Sophos Firewall DHCP-alternativ (SFOS)
DHCP-alternativ behövs på Sophos Firewall när klienter vid start behöver mer än IP-adress, gateway och DNS. Typiska fall är PXE, WDS, tunna klienter, VoIP-telefoner eller äldre RED-miljöer där en specifik alternativkod och datatyp måste passa exakt.
Aktuella versioner av Sophos Firewall stöder DHCP-alternativ direkt i WebAdmin. För de flesta miljöer behövs därför ingen SSH- eller CLI-konfiguration längre. CLI-exemplen är dock fortfarande viktiga eftersom äldre runbooks, specialfall och felsökning ofta använder just denna syntax.
Vad DHCP-alternativ är
DHCP distribuerar inte bara en IP-adress. Tillsammans med leasing kan DHCP-servern överföra ytterligare information till klienten. Det är precis vad DHCP-alternativ är till för. Typiska exempel är DNS-servrar, gateway, TFTP-server, bootfilnamn, leverantörsspecifika parametrar eller värden för tunna klienter och telefoner.
På Sophos Firewall hör DHCP-alternativ alltid till DHCP-servern eller det område som utfärdar leasing. Det är viktigt: Om en klient får sin adress från en annan DHCP-server måste alternativet konfigureras där. Om Sophos Firewall bara fungerar som DHCP-relä vidarebefordrar den DHCP-förfrågningar, men är inte platsen där alternativet för detta område underhålls.
För IPv6 behandlas DHCP inte alltid på samma sätt som för IPv4. Om en leverantör delegerar ett IPv6-prefix hör routerannonsering, DHCPv6-parametrar och brandväggsregler ihop. Förloppet beskrivs i Konfigurera IPv6-prefixdelegation på Sophos Firewall.
I praktiken bör man klargöra tre saker innan konfiguration:
- Vilken DHCP-server distribuerar verkligen leasing?
- I vilket område eller på vilket gränssnitt befinner sig klienten?
- Vilka alternativkoder, datatyper och värden kräver tillverkarens målssystem?
Förutsättningar
- Sophos Firewall med aktiverad DHCPv4-server
- Åtkomst till
Network > DHCP - Ett DHCP-område på rätt gränssnitt
- De nödvändiga DHCP-alternativkoderna och värdena från tillverkaren eller målssystemet
- För CLI-fallbacks: tillåten SSH-åtkomst till Sophos Firewall
Innan ändringen bör man kort kontrollera det berörda området. DHCP-alternativ fungerar bara pålitligt om de ställs in på rätt DHCP-server, i rätt nätverk och med rätt datatyp.
- DHCP-server: Sophos Firewall måste utfärda leasing själv. Vid DHCP-relä hör alternativen normalt till den centrala DHCP-servern.
- Område och gränssnitt: En klient i fel VLAN eller på ett annat gränssnitt ser inte alternativet, även om det är korrekt sparat.
- Alternativkod och datatyp: Många fel uppstår eftersom en klient förväntar sig
string,ipaddress,array-ofeller ett leverantörsvärde annorlunda än vad som är angivet. - Testklient: En känd enhet i det berörda nätverket visar om alternativet verkligen kommer fram i DHCP-erbjudandet eller ACK.
- Ändringsfönster: PXE, telefoner och tunna klienter kan påverkas omedelbart vid leasingbyte. Ändringar bör därför testas kontrollerat.
Om alternativet är relevant för produktiva enheter bör det vara klart i förväg hur man tar bort det eller återställer det till det gamla värdet. Detta gäller särskilt för startalternativ, provisioneringsservrar och tillverkarens specifika leverantörsalternativ.
1. Skapa eller kontrollera DHCP-server
För att DHCP-alternativ ska kunna distribueras behöver man först en DHCPv4-server på Sophos Firewall. Denna skapas eller redigeras i WebAdmin under Network > DHCP.
Det viktigaste är:
- DHCP-servern är tilldelad ett gränssnitt.
- Området passar nätverket där klienterna befinner sig.
- DNS-server, gateway och leasingtid är korrekt inställda.
- DHCP-namnet innehåller inga onödiga mellanslag eller specialtecken.
- PXE-, VoIP-, tunna klient- eller RED-specialfall är dokumenterade i förväg.
Särskilt DHCP-namnet är relevant vid CLI-kommandon. Om namnet innehåller mellanslag eller specialtecken blir senare kommandon och runbooks onödigt felbenägna. Begripliga namn som DHCP_Server_Avanet_LAN, Home_Scope eller DHCP_VoIP är enklare i praktiken.

2. Konfigurera DHCP-alternativ i WebAdmin
När DHCPv4-servern är skapad kan alternativen läggas till direkt i samma dialog.
