Options DHCP de Sophos Firewall (SFOS)
Les options DHCP sont nécessaires sur la Sophos Firewall lorsque les clients doivent recevoir plus qu’une simple adresse IP, une passerelle et un DNS au démarrage. Les cas typiques incluent PXE, WDS, clients légers, téléphones VoIP ou environnements RED plus anciens, où un code d’option et un type de données spécifiques doivent correspondre exactement.
Les versions actuelles de Sophos Firewall prennent en charge les options DHCP directement dans WebAdmin. Pour la plupart des environnements, une configuration SSH ou CLI n’est donc plus nécessaire. Les exemples CLI restent néanmoins importants, car les anciens runbooks, les cas particuliers et le dépannage utilisent souvent encore cette syntaxe.
Ce que sont les options DHCP
Le DHCP ne distribue pas seulement une adresse IP. Avec le bail, le serveur DHCP peut transmettre des informations supplémentaires au client. C’est précisément pour cela que les options DHCP existent. Des exemples typiques incluent les serveurs DNS, la passerelle, le serveur TFTP, le nom de fichier de démarrage, les paramètres spécifiques au fournisseur ou les valeurs pour les clients légers et les téléphones.
Sur la Sophos Firewall, les options DHCP appartiennent toujours au serveur DHCP ou au scope qui délivre le bail. C’est important : si un client reçoit son adresse d’un autre serveur DHCP, l’option doit être configurée là-bas. Si la Sophos Firewall ne fonctionne que comme relais DHCP, elle transmet les requêtes DHCP, mais ce n’est pas l’endroit où l’option pour ce scope est maintenue.
Pour IPv6, le DHCP n’est pas toujours traité de la même manière que pour IPv4. Si un fournisseur délègue un préfixe IPv6, les annonces de routeur, les paramètres DHCPv6 et les règles de pare-feu vont ensemble. Le processus est décrit dans Configurer la délégation de préfixe IPv6 sur Sophos Firewall.
En pratique, avant de configurer, il faut clarifier trois choses :
- Quel serveur DHCP distribue réellement le bail ?
- Dans quel scope ou sur quelle interface se trouve le client ?
- Quels codes d’option, types de données et valeurs le fabricant du système cible exige-t-il ?
Prérequis
- Sophos Firewall avec serveur DHCPv4 activé
- Accès à
Network > DHCP - Un scope DHCP sur l’interface appropriée
- Les codes d’option DHCP et les valeurs nécessaires du fabricant ou du système cible
- Pour les solutions de repli CLI : accès SSH autorisé à la Sophos Firewall
Avant de modifier, il est conseillé de vérifier brièvement le scope concerné. Les options DHCP ne fonctionnent de manière fiable que si elles sont définies sur le bon serveur DHCP, dans le bon réseau et avec le bon type de données.
- Serveur DHCP : La Sophos Firewall doit émettre elle-même le bail. Avec DHCP Relay, les options se configurent généralement sur le serveur DHCP central.
- Scope et interface : Un client dans le mauvais VLAN ou sur une autre interface ne voit pas l’option, même si elle est correctement enregistrée.
- Code d’option et type de données : Beaucoup d’erreurs viennent du fait qu’un client attend
string,ipaddress,array-ofou une valeur fournisseur autrement que ce qui a été saisi. - Client de test : Un appareil connu dans le réseau concerné permet de vérifier si l’option arrive réellement dans le DHCP offer ou ACK.
- Fenêtre de changement : PXE, téléphones et clients légers peuvent être touchés dès le renouvellement du bail. Les changements doivent donc être testés de manière contrôlée.
Si l’option est pertinente pour les appareils en production, il doit être clair à l’avance comment la supprimer ou la rétablir à sa valeur précédente. Cela est particulièrement vrai pour les options de démarrage, les serveurs de provisioning et les options spécifiques aux fournisseurs.
1. Créer ou vérifier un serveur DHCP
Pour que les options DHCP soient distribuées, un serveur DHCPv4 est d’abord nécessaire sur la Sophos Firewall. Celui-ci est créé ou modifié dans WebAdmin sous Network > DHCP.
Il est surtout important que :
- Le serveur DHCP soit associé à une interface.
- Le scope corresponde au réseau dans lequel se trouvent les clients.
- Les serveurs DNS, la passerelle et la durée du bail soient correctement définis.
- Le nom DHCP ne contienne pas d’espaces ou de caractères spéciaux inutiles.
- Les cas particuliers PXE, VoIP, clients légers ou RED soient documentés à l’avance.
Le nom DHCP est particulièrement pertinent pour les commandes CLI. Si le nom contient des espaces ou des caractères spéciaux, les commandes et runbooks ultérieurs deviennent inutilement sujets aux erreurs. Des noms compréhensibles comme DHCP_Server_Avanet_LAN, Home_Scope ou DHCP_VoIP sont plus simples en pratique.

