DHCP

Le module DHCP se présente en un seul écran, sauf si le support d'IPv6 est activé. Si ce support est activé, le module DHCP se compose de deux onglets distincts et ce paramétrage s'effectue dans l'onglet DHCPv4.

Général


Ce bouton permet d'activer ou de désactiver l’utilisation du protocole DHCP sur le firewall (serveur ou relai).
Serveur  DHCP Envoie différents paramètres réseaux aux clients DHCP.
Relai DHCP Le mode relai DHCP est à utiliser lorsque l’on souhaite rediriger les requêtes clientes vers un serveur DHCP externe.

Service « Serveur DHCP »

Le service « serveur DHCP » présente 4 zones de configuration :

  • Paramètres par défaut. Ce menu est réservé à la configuration des paramètres DNS (nom de domaine, serveurs DNS primaire et secondaire) et de la passerelle par défaut envoyés aux clients DHCP.
  • Plage d’adresses. Par plage, vous spécifiez un groupe d’adresses destinées à être allouées aux utilisateurs. L’adresse est alors allouée pour le temps déterminé dans la configuration avancée.
  • Réservation. L’adresse allouée par le service est toujours la même pour les machines listées dans la colonne Réservation.
  • Configuration avancée. Ce menu permet d’activer ou non l’envoi du fichier de configuration automatique des proxies pour les machines clientes (WPAD : Web Proxy Autodiscovery Protocol). Il est également possible d’y préciser des serveurs additionnels (WINS, SMTP, POP3, etc.) et de personnaliser la durée d’affectation des adresses IP distribuées par le service DHCP.

Paramètres par défaut

Si l’option serveur DHCP a été cochée, il est possible ici de configurer des paramètres globaux, comme le nom de domaine, les serveurs DNS, etc. que les machines clientes vont utiliser.

Nom de domaine Nom de domaine utilisé par les machines clientes DHCP pour leur résolution DNS.
Passerelle La passerelle par défaut est la machine indiquant les routes à utiliser si l’adresse de destination n’est pas connue du client.
DNS primaire Sélectionnez le serveur DNS primaire qui sera envoyé aux clients DHCP. Il s’agit d’un objet de type machine. Si aucun objet n’est précisé, c’est le serveur DNS primaire du Firewall qui leur sera transmis.
DNS secondaire Sélectionnez le serveur DNS secondaire qui sera envoyé aux clients DHCP. Il s’agit d’un objet de type machine. Si aucun objet n’est précisé, c’est le serveur DNS secondaire du Firewall qui leur sera transmis.

Plage d’adresses

Pour qu’un serveur DHCP fournisse des adresses IP, il est nécessaire de configurer une réserve d’adresses dans laquelle il pourra puiser.

Les boutons d'action

Pour pouvoir ajouter ou supprimer des plages d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer.

Ajouter Permet d'ajouter une plage d’adresses. Sélectionnez ou créez une plage d’adresses IPv4 (objet réseau de type Plage d’adresses IP).
Supprimer Permet de supprimer une plage d’adresses, ou plusieurs plages d’adresses simultanément.

La grille affiche les plages d’adresses utilisées par le serveur DHCP pour la distribution d’adresses aux clients.

Plages d’adresses Sélectionnez un objet réseau de type Plage d’adresses IP dans la liste déroulante. Le serveur puisera dans cette réserve pour distribuer des adresses aux clients.
Si aucune interface protégée du Firewall n’a d’adresse IP dans le réseau englobant cette plage, un message d’avertissement « Pas d’interface protégée correspondant à cette plage d’adresse » est affiché.
Passerelle Ce champ permet d’affecter une passerelle par défaut spécifique aux clients DHCP.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ Passerelle par défaut de la section Paramètres qui est utilisée comme passerelle pour les clients DHCP.
DNS primaire Ce champ permet d’affecter un serveur DNS primaire spécifique aux clients DHCP.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ DNS primaire de la section Paramètres par défaut qui est utilisée comme serveur DNS pour le client.
DNS secondaire Ce champ permet d’affecter un serveur DNS secondaire spécifique aux clients DHCP.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ DNS secondaire de la section Paramètres par défaut qui est utilisée comme serveur DNS pour le client.
Nom de domaine Ce champ permet d’indiquer un nom de domaine spécifique qui sera utilisé par le client DHCP pour sa résolution DNS.
Si aucun nom n’est spécifié, la valeur « Domaine par défaut » est affichée dans cette colonne. C’est alors le nom de domaine indiqué dans le champ Nom de domaine de la section Paramètres par défaut qui est utilisé pour le client.

