Vai al contenuto
Avanet

Opzioni DHCP di Sophos Firewall (SFOS)

Le opzioni DHCP sono necessarie su Sophos Firewall quando i client devono ricevere più di un indirizzo IP, gateway e DNS all’avvio. Casi tipici sono PXE, WDS, Thin Client, telefoni VoIP o ambienti RED più vecchi, dove un determinato codice opzione e tipo di dato devono corrispondere esattamente.

Le versioni attuali di Sophos Firewall supportano le opzioni DHCP direttamente in WebAdmin. Per la maggior parte degli ambienti, quindi, non è più necessaria la configurazione tramite SSH o CLI. Tuttavia, gli esempi CLI rimangono importanti perché vecchi runbook, casi speciali e risoluzione dei problemi spesso utilizzano ancora questa sintassi.

Cosa sono le opzioni DHCP

DHCP non distribuisce solo un indirizzo IP. Insieme al lease, il server DHCP può trasmettere informazioni aggiuntive al client. Proprio per questo esistono le opzioni DHCP. Esempi tipici sono server DNS, gateway, server TFTP, nome del file di avvio, parametri specifici del fornitore o valori per Thin Client e telefoni.

Su Sophos Firewall, le opzioni DHCP appartengono sempre al server DHCP o all’ambito che emette il lease. Questo è importante: se un client riceve il suo indirizzo da un altro server DHCP, l’opzione deve essere configurata lì. Se Sophos Firewall funziona solo come DHCP Relay, inoltra le richieste DHCP, ma non è il punto in cui l’opzione per questo ambito viene mantenuta.

Per IPv6, DHCP non deve sempre essere trattato allo stesso modo di IPv4. Se un provider delega un prefisso IPv6, gli annunci router, i parametri DHCPv6 e le regole del firewall sono collegati. La procedura è descritta in Configurare la delegazione del prefisso IPv6 su Sophos Firewall.

In pratica, prima della configurazione, è necessario chiarire tre cose:

  • Quale server DHCP distribuisce effettivamente il lease?
  • In quale ambito o su quale interfaccia si trova il client?
  • Quali codici opzione, tipi di dati e valori richiede il produttore del sistema di destinazione?

Prerequisiti

  • Sophos Firewall con server DHCPv4 attivato
  • Accesso a Network > DHCP
  • Un ambito DHCP sull’interfaccia appropriata
  • I codici opzione DHCP e i valori richiesti dal produttore o dal sistema di destinazione
  • Per i fallback CLI: accesso SSH consentito a Sophos Firewall

Prima di apportare modifiche, è consigliabile verificare brevemente l’ambito interessato. Le opzioni DHCP funzionano in modo affidabile solo se impostate sul server DHCP corretto, nella rete corretta e con il tipo di dato corretto.

  • Server DHCP: Sophos Firewall deve emettere il lease da sola. Con DHCP Relay, le opzioni appartengono normalmente al server DHCP centrale.
  • Ambito e interfaccia: Un client nel VLAN sbagliato o su un’altra interfaccia non vede l’opzione, anche se è correttamente memorizzata.
  • Codice opzione e tipo di dato: Molti errori si verificano perché un client si aspetta string, ipaddress, array-of o un valore del fornitore diverso da quello inserito.
  • Client di test: Un dispositivo noto nella rete interessata rende visibile se l’opzione arriva effettivamente nell’offerta DHCP o nell’ACK.
  • Finestra di modifica: PXE, telefoni e Thin Client possono essere immediatamente interessati al cambio di lease. Le modifiche dovrebbero quindi essere testate in modo controllato.

Se l’opzione è rilevante per i dispositivi in produzione, dovrebbe essere chiaro in anticipo come rimuoverla o ripristinarla al valore precedente. Questo è particolarmente vero per le opzioni di avvio, i server di provisioning e le opzioni del fornitore specifiche del produttore.

1. Creare o verificare il server DHCP

Per distribuire le opzioni DHCP, è necessario prima un server DHCPv4 su Sophos Firewall. Questo viene creato o modificato in WebAdmin sotto Network > DHCP.

È importante soprattutto:

  • Il server DHCP è associato a un’interfaccia.
  • L’ambito corrisponde alla rete in cui si trovano i client.
  • I server DNS, il gateway e il tempo di lease sono impostati correttamente.
  • Il nome DHCP non contiene spazi o caratteri speciali inutili.
  • I casi speciali PXE, VoIP, Thin Client o RED sono documentati in anticipo.

Il nome DHCP è particolarmente rilevante nei comandi CLI. Se il nome contiene spazi o caratteri speciali, i comandi e i runbook successivi diventano inutilmente soggetti a errori. Nomi comprensibili come DHCP_Server_Avanet_LAN, Home_Scope o DHCP_VoIP sono più semplici nella pratica.

Configurare le opzioni DHCP nel server DHCPv4 di Sophos Firewall
Le opzioni DHCP possono essere gestite direttamente nel server DHCPv4 di Sophos Firewall nelle versioni SFOS attuali.

2. Configurare le opzioni DHCP in WebAdmin

Una volta creato il server DHCPv4, le opzioni possono essere aggiunte direttamente nello stesso dialogo.

  1. Aprire Network > DHCP.
  2. Modificare il server DHCPv4 esistente o crearne uno nuovo.
  3. Passare alla sezione DHCP options.
  4. Aggiungere un’opzione.
  5. Per opzioni personalizzate, impostare Options su Custom e inserire Code, Type e Value.
  6. Salvare le modifiche.
  7. Verificare con un client di test se l’opzione viene effettivamente adottata.

I campi significano:

  • Options oppure Option: Selezione tra opzioni DHCP predefinite e opzioni personalizzate. Per le opzioni Custom, il codice opzione viene inserito manualmente.
  • Code: Codice numerico dell’opzione DHCP, ad esempio 66, 67, 161 o un valore specifico del produttore.
  • Type: Tipo di dato del valore, ad esempio ipaddress, string, boolean, one-byte, two-byte, four-byte o array-of.
  • Value: Valore concreto che il client deve ricevere, ad esempio un indirizzo IP, un hostname, un percorso o una porta.

I valori corretti sono generalmente forniti dal produttore del sistema di destinazione. Soprattutto per i valori stringa, i percorsi o le opzioni specifiche del fornitore, vale la pena fare un controllo incrociato nella documentazione del produttore. Un valore memorizzato formalmente non significa automaticamente che il client lo interpreterà come previsto.

3. Casi d’uso tipici

Le opzioni DHCP sono generalmente necessarie quando un client ha bisogno di informazioni aggiuntive all’avvio. Casi comuni sono PXE, WDS, Thin Client, telefoni VoIP, access point o singoli scenari legacy.

PXE e WDS

Per ambienti PXE o WDS vengono spesso utilizzate le opzioni 66 e 67:

  • 66 si riferisce al server TFTP o di distribuzione.
  • 67 contiene il nome del file di avvio.

Se il client raggiunge il server ma non si avvia, il problema spesso non è nel firewall, ma in un percorso file errato, un tipo di dato inadeguato o un file di architettura non adatto. Per i client UEFI e BIOS sono spesso necessari file di avvio diversi.

Importante nelle versioni SFOS attuali: Next-server e Boot file sono campi boot option separati nel server DHCPv4. Da SFOS 20.0 MR1 non vengono più trattati automaticamente solo come opzioni DHCP 66 e 67. Se un dispositivo si aspetta esplicitamente l’opzione 66 o 67, questi valori devono essere configurati consapevolmente in DHCP options e non solo nei campi boot option.

Quando si aggiorna a SFOS 20.0 MR1 o versioni successive, i valori esistenti di Next-server e Boot file vengono mantenuti come boot option e anche come opzioni DHCP 66 e 67. Dopo una migrazione si dovrebbe quindi verificare se i valori esistono due volte e se il client valuta la variante prevista.

