Zur Startseite gehen
0,00 €*

HO-Firewall als DHCP-Server und BO-Firewall als Relay-Agent

Konfigurieren Sie die Sophos Firewall der Zentrale als DHCP-Server und die Sophos Firewall der Zweigstelle als DHCP-Relay-Agent.

Einführung

Die DHCP-Serverkonfiguration der Firewall der Zentrale vergibt IP-Adressen an Clients in der Zweigstelle. Die DHCP-Relay-Konfiguration der Firewall der Zweigstelle leitet die DHCP-Kommunikation zwischen DHCP-Clients und Server weiter. In diesem Beispiel konfigurieren wir die DHCP-Kommunikation über eine Site-to-Site-IPsec-Verbindung.

DHCP-Server und Relay-Agent: Netzwerkdiagramm

Die Netzwerkdetails lauten wie folgt:

Hauptsitz:

  • WAN-IP-Adresse: 192.0.2.1
  • DHCP-Serverschnittstelle: 172.16.16.1

Niederlassung:

  • WAN-IP-Adresse: 203.0.113.1
  • DHCP-Relay-Agent-Schnittstelle: 10.10.1.1
  • LAN-Subnetz: 10.10.1.0/24

Network diagram: DHCP server and relay agent.

Zentrale: DHCP-Server-Einstellungen festlegen

Konfigurieren Sie die Sophos Firewall in der Zentrale als DHCP-Server, um dynamische IP-Adressen an DHCP-Clients in der Zweigstelle zu vermieten.

  1. Gehe zu Netzwerk > DHCP.
  2. Unter Serverauf Hinzufügen.

  3. Die folgenden Einstellungen dienen als Beispiel. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Schnittstelle

    Port3 - 172.16.16.1

    Schnittstelle, auf der die Sophos Firewall auf DHCP-Anfragen wartet.
    Client-Anfrage per Relay annehmen Akzeptiert Relay-Anfragen.
    Dynamische IP-Lease 10.10.1.10 Zu 10.10.1.30
    Tor 10.10.1.1
    DNS-Einstellungen des Geräts verwenden DNS-Serverdetails zum Teilen mit DHCP-Clients.

  4. Klicken Speichern.

    Hier ist ein Beispiel:

    Configure Sophos Firewall as DHCP server at the head office.

Hauptsitz: IP-Adressen über eine IPsec-Verbindung mieten

Aktivieren Sie in der Firewall der Hauptniederlassung die IP-Adressmiete über IPsec.

  1. Geben Sie in der CLI der Zentrale Folgendes ein: 4 für Gerätekonsole.

  2. Geben Sie Folgendes ein:

    system dhcp lease-over-IPSec enable

Hauptsitz: Konfigurieren einer Site-to-Site-IPsec-Verbindung

Konfigurieren Sie auf der Firewall der Hauptniederlassung eine Site-to-Site-IPsec-Verbindung zur Zweigstelle.

  1. Gehen Sie in der Webadministrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Sie auf Hinzufügen.

  2. Die folgenden Einstellungen dienen als Beispiel. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Anschlussart Policy-based
    Gateway-Typ

    Respond only

    Um WAN-Verkehr den Zugriff auf den IPsec-Tunnel zu ermöglichen, gehen Sie zu Verwaltung > Gerätezugriff und wählen Sie VAN unter IPsec.
    Erstellen einer Firewallregel

    Deaktivieren Sie das Kontrollkästchen.

    Firewall-Regeln kontrollieren nicht den vom System generierten Datenverkehr.
    Authentifizierungstyp Preshared key
    Abhörschnittstelle Port3 - 192.0.2.1
    Gateway-Adresse 203.0.113.1
    Lokales Subnetz 172.16.16.1
    Remote-Subnetz 10.10.1.0

    Hier ist ein Beispiel:

    IPsec connection from head office for DHCP lease.

Zweigstelle: Konfigurieren eines DHCP-Relay-Agenten

Konfigurieren Sie die Sophos Firewall der Zweigstelle als DHCP-Relay-Agent. In diesem Beispiel leitet sie die vom DHCP-Server an die Firewall der Zentrale geleasten IP-Adressen weiter.

  1. Gehe zu Netzwerk > DHCP. Unter Relaisauf Hinzufügen.

  2. Wählen Sie die Schnittstelle aus der Dropdown-Liste.

    Beispiel: Port2 - 10.10.1.1

  3. Geben Sie die IP-Adresse für DHCP-Server-IP.

    Beispiel: 172.16.16.1

  4. Wählen Weiterleitung über IPsec.

    Hier ist ein Beispiel:

    Configure a DHCP relay agent.

Zweigstelle: Konfigurieren einer IPsec-Verbindung

Konfigurieren Sie auf der Firewall der Zweigstelle eine Site-to-Site-IPsec-Verbindung zur Zentrale.

  1. Gehen Sie in der Webadministrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Sie auf Hinzufügen.

  2. Die folgenden Einstellungen dienen als Beispiel. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Anschlussart Policy-based
    Gateway-Typ Initiate the connection
    Erstellen einer Firewallregel

    Deaktivieren Sie das Kontrollkästchen.

    Firewall-Regeln kontrollieren nicht den vom System generierten Datenverkehr.
    Authentifizierungstyp

    Preshared key

    Geben Sie den von Ihnen festgelegten Schlüssel in der Firewall der Zentrale ein.
    Abhörschnittstelle Port3 - 203.0.113.1
    Gateway-Adresse 192.0.2.1
    Lokales Subnetz 10.10.1.0
    Remote-Subnetz 172.16.16.1

    Hier ist ein Beispiel:

    IPsec connection at branch office for DHCP relay.

Zweigstelle: Hinzufügen einer IPsec-Route

Fügen Sie in der Firewall der Zweigstelle eine IPsec-Route für systemgenerierten Datenverkehr zum DHCP-Server in der Zentrale hinzu. Wenden Sie Source-NAT auf den systemgenerierten Datenverkehr an, um die interne Quell-IP-Adresse der Zweigstelle in die Ziel-IP-Adresse (DHCP-Server in der Zentrale) zu übersetzen.

  1. Geben Sie in der CLI Folgendes ein: 4 für Gerätekonsole.

  2. Fügen Sie eine statische Route von der Zweigstelle zum DHCP-Server in der Zentrale hinzu. Geben Sie Folgendes ein:

    system ipsec_route add host <IP address of host> tunnelname <tunnel>

    Beispiel: system ipsec_route add host 172.16.16.1 tunnelname PolicyBasedVPN

  3. Übersetzen Sie die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) der Firewall der Zweigstelle in die IP-Adresse des DHCP-Servers in der Zentrale. Sie müssen diesen Befehl verwenden, um systemgenerierten Datenverkehr zu übersetzen. Geben Sie Folgendes ein:

    set advanced-firewall sys-traffic-nat add destination <Destination IP address or network> snatip <Source IP address to translate>

    set advanced-firewall sys-traffic-nat add destination 172.16.16.1 snatip 10.10.1.1

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung