Opções DHCP do Sophos Firewall (SFOS)
As opções DHCP são necessárias no Sophos Firewall quando os clientes precisam receber mais do que apenas o endereço IP, gateway e DNS ao iniciar. Casos típicos incluem PXE, WDS, Thin Clients, telefones VoIP ou ambientes RED mais antigos, onde um código de opção específico e tipo de dado devem corresponder exatamente.
As versões atuais do Sophos Firewall suportam opções DHCP diretamente no WebAdmin. Para a maioria dos ambientes, não é mais necessária a configuração via SSH ou CLI. No entanto, os exemplos de CLI continuam importantes, pois runbooks antigos, casos especiais e resolução de problemas ainda utilizam essa sintaxe.
O que são opções DHCP
O DHCP não distribui apenas um endereço IP. Junto com o lease, o servidor DHCP pode passar informações adicionais para o cliente. É para isso que existem as opções DHCP. Exemplos típicos incluem servidores DNS, gateway, servidor TFTP, nome do arquivo de boot, parâmetros específicos do fornecedor ou valores para Thin Clients e telefones.
No Sophos Firewall, as opções DHCP sempre pertencem ao servidor DHCP ou ao escopo que emite o lease. Isso é importante: se um cliente recebe seu endereço de outro servidor DHCP, a opção deve ser configurada lá. Se o Sophos Firewall atua apenas como um relay DHCP, ele encaminha solicitações DHCP, mas não é o local onde a opção para esse escopo é mantida.
Para IPv6, o DHCP nem sempre é tratado da mesma forma que para IPv4. Quando um provedor delega um prefixo IPv6, anúncios de roteador, parâmetros DHCPv6 e regras de firewall estão interligados. O processo é descrito em Configurar delegação de prefixo IPv6 no Sophos Firewall.
Na prática, antes de configurar, deve-se esclarecer três coisas:
- Qual servidor DHCP realmente distribui o lease?
- Em qual escopo ou interface está o cliente?
- Quais códigos de opção, tipos de dados e valores o fabricante do sistema de destino exige?
Pré-requisitos
- Sophos Firewall com servidor DHCPv4 ativado
- Acesso a
Network > DHCP - Um escopo DHCP na interface apropriada
- Os códigos de opção DHCP e valores necessários do fabricante ou sistema de destino
- Para alternativas CLI: acesso SSH permitido ao Sophos Firewall
Antes de fazer alterações, deve-se verificar brevemente o escopo afetado. As opções DHCP só funcionam de forma confiável se forem definidas no servidor DHCP correto, na rede correta e com o tipo de dado correto.
- Servidor DHCP: O Sophos Firewall deve emitir o lease. Com DHCP Relay, as opções normalmente pertencem ao servidor DHCP central.
- Escopo e Interface: Um cliente no VLAN errado ou em outra interface não verá a opção, mesmo que esteja corretamente armazenada.
- Código de opção e tipo de dado: Muitos erros ocorrem porque um cliente espera
string,ipaddress,array-ofou um valor de fornecedor de forma diferente do que foi inserido. - Cliente de teste: Um dispositivo conhecido na rede afetada torna visível se a opção realmente chega na oferta ou ACK DHCP.
- Janela de alteração: PXE, telefones e Thin Clients podem ser afetados imediatamente na troca de lease. As alterações devem, portanto, ser testadas de forma controlada.
Se a opção for relevante para dispositivos em produção, deve-se saber de antemão como removê-la ou restaurá-la ao valor antigo. Isso é especialmente importante para opções de boot, servidores de provisionamento e opções de fornecedor específicas.
1. Criar ou verificar o servidor DHCP
Para que as opções DHCP sejam distribuídas, primeiro é necessário um servidor DHCPv4 no Sophos Firewall. Este é criado ou editado no WebAdmin em Network > DHCP.
O mais importante é:
- O servidor DHCP está associado a uma interface.
- O escopo corresponde à rede onde os clientes estão.
- Servidores DNS, gateway e tempo de lease estão corretamente definidos.
- O nome do DHCP não contém espaços ou caracteres especiais desnecessários.
- Casos especiais de PXE, VoIP, Thin Client ou RED estão documentados antecipadamente.
O nome do DHCP é especialmente relevante para comandos CLI. Se o nome contiver espaços ou caracteres especiais, comandos e runbooks futuros serão desnecessariamente propensos a erros. Nomes compreensíveis como DHCP_Server_Avanet_LAN, Home_Scope ou DHCP_VoIP são mais fáceis na prática.

2. Configurar opções DHCP no WebAdmin
Assim que o servidor DHCPv4 for criado, as opções podem ser adicionadas diretamente no mesmo diálogo.
- Abra
Network > DHCP. - Edite o servidor DHCPv4 existente ou crie um novo servidor.
- Vá para a seção
DHCP options. - Adicione uma opção.
- Para opções próprias, defina
OptionscomoCustome insiraCode,TypeeValue. - Salve as alterações.
- Verifique com um cliente de teste se a opção foi realmente adotada.
Os campos significam:
OptionsouOption: Seleção entre opções DHCP predefinidas e opções customizadas. Em opçõesCustom, o código da opção é inserido manualmente.Code: Código numérico da opção DHCP, por exemplo66,67,161ou um valor específico do fabricante.Type: Tipo de dados do valor, por exemploipaddress,string,boolean,one-byte,two-byte,four-byteouarray-of.Value: Valor concreto que o cliente deve receber, como um endereço IP, um hostname, um caminho ou uma porta.
Os valores corretos geralmente são fornecidos pelo fabricante do sistema de destino. Especialmente para valores de string, caminhos ou opções específicas do fornecedor, vale a pena verificar na documentação do fabricante. Um valor formalmente armazenado não significa automaticamente que o cliente o interpretará como esperado.
3. Casos de uso típicos
As opções DHCP são geralmente necessárias quando um cliente precisa de informações adicionais ao iniciar. Casos comuns incluem PXE, WDS, Thin Clients, telefones VoIP, pontos de acesso ou cenários legados específicos.
PXE e WDS
Para ambientes PXE ou WDS, as opções 66 e 67 são frequentemente usadas:
66refere-se ao servidor TFTP ou de implantação.67contém o nome do arquivo de boot.
Se o cliente alcançar o servidor, mas não inicializar, o problema geralmente não está no firewall, mas em um caminho de arquivo incorreto, um tipo de dado inadequado ou um arquivo de arquitetura incompatível. Clientes UEFI e BIOS frequentemente requerem arquivos de boot diferentes.
Importante em versões atuais do SFOS: Next-server e Boot file são campos de boot options separados no servidor DHCPv4. Desde o SFOS 20.0 MR1, eles não são mais tratados automaticamente apenas como opções DHCP 66 e 67. Se um dispositivo espera explicitamente a opção 66 ou 67, esses valores devem ser mantidos conscientemente em DHCP options e não apenas nos campos de boot options.
Ao atualizar para SFOS 20.0 MR1 ou posterior, os valores existentes de Next-server e Boot file são mantidos como boot options e também como opções DHCP 66 e 67. Depois de uma migração, deve-se verificar se os valores existem em duplicado e se o cliente avalia a variante esperada.
Thin Clients
Thin Clients podem precisar de opções para servidores de gerenciamento, servidores de imagem ou parâmetros de conexão, dependendo do fabricante. Em runbooks antigos encontram-se, por exemplo:
161para o servidor192para uma porta ou parâmetro adicional
Se esses códigos estão corretos, depende do fabricante e do modelo de Thin Client usado. Portanto, não se deve adotar os códigos cegamente, mas sempre verificar na documentação do fabricante.
Casos especiais de RED mais antigos
Em ambientes mais antigos, houve casos em que um Sophos RED 15w não reconhecia corretamente o ponto de acesso integrado. Para isso, às vezes era usada uma opção DHCP específica do fabricante, por exemplo, com o código de opção 234 e um valor como 10.10.10.12.
Isso não é um padrão geral para instalações modernas de SD-RED. Como exemplo legado, ainda é útil, pois mostra como definir códigos de opção próprios e vinculá-los a um servidor DHCP.
Para designs RED atuais, o artigo Configurar e solucionar problemas do Sophos SD-RED é mais útil. Quando se trata de designs de interface, VLAN, bridge ou RED, Planejar e configurar zonas e interfaces do Sophos Firewall também pode ajudar.
4. Quando o DHCP Relay é relevante em vez do servidor DHCP
O Sophos Firewall pode não apenas ser um servidor DHCP, mas também usar DHCP Relay. Nesse caso, as solicitações DHCP dos clientes são encaminhadas para um servidor DHCP em outra rede.
