Aller au contenu
Avanet

Options DHCP du Sophos Firewall (SFOS)

Sophos Firewall

Cet article montre comment configurer des options DHCP sur un Sophos Firewall avec SFOS et comment classer correctement les cas particuliers fréquents comme PXE, WDS, les clients légers ou les anciens environnements RED.

Les versions actuelles de Sophos Firewall prennent en charge les options DHCP directement dans WebAdmin. Dans la plupart des environnements, une configuration par SSH ou CLI n’est donc plus nécessaire. Les exemples CLI restent néanmoins importants, car d’anciens runbooks, certains cas particuliers et le troubleshooting utilisent encore souvent cette syntaxe.

Que Sont les Options DHCP

DHCP ne distribue pas seulement une adresse IP. Avec le bail, le serveur DHCP peut transmettre des informations supplémentaires au client. Les options DHCP existent précisément pour cela. Les exemples typiques sont les serveurs DNS, la passerelle, le serveur TFTP, le nom du fichier de démarrage, les paramètres spécifiques à un fournisseur ou des valeurs pour clients légers et téléphones.

Sur Sophos Firewall, les options DHCP appartiennent toujours au serveur DHCP ou au scope qui émet le bail. C’est important : si un client reçoit son adresse d’un autre serveur DHCP, l’option doit être configurée sur ce serveur. Si Sophos Firewall fonctionne uniquement comme DHCP Relay, il transfère les requêtes DHCP, mais ce n’est pas l’endroit où maintenir l’option pour ce scope.

En pratique, trois points doivent être clarifiés avant la configuration :

  • Quel serveur DHCP distribue réellement le bail ?
  • Dans quel scope ou sur quelle interface se trouve le client ?
  • Quels codes d’option, types de données et valeurs le fabricant du système cible exige-t-il ?

Prérequis

  • Sophos Firewall avec serveur DHCPv4 activé
  • Accès à Network > DHCP
  • Un scope DHCP sur l’interface appropriée
  • Les codes et valeurs d’options DHCP requis par le fabricant ou le système cible
  • Pour les fallbacks CLI : accès SSH autorisé au Sophos Firewall

1. Créer ou Vérifier le Serveur DHCP

Pour distribuer des options DHCP, un serveur DHCPv4 est d’abord nécessaire sur Sophos Firewall. Il est créé ou modifié dans WebAdmin sous Network > DHCP.

Les points les plus importants sont :

  • Le serveur DHCP est associé à une interface.
  • Le scope correspond au réseau dans lequel se trouvent les clients.
  • Les serveurs DNS, la passerelle et la durée de bail sont correctement définis.
  • Le nom DHCP ne contient pas d’espaces ou de caractères spéciaux inutiles.
  • Les cas particuliers PXE, VoIP, clients légers ou RED sont documentés à l’avance.

Le nom DHCP est particulièrement important pour les commandes CLI. Si le nom contient des espaces ou des caractères spéciaux, les commandes et runbooks ultérieurs deviennent inutilement fragiles. Des noms clairs comme DHCP_Server_Avanet_LAN, Home_Scope ou DHCP_VoIP sont plus simples en pratique.

Configurer des options DHCP dans le serveur DHCPv4 du Sophos Firewall
Dans les versions SFOS actuelles, les options DHCP peuvent être gérées directement dans le serveur DHCPv4 du Sophos Firewall.

2. Configurer les Options DHCP dans WebAdmin

Dès que le serveur DHCPv4 est créé, les options peuvent être ajoutées directement dans le même dialogue.

  1. Ouvrir Network > DHCP.
  2. Modifier le serveur DHCPv4 existant ou créer un nouveau serveur.
  3. Aller à la section DHCP options.
  4. Ajouter une option.
  5. Saisir Option, Code, Type et Value.
  6. Enregistrer les modifications.
  7. Vérifier avec un client de test si l’option est réellement appliquée.

