetzes.

Notiz

Die Sophos Firewall kann nicht gleichzeitig als DHCPv6-Server und DHCPv6-Relay-Agent konfiguriert werden.

Wenn Sie anstelle der Sophos Firewall einen externen DHCP-Server verwenden, müssen Sie den externen Server so konfigurieren, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.

  • Um ein DHCP-Relay zu erstellen, gehen Sie zu Relais Abschnitt und klicken Hinzufügen.

DHCP-Clients: Dies sind Hosts wie Endgeräte, Server und Router, die dynamische IP-Adressen vom DHCP-Server erhalten. Sie müssen die Clients so konfigurieren, dass sie IP-Adressen per DHCP beziehen.

Notiz

DHCP-Clients senden DHCP-Anfragen mit der Quell-IP-Adresse 0.0.0.0. Die Firewall verwirft diese Anfragen, wenn kein DHCP-Server konfiguriert ist, und erstellt den folgenden Protokolleintrag: Richtlinienregel verweigert.

DHCP-Optionen: Über die Befehlszeilenschnittstelle (CLI) und die Benutzeroberfläche (UI) können Sie DHCP-Optionen konfigurieren, um zusätzliche Parameter an bestimmte oder alle Clients zu senden. Beispielsweise können Sie die LAN-Schnittstelle ändern, die Access Points zur Registrierung kontaktieren müssen, den primären DNS-Server ändern, einen anderen NTP-Server festlegen oder PXE-Clients auf einen Server verweisen, der eine Datei mit Boot-Optionen bereitstellt. Sie können auch die Standardoptionen verwenden oder benutzerdefinierte Optionen erstellen. Die vollständige Liste der DHCP-Optionen finden Sie hier: DHCP-Optionen.

Anwendungsfall: Sophos Firewall als DHCP-Server (HO) und als Relay-Agent (BO)

In diesem Szenario verwendeten wir eine IPsec-Verbindung für die DHCP-Kommunikation.

Gehen Sie auf der Firewall der Hauptverwaltung wie folgt vor:

  1. Konfigurieren Sie den DHCP-Server.
  2. Fügen Sie eine IPsec-Site-to-Site-Verbindung hinzu.
  3. Schalten Sie die Option in der Befehlszeile ein. DHCP-Lease über IPsec.

Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:

  1. Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie aus Weiterleitung über IPsec in der Konfiguration.
  2. Fügen Sie eine IPsec-Site-to-Site-Verbindung hinzu.
  3. Fügen Sie über die CLI eine IPsec-Route hinzu.
  4. Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.

Anwendungsfall: DHCP-Server eines Drittanbieters (HO) und Sophos Firewall als Relay-Agent (BO)

Sie können einen Server eines Drittanbieters, beispielsweise einen Windows-Server, als DHCP-Server konfigurieren. In diesem Szenario verwenden wir eine IPsec-Verbindung für die DHCP-Kommunikation.

Konfigurieren Sie auf dem Server des Drittanbieters den Server so, dass DHCP-Pakete über die Schnittstelle des Relay-Agenten weitergeleitet werden.

Gehen Sie auf der Firewall der Hauptverwaltung wie folgt vor:

  1. Fügen Sie eine Site-to-Site-IPsec-Verbindung hinzu.
  2. Fügen Sie eine ausgehende Firewall-Regel hinzu, um DHCP-Datenverkehr vom Server zum Client-Netzwerk zuzulassen.
  3. Fügen Sie eine entsprechende eingehende Firewall-Regel hinzu.

Gehen Sie auf der Firewall der Zweigstelle wie folgt vor:

  1. Konfigurieren Sie den DHCP-Relay-Agenten. Wählen Sie aus Weiterleitung über IPsec in der Konfiguration.
  2. Fügen Sie eine IPsec-Site-to-Site-Verbindung hinzu.
  3. Fügen Sie über die CLI eine IPsec-Route hinzu.
  4. Fügen Sie außerdem einen SNAT-Befehl hinzu, um die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) in die IP-Adresse des DHCP-Servers zu übersetzen.

Anwendungsfall: Sophos Firewall als DHCP-Server und Relay-Agent

Für IPv6-Adressen können Sie die Sophos Firewall nur als DHCP-Server oder Relay-Agent konfigurieren.

Um die Sophos Firewall als DHCPv4-Server zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie die Schnittstelle an, die zum Empfangen von DHCP-Anfragen verwendet werden soll.
  2. Aktivieren Sie das Kontrollkästchen, um Clientanfragen zur Weiterleitung zu akzeptieren.
  3. Geben Sie den IP-Adressbereich des Client-Netzwerks an.
  4. Geben Sie die Subnetzmaske und das Gateway des Clientnetzwerks an.
  5. Geben Sie den DNS-Server an.

Um dieselbe Sophos Firewall als DHCPv4-Relay-Agent zu konfigurieren, gehen Sie für jedes Client-Netzwerk wie folgt vor:

  1. Die clientseitige Schnittstelle festlegen.
  2. Geben Sie die IP-Adresse des DHCP-Servers an.

Anwendungsfall: Sophos Firewall als DHCP-Server und DHCP-Clients innerhalb des Server-Subnetzes

Um Clients im Subnetz des DHCP-Servers IP-Adressen zuzuweisen, konfigurieren Sie keinen Relay-Agenten. Der Server weist diesen Clients die IP-Adressen direkt zu.

Um die Sophos Firewall als DHCP-Server zu konfigurieren, gehen Sie wie folgt vor:

  1. Geben Sie die Schnittstelle an, über die DHCP-Anfragen empfangen werden sollen.
  2. Geben Sie den IP-Leasebereich ein. Der Bereich muss zum Subnetz der von Ihnen angegebenen Schnittstelle gehören.
  3. Geben Sie die Netzwerkparameter an, z. B. die Subnetzmaske und das Gateway des Client-Netzwerks.
  4. Geben Sie den DNS-Server an.

RED DHCP-Server: Aktualisierung der RED-Schnittstelle

Wenn Sie die IP-Adresse einer vorhandenen RED-Schnittstelle auf eine Adresse außerhalb des dynamischen Leasebereichs des RED DHCP-Servers ändern, schaltet die Sophos Firewall den RED DHCP-Server ab.

Damit der RED DHCP-Server wieder funktioniert, können Sie eine der folgenden Maßnahmen ergreifen:

  • Aktualisieren Sie die vorhandenen DHCP-Servereinstellungen, z. B. Dynamische IP-Zuteilung, Statische IP-MAC-Zuordnung, Und DNS.
  • Erstellen Sie einen neuen DHCP-Server für den neuen IP-Adressbereich.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen