Ir al contenido
Avanet

Configurar y probar rutas SD-WAN en Sophos Firewall

Sophos Firewall

Las Rutas SD-WAN en Sophos Firewall controlan qué ruta debe tomar cierto tráfico. Esto es útil para múltiples líneas WAN, MPLS, VPN IPsec basadas en rutas, VoIP, servicios en la nube o aplicaciones que deben ejecutarse a través de un proveedor específico.

En la práctica, los problemas de SD-WAN rara vez surgen del propio botón. Los criterios suelen ser demasiado amplios, las puertas de enlace se evalúan incorrectamente, las reglas NAT no son apropiadas, la precedencia de rutas es inesperada o las pruebas son demasiado imprecisas. Por lo tanto, el artículo no sólo cubre la ruta de clic, sino también la planificación, la aceptación y la resolución de problemas típicos.

Vídeo tutorial

El vídeo complementa la guía para planificar, configurar y validar SD-WAN routes en Sophos Firewall.

respuesta corta

Crea una ruta SD-WAN en Enrutamiento > Rutas SD-WAN. Debe quedar claro de antemano:

  • qué tráfico se debe controlar
  • qué origen, destino, servicios y usuarios se ven afectados
  • qué puerta de enlace o qué perfil SD-WAN se utiliza
  • si las rutas estáticas, las rutas VPN o la precedencia de ruta están compitiendo
  • si NAT coincide con la ruta
  • cómo verificar la ruta en el visor de registros y captura de paquetes

Una buena ruta SD-WAN es lo bastante específica para controlar solo el tráfico deseado. Una ruta demasiado amplia con Any puede afectar de repente a redes internas, acceso de administración o tráfico VPN.

Cuando las rutas SD-WAN tienen sentido

Las rutas SD-WAN son enrutamiento de políticas. Se utilizan cuando la tabla de enrutamiento normal por sí sola no expresa qué tráfico debe seguir qué ruta.

Casos típicos:

SituaciónUsando una ruta SD-WAN
dos o más líneas de internetEnvíe aplicaciones específicas a través de la línea preferida o de conmutación por error
VoIP o EquiposPriorice las líneas de baja latencia o baja fluctuación
Servicios en la nubeDirigirse a Microsoft 365, ERP o tráfico de respaldo
VPN IPsec basada en rutasControlar el tráfico mediante interfaz XFRM o perfil de puerta de enlace
MPLS o línea de sitioLlegue a las redes de destino internas a través de una ruta dedicada
Proveedor con enlace de IP de origenEnvíe tráfico exactamente a través de la conexión WAN que coincida con la IP pública permitida

Si solo es necesario llegar a una red de destino estática a través de un próximo salto claro, una ruta estática puede ser más simple y robusta. SD-WAN vale la pena cuando se necesitan criterios, selección de puerta de enlace, conmutación por error o evaluación del rendimiento.

Planifique con anticipación

Antes de crear, se debe describir específicamente el flujo de datos deseado. Una frase como “Los equipos deberían trabajar en WAN2” es demasiado imprecisa. Una matriz pequeña es mejor:

campoEjemplo
Zona de origenLAN
Red de origenClient_Net_10.20.0.0_24
DestinoGrupo de destino de Microsoft 365, grupo FQDN o red específica
ServiciosHTTPS, UDP 3478-3481 o servicios definidos
Usuario/Grupoopcional, solo si la coincidencia de usuarios funciona de manera estable
Puerta de enlace principalWAN2
ReservaWAN1
NATMASQ o IP SNAT fija que coincida con la puerta de enlace
pruebaIP del cliente, destino, puerta de enlace esperada, entrada de registro esperada

Cuanto más clara sea esta matriz, menos habrá que adivinar después. Especialmente con VoIP, VPN, servicios cloud y varias sedes, no conviene empezar con Any solo porque sea más rápido de configurar.

Requisitos

  • Sophos Firewall en modo puerta de enlace.
  • Al menos una puerta de enlace configurada en Red > Administrador de enlaces WAN o una ruta VPN/XFRM adecuada.
  • Redes de origen y destino conocidas.
  • Reglas de firewall adecuadas para el tráfico.
  • Reglas NAT apropiadas si es necesario traducir el tráfico.
  • Iniciar sesión en las reglas de firewall relevantes.
  • Acceda a Log Viewer y Diagnóstico > Packet Capture.

Adecuado para zonas, interfaces y gateways Configurar zonas e interfaces de Sophos Firewall. Si la ruta SD-WAN implica una VPN IPsec basada en rutas, además Crear ruta IPsec en Sophos Firewall ser leído.