Les champs signifient :

ChampSignification
OptionNom de l’option. Les options prédéfinies peuvent être sélectionnées ; pour les options personnalisées, on utilise un nom explicite.
CodeCode numérique de l’option DHCP, par exemple 66, 67, 161 ou une valeur spécifique au fournisseur.
TypeType de données de la valeur, par exemple ipaddress, string, boolean, one-byte, two-byte, four-byte ou array-of.
ValueValeur concrète que le client doit recevoir, par exemple une adresse IP, un nom d’hôte, un chemin ou un port.

Les valeurs correctes sont généralement fournies par le fabricant du système cible. Pour les valeurs de type string, les chemins ou les options spécifiques à un fournisseur, il vaut la peine de vérifier la documentation du fabricant. Une valeur enregistrée correctement sur le plan formel n’est pas automatiquement interprétée par le client comme prévu.

3. Cas d’Utilisation Typiques

Les options DHCP sont le plus souvent nécessaires lorsqu’un client a besoin d’informations supplémentaires au démarrage. Les cas fréquents sont PXE, WDS, les clients légers, les téléphones VoIP, les points d’accès ou certains scénarios legacy.

PXE et WDS

Pour les environnements PXE ou WDS, les options 66 et 67 sont souvent utilisées :

  • 66 pointe vers le serveur TFTP ou de déploiement.
  • 67 contient le nom du fichier de démarrage.

Si le client atteint le serveur mais ne démarre pas, le problème ne vient souvent pas du firewall, mais d’un chemin de fichier incorrect, d’un type de données inadapté ou d’un fichier de démarrage qui ne correspond pas à l’architecture. Les clients UEFI et BIOS nécessitent souvent des fichiers de démarrage différents.

Clients Légers

Selon le fabricant, les clients légers ont besoin d’options pour les serveurs de gestion, les serveurs d’image ou les paramètres de connexion. Dans d’anciens runbooks, on trouve par exemple :

  • 161 pour le serveur
  • 192 pour un port ou un paramètre supplémentaire

La validité de ces codes dépend du fabricant et du modèle de client léger utilisé. Il ne faut donc pas les reprendre aveuglément, mais toujours les vérifier dans la documentation du fabricant.

Anciens Cas Particuliers RED

Dans d’anciens environnements, il existait des cas où le point d’accès intégré d’une Sophos RED 15w n’était pas correctement détecté. Une option DHCP spécifique au fournisseur était parfois utilisée, par exemple avec le code 234 et une valeur comme 10.10.10.12.

Ce n’est pas une norme générale pour les installations SD-RED modernes. Comme exemple legacy, cela reste toutefois utile, car il montre comment définir ses propres codes d’option et les lier à un serveur DHCP.

Pour les conceptions RED actuelles, l’article Configurer Sophos SD-RED et résoudre les erreurs est plus utile. Pour les conceptions d’interfaces, VLAN, bridges ou RED, Planifier et configurer les zones et interfaces de Sophos Firewall aide également.

4. Quand DHCP Relay Est Pertinent au Lieu du Serveur DHCP

Sophos Firewall peut être serveur DHCP lui-même, mais il peut aussi utiliser DHCP Relay. Dans ce cas, les requêtes DHCP des clients sont transférées vers un serveur DHCP situé dans un autre réseau.

C’est surtout pertinent lorsque les adresses IP sont attribuées de manière centralisée par un serveur DHCP Windows ou un autre système DHCP dédié. Dans ces conceptions, les options DHCP sont normalement gérées sur ce serveur DHCP central, pas sur Sophos Firewall.

Dans les conceptions VPN, XFRM, RED ou de sites distants, il faut donc d’abord vérifier :

  • Sophos Firewall doit-il distribuer lui-même les baux ?
  • Doit-il seulement transférer les requêtes DHCP ?
  • Le client se trouve-t-il dans un réseau directement connecté ?
  • Plusieurs serveurs DHCP pourraient-ils répondre par erreur au même client ?

Si le mauvais serveur DHCP répond, même l’option DHCP la plus correcte sur Sophos Firewall ne sera d’aucune aide.

