Opciones DHCP de Sophos Firewall (SFOS)
Las opciones DHCP son necesarias en el Sophos Firewall cuando los clientes necesitan más que una dirección IP, puerta de enlace y DNS al iniciar. Casos típicos son PXE, WDS, Thin Clients, teléfonos VoIP o entornos RED antiguos, donde un código de opción y tipo de dato específico deben coincidir exactamente.
Las versiones actuales de Sophos Firewall soportan opciones DHCP directamente en WebAdmin. Por lo tanto, para la mayoría de los entornos ya no es necesaria la configuración SSH o CLI. Sin embargo, los ejemplos de CLI siguen siendo importantes, ya que los runbooks antiguos, casos especiales y la resolución de problemas a menudo utilizan esta sintaxis.
Qué son las opciones DHCP
DHCP no solo distribuye una dirección IP. Junto con el arrendamiento, el servidor DHCP puede pasar información adicional al cliente. Para esto existen las opciones DHCP. Ejemplos típicos son servidores DNS, puerta de enlace, servidor TFTP, nombre de archivo de arranque, parámetros específicos del proveedor o valores para Thin Clients y teléfonos.
En el Sophos Firewall, las opciones DHCP siempre pertenecen al servidor DHCP o al ámbito que emite el arrendamiento. Esto es importante: si un cliente recibe su dirección de otro servidor DHCP, la opción debe configurarse allí. Si el Sophos Firewall solo actúa como un relé DHCP, reenvía las solicitudes DHCP, pero no es el lugar donde se mantiene la opción para ese ámbito.
Para IPv6, DHCP no siempre se trata de la misma manera que IPv4. Si un proveedor delega un prefijo IPv6, los anuncios de enrutador, los parámetros DHCPv6 y las reglas de firewall van juntos. El proceso se describe en Configurar delegación de prefijos IPv6 en Sophos Firewall.
En la práctica, antes de la configuración se deben aclarar tres cosas:
- ¿Qué servidor DHCP distribuye realmente el arrendamiento?
- ¿En qué ámbito o en qué interfaz se encuentra el cliente?
- ¿Qué códigos de opción, tipos de datos y valores requiere el fabricante del sistema objetivo?
Requisitos
- Sophos Firewall con servidor DHCPv4 activado
- Acceso a
Network > DHCP - Un ámbito DHCP en la interfaz adecuada
- Los códigos de opción DHCP y valores necesarios del fabricante o sistema objetivo
- Para CLI: acceso SSH permitido al Sophos Firewall
Antes de realizar cambios, se debe verificar brevemente el ámbito afectado. Las opciones DHCP solo funcionan de manera confiable si se establecen en el servidor DHCP correcto, en la red correcta y con el tipo de dato correcto.
- Servidor DHCP: Sophos Firewall debe emitir el lease directamente. Con DHCP Relay, las opciones normalmente pertenecen al servidor DHCP central.
- Scope e interfaz: Un cliente en el VLAN incorrecto o en otra interfaz no verá la opción, aunque esté guardada correctamente.
- Código de opción y tipo de dato: Muchos errores aparecen porque un cliente espera
string,ipaddress,array-ofo un valor de fabricante de una forma distinta a la configurada. - Cliente de prueba: Un dispositivo conocido en la red afectada permite ver si la opción llega realmente en el DHCP offer o ACK.
- Ventana de cambio: PXE, teléfonos y thin clients pueden verse afectados inmediatamente al cambiar el lease. Por eso las modificaciones deben probarse de forma controlada.
Si la opción es relevante para dispositivos productivos, debe estar claro de antemano cómo eliminarla o restablecerla al valor anterior. Esto es especialmente importante para opciones de arranque, servidores de aprovisionamiento y opciones de proveedor específicas del fabricante.
1. Crear o verificar el servidor DHCP
Para que se distribuyan las opciones DHCP, primero se necesita un servidor DHCPv4 en el Sophos Firewall. Este se crea o edita en WebAdmin bajo Network > DHCP.
Lo más importante es:
- El servidor DHCP está asignado a una interfaz.
- El ámbito coincide con la red en la que se encuentran los clientes.
- Los servidores DNS, puerta de enlace y tiempo de arrendamiento están configurados correctamente.
- El nombre DHCP no contiene espacios innecesarios o caracteres especiales.
- Los casos especiales de PXE, VoIP, Thin Client o RED están documentados de antemano.
