DHCP リレーの追加
Sophos Firewall を DHCP リレーエージェントとして設定すると、DHCP サーバーと異なるサブネット上にあるエンドポイント、サーバー、ルーターなどのクライアントに、リースされた IP アドレスとネットワークパラメータをリレーできます。
リレーエージェントのインターフェースは、クライアントのネットワークに属します。DHCP サーバーのインターフェースと同じにしないでください。
リレーエージェントを設定する
- 「ネットワーク > DHCP」の順に選択します。
- 「リレー」で「追加」をクリックします。
- 名前を入力します。
- エージェントがリレーするアドレスの「IP バージョン」を指定します。
-
Sophos Firewall がクライアントからの DHCP ブロードキャストクエリをリッスンする「インターフェース」を選択します。
このインターフェースは、DHCP クエリをサーバーに転送するときの送信元 IP アドレスとしても使用されます。DHCP サーバーは、保持している IP アドレスリース範囲がこのアドレスのサブネットと一致する場合に応答します。サブネットと同じ数のリレーエージェントを作成してください。
警告
選択したリレーエージェントのインターフェースが、DHCP クライアントと同じサブネット内にあることを確認してください。DHCP サーバーのインターフェースを、リレーエージェントのインターフェースとして指定しないでください。この場合、エージェントはクライアントのリクエストを転送しません。
DHCP サーバーが配置されているサブネットにリレーエージェントを設定しないでください。サーバーのサブネット内にあるクライアントには、IP アドレスが直接リースされます。
注
Sophos Firewall を、DHCPv6 サーバーおよび DHCPv6 リレーエージェントとして同時に設定することはできません。
DHCPv4 サーバーおよび DHCPv4 リレーとして同時に設定することはできますが、同じインターフェースは使用できません。
-
「DHCP サーバー IP」を選択します。
これは、DHCP サーバーの IP アドレスです。ここでは、最大 8個の DHCP サーバーを追加できます。Sophos Firewall は、クライアントのリクエストをすべてのサーバーに転送し、クライアントにサーバーの応答を転送します。クライアントは、最初に応えたサーバーに応答します。
-
ポリシーベースの IPsec VPN 経由で DHCP メッセージをリレーするには、「IPsec 経由のリレー」を選択します。
注
ファイアウォールの背後にある DHCP サーバーに DHCP トラフィックを転送するために、ルートベースの VPN を使用する場合は、「IPsec 経由のリレー」を選択する必要はありません。詳細は、DHCP トラフィックをルートベースの IPsec VPN 経由で DHCP サーバーに送信するを参照してください。
現在、DHCP サーバーとして設定されたファイアウォールインターフェースは、ルートベースの VPN トンネルをサポートしていません。
-
「保存」をクリックします。
ルートベースの VPN 経由の DHCP
ルートベースの IPsec トンネル経由で DHCP トラフィックを送信するには、以下のように設定する必要があります。
ルートベースの VPN トラフィックの設定
- ファイアウォールの WAN インターフェースを使って、ルートベースの IPsec VPN 接続を作成し、ローカルとリモートのサブネットを
Any(任意) に設定します。 - 両方のファイアウォールで、VPN トラフィックをルーティングするスタティックルート、SD-WAN ルート、またはダイナミックルートを設定します。
- IPsec VPN トンネルで、WAN からのデバイスアクセスを許可します。
-
以下のファイアウォールルールを設定し、VPN トラフィックを許可します。
- 支社のファイアウォールの送信方向ルール。
- 本社のファイアウォールの受信方向ルール。
DHCP トラフィックの設定
- 本社のファイアウォールで、DHCP トラフィックを許可する受信方向のファイアウォールルールを設定します。
-
支社のファイアウォールのインターフェースを DHCP リレーエージェントとして設定します。
注
DHCP リレートラフィックは、システムによって生成されます。支社のファイアウォールには、ファイアウォールルールは不要です。
その他のリソース