Senden Sie DHCP-Datenverkehr über routenbasiertes VPN an DHCP-Server.

Konfigurieren Sie die Sophos Firewall als DHCP-Relay-Agent, um DHCP-Anfragen von Clients an den DHCP-Server hinter der Firewall der Zentrale weiterzuleiten. Senden Sie den DHCP-Datenverkehr über eine routenbasierte IPsec-VPN-Verbindung.

DHCP-Server und Relay-Agent: Netzwerkdiagramm

Die Netzwerkdetails und -einstellungen dienen lediglich als Beispiel. Sie müssen Ihre eigenen Netzwerkeinstellungen verwenden.

Dieses Beispiel verwendet bestehende routenbasierte IPsec-VPN-Verbindungen, bei denen die lokalen und entfernten Subnetze auf Folgendes eingestellt sind: Beliebig: Es nutzt außerdem bestehende Routen und Firewall-Regeln für den VPN-Datenverkehr.

Hauptsitz: Nachfolgend finden Sie Beispiele für IP-Adressen.

• WAN-IP-Adresse: 192.0.2.1
• DHCP-Serverschnittstelle: 172.16.16.1

Zweigstelle: Nachfolgend finden Sie Beispiele für IP-Adressen.

• WAN-IP-Adresse: 203.0.113.1
• DHCP-Relay-Agent-Schnittstelle: 10.10.1.1
• LAN-Subnetz: 10.10.1.0/24

VPN-Anforderungen

Konfigurieren Sie Folgendes auf den Firewalls der Hauptniederlassung und der Zweigstellen:

1. Konfigurieren Sie routenbasierte IPsec-VPN-Verbindungen mit lokalen und Remote-Subnetzen, die auf Folgendes eingestellt sind: Beliebig unter Verwendung der WAN-Schnittstellen der Firewalls.
2. Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu.
3. Fügen Sie eine Gateway-IP-Adresse für die XFRM-Schnittstelle hinzu.
4. Konfigurieren Sie statische, SD-WAN- oder dynamische Routen auf beiden Firewalls, um den VPN-Datenverkehr zu routen.
5. Gerätezugriff aus dem WAN für IPsec-VPN-Tunnel zulassen.

6. Konfigurieren Sie die folgenden Firewall-Regeln, um VPN-Datenverkehr zuzulassen:

   1. Ausgehende Nachrichtenregel in der Firewall der Zweigstelle.
   2. Eingangsregel in der Firewall der Hauptniederlassung.

   Sehen Erstellen Sie ein routenbasiertes VPN (beliebige zu beliebigen Subnetzen)..

Hauptsitz

Konfigurieren Sie in der Firewall der Hauptniederlassung eine Route und eine eingehende Firewall-Regel.

Route hinzufügen

Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den Antwortverkehr des DHCP-Servers von der Zentrale zur Zweigstelle mithilfe eines routenbasierten VPN-Tunnels zu leiten.

Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.

1. Gehe zu Routing > SD-WAN-Routen.
2. Wählen IPv4 und klicken Hinzufügen.
3. Geben Sie einen Namen ein.
4. Unter Quellnetzwerke: Wählen Sie den DHCP-Server aus, zum Beispiel DHCPServer_172.16.16.17.
5. Unter Zielnetzwerke: Wählen Sie den IP-Host aus, den Sie für den DHCP-Relay-Agenten erstellen, zum Beispiel: DHCPRelay_10.10.1.1.

6. Unter Dienstleistungen, wählen DHCP.

   

7. Unter Linkauswahleinstellungen, wählen Primäre und Backup-Gateways.

8. Unter Primäres Gateway: Wählen Sie beispielsweise das XFRM-Gateway aus. xfrm1_3.3.3.4.

   

9. (Optional) Um den Datenverkehr zu unterbrechen, falls das XFRM-Gateway nicht verfügbar ist, wählen Sie Folgendes aus: Nur über festgelegte Gateways routen.

10. Klicken Speichern.

Fügen Sie eine Firewall-Regel hinzu

Erstellen Sie in der Firewall der Hauptniederlassung eine Firewall-Regel, um eingehenden DHCP-Datenverkehr vom Relay-Agenten über das VPN wie folgt zuzulassen:

1. Gehe zu Regeln und Richtlinien > Firewall-Regeln, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.
2. Geben Sie einen Namen ein.
3. Unter Quellzonen, wählen VPN.
4. Unter Quellnetzwerke und Geräte: Wählen Sie den IP-Host für die DHCP-Relay-Schnittstelle der Zweigstellen-Firewall aus, zum Beispiel: DHCPRelay_10.10.1.1.
5. Unter Zielzonen, wählen DMZ.
6. Unter Zielnetzwerke: Wählen Sie den DHCP-Server aus, zum Beispiel DHCPServer_172.16.16.17.
7. Unter Dienstleistungen, wählen DHCP.

8. Klicken Speichern.

   

Zweigstelle

Konfigurieren Sie in der Firewall der Zweigstelle einen DHCP-Relay-Agenten und eine Route.

Fügen Sie einen DHCP-Relay-Agenten hinzu.

Konfigurieren Sie die Schnittstelle der Firewall der Zweigstelle als DHCP-Relay-Agent. Die Schnittstelle leitet DHCP-Anfragen von Endpunkten in ihrem Subnetz an den DHCP-Server hinter der Firewall der Hauptstelle weiter.

1. Gehe zu Netzwerk > DHCP.
2. Unter Relais, klicken Hinzufügen.
3. Geben Sie einen Namen ein.

4. Wählen Sie eine Schnittstelle, Zum Beispiel, Port2 - 10.10.1.1.

   Die DHCP-Clients gehören zum selben Subnetz wie die Schnittstelle.

5. Unter DHCP-Server-IP: Geben Sie die IP-Adresse des DHCP-Servers ein, zum Beispiel: 172.16.16.17und klicken Sie .

6. Klicken Speichern.

   

Route hinzufügen

Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den DHCP-Anforderungsverkehr der Zweigstellenschnittstelle über einen routenbasierten VPN-Tunnel an den DHCP-Server in der Hauptniederlassung weiterzuleiten.

Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.

1. Gehe zu Routing > SD-WAN-Routen.
2. Wählen IPv4 und klicken Hinzufügen.
3. Geben Sie einen ein Name.
4. Unter Quellnetzwerke, wählen Beliebig.
5. Unter Zielnetzwerke: Wählen Sie die IP-Adresse des Hosts aus, die Sie für den DHCP-Server erstellen, zum Beispiel: DHCP_Server_172.16.16.17.

6. Unter Dienstleistungen, wählen DHCP.

   

7. Unter Linkauswahleinstellungen, wählen Primäre und Backup-Gateways.

8. Unter Primäres Gateway: Wählen Sie beispielsweise das XFRM-Gateway aus. xfrm1_3.3.3.3.

   

9. (Optional) Um den Datenverkehr zu unterbrechen, falls das XFRM-Gateway nicht verfügbar ist, wählen Sie Folgendes aus: Nur über festgelegte Gateways routen.

10. Klicken Speichern.

Weitere Ressourcen

• Fügen Sie einen DHCP-Relay hinzu.
• Erstellen Sie ein routenbasiertes VPN (beliebige zu beliebigen Subnetzen).