- Öppna
Network > DHCP. - Redigera den befintliga DHCPv4-servern eller skapa en ny server.
- Gå till avsnittet
DHCP options. - Lägg till alternativ.
- För egna alternativ, ställ in
OptionspåCustomoch angeCode,TypeochValue. - Spara ändringar.
- Kontrollera med en testklient om alternativet verkligen har tagits emot.
Fälten betyder:
OptionsellerOption: Val mellan fördefinierade DHCP-alternativ och egna custom-alternativ. FörCustom-alternativ anges alternativkoden manuellt.Code: Numerisk DHCP-alternativkod, till exempel66,67,161eller ett leverantörsspecifikt värde.Type: Datatyp för värdet, till exempelipaddress,string,boolean,one-byte,two-byte,four-byteellerarray-of.Value: Det konkreta värdet som klienten ska få, till exempel en IP-adress, ett hostname, en sökväg eller en port.
De korrekta värdena tillhandahålls vanligtvis av tillverkaren av målssystemet. Särskilt för strängvärden, sökvägsangivelser eller leverantörsspecifika alternativ är det värt att dubbelkolla i tillverkarens dokumentation. Ett formellt sparat värde betyder inte automatiskt att klienten tolkar det som förväntat.
3. Typiska användningsfall
DHCP-alternativ behövs oftast när en klient vid start behöver ytterligare information. Vanliga fall är PXE, WDS, tunna klienter, VoIP-telefoner, accesspunkter eller enskilda äldre scenarier.
PXE och WDS
För PXE- eller WDS-miljöer används ofta alternativen 66 och 67:
66hänvisar till TFTP- eller distributionsservern.67innehåller bootfilnamnet.
Om klienten når servern men inte startar ligger problemet ofta inte hos brandväggen, utan på en felaktig filväg, en olämplig datatyp eller en olämplig arkitekturfil. För UEFI- och BIOS-klienter behövs ofta olika bootfiler.
Viktigt i aktuella SFOS-versioner: Next-server och Boot file är separata boot option-fält i DHCPv4-servern. Sedan SFOS 20.0 MR1 behandlas de inte längre automatiskt enbart som DHCP-alternativ 66 och 67. Om en enhet uttryckligen förväntar sig alternativ 66 eller 67 bör dessa värden medvetet hanteras under DHCP options och inte bara fyllas i i boot option-fälten.
Vid uppgradering till SFOS 20.0 MR1 eller senare behålls befintliga Next-server- och Boot file-värden som boot options och dessutom som DHCP-alternativ 66 och 67. Efter en migrering bör man därför kontrollera om värden finns dubbelt och om klienten tolkar den förväntade varianten.
Tunna klienter
Tunna klienter behöver beroende på tillverkare alternativ för hanteringsserver, bildserver eller anslutningsparametrar. I gamla runbooks hittar man till exempel:
161för servern192för en port eller tilläggsparametrar
Om dessa koder är korrekta beror på tillverkaren och den använda tunna klientmodellen. Därför bör man inte blint anta koderna, utan alltid kontrollera mot tillverkarens dokumentation.
Äldre RED-specialfall
I äldre miljöer fanns det fall där en Sophos RED 15w inte korrekt kände igen den integrerade accesspunkten. För detta användes ibland ett tillverkarens specifikt DHCP-alternativ, till exempel med alternativkod 234 och ett värde som 10.10.10.12.
Detta är ingen allmän standard för moderna SD-RED-installationer. Som ett äldre exempel är det dock fortfarande användbart eftersom det visar hur egna alternativkoder definieras och binds till en DHCP-server.
För aktuella RED-designs är artikeln Ställa in och felsöka Sophos SD-RED mer användbar. När det gäller gränssnitt-, VLAN-, brygg- eller RED-designs hjälper dessutom Planera och konfigurera Sophos Firewall-zoner och gränssnitt.
4. När DHCP-relä är relevant istället för DHCP-server
Sophos Firewall kan inte bara vara en DHCP-server, utan också använda DHCP-relä. Då vidarebefordras DHCP-förfrågningar från klienter till en DHCP-server i ett annat nätverk.
Detta är särskilt relevant när IP-adresser centralt tilldelas av en Windows-DHCP-server eller ett annat dedikerat DHCP-system. I sådana designer underhålls DHCP-alternativ normalt på denna centrala DHCP-server, inte på Sophos Firewall.
För relay agent måste det valda gränssnittet ligga i DHCP-klienternas subnet. Gränssnittet för den egentliga DHCP-servern får inte användas som relay-gränssnitt, annars vidarebefordrar brandväggen inte klientförfrågningarna som förväntat.
I en relay agent kan upp till åtta DHCP-servrar anges. Brandväggen vidarebefordrar klientens fråga till dessa servrar, och klienten använder det första offer den tar emot. Därför bör flera relay-mål leverera samma scope och samma DHCP-alternativ konsekvent.
Vid VPN-, XFRM-, RED- eller filialdesigner bör man därför först kontrollera:
- Ska Sophos Firewall själv distribuera leasing?
- Ska den bara vidarebefordra DHCP-förfrågningar?
- Befinner sig klienten i ett direkt anslutet nätverk?
- Finns det flera DHCP-servrar som av misstag kan svara för samma klient?
Om fel DHCP-server svarar hjälper inte ens det mest korrekta DHCP-alternativet på Sophos Firewall.
Vid DHCP Relay via route-based VPN är ytterligare en sak viktig: relay agent konfigureras på klientplatsen. På huvudkontoret behövs en passande inkommande firewallregel för DHCP-trafik, medan relaytrafik på filialens firewall behandlas som systemgenererad trafik.
5. När CLI fortfarande är användbart
För aktuella standardkonfigurationer räcker vanligtvis WebAdmin. CLI är fortfarande användbart när:
- en gammal artikel eller äldre runbook redan baseras på CLI-kommandon
- ovanliga leverantörsalternativ måste testas
- man i supportfall exakt vill se vilka bindningar som är internt lagrade
- en miljö har övertagits från en mycket gammal SFOS-version
- ett kommando i en dokumentation måste återskapas eller kontrolleras
Den som måste gå denna väg bör först kontrollera instruktionen Anslut till Sophos Firewall via SSH. Efter inloggning används 4. Device Console för följande kommandon.

CLI-grundprincip: Definiera och binda alternativ
Vid CLI-konfiguration finns det två steg:
- DHCP-alternativet definieras.
- Alternativet binds till en DHCP-server och får där ett värde.
Först definieras alternativet:
system dhcp dhcp-options add optioncode optionname optiontype
Platshållarna betyder:
optioncode: numerisk DHCP-alternativkodoptionname: fritt valt namn på alternativetoptiontype: datatyp, till exempelipaddressellerstring
Exempel för en IP-adress som DHCP-alternativ:
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
Därefter binds alternativet till en DHCP-server:
system dhcp dhcp-options binding add dhcpname optionname(234) value
Platshållarna betyder:
dhcpname: namn på DHCP-servern från Sophos Firewall-konfigurationenoptionname(234): namn på det tidigare definierade alternativet inklusive alternativkod inom parentesvalue: värde som ska distribueras till klienter
Exempel:
system dhcp dhcp-options binding add dhcpname dhcp_red_avanet optionname dhcp_magic_ip(234) value 10.10.10.12
6. CLI-exempel
Följande exempel är fortfarande användbara mallar när ett alternativ måste sättas via Device Console eller ett gammalt runbook måste följas. Dessa kommandon är inte felaktiga, de är bara inte längre det första valet i aktuella standardmiljöer.
Thin Client Server
Med detta alternativ meddelas en tunn klient vilken server som har bilden eller hanteringskomponenten:
system dhcp dhcp-options add optioncode 161 optionname ThinClientServer optiontype ipaddress
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServer(161) value '10.10.10.12'
Om en port dessutom behövs kan den sättas som en sträng:
system dhcp dhcp-options add optioncode 192 optionname ThinClientServerPort optiontype string
system dhcp dhcp-options binding add dhcpname DHCP_Server_Avanet_LAN optionname ThinClientServerPort(192) value '443'
WDS och PXE
Ett DHCP-alternativvärde för WDS- eller TFTP-servern kan sättas så här:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname TFTP_Server_Name(66) value 172.16.16.11
Bootfilnamnet för pre-miljön ges som alternativ 67:
system dhcp dhcp-options binding add dhcpname Home_Scope optionname Bootfile_Name(67) value \boot\x64\wdsnbp.com
Med pre-miljö menas den startmiljö som en klient startar med under installation eller återställning. Beroende på miljö kan den nödvändiga sökvägen variera, särskilt för UEFI, BIOS, 32-bitars och 64-bitars klienter.
Visa befintliga alternativ
Innan ändringar bör man visa befintliga alternativ:
system dhcp dhcp-options list
Listan är ändå inte hela gränsen för vad SFOS stöder. Sophos dokumenterar att brandväggen stöder alla DHCP-alternativobjekt från 1 till 255, medan CLI-listan bara visar alternativen 1 till 76. Egna eller leverantörsspecifika alternativ utanför denna visning kan därför fortfarande vara giltiga.