El nombre DHCP es especialmente relevante para los comandos CLI. Si el nombre contiene espacios o caracteres especiales, los comandos y runbooks posteriores serán innecesariamente propensos a errores. Nombres comprensibles como DHCP_Server_Avanet_LAN, Home_Scope o DHCP_VoIP son más fáciles en la práctica.

2. Configurar opciones DHCP en WebAdmin
Una vez creado el servidor DHCPv4, las opciones se pueden agregar directamente en el mismo diálogo.
- Abrir
Network > DHCP. - Editar el servidor DHCPv4 existente o crear uno nuevo.
- Cambiar a la sección
DHCP options. - Agregar opción.
- Para opciones propias, establecer
OptionsenCustome introducirCode,TypeyValue. - Guardar cambios.
- Verificar con un cliente de prueba si la opción realmente se adopta.
Los campos significan:
OptionsuOption: Selección entre opciones DHCP predefinidas y opciones propias. En opcionesCustom, el código de opción se introduce manualmente.Code: Código numérico de la opción DHCP, por ejemplo66,67,161o un valor específico del fabricante.Type: Tipo de dato del valor, por ejemploipaddress,string,boolean,one-byte,two-byte,four-byteoarray-of.Value: Valor concreto que debe recibir el cliente, por ejemplo una dirección IP, un nombre de host, una ruta o un puerto.
Los valores correctos generalmente los proporciona el fabricante del sistema objetivo. Especialmente para valores de cadena, rutas o opciones específicas del proveedor, vale la pena verificar en la documentación del fabricante. Un valor almacenado formalmente no significa automáticamente que el cliente lo interpretará como se espera.
3. Casos de uso típicos
Las opciones DHCP se necesitan generalmente cuando un cliente requiere información adicional al iniciar. Los casos comunes son PXE, WDS, Thin Clients, teléfonos VoIP, puntos de acceso o escenarios heredados individuales.
PXE y WDS
Para entornos PXE o WDS, a menudo se utilizan las opciones 66 y 67:
66se refiere al servidor TFTP o de implementación.67contiene el nombre del archivo de arranque.
Si el cliente alcanza el servidor pero no arranca, el problema a menudo no está en el firewall, sino en una ruta de archivo incorrecta, un tipo de dato inadecuado o un archivo de arquitectura inapropiado. Los clientes UEFI y BIOS a menudo requieren archivos de arranque diferentes.
Importante en versiones actuales de SFOS: Next-server y Boot file son campos de opciones de arranque propios dentro del servidor DHCPv4. Desde SFOS 20.0 MR1 ya no se tratan automáticamente solo como opciones DHCP 66 y 67. Si un dispositivo espera explícitamente la opción 66 o 67, estos valores deben mantenerse conscientemente en DHCP options y no solo en los campos de opciones de arranque.
Al actualizar a SFOS 20.0 MR1 o posterior, los valores existentes de Next-server y Boot file se conservan como opciones de arranque y también como opciones DHCP 66 y 67. Después de una migración conviene comprobar si los valores existen dos veces y si el cliente evalúa la variante esperada.
Thin Clients
Los Thin Clients requieren, según el fabricante, opciones para el servidor de gestión, servidor de imágenes o parámetros de conexión. En runbooks antiguos se encuentran, por ejemplo:
161para el servidor192para un puerto o parámetros adicionales
Si estos códigos son correctos depende del fabricante y del modelo de Thin Client utilizado. Por lo tanto, no se deben adoptar ciegamente, sino siempre verificar contra la documentación del fabricante.
Casos especiales de RED antiguos
En entornos antiguos, hubo casos en los que un Sophos RED 15w no reconocía correctamente el punto de acceso integrado. Para ello, a veces se utilizaba una opción DHCP específica del fabricante, por ejemplo, con el código de opción 234 y un valor como 10.10.10.12.
Esto no es un estándar general para instalaciones modernas de SD-RED. Sin embargo, como ejemplo heredado, sigue siendo útil porque muestra cómo definir códigos de opción propios y vincularlos a un servidor DHCP.
Para diseños RED actuales, el artículo Configurar y solucionar problemas de Sophos SD-RED es más útil. Si se trata de diseños de interfaz, VLAN, puente o RED, también ayuda Planificar y configurar zonas e interfaces de Sophos Firewall.
4. Cuándo es relevante el relé DHCP en lugar del servidor DHCP
Sophos Firewall no solo puede ser un servidor DHCP, sino también utilizar relé DHCP. En este caso, las solicitudes DHCP de los clientes se reenvían a un servidor DHCP en otra red.
