Senden Sie DHCP-Datenverkehr über ein richtlinienbasiertes IPsec-VPN an Server.

Konfigurieren Sie die Sophos Firewall als DHCP-Relay-Agent, um DHCP-Pakete zwischen Clients und dem DHCP-Server hinter der Firewall der Hauptniederlassung weiterzuleiten.

Einführung

Wenn Sie die Sophos Firewall als DHCP-Relay-Agent konfigurieren, ermöglicht dies dem DHCP-Server, IP-Adressen an Clients in einem anderen Subnetz als dem Server zu vergeben.

DHCP-Relay: Netzwerkdiagramm

In diesem Beispiel verwenden wir einen Windows Server, der als DHCP-Server konfiguriert ist. Die Netzwerkdetails lauten wie folgt:

Hauptsitz:

• WAN-IP-Adresse: 192.0.2.1
• DHCP-Server-IP-Adresse: 172.16.16.17
• LAN-Subnetz: 172.16.16.0/24

Zweigstelle:

• WAN-IP-Adresse: 203.0.113.1
• Schnittstelle des DHCP-Relay-Agenten: 10.10.1.1
• LAN-Subnetz: 10.10.1.0/24

Zweigstelle: Konfigurieren Sie einen DHCP-Relay-Agenten.

Konfigurieren Sie die Sophos-Firewall der Zweigstelle als DHCP-Relay-Agent. In diesem Beispiel leitet sie die vom DHCP-Server zugewiesenen IP-Adressen an die Clients der Zweigstelle weiter. Der DHCP-Server befindet sich in der Hauptniederlassung.

1. Gehe zu Netzwerk > DHCP.
2. Unter Relais, klicken Hinzufügen.

3. Für Schnittstelle: Wählen Sie die clientseitige Schnittstelle aus. Der Server antwortet, wenn der von ihm gehaltene Leasebereich zum Subnetz dieser Schnittstelle gehört.

   Beispiel: Port2 - 10.10.1.1

4. Geben Sie die IP-Adresse ein für DHCP-Server-IP.

   Beispiel: 172.16.16.17

5. Wählen Weiterleitung über IPsec.

   Hier ein Beispiel:

   

Zweigstelle: Konfigurieren Sie eine IPsec-Verbindung

Konfigurieren Sie auf der Firewall der Zweigstelle eine Site-to-Site-IPsec-Verbindung zur Hauptniederlassung.

1. Gehen Sie in der Web-Administrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Hinzufügen.

2. Die folgenden Einstellungen sind beispielhaft. Sie müssen die Einstellungen Ihres Netzwerks angeben:

   Einstellung	Wert
   Verbindungstyp	Policy-based
   Gateway-Typ	Initiate the connection
   Firewall-Regel erstellen	Deaktivieren Sie das Kontrollkästchen. Firewall-Regeln haben keinen Einfluss auf den vom System generierten Datenverkehr.
   Authentifizierungstyp	Preshared key Geben Sie den Schlüssel ein, den Sie in der Firewall der Hauptniederlassung festgelegt haben.
   Zuhörschnittstelle	Port3 - 203.0.113.1
   Gateway-Adresse	192.0.2.1
   Lokales Subnetz	10.10.1.0
   Remote-Subnetz	172.16.16.0

   Hier ein Beispiel:

   

Zweigstelle: IPsec-Route hinzufügen

Fügen Sie auf der Firewall der Zweigstelle eine IPsec-Route für den systemgenerierten Datenverkehr zum DHCP-Server in der Hauptniederlassung hinzu. Wenden Sie Source-NAT auf den systemgenerierten Datenverkehr an, um die interne Quell-IP-Adresse der Zweigstelle in die Ziel-IP-Adresse (DHCP-Server in der Hauptniederlassung) zu übersetzen.

1. Geben Sie in der Befehlszeile Folgendes ein: 4 für Gerätekonsole.

2. Fügen Sie eine IPsec-Route von der Firewall der Zweigstelle zum DHCP-Server in der Hauptniederlassung hinzu. Geben Sie Folgendes ein:

   system ipsec_route add host <IP address of host> tunnelname <tunnel>

   Beispiel

   system ipsec_route add host 172.16.16.17 tunnelname BO_to_HO

3. Übersetzen Sie die IP-Adresse des LAN-Ports (DHCP-Relay-Schnittstelle) der Firewall der Zweigstelle in die IP-Adresse des DHCP-Servers in der Hauptniederlassung. Verwenden Sie diesen Befehl, um den von der Sophos Firewall generierten Datenverkehr zu übersetzen. Geben Sie Folgendes ein:

   set advanced-firewall sys-traffic-nat add destination <Destination IP address or network> snatip <Source IP address to translate>

   Beispiel

   set advanced-firewall sys-traffic-nat add destination 172.16.16.17 snatip 10.10.1.1

Hauptsitz: Konfigurieren Sie eine IPsec-Site-to-Site-Verbindung

Konfigurieren Sie auf der Firewall der Hauptniederlassung eine Site-to-Site-IPsec-Verbindung zur Zweigstelle.

1. Gehen Sie in der Web-Administrationskonsole zu Site-to-Site-VPN > IPsec > IPsec-Verbindungen und klicken Hinzufügen.

2. Die folgenden Einstellungen sind beispielhaft. Sie müssen die Einstellungen Ihres Netzwerks angeben:

   Einstellung	Wert
   Verbindungstyp	Policy-based
   Gateway-Typ	Respond only Um dem WAN-Verkehr den Zugriff auf den IPsec-Tunnel zu ermöglichen, gehen Sie zu Verwaltung > Gerätezugriff und stellen Sie sicher, dass Sie auswählen VAN unter IPsec.
   Firewall-Regel erstellen	Aktivieren Sie das Kontrollkästchen.
   Authentifizierungstyp	Preshared key Geben Sie den Schlüssel ein, den Sie in der Firewall der Zweigstelle angegeben haben.
   Zuhörschnittstelle	Port3 - 192.0.2.1
   Gateway-Adresse	203.0.113.1
   Lokales Subnetz	172.16.16.17
   Remote-Subnetz	10.10.1.0

   Hier ein Beispiel:

   

Hauptsitz: Ausgehende Firewall-Regel

Bearbeiten Sie die automatisch erstellte Firewall-Regel auf der Firewall der Hauptniederlassung, um ausgehende DHCP-Kommunikation vom DHCP-Server zum DHCP-Relay-Agenten der Zweigstelle zu ermöglichen.

Wählen Sie Folgendes aus:

1. Quellzonen: LAN
2. Quellnetzwerke und Geräte: DHCPServer-172.16.16.17
3. Zielzonen: VPN
4. Zielnetzwerke: BO_DHCP_Relay-10.10.1.0

5. Dienstleistungen: DHCP

   Hier ein Beispiel:

   

Hauptsitz: Regel für eingehende Firewall

Konfigurieren Sie eine Firewall-Regel auf der Firewall der Hauptniederlassung, um eingehende DHCP-Kommunikation vom DHCP-Relay-Agenten der Zweigstelle zum DHCP-Server zu ermöglichen.

Wählen Sie Folgendes aus:

1. Quellzonen: VPN
2. Quellnetzwerke und Geräte: BO_DHCP_Relay-10.10.1.0
3. Zielzonen: LAN
4. Zielnetzwerke: DHCPServer-172.16.16.17

5. Dienstleistungen: DHCP

   Hier ein Beispiel: