Hoppa till innehållet
Avanet

Sophos Firewall DHCP Options (SFOS)

Sophos Firewall

Den här artikeln visar hur DHCP Options konfigureras på Sophos Firewall med SFOS och hur vanliga specialfall som PXE, WDS, thin clients eller äldre RED-miljöer kan bedömas korrekt.

Aktuella Sophos Firewall-versioner stöder DHCP Options direkt i WebAdmin. För de flesta miljöer behövs därför ingen SSH- eller CLI-konfiguration längre. CLI-exemplen är ändå viktiga, eftersom äldre runbooks, specialfall och felsökning ofta fortfarande använder exakt den här syntaxen.

Vad DHCP Options Är

DHCP delar inte bara ut en IP-adress. Tillsammans med leasen kan DHCP-servern skicka ytterligare information till klienten. Det är precis därför DHCP Options finns. Typiska exempel är DNS-servrar, gateway, TFTP-server, bootfilens namn, leverantörsspecifika parametrar eller värden för thin clients och telefoner.

På Sophos Firewall hör DHCP Options alltid till DHCP-servern eller scopet som utfärdar leasen. Det är viktigt: om en klient får sin adress från en annan DHCP-server måste optionen konfigureras där. Om Sophos Firewall bara fungerar som DHCP Relay vidarebefordrar den DHCP-förfrågningar, men är inte platsen där optionen för detta scope underhålls.

I praktiken bör tre saker klargöras före konfigurationen:

  • Vilken DHCP-server delar faktiskt ut leasen?
  • I vilket scope eller på vilket interface finns klienten?
  • Vilka option codes, datatyper och värden kräver tillverkaren av målsystemet?

Förutsättningar

  • Sophos Firewall med aktiverad DHCPv4-server
  • Åtkomst till Network > DHCP
  • Ett DHCP-scope på rätt interface
  • De DHCP option codes och värden som krävs av tillverkaren eller målsystemet
  • För CLI-fallbacks: tillåten SSH-åtkomst till Sophos Firewall

1. Skapa eller Kontrollera DHCP-Servern

För att DHCP Options ska kunna delas ut behövs först en DHCPv4-server på Sophos Firewall. Den skapas eller redigeras i WebAdmin under Network > DHCP.

Viktigast är:

  • DHCP-servern är kopplad till ett interface.
  • Scopet passar till nätet där klienterna finns.
  • DNS-servrar, gateway och lease time är korrekt inställda.
  • DHCP-namnet innehåller inga onödiga mellanslag eller specialtecken.
  • PXE-, VoIP-, thin-client- eller RED-specialfall är dokumenterade i förväg.

Just DHCP-namnet är relevant för CLI-kommandon. Om namnet innehåller mellanslag eller specialtecken blir senare kommandon och runbooks onödigt felkänsliga. Tydliga namn som DHCP_Server_Avanet_LAN, Home_Scope eller DHCP_VoIP är enklare i praktiken.

Konfigurera DHCP Options i DHCPv4-servern på Sophos Firewall
I aktuella SFOS-versioner kan DHCP Options underhållas direkt i DHCPv4-servern på Sophos Firewall.

2. Konfigurera DHCP Options i WebAdmin

När DHCPv4-servern har skapats kan options läggas till direkt i samma dialog.

  1. Öppna Network > DHCP.
  2. Redigera den befintliga DHCPv4-servern eller skapa en ny server.
  3. Gå till avsnittet DHCP options.
  4. Lägg till en option.
  5. Ange Option, Code, Type och Value.
  6. Spara ändringarna.
  7. Kontrollera med en testklient att optionen verkligen tas över.

Fälten betyder:

FältBetydelse
OptionNamn på optionen. Fördefinierade options kan väljas; för egna options används ett tydligt namn.
CodeNumerisk DHCP option code, till exempel 66, 67, 161 eller ett leverantörsspecifikt värde.
TypeDatatyp för värdet, till exempel ipaddress, string, boolean, one-byte, two-byte, four-byte eller array-of.
ValueDet konkreta värde som klienten ska få, till exempel en IP-adress, ett hostname, en sökväg eller en port.

De korrekta värdena tillhandahålls normalt av tillverkaren av målsystemet. Särskilt för string-värden, sökvägar eller leverantörsspecifika options är det värt att kontrollera tillverkarens dokumentation. Ett värde som kan sparas formellt betyder inte automatiskt att klienten tolkar det som förväntat.

3. Typiska Användningsfall

DHCP Options behövs oftast när en klient behöver ytterligare information vid start. Vanliga fall är PXE, WDS, thin clients, VoIP-telefoner, accesspunkter eller enskilda legacy-scenarier.

PXE och WDS

För PXE- eller WDS-miljöer används ofta options 66 och 67:

  • 66 pekar på TFTP- eller deploymentservern.
  • 67 innehåller bootfilens namn.

Om klienten når servern men inte startar ligger problemet ofta inte i brandväggen, utan i en felaktig filsökväg, en olämplig datatyp eller en bootfil som inte passar arkitekturen. UEFI- och BIOS-klienter behöver ofta olika bootfiler.

Thin Clients

Thin clients behöver beroende på tillverkare options för managementservrar, imageservrar eller anslutningsparametrar. I gamla runbooks hittar man till exempel:

  • 161 för servern
  • 192 för en port eller ytterligare parameter

Om dessa koder är korrekta beror på tillverkaren och den thin-client-modell som används. Därför bör koderna inte kopieras blint, utan alltid kontrolleras mot tillverkarens dokumentation.

Äldre RED-Specialfall

I äldre miljöer fanns det fall där den integrerade accesspunkten i en Sophos RED 15w inte identifierades korrekt. Då användes ibland en leverantörsspecifik DHCP Option, till exempel med option code 234 och ett värde som 10.10.10.12.

Detta är ingen generell standard för moderna SD-RED-installationer. Som legacy-exempel är det ändå användbart, eftersom det visar hur egna option codes definieras och binds till en DHCP-server.

För aktuella RED-designer är artikeln Konfigurera Sophos SD-RED och felsök problem mer hjälpsam. För interface-, VLAN-, bridge- eller RED-designer hjälper även Planera och konfigurera Sophos Firewall-zoner och interfaces.

4. När DHCP Relay är Relevant i Stället för DHCP Server

Sophos Firewall kan inte bara själv vara DHCP-server utan även använda DHCP Relay. Då vidarebefordras DHCP-förfrågningar från klienter till en DHCP-server i ett annat nät.

Detta är framför allt relevant när IP-adresser delas ut centralt av en Windows-DHCP-server eller ett annat dedikerat DHCP-system. I sådana designer underhålls DHCP Options normalt på den centrala DHCP-servern, inte på Sophos Firewall.

Vid VPN-, XFRM-, RED- eller filialdesigner bör man därför först kontrollera:

  • Ska Sophos Firewall själv dela ut leases?
  • Ska den bara vidarebefordra DHCP-förfrågningar?
  • Finns klienten i ett direkt anslutet nät?
  • Finns flera DHCP-servrar som av misstag kan svara samma klient?

Om fel DHCP-server svarar hjälper inte ens den mest korrekta DHCP Option på Sophos Firewall.

5. När CLI Fortfarande är Användbart

För aktuella standardkonfigurationer räcker WebAdmin normalt. CLI är främst fortfarande användbart när:

  • en gammal artikel eller ett äldre runbook redan bygger på CLI-kommandon
  • ovanliga vendor options måste testas
  • man i ett supportfall vill se exakt vilka bindings som är lagrade internt
  • en miljö har övertagits från en mycket gammal SFOS-version
  • ett kommando i en dokumentation måste återskapas eller kontrolleras

Den som behöver använda den här vägen bör först läsa guiden Anslut till Sophos Firewall via SSH. Efter inloggning används 4. Device Console för följande kommandon.

Sophos Firewall SSH-meny med val av Device Console
För DHCP Option-kommandon används Device Console på Sophos Firewall efter SSH-inloggningen.

CLI-Grundprincip: Definiera och Binda Optionen

CLI-konfigurationen har två steg:

  1. DHCP-optionen definieras.
  2. Optionen binds till en DHCP-server och får där ett värde.

Först definieras optionen:

system dhcp dhcp-options add optioncode optionname optiontype

Platshållarna betyder:

  • optioncode: numerisk DHCP option code
  • optionname: fritt valt namn på optionen
  • optiontype: datatyp, till exempel ipaddress eller string

Exempel för en IP-adress som DHCP Option:

system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress

Därefter binds optionen till en DHCP-server:

system dhcp dhcp-options binding add dhcpname optionname(234) value

Platshållarna betyder:

  • dhcpname: namn på DHCP-servern från Sophos Firewall-konfigurationen
  • optionname(234): namn på den tidigare definierade optionen inklusive option code inom parentes
  • value: värde som ska delas ut till klienter

Exempel:

system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12

6. CLI-Exempel

Följande exempel är fortfarande användbara mallar när en option måste sättas via Device Console eller ett gammalt runbook måste förstås. Kommandona är inte fel; i aktuella standardmiljöer är de bara inte längre förstahandsmetoden.

Thin Client Server

Med den här optionen får en thin client veta på vilken server imagen eller managementkomponenten finns:

system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'

Om en extra port behövs kan den sättas som string:

system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'

WDS och PXE

Ett DHCP Option-värde för WDS- eller TFTP-servern kan sättas så här:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11

Bootfilens namn för pre-environment skickas som option 67:

system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com

Med pre-environment menas den bootmiljö som en klient startar med under installation eller återställning. Beroende på miljön kan den nödvändiga sökvägen variera, särskilt för UEFI-, BIOS-, 32-bitars- och 64-bitarsklienter.

Visa Befintliga Options

Före ändringar bör befintliga options visas:

system dhcp dhcp-options list

Visa bindings för en DHCP-server:

system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN

En option kan vid behov tas bort igen:

system dhcp dhcp-options delete optionname dhcp_magic_ip(234)

7. Typiska Felkällor

Om en DHCP Option är sparad men inte fungerar som förväntat på klienten beror det ofta på någon av dessa punkter:

  • Fel DHCP-server svarar på förfrågan.
  • Fel scope eller fel interface har redigerats.
  • Datatypen passar inte till det förväntade värdet.
  • IP-adress, FQDN, port eller sökväg innehåller ett skrivfel.
  • Bootfilens sökväg passar inte till klientarkitekturen.
  • Klienten förväntar sig en string, men optionen skapades som IP-adress.
  • Tillverkaren använder leverantörsspecifika options som kräver ytterligare parametrar.
  • Leasen förnyades inte efter ändringen.
  • DHCP Relay används, fast optionen har underhållits på Sophos Firewall.

Efter en ändring bör leasen på testklienten förnyas och man bör kontrollera om klienten verkligen får de förväntade options. Om beteendet fortfarande inte stämmer är en packet capture ofta snabbare än långa gissningar: i DHCP-paketen ser man vilken server som svarar och vilka options som faktiskt levereras.

Källor