5. Quand la CLI Reste Utile

Pour les configurations standard actuelles, WebAdmin suffit normalement. La CLI reste surtout utile lorsque :

  • un ancien article ou runbook s’appuie déjà sur des commandes CLI
  • des options fournisseur inhabituelles doivent être testées
  • dans un cas de support, on veut voir exactement quels bindings sont enregistrés en interne
  • un environnement a été repris depuis une très ancienne version SFOS
  • une commande documentée doit être reproduite ou contrôlée

Si cette voie est nécessaire, il faut d’abord consulter le guide Se connecter au Sophos Firewall via SSH. Après la connexion, les commandes suivantes utilisent 4. Device Console.

Menu SSH de Sophos Firewall avec sélection de la Device Console
Pour les commandes d’options DHCP, on utilise la Device Console du Sophos Firewall après la connexion SSH.

Principe CLI : Définir et Lier une Option

La configuration CLI comporte deux étapes :

  1. L’option DHCP est définie.
  2. L’option est liée à un serveur DHCP et reçoit une valeur à cet endroit.

L’option est d’abord définie :

system dhcp dhcp-options add optioncode optionname optiontype

Les paramètres signifient :

  • optioncode : code numérique de l’option DHCP
  • optionname : nom librement choisi pour l’option
  • optiontype : type de données, par exemple ipaddress ou string

Exemple pour une adresse IP comme option DHCP :

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

L’option est ensuite liée à un serveur DHCP :

system dhcp dhcp-options binding add dhcpname optionname(234) value

Les paramètres signifient :

  • dhcpname : nom du serveur DHCP dans la configuration Sophos Firewall
  • optionname(234) : nom de l’option définie précédemment, avec le code d’option entre parenthèses
  • value : valeur à distribuer aux clients

Exemple :

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Exemples CLI

Les exemples suivants restent des modèles utiles lorsqu’une option doit être définie via Device Console ou lorsqu’un ancien runbook doit être compris. Ces commandes ne sont pas fausses ; dans les environnements standard actuels, elles ne sont simplement plus la première méthode.

Serveur pour Client Léger

Cette option indique au client léger sur quel serveur se trouve l’image ou le composant de gestion :

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Si un port supplémentaire est requis, il peut être défini comme string :

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS et PXE

Une valeur d’option DHCP pour le serveur WDS ou TFTP peut être définie ainsi :

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Le nom du fichier de démarrage pour le pre-environment est transmis comme option 67 :

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Par pre-environment, on entend l’environnement de démarrage avec lequel un client démarre pendant une installation ou une restauration. Selon l’environnement, le chemin requis peut varier, en particulier pour les clients UEFI, BIOS, 32 bits et 64 bits.

Afficher les Options Existantes

Avant toute modification, il faut afficher les options existantes :

system dhcp dhcp-options list

Afficher les bindings d’un serveur DHCP :

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Une option peut être supprimée si nécessaire :

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Sources d’Erreur Typiques

Si une option DHCP est enregistrée mais n’agit pas comme prévu côté client, la cause est souvent l’un des points suivants :

  • Le mauvais serveur DHCP répond à la requête.
  • Le mauvais scope ou la mauvaise interface a été modifié.
  • Le type de données ne correspond pas à la valeur attendue.
  • L’adresse IP, le FQDN, le port ou le chemin contient une faute de frappe.
  • Le chemin du fichier de démarrage ne correspond pas à l’architecture du client.
  • Le client attend une string, mais l’option a été créée comme adresse IP.
  • Le fabricant utilise des options spécifiques qui nécessitent des paramètres supplémentaires.
  • Le bail n’a pas été renouvelé après la modification.
  • DHCP Relay est utilisé, alors que l’option a été maintenue sur Sophos Firewall.

Après une modification, il faut renouveler le bail sur le client de test et vérifier si celui-ci reçoit réellement les options attendues. Si le comportement reste incorrect, une capture de paquets est souvent plus rapide qu’une longue recherche à l’aveugle : dans les paquets DHCP, on voit quel serveur répond et quelles options sont réellement livrées.

Sources