Vai al contenuto
Avanet

Opzioni DHCP di Sophos Firewall (SFOS)

Sophos Firewall

Questo articolo mostra come configurare le opzioni DHCP su Sophos Firewall con SFOS e come inquadrare correttamente casi speciali frequenti come PXE, WDS, thin client o ambienti RED meno recenti.

Le versioni attuali di Sophos Firewall supportano le opzioni DHCP direttamente in WebAdmin. Per la maggior parte degli ambienti non serve quindi una configurazione SSH o CLI. Gli esempi CLI restano comunque importanti, perché runbook più vecchi, casi speciali e attività di troubleshooting usano spesso ancora esattamente questa sintassi.

Cosa Sono le Opzioni DHCP

DHCP non distribuisce solo un indirizzo IP. Insieme al lease, il server DHCP può fornire al client informazioni aggiuntive. Le opzioni DHCP servono proprio a questo. Esempi tipici sono server DNS, gateway, server TFTP, nome del file di boot, parametri specifici del vendor o valori per thin client e telefoni.

Su Sophos Firewall, le opzioni DHCP appartengono sempre al server DHCP o allo scope che rilascia il lease. Questo è importante: se un client riceve l’indirizzo da un altro server DHCP, l’opzione deve essere configurata lì. Se Sophos Firewall lavora solo come DHCP Relay, inoltra le richieste DHCP, ma non è il punto in cui si mantiene l’opzione per quello scope.

Nella pratica conviene chiarire tre aspetti prima della configurazione:

  • Quale server DHCP rilascia davvero il lease?
  • In quale scope o su quale interfaccia si trova il client?
  • Quali option code, tipi di dato e valori richiede il produttore del sistema di destinazione?

Requisiti

  • Sophos Firewall con server DHCPv4 attivo
  • Accesso a Network > DHCP
  • Uno scope DHCP sull’interfaccia corretta
  • I codici e i valori DHCP richiesti dal produttore o dal sistema di destinazione
  • Per fallback CLI: accesso SSH consentito a Sophos Firewall

1. Creare o Verificare il Server DHCP

Per poter distribuire opzioni DHCP, serve prima un server DHCPv4 su Sophos Firewall. Si crea o modifica in WebAdmin sotto Network > DHCP.

Gli aspetti più importanti sono:

  • Il server DHCP è assegnato a un’interfaccia.
  • Lo scope corrisponde alla rete in cui si trovano i client.
  • Server DNS, gateway e lease time sono impostati correttamente.
  • Il nome DHCP non contiene spazi o caratteri speciali inutili.
  • I casi speciali PXE, VoIP, thin client o RED sono documentati in anticipo.

Il nome DHCP è particolarmente rilevante per i comandi CLI. Se il nome contiene spazi o caratteri speciali, comandi e runbook successivi diventano inutilmente soggetti a errori. Nomi chiari come DHCP_Server_Avanet_LAN, Home_Scope o DHCP_VoIP sono più semplici nella pratica.

Configurare opzioni DHCP nel server DHCPv4 di Sophos Firewall
Nelle versioni SFOS attuali, le opzioni DHCP possono essere gestite direttamente nel server DHCPv4 di Sophos Firewall.

2. Configurare le Opzioni DHCP in WebAdmin

Una volta creato il server DHCPv4, le opzioni possono essere aggiunte direttamente nello stesso dialogo.

  1. Aprire Network > DHCP.
  2. Modificare il server DHCPv4 esistente o crearne uno nuovo.
  3. Passare alla sezione DHCP options.
  4. Aggiungere un’opzione.
  5. Inserire Option, Code, Type e Value.
  6. Salvare le modifiche.
  7. Verificare con un client di test se l’opzione viene effettivamente applicata.

I campi significano:

CampoSignificato
OptionNome dell’opzione. Le opzioni predefinite possono essere selezionate; per opzioni personalizzate si usa un nome chiaro.
CodeCodice numerico dell’opzione DHCP, per esempio 66, 67, 161 o un valore specifico del vendor.
TypeTipo di dato del valore, per esempio ipaddress, string, boolean, one-byte, two-byte, four-byte o array-of.
ValueValore concreto che il client deve ricevere, per esempio un indirizzo IP, un hostname, un percorso o una porta.

I valori corretti sono di norma forniti dal produttore del sistema di destinazione. Soprattutto con valori string, percorsi o opzioni specifiche del vendor, vale la pena controllare la documentazione del produttore. Un valore salvato correttamente dal punto di vista formale non significa automaticamente che il client lo interpreterà come previsto.

3. Casi d’Uso Tipici

Le opzioni DHCP servono di solito quando un client ha bisogno di informazioni aggiuntive all’avvio. Casi frequenti sono PXE, WDS, thin client, telefoni VoIP, access point o singoli scenari legacy.

PXE e WDS

Per ambienti PXE o WDS si usano spesso le opzioni 66 e 67:

  • 66 punta al server TFTP o di deployment.
  • 67 contiene il nome del file di boot.

Se il client raggiunge il server ma non avvia, il problema spesso non è il firewall, ma un percorso file errato, un tipo di dato non adatto o un file di boot non corretto per l’architettura. Client UEFI e BIOS richiedono spesso file di boot diversi.

Thin Client

A seconda del produttore, i thin client richiedono opzioni per server di gestione, server immagine o parametri di connessione. Nei vecchi runbook si trovano ad esempio:

  • 161 per il server
  • 192 per una porta o un parametro aggiuntivo

La correttezza di questi codici dipende dal produttore e dal modello di thin client utilizzato. Per questo non vanno copiati alla cieca, ma verificati sempre nella documentazione del produttore.

Vecchi Casi Speciali RED

In ambienti meno recenti ci sono stati casi in cui l’access point integrato di una Sophos RED 15w non veniva riconosciuto correttamente. Per questo veniva talvolta usata un’opzione DHCP specifica del vendor, per esempio con option code 234 e un valore come 10.10.10.12.

Non è uno standard generale per installazioni SD-RED moderne. Come esempio legacy resta però utile, perché mostra come definire option code propri e associarli a un server DHCP.

Per design RED attuali è più utile l’articolo Configurare Sophos SD-RED e risolvere gli errori. Per design di interfacce, VLAN, bridge o RED aiuta anche Pianificare e configurare zone e interfacce di Sophos Firewall.

4. Quando è Rilevante DHCP Relay invece di DHCP Server

Sophos Firewall può essere non solo un server DHCP, ma anche usare DHCP Relay. In questo caso le richieste DHCP dei client vengono inoltrate a un server DHCP in un’altra rete.

Questo è rilevante soprattutto quando gli indirizzi IP sono assegnati centralmente da un server DHCP Windows o da un altro sistema DHCP dedicato. In questi design, le opzioni DHCP vengono normalmente gestite su quel server DHCP centrale, non su Sophos Firewall.

Nei design VPN, XFRM, RED o di sedi remote conviene quindi verificare prima:

  • Sophos Firewall deve distribuire direttamente i lease?
  • Deve solo inoltrare richieste DHCP?
  • Il client si trova in una rete direttamente connessa?
  • Esistono più server DHCP che potrebbero rispondere per errore allo stesso client?

Se risponde il server DHCP sbagliato, anche l’opzione DHCP più corretta su Sophos Firewall non aiuta.

5. Quando la CLI è Ancora Utile

Per configurazioni standard attuali, WebAdmin è normalmente sufficiente. La CLI è utile soprattutto quando:

  • un vecchio articolo o runbook si basa già su comandi CLI
  • devono essere testate opzioni vendor insolite
  • in un caso di supporto si vuole vedere esattamente quali binding sono salvati internamente
  • un ambiente è stato ripreso da una versione SFOS molto vecchia
  • un comando presente in una documentazione deve essere riprodotto o controllato

Chi deve seguire questa strada dovrebbe prima consultare la guida Connettersi a Sophos Firewall via SSH. Dopo il login, per i comandi seguenti si usa 4. Device Console.

Menu SSH di Sophos Firewall con selezione della Device Console
Per i comandi delle opzioni DHCP si usa la Device Console di Sophos Firewall dopo il login SSH.

Principio CLI: Definire e Associare l’Opzione

La configurazione CLI prevede due passaggi:

  1. L’opzione DHCP viene definita.
  2. L’opzione viene associata a un server DHCP e riceve lì un valore.

Per prima cosa si definisce l’opzione:

system dhcp dhcp-options add optioncode optionname optiontype

I placeholder significano:

  • optioncode: codice numerico dell’opzione DHCP
  • optionname: nome dell’opzione scelto liberamente
  • optiontype: tipo di dato, per esempio ipaddress o string

Esempio per un indirizzo IP come opzione DHCP:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Poi l’opzione viene associata a un server DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

I placeholder significano:

  • dhcpname: nome del server DHCP dalla configurazione Sophos Firewall
  • optionname(234): nome dell’opzione definita in precedenza, incluso l’option code tra parentesi
  • value: valore da distribuire ai client

Esempio:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Esempi CLI

Gli esempi seguenti restano modelli utili quando un’opzione deve essere impostata tramite Device Console o quando bisogna comprendere un vecchio runbook. Questi comandi non sono sbagliati; negli ambienti standard attuali semplicemente non sono più il primo metodo.

Server Thin Client

Con questa opzione si comunica a un thin client su quale server si trova l’immagine o il componente di gestione:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Se serve anche una porta, questa può essere impostata come string:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS e PXE

Un valore di opzione DHCP per il server WDS o TFTP può essere impostato così:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Il nome del file di boot per il pre-environment viene fornito come opzione 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Per pre-environment si intende l’ambiente di avvio con cui un client parte durante installazione o ripristino. A seconda dell’ambiente, il percorso richiesto può variare, soprattutto per client UEFI, BIOS, 32 bit e 64 bit.

Mostrare le Opzioni Esistenti

Prima delle modifiche conviene mostrare le opzioni esistenti:

system dhcp dhcp-options list

Mostrare i binding di un server DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Un’opzione può essere eliminata di nuovo se necessario:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Errori Tipici

Se un’opzione DHCP è salvata ma sul client non funziona come previsto, spesso la causa è una di queste:

  • Risponde il server DHCP sbagliato.
  • È stato modificato lo scope o l’interfaccia sbagliata.
  • Il tipo di dato non corrisponde al valore atteso.
  • Indirizzo IP, FQDN, porta o percorso contiene un errore di battitura.
  • Il percorso del file di boot non corrisponde all’architettura del client.
  • Il client si aspetta una string, ma l’opzione è stata creata come indirizzo IP.
  • Il produttore usa opzioni specifiche che richiedono parametri aggiuntivi.
  • Il lease non è stato rinnovato dopo la modifica.
  • Viene usato DHCP Relay, anche se l’opzione è stata mantenuta su Sophos Firewall.

Dopo una modifica, bisogna rinnovare il lease sul client di test e verificare se il client riceve davvero le opzioni attese. Se il comportamento continua a non tornare, una cattura pacchetti è spesso più rapida di lunghe supposizioni: nei pacchetti DHCP si vede quale server risponde e quali opzioni vengono effettivamente consegnate.

Fonti