Ir al contenido
Avanet

Opciones DHCP de Sophos Firewall (SFOS)

Sophos Firewall

Este artículo muestra cómo configurar opciones DHCP en Sophos Firewall con SFOS y cómo clasificar correctamente casos especiales habituales como PXE, WDS, thin clients o entornos RED antiguos.

Las versiones actuales de Sophos Firewall admiten opciones DHCP directamente en WebAdmin. Para la mayoría de los entornos ya no se necesita una configuración por SSH o CLI. Aun así, los ejemplos de CLI siguen siendo importantes, porque runbooks antiguos, casos especiales y tareas de troubleshooting todavía usan a menudo exactamente esta sintaxis.

Qué Son las Opciones DHCP

DHCP no solo entrega una dirección IP. Junto con el lease, el servidor DHCP puede entregar información adicional al cliente. Para eso existen las opciones DHCP. Ejemplos típicos son servidores DNS, gateway, servidor TFTP, nombre del archivo de arranque, parámetros específicos del fabricante o valores para thin clients y teléfonos.

En Sophos Firewall, las opciones DHCP siempre pertenecen al servidor DHCP o al scope que emite el lease. Esto es importante: si un cliente recibe su dirección desde otro servidor DHCP, la opción debe configurarse allí. Si Sophos Firewall solo funciona como DHCP Relay, reenvía las solicitudes DHCP, pero no es el lugar donde se mantiene la opción para ese scope.

En la práctica conviene aclarar tres puntos antes de configurar:

  • ¿Qué servidor DHCP entrega realmente el lease?
  • ¿En qué scope o interfaz se encuentra el cliente?
  • ¿Qué códigos de opción, tipos de datos y valores exige el fabricante del sistema destino?

Requisitos

  • Sophos Firewall con servidor DHCPv4 activado
  • Acceso a Network > DHCP
  • Un scope DHCP en la interfaz correcta
  • Los códigos y valores DHCP necesarios del fabricante o del sistema destino
  • Para fallbacks por CLI: acceso SSH permitido a Sophos Firewall

1. Crear o Revisar el Servidor DHCP

Para poder distribuir opciones DHCP, primero se necesita un servidor DHCPv4 en Sophos Firewall. Este se crea o se edita en WebAdmin en Network > DHCP.

Lo más importante es:

  • El servidor DHCP está asignado a una interfaz.
  • El scope coincide con la red en la que se encuentran los clientes.
  • Los servidores DNS, el gateway y el lease time están definidos correctamente.
  • El nombre DHCP no contiene espacios ni caracteres especiales innecesarios.
  • Los casos especiales de PXE, VoIP, thin clients o RED están documentados previamente.

El nombre DHCP es especialmente relevante para comandos CLI. Si el nombre contiene espacios o caracteres especiales, los comandos y runbooks posteriores se vuelven innecesariamente propensos a errores. En la práctica, nombres claros como DHCP_Server_Avanet_LAN, Home_Scope o DHCP_VoIP son más fáciles.

Configurar opciones DHCP en el servidor DHCPv4 de Sophos Firewall
En versiones actuales de SFOS, las opciones DHCP pueden mantenerse directamente en el servidor DHCPv4 de Sophos Firewall.

2. Configurar Opciones DHCP en WebAdmin

Una vez creado el servidor DHCPv4, las opciones pueden añadirse directamente en el mismo diálogo.

  1. Abrir Network > DHCP.
  2. Editar el servidor DHCPv4 existente o crear uno nuevo.
  3. Ir a la sección DHCP options.
  4. Añadir una opción.
  5. Introducir Option, Code, Type y Value.
  6. Guardar los cambios.
  7. Comprobar con un cliente de prueba si la opción se aplica realmente.

Los campos significan:

CampoSignificado
OptionNombre de la opción. Las opciones predefinidas se pueden seleccionar; para opciones propias se usa un nombre claro.
CodeCódigo numérico de la opción DHCP, por ejemplo 66, 67, 161 o un valor específico del fabricante.
TypeTipo de dato del valor, por ejemplo ipaddress, string, boolean, one-byte, two-byte, four-byte o array-of.
ValueValor concreto que debe recibir el cliente, por ejemplo una dirección IP, un hostname, una ruta o un puerto.

Los valores correctos los proporciona normalmente el fabricante del sistema destino. Especialmente con valores de tipo string, rutas u opciones específicas del fabricante, conviene revisar la documentación del fabricante. Que un valor se pueda guardar formalmente no significa automáticamente que el cliente lo interprete como se espera.

3. Casos de Uso Típicos

Las opciones DHCP se necesitan normalmente cuando un cliente requiere información adicional durante el arranque. Casos frecuentes son PXE, WDS, thin clients, teléfonos VoIP, puntos de acceso o escenarios legacy concretos.

PXE y WDS

En entornos PXE o WDS se usan a menudo las opciones 66 y 67:

  • 66 apunta al servidor TFTP o de despliegue.
  • 67 contiene el nombre del archivo de arranque.

Si el cliente llega al servidor pero no arranca, el problema a menudo no está en el firewall, sino en una ruta de archivo incorrecta, un tipo de dato inadecuado o un archivo de arranque que no corresponde a la arquitectura. Los clientes UEFI y BIOS suelen necesitar archivos de arranque diferentes.

Thin Clients

Según el fabricante, los thin clients necesitan opciones para servidores de gestión, servidores de imagen o parámetros de conexión. En runbooks antiguos se encuentran, por ejemplo:

  • 161 para el servidor
  • 192 para un puerto o parámetro adicional

Que estos códigos sean correctos depende del fabricante y del modelo de thin client utilizado. Por eso no conviene copiarlos a ciegas, sino verificarlos siempre con la documentación del fabricante.