Thin Client

I Thin Client richiedono opzioni per server di gestione, server di immagini o parametri di connessione a seconda del produttore. Nei vecchi runbook si trovano ad esempio:

  • 161 per il server
  • 192 per una porta o parametri aggiuntivi

Se questi codici sono corretti dipende dal produttore e dal modello di Thin Client utilizzato. Pertanto, non si dovrebbero adottare i codici alla cieca, ma sempre controllarli con la documentazione del produttore.

Vecchi casi speciali RED

In ambienti più vecchi ci sono stati casi in cui un Sophos RED 15w non riconosceva correttamente l’access point integrato. Per questo è stata utilizzata a volte un’opzione DHCP specifica del produttore, ad esempio con codice opzione 234 e un valore come 10.10.10.12.

Questo non è uno standard generale per le installazioni SD-RED moderne. Come esempio legacy è comunque utile, perché mostra come definire codici opzione personalizzati e associarli a un server DHCP.

Per i design RED attuali, l’articolo Configurare e risolvere i problemi di Sophos SD-RED è più utile. Quando si tratta di design di interfacce, VLAN, bridge o RED, aiuta anche Pianificare e configurare zone e interfacce di Sophos Firewall.

4. Quando è rilevante il DHCP Relay invece del server DHCP

Sophos Firewall può non solo essere un server DHCP, ma anche utilizzare il DHCP Relay. In questo caso, le richieste DHCP dei client vengono inoltrate a un server DHCP in un’altra rete.

Questo è particolarmente rilevante quando gli indirizzi IP vengono assegnati centralmente da un server DHCP Windows o da un altro sistema DHCP dedicato. In tali design, le opzioni DHCP vengono normalmente mantenute su questo server DHCP centrale, non su Sophos Firewall.

Per il relay agent, l’interfaccia selezionata deve trovarsi nella subnet dei client DHCP. L’interfaccia del server DHCP effettivo non deve essere usata come interfaccia relay, altrimenti il firewall non inoltrerà le richieste dei client come previsto.

In un relay agent possono essere configurati fino a otto server DHCP. Il firewall inoltra la richiesta del client a questi server e il client lavora con la prima offerta che riceve. Per questo più destinazioni di relay dovrebbero fornire in modo coerente lo stesso scope e le stesse opzioni DHCP.

Per i design VPN, XFRM, RED o delle filiali, è quindi necessario verificare prima:

  • Sophos Firewall deve distribuire i lease da sola?
  • Deve solo inoltrare le richieste DHCP?
  • Il client si trova in una rete direttamente collegata?
  • Ci sono più server DHCP che potrebbero rispondere accidentalmente allo stesso client?

Se risponde il server DHCP sbagliato, anche l’opzione DHCP più corretta su Sophos Firewall non aiuta.

Con DHCP Relay tramite VPN route-based è importante anche un altro punto: il relay agent viene configurato nella sede dei client. Nella sede centrale serve una regola firewall in ingresso adatta per il traffico DHCP, mentre il traffico relay sul firewall della filiale viene trattato come traffico generato dal sistema.

5. Quando la CLI è ancora utile

Per le configurazioni standard attuali, WebAdmin è generalmente sufficiente. La CLI è ancora utile quando:

  • un vecchio articolo o runbook si basa già su comandi CLI
  • devono essere testate opzioni del fornitore insolite
  • si desidera vedere esattamente quali binding sono memorizzati internamente in caso di supporto
  • un ambiente è stato trasferito da una versione SFOS molto vecchia
  • un comando deve essere replicato o controllato in una documentazione

Chi deve seguire questa strada dovrebbe prima controllare la guida Connettersi a Sophos Firewall tramite SSH. Dopo il login, per i comandi seguenti viene utilizzata la 4. Device Console.

Menu SSH di Sophos Firewall con selezione della Device Console
Per i comandi delle opzioni DHCP, dopo il login SSH viene utilizzata la Device Console di Sophos Firewall.