Isso é especialmente relevante quando endereços IP são atribuídos centralmente por um servidor DHCP do Windows ou outro sistema DHCP dedicado. Em tais designs, as opções DHCP são normalmente mantidas nesse servidor DHCP central, não no Sophos Firewall.
No relay agent, a interface selecionada deve estar na sub-rede dos clientes DHCP. A interface do servidor DHCP real não deve ser usada como interface de relay; caso contrário, o firewall não encaminhará as solicitações dos clientes como esperado.
Em um relay agent podem ser configurados até oito servidores DHCP. O firewall encaminha a solicitação do cliente para esses servidores, e o cliente trabalha com a primeira oferta que recebe. Por isso, vários destinos de relay devem fornecer de forma consistente o mesmo scope e as mesmas opções DHCP.
Em designs de VPN, XFRM, RED ou filiais, deve-se primeiro verificar:
- O Sophos Firewall deve distribuir leases por si mesmo?
- Ele deve apenas encaminhar solicitações DHCP?
- O cliente está em uma rede diretamente conectada?
- Existem vários servidores DHCP que poderiam responder acidentalmente para o mesmo cliente?
Se o servidor DHCP errado responder, mesmo a opção DHCP mais correta no Sophos Firewall não ajudará.
Em DHCP Relay por VPN route-based, há outro ponto importante: o relay agent é configurado no local dos clientes. Na central, é necessária uma regra de firewall de entrada adequada para o tráfego DHCP, enquanto o tráfego de relay no firewall da filial é tratado como tráfego gerado pelo sistema.
5. Quando a CLI ainda é útil
Para configurações padrão atuais, o WebAdmin geralmente é suficiente. A CLI ainda é útil quando:
- um artigo antigo ou runbook já se baseia em comandos CLI
- opções de fornecedor incomuns precisam ser testadas
- deseja-se ver exatamente quais bindings estão armazenados internamente em caso de suporte
- um ambiente foi migrado de uma versão muito antiga do SFOS
- um comando precisa ser replicado ou verificado em uma documentação
Quem precisar seguir esse caminho deve primeiro verificar o guia Conectar ao Sophos Firewall via SSH. Após o login, os comandos a seguir usam a 4. Device Console.

Princípio básico da CLI: Definir e vincular a opção
Na configuração CLI, há dois passos:
- A opção DHCP é definida.
- A opção é vinculada a um servidor DHCP e recebe um valor lá.
Primeiro, a opção é definida:
system dhcp dhcp-options add optioncode optionname optiontype
Os placeholders significam:
optioncode: código numérico da opção DHCPoptionname: nome escolhido livremente para a opçãooptiontype: tipo de dado, por exemplo,ipaddressoustring
Exemplo para um endereço IP como opção DHCP:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Depois, a opção é vinculada a um servidor DHCP:
system dhcp dhcp-options binding add dhcpname optionname(234) value
Os placeholders significam:
dhcpname: nome do servidor DHCP na configuração do Sophos Firewalloptionname(234): nome da opção definida anteriormente, incluindo o código de opção entre parêntesesvalue: valor a ser distribuído aos clientes
Exemplo:
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
6. Exemplos de CLI
Os exemplos a seguir ainda são modelos úteis quando uma opção precisa ser definida via Device Console ou um runbook antigo precisa ser seguido. Esses comandos não estão errados, apenas não são mais o primeiro caminho em ambientes padrão atuais.
Servidor Thin Client
Com esta opção, um Thin Client é informado sobre qual servidor está a imagem ou o componente de gerenciamento:
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Se uma porta adicional for necessária, ela pode ser definida como string:
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
WDS e PXE
Um valor de opção DHCP para o servidor WDS ou TFTP pode ser definido assim:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
O nome do arquivo de boot para o pré-ambiente é fornecido como opção 67:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Por pré-ambiente, entende-se o ambiente de boot com o qual um cliente inicia durante a instalação ou recuperação. Dependendo do ambiente, o caminho necessário pode variar, especialmente para clientes UEFI, BIOS, 32 bits e 64 bits.
Exibir opções existentes
Antes de fazer alterações, deve-se exibir as opções existentes:
system dhcp dhcp-options list
A lista ainda não representa todo o limite do que o SFOS suporta. A Sophos documenta que o firewall suporta todos os objetos de opções DHCP de 1 a 255, enquanto a lista CLI mostra apenas as opções de 1 a 76. Opções personalizadas ou específicas do fornecedor fora dessa visualização podem, portanto, continuar válidas.