Casos Especiales RED Antiguos

En entornos antiguos hubo casos en los que el punto de acceso integrado de una Sophos RED 15w no se detectaba correctamente. Para ello se usaba a veces una opción DHCP específica del fabricante, por ejemplo con el código 234 y un valor como 10.10.10.12.

Esto no es un estándar general para instalaciones SD-RED modernas. Como ejemplo legacy sigue siendo útil, porque muestra cómo definir códigos de opción propios y vincularlos a un servidor DHCP.

Para diseños RED actuales, el artículo Configurar Sophos SD-RED y resolver errores es más útil. Para diseños de interfaces, VLAN, bridges o RED, también ayuda Planificar y configurar zonas e interfaces de Sophos Firewall.

4. Cuándo es Relevante DHCP Relay en Lugar de DHCP Server

Sophos Firewall no solo puede actuar como servidor DHCP, también puede usar DHCP Relay. En ese modo, las solicitudes DHCP de los clientes se reenvían a un servidor DHCP en otra red.

Esto es relevante sobre todo cuando las direcciones IP se asignan centralmente desde un servidor DHCP de Windows u otro sistema DHCP dedicado. En esos diseños, las opciones DHCP se mantienen normalmente en ese servidor DHCP central, no en Sophos Firewall.

En diseños VPN, XFRM, RED o de sedes remotas conviene revisar primero:

  • ¿Debe Sophos Firewall distribuir leases por sí mismo?
  • ¿Debe solo reenviar solicitudes DHCP?
  • ¿El cliente está en una red conectada directamente?
  • ¿Hay varios servidores DHCP que podrían responder por error al mismo cliente?

Si responde el servidor DHCP equivocado, ni siquiera la opción DHCP más correcta en Sophos Firewall ayudará.

5. Cuándo Sigue Siendo Útil la CLI

Para configuraciones estándar actuales, WebAdmin suele ser suficiente. La CLI sigue siendo útil principalmente cuando:

  • un artículo antiguo o un runbook existente ya se basa en comandos CLI
  • hay que probar opciones de fabricante poco habituales
  • en un caso de soporte se quiere ver exactamente qué bindings están guardados internamente
  • un entorno se migró desde una versión SFOS muy antigua
  • hay que reproducir o comprobar un comando de una documentación

Quien tenga que usar este camino debería revisar primero la guía Conectar por SSH con Sophos Firewall. Después del login, para los comandos siguientes se usa 4. Device Console.

Menú SSH de Sophos Firewall con selección de Device Console
Para comandos de opciones DHCP se usa la Device Console de Sophos Firewall después del login por SSH.

Principio Básico de CLI: Definir y Vincular la Opción

La configuración por CLI tiene dos pasos:

  1. Se define la opción DHCP.
  2. La opción se vincula a un servidor DHCP y recibe allí un valor.

Primero se define la opción:

system dhcp dhcp-options add optioncode optionname optiontype

Los placeholders significan:

  • optioncode: código numérico de la opción DHCP
  • optionname: nombre libre de la opción
  • optiontype: tipo de dato, por ejemplo ipaddress o string

Ejemplo de una dirección IP como opción DHCP:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Después se vincula la opción a un servidor DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

Los placeholders significan:

  • dhcpname: nombre del servidor DHCP en la configuración de Sophos Firewall
  • optionname(234): nombre de la opción definida previamente, incluido el código de opción entre paréntesis
  • value: valor que se entregará a los clientes

Ejemplo:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Ejemplos CLI

Los siguientes ejemplos siguen siendo plantillas útiles cuando hay que establecer una opción desde Device Console o comprender un runbook antiguo. Estos comandos no son incorrectos; en entornos estándar actuales simplemente ya no son el primer camino.

Servidor para Thin Client

Con esta opción se indica a un thin client en qué servidor se encuentra la imagen o el componente de gestión:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Si además se necesita un puerto, puede definirse como string:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS y PXE

Un valor de opción DHCP para el servidor WDS o TFTP puede definirse así:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

El nombre del archivo de arranque para el pre-environment se entrega como opción 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Con pre-environment se refiere al entorno de arranque con el que un cliente inicia durante una instalación o recuperación. Según el entorno, la ruta requerida puede variar, especialmente con clientes UEFI, BIOS, de 32 bits y de 64 bits.

Mostrar Opciones Existentes

Antes de realizar cambios conviene mostrar las opciones existentes:

system dhcp dhcp-options list

Mostrar los bindings de un servidor DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Una opción puede eliminarse de nuevo si hace falta:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Errores Típicos

Si una opción DHCP está guardada pero no funciona como se espera en el cliente, suele deberse a uno de estos puntos:

  • Responde el servidor DHCP equivocado.
  • Se editó el scope o la interfaz incorrectos.
  • El tipo de dato no coincide con el valor esperado.
  • Hay un error tipográfico en la dirección IP, el FQDN, el puerto o la ruta.
  • La ruta del archivo de arranque no coincide con la arquitectura del cliente.
  • El cliente espera un string, pero la opción se creó como dirección IP.
  • El fabricante usa opciones específicas que requieren parámetros adicionales.
  • El lease no se renovó después del cambio.
  • Se usa DHCP Relay aunque la opción se mantuvo en Sophos Firewall.

Después de un cambio, se debe renovar el lease en el cliente de prueba y comprobar si el cliente recibe realmente las opciones esperadas. Si el comportamiento sigue sin cuadrar, una captura de paquetes suele ser más rápida que adivinar durante mucho tiempo: en los paquetes DHCP se ve qué servidor responde y qué opciones se entregan realmente.

Fuentes