Saltar para o conteudo
Avanet

Sophos Firewall DHCP Options (SFOS)

Sophos Firewall

Este artigo mostra como configurar DHCP Options numa Sophos Firewall com SFOS e como enquadrar corretamente casos especiais típicos como PXE, WDS, thin clients ou ambientes RED antigos.

As versões atuais da Sophos Firewall suportam DHCP Options diretamente no WebAdmin. Para a maioria dos ambientes, já não é necessária configuração por SSH ou CLI. Mesmo assim, os exemplos CLI continuam importantes, porque runbooks antigos, casos especiais e troubleshooting ainda usam muitas vezes exatamente esta sintaxe.

O Que São DHCP Options

DHCP não distribui apenas um endereço IP. Junto com o lease, o servidor DHCP pode entregar informações adicionais ao cliente. É exatamente para isso que existem DHCP Options. Exemplos típicos são servidores DNS, gateway, servidor TFTP, nome do ficheiro de boot, parâmetros específicos do fabricante ou valores para thin clients e telefones.

Na Sophos Firewall, as DHCP Options pertencem sempre ao servidor DHCP ou ao scope que emite o lease. Isto é importante: se um cliente recebe o endereço de outro servidor DHCP, a opção tem de ser configurada nesse servidor. Se a Sophos Firewall atua apenas como DHCP Relay, ela encaminha pedidos DHCP, mas não é o local onde a opção desse scope é mantida.

Na prática, antes da configuração devem esclarecer-se três pontos:

  • Qual servidor DHCP entrega realmente o lease?
  • Em que scope ou interface está o cliente?
  • Que option codes, tipos de dados e valores o fabricante do sistema de destino exige?

Requisitos

  • Sophos Firewall com servidor DHCPv4 ativado
  • Acesso a Network > DHCP
  • Um scope DHCP na interface correta
  • Os DHCP option codes e valores necessários do fabricante ou sistema de destino
  • Para fallbacks CLI: acesso SSH permitido à Sophos Firewall

1. Criar ou Verificar o Servidor DHCP

Para distribuir DHCP Options, é necessário primeiro um servidor DHCPv4 na Sophos Firewall. Este é criado ou editado no WebAdmin em Network > DHCP.

O mais importante é:

  • O servidor DHCP está associado a uma interface.
  • O scope corresponde à rede onde estão os clientes.
  • Servidores DNS, gateway e lease time estão corretamente definidos.
  • O nome DHCP não contém espaços ou caracteres especiais desnecessários.
  • Casos especiais de PXE, VoIP, thin client ou RED estão documentados previamente.

O nome DHCP é especialmente relevante para comandos CLI. Se o nome contém espaços ou caracteres especiais, comandos e runbooks posteriores ficam desnecessariamente sujeitos a erros. Nomes claros como DHCP_Server_Avanet_LAN, Home_Scope ou DHCP_VoIP são mais simples na prática.

Configurar DHCP Options no servidor DHCPv4 da Sophos Firewall
Nas versões SFOS atuais, as DHCP Options podem ser mantidas diretamente no servidor DHCPv4 da Sophos Firewall.

2. Configurar DHCP Options no WebAdmin

Assim que o servidor DHCPv4 estiver criado, as opções podem ser adicionadas diretamente no mesmo diálogo.

  1. Abrir Network > DHCP.
  2. Editar o servidor DHCPv4 existente ou criar um novo servidor.
  3. Ir para a secção DHCP options.
  4. Adicionar uma opção.
  5. Introduzir Option, Code, Type e Value.
  6. Guardar as alterações.
  7. Verificar com um cliente de teste se a opção é realmente aplicada.

Os campos significam:

CampoSignificado
OptionNome da opção. Opções predefinidas podem ser selecionadas; para opções próprias usa-se um nome claro.
CodeCódigo numérico da DHCP Option, por exemplo 66, 67, 161 ou um valor específico do fabricante.
TypeTipo de dados do valor, por exemplo ipaddress, string, boolean, one-byte, two-byte, four-byte ou array-of.
ValueValor concreto que o cliente deve receber, por exemplo um endereço IP, hostname, caminho ou porta.

Os valores corretos são normalmente fornecidos pelo fabricante do sistema de destino. Especialmente em valores string, caminhos ou opções específicas do fabricante, vale a pena verificar a documentação do fabricante. Um valor gravado formalmente não significa automaticamente que o cliente o interpreta como esperado.

3. Casos de Uso Típicos

DHCP Options são normalmente necessárias quando um cliente precisa de informações adicionais no arranque. Casos frequentes são PXE, WDS, thin clients, telefones VoIP, access points ou cenários legacy específicos.

PXE e WDS

Para ambientes PXE ou WDS, usam-se frequentemente as opções 66 e 67:

  • 66 aponta para o servidor TFTP ou de deployment.
  • 67 contém o nome do ficheiro de boot.

Se o cliente alcança o servidor mas não arranca, o problema muitas vezes não está na firewall, mas num caminho de ficheiro errado, num tipo de dados inadequado ou num ficheiro de boot que não corresponde à arquitetura. Clientes UEFI e BIOS requerem frequentemente ficheiros de boot diferentes.

Thin Clients

Dependendo do fabricante, thin clients precisam de opções para servidores de gestão, servidores de imagem ou parâmetros de ligação. Em runbooks antigos encontram-se, por exemplo:

  • 161 para o servidor
  • 192 para uma porta ou parâmetro adicional

Se estes códigos estão corretos depende do fabricante e do modelo de thin client usado. Por isso, não devem ser copiados cegamente, mas sempre verificados na documentação do fabricante.

