Hinzufügen eines DHCP-Relays

Sie können Sophos Firewall als DHCP-Relay-Agent konfigurieren, um geleaste IP-Adressen und Netzwerkparameter an Clients wie Endpunkte, Server und Router weiterzuleiten, die sich in einem anderen Subnetz als der DHCP-Server befinden.

Die Schnittstelle des Relay-Agenten gehört zum Netzwerk des Clients und darf nicht mit der Schnittstelle des DHCP-Servers identisch sein.

Konfigurieren des Relay-Agenten

1. Gehe zu Netzwerk > DHCP.
2. Unter Relaisauf Hinzufügen.
3. Geben Sie einen Namen ein.
4. Geben Sie die IP-Version der Adressen, die der Agent weiterleiten soll.

5. Wählen Sie die Schnittstelle auf dem die Sophos Firewall auf DHCP-Broadcast-Anfragen von Clients warten muss.

   Die Firewall verwendet diese Schnittstelle auch als Quell-IP-Adresse, um DHCP-Anfragen an den Server weiterzuleiten. Der DHCP-Server antwortet, wenn der von ihm verwaltete IP-Adressbereich mit dem Subnetz dieser Adresse übereinstimmt. Sie müssen so viele Relay-Agenten erstellen, wie Subnetze vorhanden sind.

   Warnung

   Stellen Sie sicher, dass sich die ausgewählte Schnittstelle des Relay-Agenten im selben Subnetz wie die DHCP-Clients befindet. Geben Sie die DHCP-Serverschnittstelle nicht als Relay-Schnittstelle für einen Relay-Agenten an. Der Agent leitet keine Client-Anfragen weiter.

   Konfigurieren Sie keinen Relay-Agenten für das Subnetz, in dem sich der DHCP-Server befindet. Der Server vergibt IP-Adressen direkt an Clients innerhalb seines Subnetzes.

   Notiz

   Sie können Sophos Firewall nicht gleichzeitig als DHCPv6-Server und DHCPv6-Relay-Agent konfigurieren.

   Sie können einen DHCPv4-Server und ein DHCPv4-Relay gleichzeitig konfigurieren, jedoch nicht auf derselben Schnittstelle.

6. Wählen Sie die DHCP-Server-IP.

   Dies ist die IP-Adresse des DHCP-Servers. Sie können hier bis zu acht DHCP-Server hinzufügen. Die Sophos Firewall leitet die Client-Anfrage an alle Server und deren Antwort an den Client weiter. Der Client antwortet auf das erste Angebot, das er erhält.

7. Um DHCP-Nachrichten über richtlinienbasiertes IPsec-VPN weiterzuleiten, wählen Sie Weiterleitung über IPsec.

   Notiz

   Sie müssen nicht auswählen Weiterleitung über IPsec für routenbasierte VPNs, die DHCP-Verkehr zu DHCP-Servern hinter der Firewall übertragen. Siehe Senden Sie DHCP-Verkehr über routenbasiertes VPN an DHCP-Server.

   Derzeit unterstützen als DHCP-Server konfigurierte Firewall-Schnittstellen keine routenbasierten VPN-Tunnel.

8. Klicken Speichern.

DHCP über routenbasiertes VPN

Um DHCP-Verkehr durch routenbasierte IPsec-Tunnel zu senden, müssen Sie die folgenden Konfigurationen durchführen.

Konfigurationen für routenbasierten VPN-Verkehr

1. Konfigurieren Sie routenbasierte IPsec-VPN-Verbindungen mit lokalen und Remote-Subnetzen, die auf Any über die WAN-Schnittstellen der Firewalls.
2. Konfigurieren Sie auf beiden Firewalls statische, SD-WAN- oder dynamische Routen, um den VPN-Verkehr weiterzuleiten.
3. Erlauben Sie den Gerätezugriff vom WAN für IPsec-VPN-Tunnel.

4. Konfigurieren Sie die folgenden Firewall-Regeln, um VPN-Verkehr zuzulassen:

   1. Ausgehende Regel in der Firewall der Zweigstelle.
   2. Eingehende Regel in der Firewall der Zentrale.

Konfigurationen für DHCP-Verkehr

1. Konfigurieren Sie eine eingehende Firewall-Regel in der Firewall der Hauptniederlassung, um DHCP-Verkehr zuzulassen.

2. Konfigurieren Sie die Schnittstelle der Firewall der Zweigstelle als DHCP-Relay-Agent.

   Notiz

   Der DHCP-Relay-Verkehr wird vom System generiert. Er benötigt keine Firewall-Regel in der Firewall der Zweigstelle.

Weitere Ressourcen

• Senden Sie DHCP-Verkehr über routenbasiertes VPN an DHCP-Server
• Senden Sie DHCP-Verkehr über richtlinienbasiertes IPsec-VPN an Server
• HO-Firewall als DHCP-Server und BO-Firewall als Relay-Agent