Esto es especialmente relevante cuando las direcciones IP se asignan centralmente desde un servidor DHCP de Windows u otro sistema DHCP dedicado. En tales diseños, las opciones DHCP normalmente se mantienen en este servidor DHCP central, no en el Sophos Firewall.
Para el relay agent, la interfaz seleccionada debe estar en la subred de los clientes DHCP. La interfaz del servidor DHCP real no debe usarse como interfaz de relay; de lo contrario, el firewall no reenviará las solicitudes de los clientes como se espera.
En un relay agent pueden configurarse hasta ocho servidores DHCP. El firewall reenvía la solicitud del cliente a esos servidores, y el cliente trabaja con la primera oferta que recibe. Por eso, varios destinos de relay deben entregar de forma consistente el mismo scope y las mismas opciones DHCP.
En diseños de VPN, XFRM, RED o sucursales, primero se debe verificar:
- ¿Debe el Sophos Firewall distribuir los arrendamientos por sí mismo?
- ¿Solo debe reenviar solicitudes DHCP?
- ¿El cliente se encuentra en una red directamente conectada?
- ¿Existen varios servidores DHCP que podrían responder accidentalmente al mismo cliente?
Si responde el servidor DHCP incorrecto, incluso la opción DHCP más correcta en el Sophos Firewall no ayudará.
En DHCP Relay a través de VPN route-based hay un punto adicional importante: el relay agent se configura en la sede donde están los clientes. En la central se necesita una regla de firewall entrante adecuada para el tráfico DHCP, mientras que el tráfico de relay en el firewall de la sucursal se trata como tráfico generado por el sistema.
5. Cuándo sigue siendo útil la CLI
Para configuraciones estándar actuales, normalmente basta con WebAdmin. La CLI sigue siendo útil si:
- un artículo antiguo o runbook ya se basa en comandos CLI
- se deben probar opciones de proveedor inusuales
- se desea ver exactamente qué enlaces están almacenados internamente en caso de soporte
- se ha heredado un entorno de una versión muy antigua de SFOS
- se debe replicar o verificar un comando en una documentación
Quien deba seguir este camino, primero debe revisar la guía Conectar SSH con Sophos Firewall. Después de iniciar sesión, se utiliza la 4. Device Console para los siguientes comandos.

Principio básico de CLI: definir y vincular opción
En la configuración CLI hay dos pasos:
- Se define la opción DHCP.
- La opción se vincula a un servidor DHCP y se le asigna un valor.
Primero se define la opción:
system dhcp dhcp-options add optioncode optionname optiontype
Los marcadores de posición significan:
optioncode: código numérico de opción DHCPoptionname: nombre libremente elegido de la opciónoptiontype: tipo de dato, por ejemplo,ipaddressostring
Ejemplo de una dirección IP como opción DHCP:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Luego se vincula la opción a un servidor DHCP:
system dhcp dhcp-options binding add dhcpname optionname(234) value
Los marcadores de posición significan:
dhcpname: nombre del servidor DHCP de la configuración de Sophos Firewalloptionname(234): nombre de la opción previamente definida, incluido el código de opción entre paréntesisvalue: valor que se distribuirá a los clientes
Ejemplo:
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
6. Ejemplos de CLI
Los siguientes ejemplos siguen siendo plantillas útiles cuando se debe establecer una opción mediante la Device Console o se debe seguir un runbook antiguo. Estos comandos no son incorrectos, simplemente no son el primer recurso en entornos estándar actuales.
Servidor Thin Client
Con esta opción se informa a un Thin Client en qué servidor se encuentra la imagen o el componente de gestión:
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Si además se necesita un puerto, se puede establecer como cadena:
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
WDS y PXE
Un valor de opción DHCP para el servidor WDS o TFTP se puede establecer así:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
El nombre del archivo de arranque para el entorno previo se proporciona como opción 67:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Con entorno previo se refiere al entorno de arranque con el que un cliente inicia durante la instalación o recuperación. Dependiendo del entorno, la ruta necesaria puede variar, especialmente en clientes UEFI, BIOS, de 32 bits y de 64 bits.
Mostrar opciones existentes
Antes de realizar cambios, se deben mostrar las opciones existentes:
system dhcp dhcp-options list
La lista no representa todo el límite de lo que soporta SFOS. Sophos documenta que el firewall soporta todos los objetos de opciones DHCP de 1 a 255, mientras que la lista CLI solo muestra las opciones 1 a 76. Las opciones personalizadas o específicas del fabricante fuera de esa visualización pueden seguir siendo válidas.