Casos RED Antigos

Em ambientes antigos existiram casos em que, numa Sophos RED 15w, o access point integrado não era reconhecido corretamente. Para isso foi usada por vezes uma DHCP Option específica do fabricante, por exemplo com option code 234 e um valor como 10.10.10.12.

Isto não é um padrão geral para instalações SD-RED modernas. Como exemplo legacy, continua útil porque mostra como definir option codes próprios e associá-los a um servidor DHCP.

Para designs RED atuais, o artigo Configurar Sophos SD-RED e resolver erros é mais útil. Para designs de interfaces, VLAN, bridge ou RED, também ajuda Planear e configurar zonas e interfaces da Sophos Firewall.

4. Quando DHCP Relay é Relevante em vez de DHCP Server

A Sophos Firewall pode não só ser servidor DHCP, mas também usar DHCP Relay. Nesse modo, pedidos DHCP de clientes são encaminhados para um servidor DHCP noutra rede.

Isto é especialmente relevante quando endereços IP são atribuídos centralmente por um servidor DHCP Windows ou outro sistema DHCP dedicado. Nestes designs, as DHCP Options são normalmente mantidas nesse servidor DHCP central, não na Sophos Firewall.

Em designs VPN, XFRM, RED ou de filiais, deve verificar-se primeiro:

  • A Sophos Firewall deve distribuir leases por si própria?
  • Deve apenas encaminhar pedidos DHCP?
  • O cliente está numa rede diretamente ligada?
  • Existem vários servidores DHCP que poderiam responder por engano ao mesmo cliente?

Se o servidor DHCP errado responder, nem a DHCP Option mais correta na Sophos Firewall ajuda.

5. Quando a CLI Ainda é Útil

Para configurações standard atuais, o WebAdmin normalmente é suficiente. A CLI continua útil sobretudo quando:

  • um artigo antigo ou runbook mais antigo já se baseia em comandos CLI
  • opções vendor incomuns têm de ser testadas
  • num caso de suporte se quer ver exatamente que bindings estão guardados internamente
  • um ambiente foi migrado de uma versão SFOS muito antiga
  • um comando numa documentação tem de ser reproduzido ou controlado

Quem precisar deste caminho deve consultar primeiro o guia Ligar por SSH à Sophos Firewall. Após o login, usa-se 4. Device Console para os comandos seguintes.

Menu SSH da Sophos Firewall com seleção da Device Console
Para comandos de DHCP Options, usa-se a Device Console da Sophos Firewall após o login por SSH.

Princípio Básico da CLI: Definir e Associar a Opção

Na configuração por CLI existem dois passos:

  1. A DHCP Option é definida.
  2. A opção é associada a um servidor DHCP e recebe aí um valor.

Primeiro a opção é definida:

system dhcp dhcp-options add optioncode optionname optiontype

Os placeholders significam:

  • optioncode: código numérico da DHCP Option
  • optionname: nome livremente escolhido para a opção
  • optiontype: tipo de dados, por exemplo ipaddress ou string

Exemplo para um endereço IP como DHCP Option:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Depois a opção é associada a um servidor DHCP:

system dhcp dhcp-options binding add dhcpname optionname(234) value

Os placeholders significam:

  • dhcpname: nome do servidor DHCP da configuração da Sophos Firewall
  • optionname(234): nome da opção definida anteriormente, incluindo o option code entre parênteses
  • value: valor que deve ser distribuído aos clientes

Exemplo:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. Exemplos CLI

Os exemplos seguintes continuam a ser modelos úteis quando uma opção tem de ser definida pela Device Console ou quando um runbook antigo tem de ser compreendido. Estes comandos não estão errados; em ambientes standard atuais, apenas já não são o primeiro caminho.

Thin Client Server

Com esta opção informa-se um thin client em que servidor está a imagem ou o componente de gestão:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Se for necessária uma porta adicional, esta pode ser definida como string:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS e PXE

Um valor de DHCP Option para o servidor WDS ou TFTP pode ser definido assim:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

O nome do ficheiro de boot para o pre-environment é entregue como opção 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Com pre-environment entende-se o ambiente de arranque com que um cliente inicia durante instalação ou recuperação. Dependendo do ambiente, o caminho necessário pode variar, especialmente com clientes UEFI, BIOS, 32 bits e 64 bits.

Mostrar Opções Existentes

Antes de alterações, deve-se mostrar as opções existentes:

system dhcp dhcp-options list

Mostrar bindings de um servidor DHCP:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

Uma opção pode ser eliminada novamente se necessário:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Fontes de Erro Típicas

Se uma DHCP Option está guardada mas no cliente não atua como esperado, a causa costuma ser uma destas:

  • O servidor DHCP errado responde ao pedido.
  • Foi editado o scope ou a interface errada.
  • O tipo de dados não corresponde ao valor esperado.
  • Endereço IP, FQDN, porta ou caminho tem um erro de escrita.
  • O caminho do ficheiro de boot não corresponde à arquitetura do cliente.
  • O cliente espera uma string, mas a opção foi criada como endereço IP.
  • O fabricante usa opções específicas que exigem parâmetros adicionais.
  • O lease não foi renovado após a alteração.
  • É usado DHCP Relay, embora a opção tenha sido mantida na Sophos Firewall.

Após uma alteração, deve-se renovar o lease no cliente de teste e verificar se o cliente recebe realmente as opções esperadas. Se o comportamento continuar incorreto, uma captura de pacotes é muitas vezes mais rápida do que longas tentativas: nos pacotes DHCP vê-se que servidor responde e que opções são realmente entregues.

Fontes