AVERTISSEMENTS
Deux plages d’adresses ne peuvent se chevaucher. Une plage d’adresses appartient à un unique bridge/interface.

Réservation

Bien qu’utilisant un serveur distribuant dynamiquement des adresses IP aux clients, il est possible de réserver une adresse IP spécifique pour certaines machines. Cette configuration se rapproche d’un adressage statique, mais rien n’est paramétré sur les postes clients, simplifiant ainsi leur configuration réseau.

Les boutons d'action

Pour pouvoir ajouter ou supprimer des réservations d’adresses, cliquez sur le bouton Ajouter ou le bouton Supprimer.

Ajouter Permet d'ajouter une réservation d’adresse IP pour un objet réseau spécifique de type machine.
Supprimer Permet de supprimer une réservation d’adresse IP. Si une réservation est supprimée, la machine concernée se verra attribuer aléatoirement une nouvelle adresse lors de son renouvellement.

La grille affiche les objets machines pour lesquels une réservation d’adresse est effectuée : ces objets seront obligatoirement définis à l’aide d’une adresse IPv4 et de leur adresse MAC. Cette dernière sert en effet d’identifiant unique du client pour l’obtention ou le renouvellement de son adresse IP réservée.

Réservation Ce champ contient le nom de l’objet réseau (machine) possédant une adresse IPv4 réservée.
Passerelle Ce champ permet d’affecter une passerelle par défaut spécifique à chaque client DHCP bénéficiant d’une réservation d’adresse.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ Passerelle par défaut de la section Paramètres qui est utilisée comme passerelle pour le client.
DNS primaire Ce champ permet d’affecter un serveur DNS primaire spécifique à chaque client DHCP bénéficiant d’une réservation d’adresse.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ DNS primaire de la section Paramètres par défaut qui est utilisée comme serveur DNS pour le client.
DNS secondaire Ce champ permet d’affecter un serveur DNS secondaire spécifique à chaque client DHCP bénéficiant d’une réservation d’adresse.
Sélectionnez un objet réseau de type « machine » dans la liste déroulante. Si aucun objet n’est sélectionné, la valeur « default » est affichée dans cette colonne. C’est alors la machine choisie dans le champ DNS secondaire de la section Paramètres par défaut qui est utilisée comme serveur DNS pour le client.
Nom de domaine Ce champ permet d’indiquer un nom de domaine spécifique qui sera utilisé par le client DHCP pour sa résolution DNS.
Si aucun nom n’est spécifié, la valeur « Domaine par défaut » est affichée dans cette colonne. C’est alors le nom de domaine indiqué dans le champ Nom de domaine de la section Paramètres par défaut qui est utilisé pour le client.

Configuration avancée

D’autres types de serveurs à utiliser peuvent être envoyés par le biais du service DHCP aux postes clients.

Filename Nom du fichier d'amorçage et de configuration que le poste client peut récupérer au démarrage.
Serveur SMTP Le serveur SMTP est utilisé pour envoyer des e-mails. Une liste déroulante permet de choisir l’objet de type machine correspondant à ce serveur.
Serveur POP3 Le serveur POP3 est utilisé pour recevoir des e-mails. Une liste déroulante permet de choisir l’objet de type machine correspondant à ce serveur.
Next-server Adresse du serveur hébergeant le fichier d'amorçage et de configuration des postes clients précisé dans le champ Filename.
Serveur de News (NNTP) Ce champ permet d'envoyer l'adresse du serveur de news aux clients DHCP. Ce serveur fournit le service NNTP, qui autorise les clients à lire les nouvelles Usenet.
Serveur TFTP Le serveur TFTP sert pour le boot à distance des machines.
Ce champ (champ option 150 : TFTP server address) peut être utilisé pour le démarrage d’équipements réseaux tels que des routeurs, des X-terminals ou des stations de travail sans disque dur.
Annoncer le fichier de configuration automatique des proxies (WPAD) Si cette option est cochée, le serveur DHCP distribue aux clients DHCP la configuration d’accès à Internet au travers d’un fichier d’auto-configuration de proxy (PAC : Proxy Auto Configuration) doté d’une extension « .pac ».  Ce fichier doit être renseigné dans les paramètres d’authentification (onglet Portail Captif du menu Configuration > Utilisateurs > Authentification). Il peut être rendu accessible depuis les interfaces internes et/ou externes (onglets Interfaces Internes et Interfaces Externes du menu Configuration > Utilisateurs > Authentification).
Mettre à jour les entrées des serveurs DNS Si cette option est cochée, les serveurs DNS sont dynamiquement mis à jour lorsque les informations contenues par le serveur DHCP sont modifiées.

