DHCP リレーの追加
Sophos Firewall を DHCP リレーエージェントとして設定すると、DHCP サーバーと異なるサブネット上にあるエンドポイント、サーバー、ルーターなどのクライアントに、リースされた IP アドレスとネットワークパラメータをリレーできます。
リレーエージェントのインターフェースは、クライアントのネットワークに属します。DHCP サーバーのインターフェースと同じにしないでください。
- 「ネットワーク > DHCP」の順に選択します。
- 「リレー」で「追加」をクリックします。
- 名前を入力します。
- エージェントがリレーするアドレスの「IP バージョン」を指定します。
-
Sophos Firewall がクライアントからの DHCP ブロードキャストクエリをリッスンする「インターフェース」を選択します。
このインターフェースは、DHCP クエリをサーバーに転送するときの送信元 IP アドレスとしても使用されます。DHCP サーバーは、保持している IP アドレスリース範囲がこのアドレスのサブネットと一致する場合に応答します。サブネットと同じ数のリレーエージェントを作成してください。
警告
選択したリレーエージェントのインターフェースが、DHCP クライアントと同じサブネット内にあることを確認してください。DHCP サーバーのインターフェースを、リレーエージェントのインターフェースとして指定しないでください。この場合、エージェントはクライアントのリクエストを転送しません。
DHCP サーバーが配置されているサブネットにリレーエージェントを設定しないでください。サーバーのサブネット内にあるクライアントには、IP アドレスが直接リースされます。
注
現在、ルートベース VPN 上に DHCP リレーを作成することはできません。したがって、XFRM インターフェースはリストに表示されません。
注
Sophos Firewall を、DHCPv6 サーバーおよび DHCPv6 リレーエージェントとして同時に設定することはできません。
DHCPv4 サーバーおよび DHCPv4 リレーとして同時に設定することはできますが、同じインターフェースは使用できません。
-
「DHCP サーバー IP」を選択します。
これは、DHCP サーバーの IP アドレスです。ここでは、最大 8個の DHCP サーバーを追加できます。Sophos Firewall は、クライアントのリクエストをすべてのサーバーに転送し、クライアントにサーバーの応答を転送します。クライアントは、最初に応えたサーバーに応答します。
-
IPsec VPN 接続経由で DHCP メッセージをリレーするには、「IPsec 経由のリレー」を選択します。
こうすることで、リレーエージェントが DHCP リクエストを IPsec トンネルインターフェースに転送できるようになります。
注
DHCP サーバーへのルートに変更がある場合、DHCP リレーは自動的に更新されます。たとえば、DHCP サーバーが Port1 と Port2 で使用可能で、Port1 がダウンした場合、DHCP リレーは自動的に Port2 の使用を開始します。
-
「保存」をクリックします。
ファイアウォールから DHCP サーバーへのスタティックルートまたは SD-WAN ポリシールートを設定します。
「IPsec 経由のリレー」を選択した場合は、リレーエージェントのファイアウォールの CLI で IPsec ルートと送信元 NAT を設定します。Web 管理コンソールで、リレーエージェントとサーバーインターフェース間のサイト間 IPsec 接続を設定します。Sophos Firewall を DHCP サーバーとして使用している場合は、CLI に移動して、IPsec 経由の IP アドレスリースを有効にします。