Principio base CLI: definire e associare l’opzione

Nella configurazione CLI ci sono due passaggi:

  1. L’opzione DHCP viene definita.
  2. L’opzione viene associata a un server DHCP e riceve un valore lì.

Prima viene definita l’opzione:

system dhcp dhcp-options add optioncode optionname optiontype

I segnaposto significano:

  • optioncode: codice numerico dell’opzione DHCP
  • optionname: nome liberamente scelto dell’opzione
  • optiontype: tipo di dato, ad esempio ipaddress o string

Esempio per un indirizzo IP come opzione DHCP:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Successivamente, l’opzione viene associata a un server DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

I segnaposto significano:

  • dhcpname: nome del server DHCP dalla configurazione di Sophos Firewall
  • optionname(234): nome dell’opzione precedentemente definita incluso il codice opzione tra parentesi
  • value: valore che deve essere distribuito ai client

Esempio:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Esempi CLI

I seguenti esempi sono ancora modelli utili quando un’opzione deve essere impostata tramite Device Console o un vecchio runbook deve essere seguito. Questi comandi non sono errati, semplicemente non sono più il primo approccio nelle configurazioni standard attuali.

Server Thin Client

Con questa opzione viene comunicato a un Thin Client su quale server si trova l’immagine o il componente di gestione:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Se è necessaria anche una porta, questa può essere impostata come stringa:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS e PXE

Un valore di opzione DHCP per il server WDS o TFTP può essere impostato così:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Il nome del file di avvio per l’ambiente pre-boot viene fornito come opzione 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Con ambiente pre-boot si intende l’ambiente di avvio con cui un client si avvia durante l’installazione o il ripristino. A seconda dell’ambiente, il percorso richiesto può variare, in particolare per i client UEFI, BIOS, 32-bit e 64-bit.

Visualizzare le opzioni esistenti

Prima delle modifiche, è consigliabile visualizzare le opzioni esistenti:

system dhcp dhcp-options list

L’elenco non rappresenta comunque il limite completo di ciò che SFOS supporta. Sophos documenta che il firewall supporta tutti gli oggetti opzione DHCP da 1 a 255, mentre la lista CLI mostra solo le opzioni da 1 a 76. Opzioni personalizzate o specifiche del vendor al di fuori di questa visualizzazione possono quindi essere comunque valide.

Visualizzare i binding di un server DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Un’opzione può essere eliminata se necessario:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Fonti di errore comuni

Quando un’opzione DHCP è memorizzata ma non funziona come previsto sul client, spesso è dovuto a uno di questi punti:

  • Risponde il server DHCP sbagliato alla richiesta.
  • È stato modificato l’ambito o l’interfaccia sbagliata.
  • Il tipo di dato non corrisponde al valore atteso.
  • Indirizzo IP, FQDN, porta o percorso sono errati.
  • Il percorso del file di avvio non corrisponde all’architettura del client.
  • Il client si aspetta una stringa, ma l’opzione è stata impostata come indirizzo IP.
  • Il produttore utilizza opzioni specifiche del fornitore che richiedono parametri aggiuntivi.
  • Il lease non è stato rinnovato dopo la modifica.
  • Viene utilizzato il DHCP Relay, anche se l’opzione è stata mantenuta su Sophos Firewall.

Dopo una modifica, è consigliabile rinnovare il lease sul client di test e verificare se il client riceve effettivamente le opzioni previste. Se il comportamento continua a non essere corretto, una cattura dei pacchetti è spesso più veloce di lunghe congetture: nei pacchetti DHCP si vede quale server risponde e quali opzioni vengono effettivamente consegnate.

8. Testare la modifica

Dopo aver salvato un’opzione DHCP, non si dovrebbe solo aspettare che il prossimo client ottenga un nuovo lease. È meglio un test controllato con un dispositivo noto nella rete interessata.

Procedura consigliata:

  1. Collegare il client di test nel VLAN o interfaccia corretta.
  2. Rinnovare il vecchio lease o riavviare il client.
  3. Verificare quali indirizzo DHCP, gateway, server DNS e opzioni aggiuntive sono arrivati.
  4. Testare il sistema di destinazione, ad esempio avvio PXE, avvio WDS, registrazione Thin Client o provisioning del telefono.
  5. Verificare in WebAdmin se il lease appare nell’ambito DHCP previsto.
  6. Se il risultato non è corretto, utilizzare Packet Capture per verificare quale server DHCP risponde e quali opzioni sono incluse nell’offerta o nell’ACK.

Per una cattura stretta, di solito è sufficiente un filtro su UDP 67 e 68 tra client e server DHCP. L’uso dello strumento WebAdmin è descritto in Utilizzare Sophos Firewall Packet Capture in WebAdmin.

Nei test PXE e WDS, è inoltre consigliabile documentare se il client di test utilizza BIOS o UEFI. Molti problemi di avvio non sono causati da DHCP stesso, ma da un file di avvio che non corrisponde all’architettura.

9. Risoluzione dei problemi in base ai sintomi

Quando le opzioni DHCP non funzionano, una verifica orientata ai sintomi spesso aiuta più rapidamente che ricreare la stessa opzione.

  • Il client non riceve un indirizzo IP: Server DHCP, VLAN, interfaccia o relay non corretti; Verificare lista lease, interfaccia, VLAN e DHCP Relay
  • Il client riceve IP, ma non l’opzione: risponde l’ambito o il server DHCP sbagliato; Verificare con Packet Capture su DHCP Offer/ACK
  • PXE trova il server, ma non si avvia: Opzione 67, percorso file o architettura non corretti; Verificare file di avvio BIOS/UEFI e log TFTP/WDS
  • Thin Client non si connette: Codice opzione, tipo o valore del produttore errati; Confrontare documentazione del produttore e valore fornito
  • La modifica ha effetto solo più tardi: Il client utilizza un vecchio lease; Rinnovare il lease, riavviare il client o considerare il tempo di lease
  • Il comando CLI non funziona: Nome DHCP, nome opzione o notazione tra parentesi errati; Verificare system dhcp dhcp-options list e output dei binding

Se nella cattura risponde un altro server DHCP, è necessario chiarire prima il design della rete. Due server DHCP nella stessa broadcast domain sono una causa classica di comportamento variabile. Per domande più complesse su VLAN, bridge o interfacce, aiuta Pianificare e configurare zone e interfacce di Sophos Firewall.

Domande frequenti

È necessario configurare le opzioni DHCP su Sophos Firewall tramite CLI?

Nelle versioni SFOS attuali, per i normali server DHCPv4 è generalmente sufficiente WebAdmin sotto Network > DHCP. La CLI è principalmente rilevante per vecchi runbook, opzioni specifiche del fornitore, casi di supporto o controlli dei binding esistenti.

Perché un'opzione DHCP non arriva al client?

Spesso non risponde il server DHCP che è stato modificato, o il client si trova in un altro ambito. Successivamente, si dovrebbe verificare tipo di dato, codice opzione, valore, rinnovo del lease e, per PXE, il nome del file di avvio.

Dove vengono configurate le opzioni DHCP se Sophos Firewall utilizza solo DHCP Relay?

Con DHCP Relay, un altro server DHCP distribuisce il lease. Le opzioni vengono quindi normalmente mantenute su questo server DHCP centrale, non su Sophos Firewall.

Quali opzioni DHCP sono necessarie per PXE o WDS?

Spesso vengono utilizzate l’opzione 66 per il server TFTP o di distribuzione e l’opzione 67 per il nome del file di avvio. Il valore corretto dipende da WDS, TFTP, BIOS/UEFI e architettura del client.

È sufficiente salvare un'opzione DHCP?

No. Dopo il salvataggio, si dovrebbe rinnovare il lease sul client di test e verificare se l’opzione è effettivamente inclusa nell’offerta DHCP o nell’ACK. Un Packet Capture è di solito la prova più rapida.