Visa bindningar för en DHCP-server:
system dhcp dhcp-options binding show dhcpname DHCP_Server_Avanet_LAN
Ett alternativ kan vid behov tas bort:
system dhcp dhcp-options delete optionname dhcp_magic_ip(234)
7. Vanliga felkällor
Om ett DHCP-alternativ är sparat men inte fungerar som förväntat på klienten beror det ofta på en av dessa punkter:
- Fel DHCP-server svarar på förfrågan.
- Fel område eller fel gränssnitt har redigerats.
- Datatypen passar inte till det förväntade värdet.
- IP-adress, FQDN, port eller sökväg är felstavad.
- Bootfilvägen passar inte till klientarkitekturen.
- Klienten förväntar sig en sträng, men alternativet har lagts till som en IP-adress.
- Tillverkaren använder leverantörsspecifika alternativ som kräver ytterligare parametrar.
- Leasing har inte förnyats efter ändringen.
- DHCP-relä används, även om alternativet har underhållits på Sophos Firewall.
Efter en ändring bör man förnya leasing på testklienten och kontrollera om klienten verkligen får de förväntade alternativen. Om beteendet fortfarande inte stämmer är en paketfångst ofta snabbare än att gissa: I DHCP-paketen ser man vilken server som svarar och vilka alternativ som faktiskt levereras.
8. Testa ändring
Efter att ha sparat ett DHCP-alternativ bör man inte bara vänta tills nästa klient någon gång hämtar en ny leasing. Bättre är en kontrollerad test med en känd enhet i det berörda nätverket.
Lämplig procedur:
- Anslut testklienten i rätt VLAN eller gränssnitt.
- Förnya gammal leasing eller starta om klienten.
- Kontrollera vilka DHCP-adress, gateway, DNS-server och ytterligare alternativ som har kommit fram.
- Testa målssystemet, till exempel PXE-start, WDS-start, tunn klientregistrering eller telefonprovisionering.
- Kontrollera i WebAdmin om leasing visas i det förväntade DHCP-området.
- Om resultatet inte stämmer, kontrollera med Packet Capture vilken DHCP-server som svarar och vilka alternativ som finns i erbjudandet eller ACK.
För en snäv fångst räcker det oftast med ett filter på UDP 67 och 68 mellan klient och DHCP-server. Användningen av WebAdmin-verktyget beskrivs i Använd Sophos Firewall Packet Capture i WebAdmin.
Vid PXE- och WDS-tester bör man dessutom dokumentera om testklienten använder BIOS eller UEFI. Många startproblem orsakas inte av DHCP i sig, utan av en bootfil som inte passar arkitekturen.
9. Felsökning efter symtom
Om DHCP-alternativ inte fungerar hjälper en symptomorienterad kontroll ofta snabbare än att skapa samma alternativ igen.
- Klienten får ingen IP-adress: DHCP-server, VLAN, interface eller relay stämmer inte. Kontrollera lease-lista, interface, VLAN och DHCP Relay.
- Klienten får IP men inget alternativ: Fel scope eller fel DHCP-server svarar. Kontrollera DHCP offer eller ACK med Packet Capture.
- PXE hittar servern men startar inte: Alternativ
67, filsökväg eller arkitektur stämmer inte. Kontrollera BIOS-/UEFI-bootfile och TFTP-/WDS-logg. - Tunn klient ansluter inte: Fel alternativkod, typ eller leverantörsvärde. Jämför leverantörsdokumentation och levererat värde.
- Ändringen börjar gälla senare: Klienten använder gammal lease. Förnya lease, starta om klienten eller beakta lease time.
- CLI-kommandot fungerar inte: DHCP-namn, alternativnamn eller parentesnotation är fel. Kontrollera
system dhcp dhcp-options listoch binding-output.
Om en annan DHCP-server svarar i fångsten bör man först klargöra nätverksdesignen. Två DHCP-servrar i samma broadcast-domän är en klassisk orsak till varierande beteende. Vid mer komplexa VLAN-, brygg- eller gränssnittsfrågor hjälper Planera och konfigurera Sophos Firewall-zoner och gränssnitt.
Vanliga frågor
Måste man konfigurera DHCP-alternativ på Sophos Firewall via CLI?
Varför kommer en DHCP-alternativ inte fram till klienten?
Var konfigureras DHCP-alternativ när Sophos Firewall bara använder DHCP-relä?
Vilka DHCP-alternativ behövs för PXE eller WDS?
66 för TFTP- eller distributionsservern och alternativ 67 för bootfilnamnet. Det rätta värdet beror dock på WDS, TFTP, BIOS/UEFI och klientarkitektur.