Crear ruta SD-WAN

Ruta del menú:

Routing > SD-WAN routes
```Proceder:

1. Abra **Agregar**.
2. Asignar un nombre único, por ejemplo `Clients_M365_WAN2`.
3. Elija **Interfaz entrante** o contexto de origen para que coincida con el diseño.
4. Las redes de origen o los usuarios solo se configuran tan amplios como sea necesario.
5. Elija conscientemente las redes de destino, los hosts FQDN o los servicios de Internet.
6. Limite los servicios a los protocolos requeridos.
7. Seleccione perfiles de puerta de enlace o SD-WAN.
8. Verifique la ruta de conmutación por error o de respaldo.
9. Guarde la regla y colóquela adecuadamente en el orden.
10. Realizar una prueba con un cliente definido.

La interfaz exacta puede variar ligeramente según la versión de SFOS. Sin embargo, lo que sigue siendo crucial es que la ruta debe coincidir con el flujo deseado y no debe capturar accidentalmente más tráfico del planeado.

## Seleccione perfiles de puerta de enlace y SD-WAN

Las rutas SD-WAN pueden apuntar directamente a puertas de enlace o funcionar con perfiles SD-WAN. El enfoque correcto depende del objetivo.

| enfoque | Tiene sentido si |
| --- | --- |
| pasarela fija | El tráfico debe circular conscientemente sobre una línea |
| Puerta de enlace con respaldo | Se prefiere una línea, pero debería ser posible la conmutación por error |
| Perfiles SD-WAN | se pueden evaluar varias puertas de enlace según el peso, el SLA o la prioridad |
| Interfaz XFRM o ruta VPN | IPsec basado en rutas se incluye en el enrutamiento |

Si tiene varias líneas WAN, también debe verificar si el monitoreo de la puerta de enlace, los criterios de conmutación por error y el enrutamiento del proveedor son realistas. Una puerta de enlace puede estar técnicamente "activa" aunque una aplicación de destino específica no funcione correctamente a través de este proveedor.

## Verificar orden y precedencia de ruta

Las rutas SD-WAN no son independientes. Dependiendo de su diseño, compiten con redes conectadas directamente, rutas estáticas, rutas VPN y prioridad de ruta global.

Preguntas importantes:

- ¿Existe una ruta estática más específica hacia el destino?
- ¿Una ruta SD-WAN más amplia cabe más arriba?
- ¿Debería evaluarse SD-WAN antes o después de Static?
- ¿Se trata de una VPN IPsec basada en políticas o en rutas?
- ¿La ruta sólo afecta el tráfico de cliente reenviado o también los paquetes de respuesta y el tráfico generado por el sistema?

El orden global está en [Cambiar de forma segura la prioridad de ruta de Sophos Firewall](/es/kb/sophos-firewall-cambiar-la-prioridad-de-enrutamiento/) explicado. Adecuado para casos especiales **Paquetes de respuesta** y **Tráfico del sistema** [Sophos Firewall Compruebe el enrutamiento SD-WAN para paquetes de respuesta y tráfico del sistema](/es/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).

## No te olvides de NAT

El enrutamiento decide adónde va un paquete. NAT decide si se cambia la dirección de origen o de destino. Ambos tienen que encajar.

Ejemplos típicos:

- El tráfico de Internet a través de WAN2 puede necesitar MASQ o una IP SNAT fija en WAN2.
- Los proveedores o servicios en la nube sólo permiten una determinada IP pública.
- Para redes internas o VPN, la NAT suele ser incorrecta porque se debe conservar la IP de origen real.
- Después de la conmutación por error, la IP de origen público puede cambiar y los sitios remotos pueden cancelar sesiones.

Si una ruta SD-WAN funciona correctamente pero la aplicación aún falla, se debe verificar NAT desde el principio. Lo básico está en [Comprender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT](/es/kb/sophos-firewall-nat-basics/).

## Pruebas y Validación

Un estado de puerta de enlace verde no prueba que la ruta SD-WAN esté alcanzando el tráfico esperado. La prueba debe comprobar un flujo real.

Proceso significativo:

1. Utilice un cliente de prueba con IP conocida.
2. Especifique el objetivo y el servicio exactamente.
3. Habilite el registro de reglas de firewall.
4. Iniciar conexión.
5. En el **Log Viewer** marque Origen, Destino, Servicio, ID de regla, ID de NAT y Puerta de enlace.
6. Consulta el contador de uso de la ruta SD-WAN.
7. Si no está claro, utilice **Diagnóstico > Packet Capture** con un filtro estrecho.
8. La prueba falla en la puerta de enlace principal al validar la conmutación por error.
9. Después de la conmutación por recuperación, verifique si las sesiones y las nuevas conexiones se ejecutan como se esperaba.

Adecuado para análisis de flujo de paquetes [Prueba de reglas de Sophos Firewall con Log Viewer, Policy Test y Packet Capture](/es/kb/probar-reglas-sophos-firewall/). Importante: Policy Tester no reemplaza una prueba de flujo de paquetes real para SD-WAN.

## Errores comunes

| Error | Efecto | Mejor enfoque |
| --- | --- | --- |
| Destino `Any` por conveniencia | SD-WAN captura demasiado tráfico | Seleccione redes de destino, hosts FQDN o servicios de Internet de forma más específica |
