Senden Sie DHCP-Verkehr über routenbasiertes VPN an DHCP-Server
Konfigurieren Sie die Sophos Firewall als DHCP-Relay-Agent, um DHCP-Anfragen von Clients an den DHCP-Server hinter der Firewall der Zentrale weiterzuleiten. Senden Sie den DHCP-Verkehr über eine routenbasierte IPsec-VPN-Verbindung.
DHCP-Server und Relay-Agent: Netzwerkdiagramm
Die Netzwerkdetails und -einstellungen dienen als Beispiel. Sie müssen Ihre Netzwerkeinstellungen verwenden.
In diesem Beispiel werden vorhandene routenbasierte IPsec-VPN-Verbindungen verwendet, in denen die lokalen und Remote-Subnetze auf Beliebig. Es verwendet auch vorhandene Routen und Firewall-Regeln für den VPN-Verkehr.
Hauptsitz: Nachfolgend sind Beispiele für IP-Adressen aufgeführt.
- WAN-IP-Adresse:
192.0.2.1
- DHCP-Serverschnittstelle:
172.16.16.1
Zweigstelle: Nachfolgend sind Beispiele für IP-Adressen aufgeführt.
- WAN-IP-Adresse:
203.0.113.1
- DHCP-Relay-Agent-Schnittstelle:
10.10.1.1
- LAN-Subnetz:
10.10.1.0/24
VPN-Anforderungen
Konfigurieren Sie Folgendes auf den Firewalls der Hauptniederlassung und der Zweigstellen:
- Konfigurieren Sie routenbasierte IPsec-VPN-Verbindungen mit lokalen und Remote-Subnetzen, die auf Beliebig über die WAN-Schnittstellen der Firewalls.
- Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu.
- Fügen Sie eine Gateway-IP-Adresse für die XFRM-Schnittstelle hinzu.
- Konfigurieren Sie auf beiden Firewalls statische, SD-WAN- oder dynamische Routen, um den VPN-Verkehr weiterzuleiten.
- Erlauben Sie den Gerätezugriff vom WAN für IPsec-VPN-Tunnel.
-
Konfigurieren Sie die folgenden Firewall-Regeln, um VPN-Verkehr zuzulassen:
- Ausgehende Regel in der Firewall der Zweigstelle.
- Eingehende Regel in der Firewall der Zentrale.
Sehen Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz)..
Hauptsitz
Konfigurieren Sie in der Firewall der Zentrale eine Route und eine eingehende Firewall-Regel.
Route hinzufügen
Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den Antwortverkehr des DHCP-Servers mithilfe eines routenbasierten VPN-Tunnels von der Zentrale zur Zweigstelle zu leiten.
Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Wählen IPv4 und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen ein.
- Unter Quellnetzwerke, wählen Sie den DHCP-Server aus, zum Beispiel
DHCPServer_172.16.16.17
. - Unter ZielnetzwerkeWählen Sie den IP-Host aus, den Sie für den DHCP-Relay-Agenten erstellen, z. B.
DHCPRelay_10.10.1.1
. -
Unter Leistungen, wählen DHCP.
-
Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.
-
Unter Primäres GatewayWählen Sie beispielsweise das XFRM-Gateway aus.
xfrm1_3.3.3.4
. -
(Optional) Um den Verkehr zu unterbrechen, wenn das XFRM-Gateway nicht verfügbar ist, wählen Sie Weiterleiten nur über angegebene Gateways.
- Klicken Speichern.
Hinzufügen einer Firewallregel
Erstellen Sie in der Firewall der Zentrale eine Firewall-Regel, um eingehenden DHCP-Verkehr vom Relay-Agenten über das VPN wie folgt zuzulassen:
- Gehe zu Regeln und Richtlinien > Firewall-Regelnauf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
- Geben Sie einen Namen ein.
- Unter Quellzonen, wählen VPN.
- Unter Quellnetzwerke und -geräteWählen Sie den IP-Host für die DHCP-Relay-Schnittstelle der Firewall der Zweigstelle aus, z. B.
DHCPRelay_10.10.1.1
. - Unter Zielzonen, wählen DMZ.
- Unter Zielnetzwerke, wählen Sie den DHCP-Server aus, zum Beispiel
DHCPServer_172.16.16.17
. - Unter Leistungen, wählen DHCP.
-
Klicken Speichern.
Zweigstelle
Konfigurieren Sie in der Firewall der Zweigstelle einen DHCP-Relay-Agenten und eine Route.
Hinzufügen eines DHCP-Relay-Agenten
Konfigurieren Sie die Schnittstelle der Firewall der Zweigstelle als DHCP-Relay-Agent. Die Schnittstelle leitet DHCP-Anfragen von Endpunkten in ihrem Subnetz an den DHCP-Server hinter der Firewall der Zentrale weiter.
- Gehe zu Netzwerk > DHCP.
- Unter Relaisauf Hinzufügen.
- Geben Sie einen Namen ein.
-
Wählen Sie ein Schnittstelle, Zum Beispiel,
Port2 - 10.10.1.1
.Die DHCP-Clients gehören zum selben Subnetz wie die Schnittstelle.
-
Unter DHCP-Server-IPGeben Sie die IP-Adresse des DHCP-Servers ein, zum Beispiel
172.16.16.17
und klicken Sie auf.
-
Klicken Speichern.
Route hinzufügen
Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den DHCP-Anforderungsverkehr der Zweigstellenschnittstelle mithilfe eines routenbasierten VPN-Tunnels an den DHCP-Server in der Zentrale weiterzuleiten.
Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Wählen IPv4 und klicken Sie auf Hinzufügen.
- Geben Sie einen Name.
- Unter Quellnetzwerke, wählen Beliebig.
- Unter ZielnetzwerkeWählen Sie den IP-Host aus, den Sie für den DHCP-Server erstellen, z. B.
DHCP_Server_172.16.16.17
. -
Unter Leistungen, wählen DHCP.
-
Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.
-
Unter Primäres GatewayWählen Sie beispielsweise das XFRM-Gateway aus.
xfrm1_3.3.3.3
. -
(Optional) Um den Datenverkehr zu unterbrechen, wenn das XFRM-Gateway nicht verfügbar ist, wählen Sie Weiterleiten nur über angegebene Gateways.
- Klicken Speichern.
Weitere Ressourcen