Durée de bail attribuée

Par défaut (heure) Pour des raisons d’optimisation des ressources réseau, les adresses IP sont délivrées pour une durée limitée. Il faut donc indiquer ici le temps par défaut pendant lequel les stations garderont la même adresse IP.
Minimum (heure) Temps minimum pendant lequel les stations garderont la même adresse IP.
Maximum (heure) Temps maximum pendant lequel les stations garderont la même adresse IP.

Service « Relai DHCP »

Le service « relai DHCP » présente 2 zones de configuration :

  • Paramètres. Ce menu permet de configurer le ou les serveurs DHCP vers lesquels le firewall relaiera les requêtes DHCP des machines clientes.
  • Interfaces d’écoute et de sortie du service DHCP relai. La ou les interfaces réseau sur lesquelles le firewall est à l’écoute des requêtes DHCP clientes.

Paramètres

Serveur(s) DHCP La liste déroulante permet de sélectionner un objet machine, ou un objet groupe contenant des machines. Le Firewall relaiera les requêtes des clients vers ce(s) serveur(s) DHCP.
Adresse IP utilisée pour relayer les requêtes DHCP L’adresse IP renseignée dans ce champ comme source est alors utilisée pour les requêtes relayées.
Cette option permet par exemple aux utilisateurs locaux de bénéficier, au travers d’un tunnel IPsec de la configuration automatique des paramètres IP d’un serveur DHCP distant.
Celle-ci doit appartenir à l’extrémité locale de trafic pour pouvoir être prise en compte par le tunnel. Cette option n’est disponible uniquement pour un service DHCPv4 et via un tunnel VPN dont les extrémités de trafic sont paramétrées en IPv4.

NOTE
Ce fonctionnement n'est possible qu'avec un serveur DHCPv4 externe ; il n’est pas possible d’utiliser le service DHCP du firewall.

NOTE
Les extrémités de trafic du tunnel doivent être paramétrées en IPv4 et les extrémités de tunnel peuvent être définies en IPv4 ou en IPv6.


Si non renseignée, la sélection de l'adresse est automatique (sélection de l'@IP de l'interface en face du routage)
Relayer les requêtes DHCP pour toutes les interfaces Si cette case est cochée, le Firewall écoutera les requêtes des clients DHCP sur l’ensemble de ses interfaces réseaux. Dans ce cas, la grille de saisie Interfaces d’écoute et de sortie du service DHCP relai est grisée.

Interfaces d’écoute et de sortie du service DHCP Relai

Il s’agit d’indiquer :

  • Par quelles interfaces réseaux le Firewall va recevoir les requêtes des clients DHCP,
  • Par quelles interfaces réseaux le Firewall va joindre le(s) serveur(s) DHCP externe(s).

Le service de Relai DHCP présent sur le firewall peut également écouter sur l’interface utilisée par le VPN IPsec, afin de relayer les requêtes DHCP au travers ces tunnels.

Les interfaces d’écoute doivent comprendre les interfaces pour l’écoute de la requête côté client ainsi que les interfaces d’écoute de la réponse côté serveur.

Il faudra configurer le serveur DHCP de telle manière qu’il puisse distribuer des adresses IP aux clients qui passent à travers le relai.

 

Les boutons d'action

Pour pouvoir ajouter ou supprimer des interfaces d’écoute, cliquez sur le bouton Ajouter ou le bouton Supprimer.

Ajouter Ajoute une ligne dans la grille et ouvre la liste déroulante des interfaces du firewall pour y sélectionner une interface.
Supprimer Permet de supprimer une ou plusieurs interfaces d’écoute ou de sortie.