Exibir bindings de um servidor DHCP:
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN
Uma opção pode ser excluída, se necessário:
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
7. Fontes comuns de erro
Quando uma opção DHCP está armazenada, mas não funciona como esperado no cliente, geralmente é devido a um destes pontos:
- O servidor DHCP errado responde à solicitação.
- Escopo ou interface errados foram editados.
- Tipo de dado não corresponde ao valor esperado.
- Endereço IP, FQDN, porta ou caminho está digitado incorretamente.
- Caminho do arquivo de boot não corresponde à arquitetura do cliente.
- Cliente espera uma string, mas a opção foi definida como endereço IP.
- Fabricante usa opções específicas de fornecedor que requerem parâmetros adicionais.
- Lease não foi renovado após a alteração.
- DHCP Relay é usado, embora a opção tenha sido mantida no Sophos Firewall.
Após uma alteração, deve-se renovar o lease no cliente de teste e verificar se o cliente realmente recebe as opções esperadas. Se o comportamento ainda não for adequado, uma captura de pacotes geralmente é mais rápida do que adivinhar: nos pacotes DHCP, pode-se ver qual servidor responde e quais opções são realmente entregues.
8. Testar a alteração
Após salvar uma opção DHCP, não se deve apenas esperar até que o próximo cliente eventualmente obtenha um novo lease. É melhor um teste controlado com um dispositivo conhecido na rede afetada.
Procedimento sensato:
- Conectar o cliente de teste no VLAN ou interface correta.
- Renovar o lease antigo ou reiniciar o cliente.
- Verificar quais endereço DHCP, gateway, servidor DNS e opções adicionais foram recebidos.
- Testar o sistema de destino, por exemplo, boot PXE, início WDS, registro de Thin Client ou provisionamento de telefone.
- Verificar no WebAdmin se o lease aparece no escopo DHCP esperado.
- Se o resultado não for adequado, verificar com Packet Capture qual servidor DHCP responde e quais opções estão no Offer ou ACK.
Para uma captura estreita, geralmente basta um filtro em UDP 67 e 68 entre cliente e servidor DHCP. O uso da ferramenta WebAdmin é descrito em Usar o Packet Capture do Sophos Firewall no WebAdmin.
Em testes PXE e WDS, deve-se documentar adicionalmente se o cliente de teste usa BIOS ou UEFI. Muitos problemas de boot não são causados pelo DHCP em si, mas por um arquivo de boot que não corresponde à arquitetura.
9. Solução de problemas por sintomas
Quando as opções DHCP não funcionam, uma verificação orientada por sintomas geralmente ajuda mais rapidamente do que recriar a mesma opção.
- Cliente não recebe endereço IP: Servidor DHCP, VLAN, interface ou relay não correspondem; Verificar lista de leases, interface, VLAN e DHCP Relay
- Cliente recebe IP, mas não opção: escopo errado ou servidor DHCP errado responde; Verificar Packet Capture no DHCP Offer/ACK
- PXE encontra servidor, mas não inicializa: Opção
67, caminho do arquivo ou arquitetura não correspondem; Verificar arquivo de boot BIOS/UEFI e log TFTP/WDS - Thin Client não conecta: código de opção, tipo ou valor do fabricante incorretos; Comparar documentação do fabricante e valor fornecido
- Alteração só tem efeito mais tarde: Cliente usa lease antigo; Renovar lease, reiniciar cliente ou observar tempo de lease
- Comando CLI não funciona: nome do DHCP, nome da opção ou notação de parênteses incorretos; Verificar
system dhcp dhcp-options liste saída de binding
Se na captura um servidor DHCP diferente responder, deve-se primeiro esclarecer o design da rede. Dois servidores DHCP na mesma broadcast domain são uma causa clássica para comportamento variável. Para questões mais complexas de VLAN, bridge ou interface, Planejar e configurar zonas e interfaces do Sophos Firewall pode ajudar.
Perguntas frequentes
É necessário configurar opções DHCP no Sophos Firewall via CLI?
Por que uma opção DHCP não chega ao cliente?
Onde são configuradas as opções DHCP quando o Sophos Firewall usa apenas DHCP Relay?
Quais opções DHCP são necessárias para PXE ou WDS?
66 é usada para o servidor TFTP ou de implantação e a opção 67 para o nome do arquivo de boot. O valor correto depende de WDS, TFTP, BIOS/UEFI e arquitetura do cliente.