Fügen Sie einen DHCP-Relay hinzu.

Sie können die Sophos Firewall als DHCP-Relay-Agent konfigurieren, um zugewiesene IP-Adressen und Netzwerkparameter an Clients wie Endpunkte, Server und Router weiterzuleiten, die sich in einem anderen Subnetz als der DHCP-Server befinden.

Die Schnittstelle des Relay-Agenten gehört zum Netzwerk der Clients und darf nicht mit der Schnittstelle des DHCP-Servers identisch sein.

Konfigurieren Sie den Relay-Agenten.

1. Gehe zu Netzwerk > DHCP.
2. Unter Relais, klicken Hinzufügen.
3. Geben Sie einen Namen ein.
4. Geben Sie die IP-Version der Adressen, die der Agent weiterleiten soll.

5. Wählen Sie die Schnittstelle Auf welchen DHCP-Broadcast-Anfragen die Sophos Firewall von Clients empfangen muss.

   Die Firewall nutzt diese Schnittstelle auch als Quell-IP-Adresse, um DHCP-Anfragen an den Server weiterzuleiten. Der DHCP-Server antwortet, wenn der von ihm verwaltete IP-Adressbereich mit dem Subnetz dieser Adresse übereinstimmt. Sie müssen so viele Relay-Agenten erstellen, wie Subnetze vorhanden sind.

   Warnung

   Stellen Sie sicher, dass sich die Schnittstelle des Relay-Agents im selben Subnetz wie die DHCP-Clients befindet. Verwenden Sie für keinen Relay-Agenten die Schnittstelle des DHCP-Servers als Relay-Schnittstelle. Der Agent leitet sonst keine Client-Anfragen weiter.

   Konfigurieren Sie keinen Relay-Agenten für das Subnetz, in dem sich der DHCP-Server befindet. Der Server vergibt IP-Adressen direkt an Clients innerhalb seines Subnetzes.

   Notiz

   Die Sophos Firewall kann nicht gleichzeitig als DHCPv6-Server und DHCPv6-Relay-Agent konfiguriert werden.

   Sie können einen DHCPv4-Server und ein DHCPv4-Relay gleichzeitig konfigurieren, jedoch nicht auf derselben Schnittstelle.

6. Wählen Sie die DHCP-Server-IP.

   Es handelt sich um die IP-Adresse des DHCP-Servers. Sie können hier bis zu acht DHCP-Server hinzufügen. Die Sophos Firewall leitet die Client-Anfrage an alle Server und deren Antworten an den Client weiter. Der Client antwortet auf das erste Angebot, das er erhält.

7. Um DHCP-Nachrichten über ein richtlinienbasiertes IPsec-VPN weiterzuleiten, wählen Sie Folgendes aus: Weiterleitung über IPsec.

   Notiz

   Sie müssen nicht auswählen Weiterleitung über IPsec für routenbasierte VPNs, die DHCP-Datenverkehr an DHCP-Server hinter der Firewall weiterleiten. Siehe Senden Sie DHCP-Datenverkehr über routenbasiertes VPN an DHCP-Server..

   Aktuell unterstützen Firewall-Schnittstellen, die als DHCP-Server konfiguriert sind, keine routenbasierten VPN-Tunnel.

8. Klicken Speichern.

DHCP über routenbasiertes VPN

Um DHCP-Datenverkehr über routenbasierte IPsec-Tunnel zu senden, müssen Sie die folgenden Konfigurationen vornehmen.

Konfigurationen für routenbasierten VPN-Verkehr

1. Konfigurieren Sie routenbasierte IPsec-VPN-Verbindungen mit lokalen und Remote-Subnetzen, die auf Folgendes eingestellt sind: Any unter Verwendung der WAN-Schnittstellen der Firewalls.
2. Konfigurieren Sie statische, SD-WAN- oder dynamische Routen auf beiden Firewalls, um den VPN-Datenverkehr zu routen.
3. Gerätezugriff aus dem WAN für IPsec-VPN-Tunnel zulassen.

4. Konfigurieren Sie die folgenden Firewall-Regeln, um VPN-Datenverkehr zuzulassen:

   1. Ausgehende Nachrichtenregel in der Firewall der Zweigstelle.
   2. Eingangsregel in der Firewall der Hauptniederlassung.

Konfigurationen für DHCP-Datenverkehr

1. Konfigurieren Sie eine eingehende Firewall-Regel in der Firewall der Hauptniederlassung, um DHCP-Datenverkehr zuzulassen.

2. Konfigurieren Sie die Schnittstelle der Firewall der Zweigstelle als DHCP-Relay-Agent.

   Notiz

   Der DHCP-Relay-Verkehr wird vom System generiert. Er benötigt keine Firewall-Regel in der Firewall der Zweigstelle.

Weitere Ressourcen

• Senden Sie DHCP-Datenverkehr über routenbasiertes VPN an DHCP-Server.
• Senden Sie DHCP-Datenverkehr über ein richtlinienbasiertes IPsec-VPN an Server.
• HO-Firewall als DHCP-Server und BO-Firewall als Relay-Agent