Sophos Firewall DHCP Options (SFOS)

In diesem Artikel zeigen wir dir, wie du bei einer Sophos Firewall mit dem SFOS Betriebssystem DHCP Options konfigurieren kannst.

Update – 24. März 2022

Seit SFOS v18.5 MR3 gibt es nun DHCP Optionen im GUI. Dadurch geht die Konfiguration um einiges schneller und einfacher.

Voraussetzungen

• Sophos Appliance mit SFOS

1. DHCP-Server erstellen

Damit man DHCP Options mitgeben kann, benötigt man natürlich zuerst einen DHCP-Server. Diesen kann man über die Admin Oberfläche erstellen. Wie das geht, hat Sophos bereits in einem eigenen Knowledge Base Artikel eklärt:

• Sophos Firewall: How to configure the firewall as a DHCP-Server – https://community.sophos.com/kb/en-us/123133

Wichtig: Beim DHCP Namen sollte man auf Leerzeichen oder Sonderzeichen verzichten. Nehmt z. B. CamelCase oder trennt mit Bindestrich (-) oder Unterstrich (_).

2. Auf die Konsole verbinden

Die DHCP Options findet man nicht im WebAdmin GUI. Man muss sich via SSH auf die Appliance verbinden, um diese zu setzen. Auf Windows gibt es dazu das Tool Putty und bei macOS kann das bereits vorinstallierte Terminal verwendet werden.

1. Öffne das Terminal von macOS und gib ssh admin@192.168.1.1 in die Konsole ein. Bei der Verwendung von Putty muss nur die IP-Adresse eingegeben werden. Die IP-Adresse kann bei deiner Firewall natürlich eine andere sein. Danach musst du noch deinen Benutzernamen und dein Passwort eingeben, um dich über SSH an deiner Firewall anzumelden.
2. Nach dem du verbunden bist, wähle 4. Device Console, um auf die Shell zu gelangen.

DHCP Option Objects konfigurieren

Sophos hat hierfür einen eigenen Knowledge Base Artikel verfasst, der aus unserer Sicht aber nicht ganz so einfach zu verstehen ist. Was wir an diesem Artikel aber sehr nützlich finden, sind die Zusatzinformationen zu den DHCP Optionen. Darum verlinken wir an dieser Stelle ergänzend auf den KB Post von Sophos, damit du die vollständige Tabelle mit allen Optionen finden kannst: https://community.sophos.com/kb/en-us/123529

Beispel 1 – Teil 1

Hast du z. B. das Problem, dass bei einer Sophos RED 15w an einem Aussenstandort der integrierte Access Point nicht erkannt wird? Nehmen wir diesen Fall einmal als Beispiel und spielen durch, wie du dafür eine DHCP Option erstellen kannst.

DHCP Option definieren

Bevor man die Option mit Daten füllen kann, muss man zuerst eine Option definieren. Der Befehl sieht folgendermassen aus:

system dhcp dhcp-options add optioncode <Nr> optionname <SAMPLE-NAME> optiontype <TYPE>

• Nr: Hier definierst du den Optioncode. Es gibt gesamthaft 255 solcher Optioncodes. Im KB Post 123529 von Sophos findest du den Befehl, um alle Optioncodes im Terminal auszugeben.
• SAMPLE-NAME: Hier kannst du einen für dich sinnvollen Namen eingeben, der die Option am verständlichsten beschreibt.
• TYPE: Hier definierst du den Type, der später für deine Option benötigt wird. Zur Auswahl stehen folgende Types: array-of, boolean, four-byte, ipaddress, one-byte, string, two-byte

Wichtig: In meinen Beispielen die < und > entfernen.

Der funktionierende Befehl für unser Beispiel sieht nun so aus:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Beispel 1 – Teil 2

Nachdem nun die Option definiert wurde, geben wir noch die Daten mit. Der Befehl sieht folgendermassen aus:

system dhcp dhcp-options binding add dhcpname <DHCP-NAME> optionname <SAMPLE-NAME>(234) value <WERT>

• DHCP-NAME: Hier gibst du den Namen des DHCP-Servers ein, welchen du über das GUI erstellt hast.
• SAMPLE-NAME: Den gleichen Namen wie zuvor eingeben. Die Schreibweise muss genau übereinstimmen.
• WERT: Als Wert wird hier eine IP-Adresse erwartet. Für unser RED-Beispiel wäre das die IP-Adresse der RED 15w am Aussenstandort.

Der funktionierende Befehl für unser Beispiel sieht nun so aus:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

Weiteres Beispiel

Nachdem nun erklärt wurde, welche zwei Befehle abgesetzt werden müssen, zeigen wir dir hier ein paar Beispiele, damit man sich einfacher seine eigenen Sophos Firewall DHCP Options erstellen kann.

Mit dieser Option gibst du einem ThinClient an, auf welchem Server das Image liegt.

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Dieser Befehl gibt nun den Port mit, bei welchem sich der ThinClient beim Server melden kann. Hier wird als Optiontype nicht ipaddress sondern string gewählt. Im besten Fall gibt euch der Hersteller des Geräts diese Informationen mit.

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

Beispiel von Robert: WDS / PXE

Die DHCP Optionen können einen verrückt machen und man kann Stunden mit der Suche nach den richtigen Commands verbinden. Der Kollege Robert teilt hier seine Erfahrung mit uns (Danke).

Teil 1: Man definiert, was genau konfiguriert werden soll:

Ein DHCP Optionswert (IP) soll im internen DHCP-Bereich „Home_Scope“ welchen ich im GUI konfiguriert habe angewendet werden. Der WDS Server hört bei mir auf die IP: 172.16.16.11

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Teil 2: Man definiert, wo ein Client das Pre-Enviroment finden kann:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Mit Pre-Environment ist eine Boot Datei gemeint, die einen Standart-VGA-Treiber enthält, Netzwerkkarten-, sowie Maus- und Tastaturtreiber. Das Pre-Environment ist das Fenster, mit dem man während des Windows Setups arbeitet.

Löschen der Option

Möglicherweise möchte man solch eine Option auch wieder löschen, dann wäre der Befehl wie folgt:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

DHCP Optionen anzeigen lassen

Mit diesem Befehl bekommst du eine Liste aller DHCP Optionen, welche auf der Sophos Firewall bereits definiert sind.

system dhcp dhcp-options list

DHCP Optionen bindings anzeigen lassen

system dhcp dhcp-options binding show dhcpname <DHCP-NAME>

• DHCP-NAME : Dies ist der Name der Option, welchen du selber definiert hast.

Der funktionierende Befehl für unser Beispiel sieht nun so aus:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN