Przejdz do tresci
Avanet

Konfiguracja opcji DHCP w Sophos Firewall (SFOS)

Sophos Firewall

Ten artykuł pokazuje, jak skonfigurować opcje DHCP w Sophos Firewall z SFOS oraz jak poprawnie ocenić typowe przypadki specjalne, takie jak PXE, WDS, thin clienty albo starsze środowiska RED.

Aktualne wersje Sophos Firewall obsługują opcje DHCP bezpośrednio w WebAdmin. W większości środowisk konfiguracja przez SSH lub CLI nie jest więc już potrzebna. Przykłady CLI nadal są jednak ważne, ponieważ starsze runbooki, przypadki specjalne i troubleshooting często korzystają dokładnie z tej składni.

Czym Są Opcje DHCP

DHCP nie przekazuje tylko adresu IP. Razem z lease serwer DHCP może przekazać klientowi dodatkowe informacje. Właśnie do tego służą opcje DHCP. Typowe przykłady to serwery DNS, brama, serwer TFTP, nazwa pliku boot, parametry specyficzne dla producenta albo wartości dla thin clientów i telefonów.

W Sophos Firewall opcje DHCP zawsze należą do serwera DHCP lub scope, który wydaje lease. To ważne: jeśli klient otrzymuje adres z innego serwera DHCP, opcję trzeba skonfigurować właśnie tam. Jeśli Sophos Firewall działa tylko jako DHCP Relay, przekazuje zapytania DHCP dalej, ale nie jest miejscem, w którym utrzymuje się opcję dla tego scope.

W praktyce przed konfiguracją warto wyjaśnić trzy rzeczy:

  • Który serwer DHCP rzeczywiście wydaje lease?
  • W którym scope albo na którym interfejsie znajduje się klient?
  • Jakich option codes, typów danych i wartości wymaga producent systemu docelowego?

Wymagania

  • Sophos Firewall z aktywnym serwerem DHCPv4
  • Dostęp do Network > DHCP
  • Scope DHCP na właściwym interfejsie
  • Wymagane DHCP option codes i wartości od producenta albo systemu docelowego
  • Dla fallbacków CLI: dozwolony dostęp SSH do Sophos Firewall

1. Utworzenie lub Sprawdzenie Serwera DHCP

Aby opcje DHCP mogły być rozdzielane, najpierw potrzebny jest serwer DHCPv4 na Sophos Firewall. Tworzy się go lub edytuje w WebAdmin w Network > DHCP.

Najważniejsze jest:

  • Serwer DHCP jest przypisany do interfejsu.
  • Scope pasuje do sieci, w której znajdują się klienci.
  • Serwery DNS, brama i lease time są poprawnie ustawione.
  • Nazwa DHCP nie zawiera zbędnych spacji ani znaków specjalnych.
  • Przypadki specjalne PXE, VoIP, thin client albo RED są wcześniej udokumentowane.

Nazwa DHCP jest szczególnie istotna przy poleceniach CLI. Jeśli zawiera spacje albo znaki specjalne, późniejsze polecenia i runbooki stają się niepotrzebnie podatne na błędy. Czytelne nazwy takie jak DHCP_Server_Avanet_LAN, Home_Scope albo DHCP_VoIP są w praktyce prostsze.

Konfiguracja opcji DHCP w serwerze DHCPv4 Sophos Firewall
W aktualnych wersjach SFOS opcje DHCP można utrzymywać bezpośrednio w serwerze DHCPv4 Sophos Firewall.

2. Konfiguracja Opcji DHCP w WebAdmin

Gdy serwer DHCPv4 jest już utworzony, opcje można dodać bezpośrednio w tym samym oknie.

  1. Otworzyć Network > DHCP.
  2. Edytować istniejący serwer DHCPv4 albo utworzyć nowy serwer.
  3. Przejść do sekcji DHCP options.
  4. Dodać opcję.
  5. Wprowadzić Option, Code, Type i Value.
  6. Zapisać zmiany.
  7. Sprawdzić na kliencie testowym, czy opcja rzeczywiście jest przejmowana.

Pola oznaczają:

PoleZnaczenie
OptionNazwa opcji. Opcje predefiniowane można wybrać; dla opcji własnych używa się sensownej nazwy.
CodeNumeryczny kod opcji DHCP, na przykład 66, 67, 161 albo wartość specyficzna dla producenta.
TypeTyp danych wartości, na przykład ipaddress, string, boolean, one-byte, two-byte, four-byte albo array-of.
ValueKonkretna wartość, którą ma otrzymać klient, na przykład adres IP, hostname, ścieżka albo port.

Poprawne wartości zwykle podaje producent systemu docelowego. Szczególnie przy wartościach typu string, ścieżkach albo opcjach specyficznych dla producenta warto sprawdzić dokumentację producenta. Wartość, którą da się formalnie zapisać, nie oznacza automatycznie, że klient zinterpretuje ją zgodnie z oczekiwaniem.

3. Typowe Przypadki Użycia

Opcje DHCP są najczęściej potrzebne, gdy klient podczas startu wymaga dodatkowych informacji. Częste przypadki to PXE, WDS, thin clienty, telefony VoIP, access pointy albo pojedyncze scenariusze legacy.

PXE i WDS

Dla środowisk PXE albo WDS często używa się opcji 66 i 67:

  • 66 wskazuje serwer TFTP albo deployment.
  • 67 zawiera nazwę pliku boot.

Jeśli klient dociera do serwera, ale nie startuje, problem często nie leży po stronie firewalla, lecz w błędnej ścieżce pliku, nieodpowiednim typie danych albo pliku boot niedopasowanym do architektury. Klienci UEFI i BIOS często wymagają różnych plików boot.

Thin Clienty

Thin clienty, zależnie od producenta, potrzebują opcji dla serwerów zarządzania, serwerów obrazu albo parametrów połączenia. W starych runbookach można znaleźć na przykład:

  • 161 dla serwera
  • 192 dla portu albo dodatkowego parametru

To, czy te kody są poprawne, zależy od producenta i używanego modelu thin clienta. Dlatego nie należy ich kopiować bez sprawdzenia, tylko zawsze porównać z dokumentacją producenta.

Starsze Przypadki Specjalne RED

W starszych środowiskach zdarzały się przypadki, w których przy Sophos RED 15w zintegrowany access point nie był poprawnie rozpoznawany. Czasami używano do tego opcji DHCP specyficznej dla producenta, na przykład z option code 234 i wartością taką jak 10.10.10.12.

Nie jest to ogólny standard dla nowoczesnych instalacji SD-RED. Jako przykład legacy nadal jest jednak przydatny, ponieważ pokazuje, jak definiować własne option codes i wiązać je z serwerem DHCP.

Dla aktualnych projektów RED bardziej pomocny jest artykuł Konfiguracja Sophos SD-RED i rozwiązywanie problemów. Przy projektach interfejsów, VLAN, bridge albo RED pomaga także Planowanie i konfiguracja stref oraz interfejsów Sophos Firewall.

4. Kiedy DHCP Relay Jest Istotny Zamiast DHCP Server

Sophos Firewall może nie tylko sam działać jako serwer DHCP, ale także używać DHCP Relay. Wtedy zapytania DHCP klientów są przekazywane do serwera DHCP w innej sieci.

Jest to szczególnie istotne, gdy adresy IP są przydzielane centralnie przez Windows DHCP Server albo inny dedykowany system DHCP. W takich projektach opcje DHCP utrzymuje się zwykle na tym centralnym serwerze DHCP, a nie na Sophos Firewall.

W projektach VPN, XFRM, RED albo oddziałowych warto więc najpierw sprawdzić:

  • Czy Sophos Firewall ma sam wydawać lease?
  • Czy ma tylko przekazywać zapytania DHCP?
  • Czy klient znajduje się w bezpośrednio podłączonej sieci?
  • Czy istnieje kilka serwerów DHCP, które mogłyby przypadkowo odpowiedzieć temu samemu klientowi?

Jeśli odpowiada niewłaściwy serwer DHCP, nawet najpoprawniejsza opcja DHCP na Sophos Firewall nie pomoże.

5. Kiedy CLI Nadal Ma Sens

Dla aktualnych standardowych konfiguracji WebAdmin zwykle wystarcza. CLI jest jeszcze przydatne głównie wtedy, gdy:

  • stary artykuł albo starszy runbook opiera się już na poleceniach CLI
  • trzeba przetestować nietypowe opcje vendor
  • w przypadku supportowym trzeba dokładnie zobaczyć, jakie bindings są zapisane wewnętrznie
  • środowisko zostało przejęte z bardzo starej wersji SFOS
  • polecenie z dokumentacji trzeba odtworzyć albo skontrolować

Kto musi użyć tej metody, powinien najpierw sprawdzić instrukcję Połączenie SSH z Sophos Firewall. Po zalogowaniu dla poniższych poleceń używa się 4. Device Console.

Menu SSH Sophos Firewall z wyborem Device Console
Do poleceń opcji DHCP po zalogowaniu przez SSH używa się Device Console Sophos Firewall.

Zasada CLI: Zdefiniować i Powiązać Opcję

Konfiguracja CLI ma dwa kroki:

  1. Opcja DHCP jest definiowana.
  2. Opcja jest wiązana z serwerem DHCP i otrzymuje tam wartość.

Najpierw definiuje się opcję:

system dhcp dhcp-options add optioncode optionname optiontype

Placeholdery oznaczają:

  • optioncode: numeryczny kod opcji DHCP
  • optionname: dowolnie wybrana nazwa opcji
  • optiontype: typ danych, na przykład ipaddress albo string

Przykład adresu IP jako opcji DHCP:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Następnie opcję wiąże się z serwerem DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

Placeholdery oznaczają:

  • dhcpname: nazwa serwera DHCP z konfiguracji Sophos Firewall
  • optionname(234): nazwa wcześniej zdefiniowanej opcji wraz z option code w nawiasie
  • value: wartość, która ma być przekazywana klientom

Przykład:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Przykłady CLI

Poniższe przykłady nadal są użytecznymi szablonami, gdy opcję trzeba ustawić przez Device Console albo zrozumieć stary runbook. Te polecenia nie są błędne; w aktualnych standardowych środowiskach po prostu nie są już pierwszą metodą.

Thin Client Server

Ta opcja informuje thin clienta, na którym serwerze znajduje się obraz albo komponent zarządzania:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Jeśli potrzebny jest dodatkowy port, można ustawić go jako string:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS i PXE

Wartość opcji DHCP dla serwera WDS albo TFTP można ustawić tak:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Nazwa pliku boot dla pre-environment jest przekazywana jako opcja 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Pre-environment oznacza środowisko boot, z którym klient startuje podczas instalacji albo odzyskiwania. W zależności od środowiska wymagana ścieżka może się różnić, szczególnie przy klientach UEFI, BIOS, 32-bit i 64-bit.

Wyświetlenie Istniejących Opcji

Przed zmianami należy wyświetlić istniejące opcje:

system dhcp dhcp-options list

Wyświetlenie bindings serwera DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Opcję można w razie potrzeby usunąć:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Typowe Źródła Błędów

Jeśli opcja DHCP jest zapisana, ale u klienta nie działa zgodnie z oczekiwaniem, przyczyną często jest jeden z tych punktów:

  • Na zapytanie odpowiada niewłaściwy serwer DHCP.
  • Edytowano niewłaściwy scope albo interfejs.
  • Typ danych nie pasuje do oczekiwanej wartości.
  • Adres IP, FQDN, port albo ścieżka zawiera literówkę.
  • Ścieżka pliku boot nie pasuje do architektury klienta.
  • Klient oczekuje string, ale opcja została utworzona jako adres IP.
  • Producent używa opcji specyficznych dla vendora, które wymagają dodatkowych parametrów.
  • Lease nie został odnowiony po zmianie.
  • Używany jest DHCP Relay, chociaż opcja została utrzymana na Sophos Firewall.

Po zmianie należy odnowić lease na kliencie testowym i sprawdzić, czy klient rzeczywiście otrzymuje oczekiwane opcje. Jeśli zachowanie nadal się nie zgadza, packet capture jest często szybszy niż długie zgadywanie: w pakietach DHCP widać, który serwer odpowiada i jakie opcje faktycznie dostarcza.

Źródła