2. Configurer les options DHCP dans WebAdmin
Une fois le serveur DHCPv4 créé, les options peuvent être ajoutées directement dans le même dialogue.
- Ouvrir
Network > DHCP. - Modifier le serveur DHCPv4 existant ou en créer un nouveau.
- Passer à la section
DHCP options. - Ajouter une option.
- Pour les options personnalisées, définir
OptionssurCustomet saisirCode,TypeetValue. - Enregistrer les modifications.
- Vérifier avec un client de test si l’option est réellement adoptée.
Les champs signifient :
OptionsouOption: Choix entre options DHCP prédéfinies et options personnalisées. Pour les optionsCustom, le code d’option est saisi manuellement.Code: Code numérique de l’option DHCP, par exemple66,67,161ou une valeur propre au fabricant.Type: Type de données de la valeur, par exempleipaddress,string,boolean,one-byte,two-byte,four-byteouarray-of.Value: Valeur concrète que le client doit recevoir, par exemple une adresse IP, un nom d’hôte, un chemin ou un port.
Les valeurs correctes sont généralement fournies par le fabricant du système cible. Surtout pour les valeurs de type chaîne, les chemins ou les options spécifiques aux fournisseurs, il vaut la peine de vérifier dans la documentation du fabricant. Une valeur formellement enregistrée ne signifie pas automatiquement que le client l’interprétera comme prévu.
3. Cas d’utilisation typiques
Les options DHCP sont généralement nécessaires lorsque le client a besoin d’informations supplémentaires au démarrage. Les cas fréquents incluent PXE, WDS, clients légers, téléphones VoIP, points d’accès ou certains scénarios hérités.
PXE et WDS
Pour les environnements PXE ou WDS, les options 66 et 67 sont souvent utilisées :
66fait référence au serveur TFTP ou de déploiement.67contient le nom du fichier de démarrage.
Si le client atteint le serveur mais ne démarre pas, le problème ne vient souvent pas du pare-feu, mais d’un chemin de fichier incorrect, d’un type de données inapproprié ou d’un fichier d’architecture inadapté. Les clients UEFI et BIOS nécessitent souvent des fichiers de démarrage différents.
Important avec les versions SFOS actuelles : Next-server et Boot file sont des champs de boot options distincts dans le serveur DHCPv4. Depuis SFOS 20.0 MR1, ils ne sont plus automatiquement traités uniquement comme les options DHCP 66 et 67. Si un équipement attend explicitement l’option 66 ou 67, ces valeurs doivent être configurées volontairement sous DHCP options et pas seulement dans les champs de boot options.
Lors d’une mise à niveau vers SFOS 20.0 MR1 ou une version plus récente, les valeurs existantes de Next-server et Boot file sont conservées comme boot options et aussi comme options DHCP 66 et 67. Après une migration, il faut donc vérifier si les valeurs existent en double et si le client évalue la variante attendue.
Clients légers
Les clients légers nécessitent, selon le fabricant, des options pour le serveur de gestion, le serveur d’image ou les paramètres de connexion. Dans les anciens runbooks, on trouve par exemple :
161pour le serveur192pour un port ou des paramètres supplémentaires
Que ces codes soient corrects dépend du fabricant et du modèle de client léger utilisé. Il ne faut donc pas adopter ces codes aveuglément, mais toujours les vérifier par rapport à la documentation du fabricant.
Cas particuliers RED plus anciens
Dans les environnements plus anciens, il y avait des cas où un Sophos RED 15w ne reconnaissait pas correctement le point d’accès intégré. Pour cela, une option DHCP spécifique au fabricant était parfois utilisée, par exemple avec le code d’option 234 et une valeur comme 10.10.10.12.
Ce n’est pas une norme générale pour les installations SD-RED modernes. En tant qu’exemple hérité, c’est néanmoins utile car cela montre comment définir des codes d’option personnalisés et les lier à un serveur DHCP.
Pour les conceptions RED actuelles, l’article Configurer et dépanner Sophos SD-RED est plus utile. Pour les questions concernant les interfaces, VLAN, ponts ou conceptions RED, Planifier et configurer les zones et interfaces de Sophos Firewall est également utile.
4. Quand le relais DHCP est-il pertinent au lieu du serveur DHCP
La Sophos Firewall peut non seulement être un serveur DHCP elle-même, mais aussi utiliser le relais DHCP. Dans ce cas, les requêtes DHCP des clients sont transmises à un serveur DHCP dans un autre réseau.
C’est surtout pertinent lorsque les adresses IP sont attribuées de manière centralisée par un serveur DHCP Windows ou un autre système DHCP dédié. Dans de telles conceptions, les options DHCP sont normalement maintenues sur ce serveur DHCP central, pas sur la Sophos Firewall.
Pour le relay agent, l’interface sélectionnée doit se trouver dans le sous-réseau des clients DHCP. L’interface du serveur DHCP réel ne doit pas être utilisée comme interface de relay, sinon le pare-feu ne transmettra pas les requêtes des clients comme prévu.
Un relay agent peut contenir jusqu’à huit serveurs DHCP. Le pare-feu transmet la requête du client à ces serveurs, et le client travaille avec la première offre qu’il reçoit. Plusieurs cibles de relay doivent donc fournir de manière cohérente le même scope et les mêmes options DHCP.
Pour les conceptions VPN, XFRM, RED ou de succursales, il faut d’abord vérifier :
- La Sophos Firewall doit-elle distribuer elle-même les baux ?
- Doit-elle seulement transmettre les requêtes DHCP ?
- Le client se trouve-t-il dans un réseau directement connecté ?
- Y a-t-il plusieurs serveurs DHCP qui pourraient répondre par erreur au même client ?
Si le mauvais serveur DHCP répond, même l’option DHCP la plus correcte sur la Sophos Firewall ne sera pas utile.
Avec DHCP Relay via VPN route-based, un point supplémentaire compte : le relay agent est configuré sur le site des clients. Au siège, une règle de pare-feu entrante adaptée est nécessaire pour le trafic DHCP, tandis que le trafic relay sur le pare-feu de la succursale est traité comme du trafic généré par le système.
5. Quand la CLI est-elle encore utile
Pour les configurations standard actuelles, WebAdmin suffit généralement. La CLI est encore utile lorsque :
- un ancien article ou runbook repose déjà sur des commandes CLI
- des options fournisseurs inhabituelles doivent être testées
- on souhaite voir exactement quelles liaisons sont enregistrées en interne en cas de support
- un environnement a été repris d’une version SFOS très ancienne
- une commande doit être reproduite ou vérifiée dans une documentation
Ceux qui doivent emprunter cette voie devraient d’abord consulter le guide Se connecter à la Sophos Firewall via SSH. Après la connexion, la 4. Device Console est utilisée pour les commandes suivantes.

Principe de base de la CLI : définir et lier une option
Dans la configuration CLI, il y a deux étapes :
- L’option DHCP est définie.
- L’option est liée à un serveur DHCP et reçoit une valeur.
D’abord, l’option est définie :
system dhcp dhcp-options add optioncode optionname optiontype
Les espaces réservés signifient :
optioncode: code d’option DHCP numériqueoptionname: nom librement choisi de l’optionoptiontype: type de données, par exempleipaddressoustring
Exemple pour une adresse IP comme option DHCP :
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Ensuite, l’option est liée à un serveur DHCP :
system dhcp dhcp-options binding add dhcpname optionname(234) value
Les espaces réservés signifient :
dhcpname: nom du serveur DHCP dans la configuration de la Sophos Firewalloptionname(234): nom de l’option précédemment définie, y compris le code d’option entre parenthèsesvalue: valeur à distribuer aux clients
Exemple :
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
6. Exemples CLI
Les exemples suivants restent des modèles utiles lorsqu’une option doit être définie via la console de l’appareil ou qu’un ancien runbook doit être suivi. Ces commandes ne sont pas incorrectes, elles ne sont simplement plus le premier choix dans les environnements standard actuels.
Serveur de clients légers
Avec cette option, un client léger est informé du serveur sur lequel se trouve l’image ou le composant de gestion :
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Si un port est également nécessaire, il peut être défini comme une chaîne :
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
WDS et PXE
Une valeur d’option DHCP pour le serveur WDS ou TFTP peut être définie ainsi :
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
Le nom du fichier de démarrage pour l’environnement pré-boot est fourni en tant qu’option 67 :
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Par environnement pré-boot, on entend l’environnement de démarrage avec lequel un client démarre pendant l’installation ou la restauration. Selon l’environnement, le chemin requis peut varier, notamment pour les clients UEFI, BIOS, 32 bits et 64 bits.
Afficher les options existantes
Avant de modifier, il est conseillé d’afficher les options existantes :
system dhcp dhcp-options list
Cette liste ne représente toutefois pas la limite complète de ce que SFOS prend en charge. Sophos documente que le pare-feu prend en charge tous les objets d’options DHCP de 1 à 255, alors que la liste CLI n’affiche que les options 1 à 76. Des options personnalisées ou spécifiques au fournisseur en dehors de cet affichage peuvent donc rester valides.