| La ruta SD-WAN es demasiado alta | se anula una aplicación o ruta más específica | Consultar pedido y visitar mostrador |
| NAT no coincide con la puerta de enlace | La aplicación detecta una IP de origen incorrecta o interrupciones en la ruta de retorno | Verifique la regla NAT y MASQ/SNAT |
| La supervisión de la puerta de enlace es demasiado tosca | La puerta de enlace está activa aunque no se pueda acceder a la aplicación de destino | Elija SLA/objetivos de monitoreo que coincidan con el servicio |
| Route Precedence ignorada | La ruta estática o ruta VPN funciona de manera diferente a lo esperado | Precedencia de ruta de prueba y documento |
| Tráfico de respuestas mal clasificado | Las respuestas no siguen el camino esperado | Verifique la opción de captura de paquetes y paquete de respuesta |
| múltiples cambios al mismo tiempo | La causa sigue sin estar clara un cambio, una prueba, luego seguir adelante |

## Solución de problemas

Si la ruta SD-WAN no funciona como se esperaba, no debe "resolver" inmediatamente el error con reglas más amplias. Es mejor una demarcación clara.

Controlar:

1. ¿El paquete llega siquiera al firewall?
2. ¿Cumple con la regla de firewall esperada?
3. ¿Coincide la ruta SD-WAN según el medidor?
4. ¿Otra ruta SD-WAN más arriba es más específica o más amplia?
5. ¿El servicio realmente encaja, por ejemplo TCP/UDP y puerto?
6. ¿Se utiliza NAT y es lo que se desea?
7. ¿El paquete sale del firewall a través de la puerta de enlace esperada?
8. ¿Volverá la respuesta?
9. ¿Existe una ruta estática, una ruta VPN o una precedencia de ruta que influya en la ruta?

Si Packet Capture no ve ningún paquete, el problema está en el firewall: puerta de enlace del cliente, VLAN, conmutador, enrutamiento local o prueba incorrecta. Si el paquete llega pero sigue la ruta incorrecta, los siguientes puntos de control son los criterios, el orden, la NAT y la precedencia de ruta de SD-WAN.

## control operativo

Las rutas SD-WAN deben documentarse y verificarse periódicamente después de su introducción. Esto es particularmente importante al cambiar de proveedor, nuevas VPN, líneas WAN adicionales o cambios en los servicios en la nube.

Debes documentar:

- Objeto de la ruta
- Criterios de origen y destino
- Servicios
- Perfiles de puerta de enlace o SD-WAN
- expectativa NAT
- Comportamiento de conmutación por error
- Cliente de prueba y objetivo de prueba
- Propietario y fecha de revisión

Para las aplicaciones críticas para el negocio, también debe quedar claro quién tiene que reaccionar en caso de interrupciones del proveedor, problemas de conmutación por error o cambios en las IP públicas.

## Lista de verificación

- Se describen claramente el destino del tráfico y la intención de búsqueda de la ruta.
- La fuente, el destino y los servicios no se establecen de manera innecesariamente amplia.
- Perfiles de puerta de enlace o SD-WAN elegidos deliberadamente.
- La regla del firewall y la regla NAT coinciden con la ruta.
- Route Precedence comprobada.
- Los paquetes de respuesta y el tráfico generado por el sistema solo se incluyen cuando es necesario.
- Log Viewer y captura de paquetes utilizados para la aceptación.
- La conmutación por error y la conmutación por recuperación se probaron cuando formaban parte del diseño.
- Ruta documentada y provista por propietario.

## Preguntas frecuentes








  
¿Cuándo necesita una ruta SD-WAN en Sophos Firewall?

  

    Una ruta SD-WAN tiene sentido cuando cierto tráfico debe fluir a través de una ruta específica dependiendo del origen, destino, servicio, usuario o puerta de enlace. Para una red de destino simple, una ruta estática suele ser suficiente.
  












  
¿Por qué no funciona mi ruta SD-WAN?

  

    A menudo, el origen, el destino, el servicio, el orden o la precedencia de la ruta no coinciden. Además, una regla de firewall, una regla NAT o una ruta estática pueden afectar el flujo de paquetes real.
  












  
¿Se puede utilizar SD-WAN con IPsec basado en rutas?

  

    Sí, IPsec basado en rutas se puede integrar en diseños SD-WAN con interfaces XFRM y rutas adecuadas. Luego, se deben verificar juntos el estado de IPsec, la ruta SD-WAN, la precedencia de ruta, NAT y las reglas de firewall.
  












  
¿Deberías establecer siempre el Destino en Cualquiera?

  

    No. Any solo tiene sentido si la ruta debe controlar realmente todo el tráfico de destino de esta fuente. Para servicios cloud, VoIP, redes internas o VPN, los destinos más precisos suelen ser más seguros y fáciles de mantener.
  












  
¿Es suficiente el Policy Tester para realizar pruebas de SD-WAN?

  

    No. Policy Tester ayuda con la lógica de políticas, pero no reemplaza una prueba de flujo de paquetes real. Para SD-WAN, debe utilizar el visor de registros, el contador de visitas y la captura de paquetes.