Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=network-DHCP-HO-as-DHCP-server

HO-Firewall als DHCP-Server und BO-Firewall als Relay-Agent

Konfigurieren Sie die Sophos-Firewall in der Zentrale als DHCP-Server und die Sophos-Firewall in der Zweigstelle als DHCP-Relay-Agent.

Einführung

Die DHCP-Serverkonfiguration auf der Firewall der Hauptniederlassung vergibt IP-Adressen an Clients in der Zweigstelle. Die DHCP-Relay-Konfiguration auf der Firewall der Zweigstelle leitet die DHCP-Kommunikation zwischen DHCP-Clients und dem Server weiter. In diesem Beispiel konfigurieren wir die DHCP-Kommunikation über eine Site-to-Site-IPsec-Verbindung.

DHCP-Server und Relay-Agent: Netzwerkdiagramm

Die Netzwerkdetails lauten wie folgt:

Hauptsitz:

  • WAN-IP-Adresse: 192.0.2.1
  • DHCP-Serverschnittstelle: 172.16.16.1

Zweigstelle:

  • WAN-IP-Adresse: 203.0.113.1
  • DHCP-Relay-Agent-Schnittstelle: 10.10.1.1
  • LAN-Subnetz: 10.10.1.0/24

Network diagram: DHCP server and relay agent.

Hauptsitz: DHCP-Servereinstellungen festlegen

Konfigurieren Sie die Sophos Firewall am Hauptsitz als DHCP-Server, um DHCP-Clients in den Zweigstellen dynamische IP-Adressen zuzuweisen.

  1. Gehe zu Netzwerk > DHCP.
  2. Unter Server, klicken Hinzufügen.

  3. Die folgenden Einstellungen sind beispielhaft. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Schnittstelle

    Port3 - 172.16.16.1

    Schnittstelle, über die die Sophos Firewall auf DHCP-Anfragen wartet.
    Clientanfragen über Relay entgegennehmen Akzeptiert Weiterleitungsanfragen.
    Dynamische IP-Zuteilung 10.10.1.10 Zu 10.10.1.30
    Tor 10.10.1.1
    Verwenden Sie die DNS-Einstellungen des Geräts. DNS-Serverdetails, die mit DHCP-Clients geteilt werden sollen.

  4. Klicken Speichern.

    Hier ein Beispiel:

    Configure Sophos Firewall as DHCP server at the head office.

Hauptsitz: IP-Adressen über eine IPsec-Verbindung mieten

Aktivieren Sie auf der Firewall der Hauptniederlassung die IP-Adressvergabe über IPsec.

  1. Geben Sie am Hauptbüro-CLI Folgendes ein: 4 für Gerätekonsole.

  2. Geben Sie Folgendes ein:

    system dhcp lease-over-IPSec enable

Hauptsitz: Konfigurieren Sie eine IPsec-Site-to-Site-Verbindung

Konfigurieren Sie auf der Firewall der Hauptniederlassung eine Site-to-Site-IPsec-Verbindung zur Zweigstelle.

  1. Gehen Sie in der Web-Administrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Hinzufügen.

  2. Die folgenden Einstellungen sind beispielhaft. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Verbindungstyp Policy-based
    Gateway-Typ

    Respond only

    Um dem WAN-Verkehr den Zugriff auf den IPsec-Tunnel zu ermöglichen, gehen Sie zu Verwaltung > Gerätezugriff und auswählen VAN unter IPsec.
    Firewall-Regel erstellen

    Deaktivieren Sie das Kontrollkästchen.

    Firewall-Regeln haben keinen Einfluss auf den vom System generierten Datenverkehr.
    Authentifizierungstyp Preshared key
    Zuhörschnittstelle Port3 - 192.0.2.1
    Gateway-Adresse 203.0.113.1
    Lokales Subnetz 172.16.16.1
    Remote-Subnetz 10.10.1.0

    Hier ein Beispiel:

    IPsec connection from head office for DHCP lease.

Zweigstelle: Konfigurieren Sie einen DHCP-Relay-Agenten.

Konfigurieren Sie die Sophos-Firewall der Zweigstelle als DHCP-Relay-Agent. In diesem Beispiel leitet sie die vom DHCP-Server der Firewall der Hauptstelle zugewiesenen IP-Adressen weiter.

  1. Gehe zu Netzwerk > DHCP. Unter Relais, klicken Hinzufügen.

  2. Wählen Sie die Schnittstelle aus der Dropdown-Liste.

    Beispiel: Port2 - 10.10.1.1

  3. Geben Sie die IP-Adresse ein für DHCP-Server-IP.

    Beispiel: 172.16.16.1

  4. Wählen Weiterleitung über IPsec.

    Hier ein Beispiel:

    Configure a DHCP relay agent.

Zweigstelle: Konfigurieren Sie eine IPsec-Verbindung

Konfigurieren Sie auf der Firewall der Zweigstelle eine Site-to-Site-IPsec-Verbindung zur Hauptniederlassung.

  1. Gehen Sie in der Web-Administrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Hinzufügen.

  2. Die folgenden Einstellungen sind beispielhaft. Sie müssen die Einstellungen Ihres Netzwerks angeben:

    Einstellung Wert
    Verbindungstyp Policy-based
    Gateway-Typ Initiate the connection
    Firewall-Regel erstellen

    Deaktivieren Sie das Kontrollkästchen.

    Firewall-Regeln haben keinen Einfluss auf den vom System generierten Datenverkehr.
    Authentifizierungstyp

    Preshared key

    Geben Sie den Schlüssel ein, den Sie in der Firewall der Hauptniederlassung festgelegt haben.
    Zuhörschnittstelle Port3 - 203.0.113.1
    Gateway-Adresse 192.0.2.1
    Lokales Subnetz 10.10.1.0
    Remote-Subnetz 172.16.16.1

    Hier ein Beispiel:

    IPsec connection at branch office for DHCP relay.

Zweigstelle: IPsec-Route hinzufügen

Fügen Sie auf der Firewall der Zweigstelle eine IPsec-Route für den systemgenerierten Datenverkehr zum DHCP-Server in der Hauptniederlassung hinzu. Wenden Sie Source-NAT auf den systemgenerierten Datenverkehr an, um die interne Quell-IP-Adresse der Zweigstelle in die Ziel-IP-Adresse (DHCP-Server in der Hauptniederlassung) zu übersetzen.

  1. Geben Sie in der Befehlszeile Folgendes ein: 4 für Gerätekonsole.

  2. Fügen Sie eine statische Route von der Zweigstelle zum DHCP-Server in der Hauptniederlassung hinzu. Geben Sie Folgendes ein:

    system ipsec_route add host <IP address of host> tunnelname <tunnel>

    Beispiel: system ipsec_route add host 172.16.16.1 tunnelname PolicyBasedVPN

  3. Übersetzen Sie die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) an der Firewall der Zweigstelle in die IP-Adresse des DHCP-Servers in der Hauptniederlassung. Verwenden Sie diesen Befehl, um den systemgenerierten Datenverkehr zu übersetzen. Geben Sie Folgendes ein:

    set advanced-firewall sys-traffic-nat add destination <Destination IP address or network> snatip <Source IP address to translate>

    set advanced-firewall sys-traffic-nat add destination 172.16.16.1 snatip 10.10.1.1

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen