Ir al contenido
Avanet

Opciones DHCP de Sophos Firewall (SFOS)

Las opciones DHCP son necesarias en el Sophos Firewall cuando los clientes necesitan más que una dirección IP, puerta de enlace y DNS al iniciar. Casos típicos son PXE, WDS, Thin Clients, teléfonos VoIP o entornos RED antiguos, donde un código de opción y tipo de dato específico deben coincidir exactamente.

Las versiones actuales de Sophos Firewall soportan opciones DHCP directamente en WebAdmin. Por lo tanto, para la mayoría de los entornos ya no es necesaria la configuración SSH o CLI. Sin embargo, los ejemplos de CLI siguen siendo importantes, ya que los runbooks antiguos, casos especiales y la resolución de problemas a menudo utilizan esta sintaxis.

Qué son las opciones DHCP

DHCP no solo distribuye una dirección IP. Junto con el arrendamiento, el servidor DHCP puede pasar información adicional al cliente. Para esto existen las opciones DHCP. Ejemplos típicos son servidores DNS, puerta de enlace, servidor TFTP, nombre de archivo de arranque, parámetros específicos del proveedor o valores para Thin Clients y teléfonos.

En el Sophos Firewall, las opciones DHCP siempre pertenecen al servidor DHCP o al ámbito que emite el arrendamiento. Esto es importante: si un cliente recibe su dirección de otro servidor DHCP, la opción debe configurarse allí. Si el Sophos Firewall solo actúa como un relé DHCP, reenvía las solicitudes DHCP, pero no es el lugar donde se mantiene la opción para ese ámbito.

Para IPv6, DHCP no siempre se trata de la misma manera que IPv4. Si un proveedor delega un prefijo IPv6, los anuncios de enrutador, los parámetros DHCPv6 y las reglas de firewall van juntos. El proceso se describe en Configurar delegación de prefijos IPv6 en Sophos Firewall.

En la práctica, antes de la configuración se deben aclarar tres cosas:

  • ¿Qué servidor DHCP distribuye realmente el arrendamiento?
  • ¿En qué ámbito o en qué interfaz se encuentra el cliente?
  • ¿Qué códigos de opción, tipos de datos y valores requiere el fabricante del sistema objetivo?

Requisitos

  • Sophos Firewall con servidor DHCPv4 activado
  • Acceso a Network > DHCP
  • Un ámbito DHCP en la interfaz adecuada
  • Los códigos de opción DHCP y valores necesarios del fabricante o sistema objetivo
  • Para CLI: acceso SSH permitido al Sophos Firewall

Antes de realizar cambios, se debe verificar brevemente el ámbito afectado. Las opciones DHCP solo funcionan de manera confiable si se establecen en el servidor DHCP correcto, en la red correcta y con el tipo de dato correcto.

  • Servidor DHCP: Sophos Firewall debe emitir el lease directamente. Con DHCP Relay, las opciones normalmente pertenecen al servidor DHCP central.
  • Scope e interfaz: Un cliente en el VLAN incorrecto o en otra interfaz no verá la opción, aunque esté guardada correctamente.
  • Código de opción y tipo de dato: Muchos errores aparecen porque un cliente espera string, ipaddress, array-of o un valor de fabricante de una forma distinta a la configurada.
  • Cliente de prueba: Un dispositivo conocido en la red afectada permite ver si la opción llega realmente en el DHCP offer o ACK.
  • Ventana de cambio: PXE, teléfonos y thin clients pueden verse afectados inmediatamente al cambiar el lease. Por eso las modificaciones deben probarse de forma controlada.

Si la opción es relevante para dispositivos productivos, debe estar claro de antemano cómo eliminarla o restablecerla al valor anterior. Esto es especialmente importante para opciones de arranque, servidores de aprovisionamiento y opciones de proveedor específicas del fabricante.

1. Crear o verificar el servidor DHCP

Para que se distribuyan las opciones DHCP, primero se necesita un servidor DHCPv4 en el Sophos Firewall. Este se crea o edita en WebAdmin bajo Network > DHCP.

Lo más importante es:

  • El servidor DHCP está asignado a una interfaz.
  • El ámbito coincide con la red en la que se encuentran los clientes.
  • Los servidores DNS, puerta de enlace y tiempo de arrendamiento están configurados correctamente.
  • El nombre DHCP no contiene espacios innecesarios o caracteres especiales.
  • Los casos especiales de PXE, VoIP, Thin Client o RED están documentados de antemano.

El nombre DHCP es especialmente relevante para los comandos CLI. Si el nombre contiene espacios o caracteres especiales, los comandos y runbooks posteriores serán innecesariamente propensos a errores. Nombres comprensibles como DHCP_Server_Avanet_LAN, Home_Scope o DHCP_VoIP son más fáciles en la práctica.

Configurar opciones DHCP en el servidor DHCPv4 de Sophos Firewall
Las opciones DHCP se pueden gestionar directamente en el servidor DHCPv4 de Sophos Firewall en las versiones actuales de SFOS.

2. Configurar opciones DHCP en WebAdmin

Una vez creado el servidor DHCPv4, las opciones se pueden agregar directamente en el mismo diálogo.

  1. Abrir Network > DHCP.
  2. Editar el servidor DHCPv4 existente o crear uno nuevo.
  3. Cambiar a la sección DHCP options.
  4. Agregar opción.
  5. Para opciones propias, establecer Options en Custom e introducir Code, Type y Value.
  6. Guardar cambios.
  7. Verificar con un cliente de prueba si la opción realmente se adopta.

Los campos significan:

  • Options u Option: Selección entre opciones DHCP predefinidas y opciones propias. En opciones Custom, el código de opción se introduce manualmente.
  • Code: Código numérico de la opción DHCP, por ejemplo 66, 67, 161 o un valor específico del fabricante.
  • Type: Tipo de dato del valor, por ejemplo ipaddress, string, boolean, one-byte, two-byte, four-byte o array-of.
  • Value: Valor concreto que debe recibir el cliente, por ejemplo una dirección IP, un nombre de host, una ruta o un puerto.

Los valores correctos generalmente los proporciona el fabricante del sistema objetivo. Especialmente para valores de cadena, rutas o opciones específicas del proveedor, vale la pena verificar en la documentación del fabricante. Un valor almacenado formalmente no significa automáticamente que el cliente lo interpretará como se espera.

3. Casos de uso típicos

Las opciones DHCP se necesitan generalmente cuando un cliente requiere información adicional al iniciar. Los casos comunes son PXE, WDS, Thin Clients, teléfonos VoIP, puntos de acceso o escenarios heredados individuales.

PXE y WDS

Para entornos PXE o WDS, a menudo se utilizan las opciones 66 y 67:

  • 66 se refiere al servidor TFTP o de implementación.
  • 67 contiene el nombre del archivo de arranque.

Si el cliente alcanza el servidor pero no arranca, el problema a menudo no está en el firewall, sino en una ruta de archivo incorrecta, un tipo de dato inadecuado o un archivo de arquitectura inapropiado. Los clientes UEFI y BIOS a menudo requieren archivos de arranque diferentes.

Importante en versiones actuales de SFOS: Next-server y Boot file son campos de opciones de arranque propios dentro del servidor DHCPv4. Desde SFOS 20.0 MR1 ya no se tratan automáticamente solo como opciones DHCP 66 y 67. Si un dispositivo espera explícitamente la opción 66 o 67, estos valores deben mantenerse conscientemente en DHCP options y no solo en los campos de opciones de arranque.

Al actualizar a SFOS 20.0 MR1 o posterior, los valores existentes de Next-server y Boot file se conservan como opciones de arranque y también como opciones DHCP 66 y 67. Después de una migración conviene comprobar si los valores existen dos veces y si el cliente evalúa la variante esperada.

Thin Clients

Los Thin Clients requieren, según el fabricante, opciones para el servidor de gestión, servidor de imágenes o parámetros de conexión. En runbooks antiguos se encuentran, por ejemplo:

  • 161 para el servidor
  • 192 para un puerto o parámetros adicionales

Si estos códigos son correctos depende del fabricante y del modelo de Thin Client utilizado. Por lo tanto, no se deben adoptar ciegamente, sino siempre verificar contra la documentación del fabricante.

Casos especiales de RED antiguos

En entornos antiguos, hubo casos en los que un Sophos RED 15w no reconocía correctamente el punto de acceso integrado. Para ello, a veces se utilizaba una opción DHCP específica del fabricante, por ejemplo, con el código de opción 234 y un valor como 10.10.10.12.

Esto no es un estándar general para instalaciones modernas de SD-RED. Sin embargo, como ejemplo heredado, sigue siendo útil porque muestra cómo definir códigos de opción propios y vincularlos a un servidor DHCP.

Para diseños RED actuales, el artículo Configurar y solucionar problemas de Sophos SD-RED es más útil. Si se trata de diseños de interfaz, VLAN, puente o RED, también ayuda Planificar y configurar zonas e interfaces de Sophos Firewall.

4. Cuándo es relevante el relé DHCP en lugar del servidor DHCP

Sophos Firewall no solo puede ser un servidor DHCP, sino también utilizar relé DHCP. En este caso, las solicitudes DHCP de los clientes se reenvían a un servidor DHCP en otra red.

Esto es especialmente relevante cuando las direcciones IP se asignan centralmente desde un servidor DHCP de Windows u otro sistema DHCP dedicado. En tales diseños, las opciones DHCP normalmente se mantienen en este servidor DHCP central, no en el Sophos Firewall.

Para el relay agent, la interfaz seleccionada debe estar en la subred de los clientes DHCP. La interfaz del servidor DHCP real no debe usarse como interfaz de relay; de lo contrario, el firewall no reenviará las solicitudes de los clientes como se espera.

En un relay agent pueden configurarse hasta ocho servidores DHCP. El firewall reenvía la solicitud del cliente a esos servidores, y el cliente trabaja con la primera oferta que recibe. Por eso, varios destinos de relay deben entregar de forma consistente el mismo scope y las mismas opciones DHCP.

En diseños de VPN, XFRM, RED o sucursales, primero se debe verificar:

  • ¿Debe el Sophos Firewall distribuir los arrendamientos por sí mismo?
  • ¿Solo debe reenviar solicitudes DHCP?
  • ¿El cliente se encuentra en una red directamente conectada?
  • ¿Existen varios servidores DHCP que podrían responder accidentalmente al mismo cliente?

Si responde el servidor DHCP incorrecto, incluso la opción DHCP más correcta en el Sophos Firewall no ayudará.

En DHCP Relay a través de VPN route-based hay un punto adicional importante: el relay agent se configura en la sede donde están los clientes. En la central se necesita una regla de firewall entrante adecuada para el tráfico DHCP, mientras que el tráfico de relay en el firewall de la sucursal se trata como tráfico generado por el sistema.

5. Cuándo sigue siendo útil la CLI

Para configuraciones estándar actuales, normalmente basta con WebAdmin. La CLI sigue siendo útil si:

  • un artículo antiguo o runbook ya se basa en comandos CLI
  • se deben probar opciones de proveedor inusuales
  • se desea ver exactamente qué enlaces están almacenados internamente en caso de soporte
  • se ha heredado un entorno de una versión muy antigua de SFOS
  • se debe replicar o verificar un comando en una documentación

Quien deba seguir este camino, primero debe revisar la guía Conectar SSH con Sophos Firewall. Después de iniciar sesión, se utiliza la 4. Device Console para los siguientes comandos.

Menú SSH de Sophos Firewall con selección de la Device Console
Para comandos de opciones DHCP, se utiliza la Device Console de Sophos Firewall después de iniciar sesión por SSH.

Principio básico de CLI: definir y vincular opción

En la configuración CLI hay dos pasos:

  1. Se define la opción DHCP.
  2. La opción se vincula a un servidor DHCP y se le asigna un valor.

Primero se define la opción:

system dhcp dhcp-options add optioncode optionname optiontype

Los marcadores de posición significan:

  • optioncode: código numérico de opción DHCP
  • optionname: nombre libremente elegido de la opción
  • optiontype: tipo de dato, por ejemplo, ipaddress o string

Ejemplo de una dirección IP como opción DHCP:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Luego se vincula la opción a un servidor DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

Los marcadores de posición significan:

  • dhcpname: nombre del servidor DHCP de la configuración de Sophos Firewall
  • optionname(234): nombre de la opción previamente definida, incluido el código de opción entre paréntesis
  • value: valor que se distribuirá a los clientes

Ejemplo:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Ejemplos de CLI

Los siguientes ejemplos siguen siendo plantillas útiles cuando se debe establecer una opción mediante la Device Console o se debe seguir un runbook antiguo. Estos comandos no son incorrectos, simplemente no son el primer recurso en entornos estándar actuales.

Servidor Thin Client

Con esta opción se informa a un Thin Client en qué servidor se encuentra la imagen o el componente de gestión:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Si además se necesita un puerto, se puede establecer como cadena:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS y PXE

Un valor de opción DHCP para el servidor WDS o TFTP se puede establecer así:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

El nombre del archivo de arranque para el entorno previo se proporciona como opción 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Con entorno previo se refiere al entorno de arranque con el que un cliente inicia durante la instalación o recuperación. Dependiendo del entorno, la ruta necesaria puede variar, especialmente en clientes UEFI, BIOS, de 32 bits y de 64 bits.

Mostrar opciones existentes

Antes de realizar cambios, se deben mostrar las opciones existentes:

system dhcp dhcp-options list

La lista no representa todo el límite de lo que soporta SFOS. Sophos documenta que el firewall soporta todos los objetos de opciones DHCP de 1 a 255, mientras que la lista CLI solo muestra las opciones 1 a 76. Las opciones personalizadas o específicas del fabricante fuera de esa visualización pueden seguir siendo válidas.

Mostrar enlaces de un servidor DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Una opción se puede eliminar si es necesario:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Fuentes comunes de errores

Si una opción DHCP está guardada pero no funciona como se esperaba en el cliente, a menudo se debe a uno de estos puntos:

  • El servidor DHCP incorrecto responde a la solicitud.
  • Se editó el ámbito o la interfaz incorrecta.
  • El tipo de dato no coincide con el valor esperado.
  • La dirección IP, FQDN, puerto o ruta está mal escrita.
  • La ruta del archivo de arranque no coincide con la arquitectura del cliente.
  • El cliente espera una cadena, pero la opción se configuró como dirección IP.
  • El fabricante utiliza opciones específicas del proveedor que requieren parámetros adicionales.
  • El arrendamiento no se renovó después del cambio.
  • Se utiliza relé DHCP aunque la opción se mantuvo en el Sophos Firewall.

Después de un cambio, se debe renovar el arrendamiento en el cliente de prueba y verificar si el cliente realmente recibe las opciones esperadas. Si el comportamiento sigue sin coincidir, una captura de paquetes suele ser más rápida que adivinar: en los paquetes DHCP se puede ver qué servidor responde y qué opciones se entregan realmente.

8. Probar el cambio

Después de guardar una opción DHCP, no se debe esperar simplemente a que el próximo cliente obtenga un nuevo arrendamiento en algún momento. Es mejor una prueba controlada con un dispositivo conocido en la red afectada.

Procedimiento recomendado:

  1. Conectar el cliente de prueba en el VLAN o interfaz correcta.
  2. Renovar el arrendamiento antiguo o reiniciar el cliente.
  3. Verificar qué dirección DHCP, puerta de enlace, servidores DNS y opciones adicionales han llegado.
  4. Probar el sistema objetivo, por ejemplo, arranque PXE, inicio WDS, registro de Thin Client o aprovisionamiento de teléfono.
  5. Verificar en WebAdmin si el arrendamiento aparece en el ámbito DHCP esperado.
  6. Si el resultado no es el esperado, usar Packet Capture para verificar qué servidor DHCP responde y qué opciones están incluidas en la oferta o ACK.

Para una captura estrecha, generalmente basta con un filtro en UDP 67 y 68 entre el cliente y el servidor DHCP. El uso de la herramienta WebAdmin se describe en Usar Sophos Firewall Packet Capture en WebAdmin.

En pruebas de PXE y WDS, también se debe documentar si el cliente de prueba utiliza BIOS o UEFI. Muchos problemas de arranque no se deben al DHCP en sí, sino a un archivo de arranque que no coincide con la arquitectura.

9. Solución de problemas según los síntomas

Si las opciones DHCP no funcionan, una revisión orientada a los síntomas a menudo ayuda más rápido que volver a crear la misma opción.

  • El cliente no recibe una dirección IP: El servidor DHCP, VLAN, interfaz o relay no coinciden. Revisar la lista de leases, interfaz, VLAN y DHCP Relay.
  • El cliente recibe IP, pero no la opción: Responde el scope incorrecto o el servidor DHCP incorrecto. Revisar DHCP offer o ACK con Packet Capture.
  • PXE encuentra el servidor, pero no arranca: La opción 67, la ruta del archivo o la arquitectura no coinciden. Revisar bootfile BIOS/UEFI y logs TFTP/WDS.
  • El thin client no conecta: Código de opción, tipo o valor de fabricante incorrecto. Comparar la documentación del fabricante con el valor entregado.
  • El cambio se aplica más tarde: El cliente usa un lease antiguo. Renovar el lease, reiniciar el cliente o considerar el lease time.
  • El comando CLI no funciona: Nombre DHCP, nombre de opción o notación entre paréntesis incorrectos. Revisar system dhcp dhcp-options list y la salida del binding.

Si en la captura responde otro servidor DHCP, primero se debe aclarar el diseño de la red. Dos servidores DHCP en el mismo dominio de difusión son una causa clásica de comportamiento cambiante. Para preguntas más complejas sobre VLAN, puente o interfaz, ayuda Planificar y configurar zonas e interfaces de Sophos Firewall.

Preguntas frecuentes

¿Es necesario configurar opciones DHCP en Sophos Firewall mediante CLI?

En las versiones actuales de SFOS, para servidores DHCPv4 normales, generalmente basta con WebAdmin en Network > DHCP. La CLI es principalmente relevante para runbooks antiguos, opciones de proveedor especiales, casos de soporte o controles de enlaces existentes.

¿Por qué una opción DHCP no llega al cliente?

A menudo responde un servidor DHCP diferente al que se ha editado, o el cliente se encuentra en otro ámbito. Luego se debe verificar el tipo de dato, código de opción, valor, renovación de arrendamiento y en PXE el nombre del archivo de arranque.

¿Dónde se configuran las opciones DHCP si Sophos Firewall solo utiliza relé DHCP?

En el caso de relé DHCP, otro servidor DHCP distribuye el arrendamiento. Las opciones se mantienen entonces normalmente en este servidor DHCP central, no en el Sophos Firewall.

¿Qué opciones DHCP necesita PXE o WDS?

A menudo se utilizan la opción 66 para el servidor TFTP o de implementación y la opción 67 para el nombre del archivo de arranque. Sin embargo, el valor correcto depende de WDS, TFTP, BIOS/UEFI y la arquitectura del cliente.

¿Es suficiente guardar una opción DHCP?

No. Después de guardar, se debe renovar el arrendamiento en el cliente de prueba y verificar si la opción realmente está incluida en la oferta DHCP o ACK. Una captura de paquetes suele ser la prueba más rápida para esto.