Mostrar enlaces de un servidor DHCP:
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN
Una opción se puede eliminar si es necesario:
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
7. Fuentes comunes de errores
Si una opción DHCP está guardada pero no funciona como se esperaba en el cliente, a menudo se debe a uno de estos puntos:
- El servidor DHCP incorrecto responde a la solicitud.
- Se editó el ámbito o la interfaz incorrecta.
- El tipo de dato no coincide con el valor esperado.
- La dirección IP, FQDN, puerto o ruta está mal escrita.
- La ruta del archivo de arranque no coincide con la arquitectura del cliente.
- El cliente espera una cadena, pero la opción se configuró como dirección IP.
- El fabricante utiliza opciones específicas del proveedor que requieren parámetros adicionales.
- El arrendamiento no se renovó después del cambio.
- Se utiliza relé DHCP aunque la opción se mantuvo en el Sophos Firewall.
Después de un cambio, se debe renovar el arrendamiento en el cliente de prueba y verificar si el cliente realmente recibe las opciones esperadas. Si el comportamiento sigue sin coincidir, una captura de paquetes suele ser más rápida que adivinar: en los paquetes DHCP se puede ver qué servidor responde y qué opciones se entregan realmente.
8. Probar el cambio
Después de guardar una opción DHCP, no se debe esperar simplemente a que el próximo cliente obtenga un nuevo arrendamiento en algún momento. Es mejor una prueba controlada con un dispositivo conocido en la red afectada.
Procedimiento recomendado:
- Conectar el cliente de prueba en el VLAN o interfaz correcta.
- Renovar el arrendamiento antiguo o reiniciar el cliente.
- Verificar qué dirección DHCP, puerta de enlace, servidores DNS y opciones adicionales han llegado.
- Probar el sistema objetivo, por ejemplo, arranque PXE, inicio WDS, registro de Thin Client o aprovisionamiento de teléfono.
- Verificar en WebAdmin si el arrendamiento aparece en el ámbito DHCP esperado.
- Si el resultado no es el esperado, usar Packet Capture para verificar qué servidor DHCP responde y qué opciones están incluidas en la oferta o ACK.
Para una captura estrecha, generalmente basta con un filtro en UDP 67 y 68 entre el cliente y el servidor DHCP. El uso de la herramienta WebAdmin se describe en Usar Sophos Firewall Packet Capture en WebAdmin.
En pruebas de PXE y WDS, también se debe documentar si el cliente de prueba utiliza BIOS o UEFI. Muchos problemas de arranque no se deben al DHCP en sí, sino a un archivo de arranque que no coincide con la arquitectura.
9. Solución de problemas según los síntomas
Si las opciones DHCP no funcionan, una revisión orientada a los síntomas a menudo ayuda más rápido que volver a crear la misma opción.
- El cliente no recibe una dirección IP: El servidor DHCP, VLAN, interfaz o relay no coinciden. Revisar la lista de leases, interfaz, VLAN y DHCP Relay.
- El cliente recibe IP, pero no la opción: Responde el scope incorrecto o el servidor DHCP incorrecto. Revisar DHCP offer o ACK con Packet Capture.
- PXE encuentra el servidor, pero no arranca: La opción
67, la ruta del archivo o la arquitectura no coinciden. Revisar bootfile BIOS/UEFI y logs TFTP/WDS. - El thin client no conecta: Código de opción, tipo o valor de fabricante incorrecto. Comparar la documentación del fabricante con el valor entregado.
- El cambio se aplica más tarde: El cliente usa un lease antiguo. Renovar el lease, reiniciar el cliente o considerar el lease time.
- El comando CLI no funciona: Nombre DHCP, nombre de opción o notación entre paréntesis incorrectos. Revisar
system dhcp dhcp-options listy la salida del binding.
Si en la captura responde otro servidor DHCP, primero se debe aclarar el diseño de la red. Dos servidores DHCP en el mismo dominio de difusión son una causa clásica de comportamiento cambiante. Para preguntas más complejas sobre VLAN, puente o interfaz, ayuda Planificar y configurar zonas e interfaces de Sophos Firewall.
Preguntas frecuentes
¿Es necesario configurar opciones DHCP en Sophos Firewall mediante CLI?
¿Por qué una opción DHCP no llega al cliente?
¿Dónde se configuran las opciones DHCP si Sophos Firewall solo utiliza relé DHCP?
¿Qué opciones DHCP necesita PXE o WDS?
66 para el servidor TFTP o de implementación y la opción 67 para el nombre del archivo de arranque. Sin embargo, el valor correcto depende de WDS, TFTP, BIOS/UEFI y la arquitectura del cliente.