Afficher les liaisons d’un serveur DHCP :
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN
Une option peut être supprimée si nécessaire :
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
7. Sources d’erreurs typiques
Si une option DHCP est enregistrée mais n’a pas l’effet escompté sur le client, cela est souvent dû à l’un de ces points :
- Le mauvais serveur DHCP répond à la requête.
- Le mauvais scope ou la mauvaise interface a été modifié.
- Le type de données ne correspond pas à la valeur attendue.
- L’adresse IP, le FQDN, le port ou le chemin est mal saisi.
- Le chemin du fichier de démarrage ne correspond pas à l’architecture du client.
- Le client attend une chaîne, mais l’option a été définie comme une adresse IP.
- Le fabricant utilise des options spécifiques au fournisseur qui nécessitent des paramètres supplémentaires.
- Le bail n’a pas été renouvelé après la modification.
- Le relais DHCP est utilisé alors que l’option a été maintenue sur la Sophos Firewall.
Après une modification, il est conseillé de renouveler le bail sur le client de test et de vérifier si le client reçoit réellement les options attendues. Si le comportement ne correspond toujours pas, une capture de paquets est souvent plus rapide qu’une longue supposition : dans les paquets DHCP, on peut voir quel serveur répond et quelles options sont réellement livrées.
8. Tester la modification
Après avoir enregistré une option DHCP, il ne faut pas seulement attendre que le prochain client obtienne un nouveau bail. Un test contrôlé avec un appareil connu dans le réseau concerné est préférable.
Procédure recommandée :
- Connecter le client de test dans le bon VLAN ou interface.
- Renouveler l’ancien bail ou redémarrer le client.
- Vérifier quelles adresses DHCP, passerelle, serveurs DNS et options supplémentaires sont reçues.
- Tester le système cible, par exemple démarrage PXE, démarrage WDS, enregistrement du client léger ou provisioning du téléphone.
- Vérifier dans WebAdmin si le bail apparaît dans le scope DHCP attendu.
- Si le résultat ne correspond pas, vérifier avec Packet Capture quel serveur DHCP répond et quelles options sont incluses dans l’offre ou l’ACK.
Pour une capture étroite, un filtre sur UDP 67 et 68 entre le client et le serveur DHCP suffit généralement. L’utilisation de l’outil WebAdmin est décrite dans Utiliser la capture de paquets de Sophos Firewall dans WebAdmin.
Lors des tests PXE et WDS, il est également conseillé de documenter si le client de test utilise BIOS ou UEFI. De nombreux problèmes de démarrage ne sont pas dus au DHCP lui-même, mais à un fichier de démarrage qui ne correspond pas à l’architecture.
9. Dépannage par symptômes
Si les options DHCP ne fonctionnent pas, un examen orienté sur les symptômes est souvent plus rapide que de recréer la même option.
- Le client ne reçoit pas d’adresse IP : Le serveur DHCP, le VLAN, l’interface ou le relay ne correspond pas. Vérifier la liste des baux, l’interface, le VLAN et DHCP Relay.
- Le client reçoit une IP, mais pas l’option : Le mauvais scope ou le mauvais serveur DHCP répond. Vérifier DHCP offer ou ACK avec Packet Capture.
- PXE trouve le serveur, mais ne démarre pas : L’option
67, le chemin du fichier ou l’architecture ne correspond pas. Vérifier le fichier de démarrage BIOS/UEFI et les logs TFTP/WDS. - Le client léger ne se connecte pas : Code d’option, type ou valeur fabricant incorrect. Comparer la documentation du fabricant et la valeur réellement fournie.
- La modification agit plus tard : Le client utilise encore un ancien bail. Renouveler le bail, redémarrer le client ou tenir compte de la durée du bail.
- La commande CLI ne fonctionne pas : Nom DHCP, nom d’option ou notation entre parenthèses incorrect. Vérifier
system dhcp dhcp-options listet la sortie du binding.
Si une autre réponse de serveur DHCP apparaît dans la capture, il faut d’abord clarifier la conception du réseau. Deux serveurs DHCP dans le même domaine de diffusion sont une cause classique de comportement changeant. Pour des questions plus complexes concernant les VLAN, ponts ou interfaces, Planifier et configurer les zones et interfaces de Sophos Firewall est utile.
Questions fréquentes
Faut-il configurer les options DHCP sur la Sophos Firewall via CLI ?
Pourquoi une option DHCP n'arrive-t-elle pas au client ?
Où les options DHCP sont-elles configurées si Sophos Firewall utilise uniquement le relais DHCP ?
Quelles options DHCP sont nécessaires pour PXE ou WDS ?
66 pour le serveur TFTP ou de déploiement et 67 pour le nom du fichier de démarrage sont souvent utilisées. La valeur correcte dépend cependant de WDS, TFTP, BIOS/UEFI et de l’architecture du client.