Zur Startseite gehen
0,00 €*

Senden Sie DHCP-Verkehr über routenbasiertes VPN an DHCP-Server

Konfigurieren Sie die Sophos Firewall als DHCP-Relay-Agent, um DHCP-Anfragen von Clients an den DHCP-Server hinter der Firewall der Zentrale weiterzuleiten. Senden Sie den DHCP-Verkehr über eine routenbasierte IPsec-VPN-Verbindung.

DHCP-Server und Relay-Agent: Netzwerkdiagramm

Die Netzwerkdetails und -einstellungen dienen als Beispiel. Sie müssen Ihre Netzwerkeinstellungen verwenden.

In diesem Beispiel werden vorhandene routenbasierte IPsec-VPN-Verbindungen verwendet, in denen die lokalen und Remote-Subnetze auf Beliebig. Es verwendet auch vorhandene Routen und Firewall-Regeln für den VPN-Verkehr.

Hauptsitz: Nachfolgend sind Beispiele für IP-Adressen aufgeführt.

  • WAN-IP-Adresse: 192.0.2.1
  • DHCP-Serverschnittstelle: 172.16.16.1

Zweigstelle: Nachfolgend sind Beispiele für IP-Adressen aufgeführt.

  • WAN-IP-Adresse: 203.0.113.1
  • DHCP-Relay-Agent-Schnittstelle: 10.10.1.1
  • LAN-Subnetz: 10.10.1.0/24

Network diagram: DHCP server and relay agent.

VPN-Anforderungen

Konfigurieren Sie Folgendes auf den Firewalls der Hauptniederlassung und der Zweigstellen:

  1. Konfigurieren Sie routenbasierte IPsec-VPN-Verbindungen mit lokalen und Remote-Subnetzen, die auf Beliebig über die WAN-Schnittstellen der Firewalls.
  2. Weisen Sie der XFRM-Schnittstelle eine IP-Adresse zu.
  3. Fügen Sie eine Gateway-IP-Adresse für die XFRM-Schnittstelle hinzu.
  4. Konfigurieren Sie auf beiden Firewalls statische, SD-WAN- oder dynamische Routen, um den VPN-Verkehr weiterzuleiten.
  5. Erlauben Sie den Gerätezugriff vom WAN für IPsec-VPN-Tunnel.

  6. Konfigurieren Sie die folgenden Firewall-Regeln, um VPN-Verkehr zuzulassen:

    1. Ausgehende Regel in der Firewall der Zweigstelle.
    2. Eingehende Regel in der Firewall der Zentrale.

    Sehen Erstellen Sie ein routenbasiertes VPN (von jedem zu jedem Subnetz)..

Hauptsitz

Konfigurieren Sie in der Firewall der Zentrale eine Route und eine eingehende Firewall-Regel.

Route hinzufügen

Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den Antwortverkehr des DHCP-Servers mithilfe eines routenbasierten VPN-Tunnels von der Zentrale zur Zweigstelle zu leiten.

Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Wählen IPv4 und klicken Sie auf Hinzufügen.
  3. Geben Sie einen Namen ein.
  4. Unter Quellnetzwerke, wählen Sie den DHCP-Server aus, zum Beispiel DHCPServer_172.16.16.17.
  5. Unter ZielnetzwerkeWählen Sie den IP-Host aus, den Sie für den DHCP-Relay-Agenten erstellen, z. B. DHCPRelay_10.10.1.1.

  6. Unter Leistungen, wählen DHCP.

    SD-WAN settings for DHCP server's reply traffic in head office.

  7. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

  8. Unter Primäres GatewayWählen Sie beispielsweise das XFRM-Gateway aus. xfrm1_3.3.3.4.

    Branch office XFRM interface as the SD-WAN route's primary gateway.

  9. (Optional) Um den Verkehr zu unterbrechen, wenn das XFRM-Gateway nicht verfügbar ist, wählen Sie Weiterleiten nur über angegebene Gateways.

  10. Klicken Speichern.

Hinzufügen einer Firewallregel

Erstellen Sie in der Firewall der Zentrale eine Firewall-Regel, um eingehenden DHCP-Verkehr vom Relay-Agenten über das VPN wie folgt zuzulassen:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regelnauf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
  2. Geben Sie einen Namen ein.
  3. Unter Quellzonen, wählen VPN.
  4. Unter Quellnetzwerke und -geräteWählen Sie den IP-Host für die DHCP-Relay-Schnittstelle der Firewall der Zweigstelle aus, z. B. DHCPRelay_10.10.1.1.
  5. Unter Zielzonen, wählen DMZ.
  6. Unter Zielnetzwerke, wählen Sie den DHCP-Server aus, zum Beispiel DHCPServer_172.16.16.17.
  7. Unter Leistungen, wählen DHCP.

  8. Klicken Speichern.

    Inbound firewall rule in the head office to allow DHCP relay traffic to the server.

Zweigstelle

Konfigurieren Sie in der Firewall der Zweigstelle einen DHCP-Relay-Agenten und eine Route.

Hinzufügen eines DHCP-Relay-Agenten

Konfigurieren Sie die Schnittstelle der Firewall der Zweigstelle als DHCP-Relay-Agent. Die Schnittstelle leitet DHCP-Anfragen von Endpunkten in ihrem Subnetz an den DHCP-Server hinter der Firewall der Zentrale weiter.

  1. Gehe zu Netzwerk > DHCP.
  2. Unter Relaisauf Hinzufügen.
  3. Geben Sie einen Namen ein.

  4. Wählen Sie ein Schnittstelle, Zum Beispiel, Port2 - 10.10.1.1.

    Die DHCP-Clients gehören zum selben Subnetz wie die Schnittstelle.

  5. Unter DHCP-Server-IPGeben Sie die IP-Adresse des DHCP-Servers ein, zum Beispiel 172.16.16.17und klicken Sie auf Plus button..

  6. Klicken Speichern.

    Configure a DHCP relay agent.

Route hinzufügen

Sie können eine statische, SD-WAN- oder dynamische Route konfigurieren, um den DHCP-Anforderungsverkehr der Zweigstellenschnittstelle mithilfe eines routenbasierten VPN-Tunnels an den DHCP-Server in der Zentrale weiterzuleiten.

Dieses Beispiel zeigt, wie eine SD-WAN-Route konfiguriert wird.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Wählen IPv4 und klicken Sie auf Hinzufügen.
  3. Geben Sie einen Name.
  4. Unter Quellnetzwerke, wählen Beliebig.
  5. Unter ZielnetzwerkeWählen Sie den IP-Host aus, den Sie für den DHCP-Server erstellen, z. B. DHCP_Server_172.16.16.17.

  6. Unter Leistungen, wählen DHCP.

    SD-WAN settings for DHCP request traffic in branch office.

  7. Unter Einstellungen für die Linkauswahl, wählen Primäre und Backup-Gateways.

  8. Unter Primäres GatewayWählen Sie beispielsweise das XFRM-Gateway aus. xfrm1_3.3.3.3.

    Branch office XFRM interface as the SD-WAN route's primary gateway.

  9. (Optional) Um den Datenverkehr zu unterbrechen, wenn das XFRM-Gateway nicht verfügbar ist, wählen Sie Weiterleiten nur über angegebene Gateways.

  10. Klicken Speichern.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung