Ir al contenido
Avanet

Configurar y solucionar problemas de Sophos SD-RED

Con un Sophos SD-RED se pueden conectar sucursales, oficinas o pequeñas ubicaciones de teletrabajo a un Sophos Firewall. El RED establece un túnel cifrado con el firewall y proporciona una red en la ubicación remota que se gestiona centralmente a través del firewall.

La ventaja práctica: normalmente no se necesita una configuración VPN compleja en el lugar. El SD-RED se conecta a Internet, descarga su configuración a través del Sophos RED Provisioning Service y luego establece el túnel con el Sophos Firewall. Sin embargo, el túnel por sí solo no resuelve todo. También deben coincidir las zonas, reglas de firewall, DHCP, VLANs, enrutamiento, DNS y el estado del firmware.

Clasificación: SD-RED, túnel RED y SFOS 22

En nuevos proyectos, se debe distinguir claramente entre ubicaciones SD-RED actuales y configuraciones RED de sitio a sitio antiguas. Las configuraciones de servidor/cliente RED heredadas ya no son compatibles en SFOS 22.0 y versiones posteriores. Estas configuraciones antiguas deben revisarse y migrarse antes de una actualización.

Para los dispositivos SD-RED actuales, RED sigue siendo un tema relevante de ubicación. Con SFOS 21.5 también se documentó una mayor escalabilidad para SD-RED y túneles RED de sitio a sitio. Para los administradores, esto significa que las nuevas ubicaciones deben planificarse cuidadosamente con la lógica SD-RED actual, mientras que los túneles RED heredados deben revisarse conscientemente antes de las actualizaciones de SFOS 22.

Requisitos en la ubicación principal

Antes de conectar el RED, estos puntos deben estar claros en el Sophos Firewall:

  • El servicio RED está activado en el firewall.
  • La dirección IP pública o el nombre DNS/DynDNS del firewall es accesible.
  • Las conexiones RED al firewall están permitidas en el lado WAN.
  • RED está permitido bajo Administration > Device access para la zona WAN adecuada o se ha habilitado específicamente a través de Local Service ACL.
  • La interfaz RED, la zona y la configuración IP están planificadas.
  • Se han previsto reglas de firewall desde la red RED hacia las redes de destino.
  • Se ha aclarado DHCP, DHCP Relay o direccionamiento estático para los clientes detrás del RED.
  • El patrón de firmware RED en el firewall está actualizado.
  • Se ha documentado la copia de seguridad y el estado del firmware del firewall antes de realizar cambios importantes.

Para la comunicación RED, son especialmente relevantes TCP 3400, UDP 3410 y NTP 123. Estas conexiones no deben ser bloqueadas en el camino por routers de proveedores, firewalls intermedios o gateways de seguridad.

Requisitos en la ubicación remota

En la ubicación remota, el SD-RED necesita una conexión a Internet limpia. No solo es importante el ancho de banda, sino sobre todo la estabilidad, latencia, pérdida de paquetes y si el proveedor permite las conexiones necesarias.

Se debe verificar:

  • La conexión a Internet es estable.
  • El puerto WAN del RED recibe una dirección por DHCP o tiene una configuración estática correcta.
  • El gateway estándar es accesible.
  • DNS funciona.
  • NTP es accesible.
  • TCP 3400, UDP 3410 y NTP 123 no están bloqueados.
  • El router del proveedor o el firewall intermedio no realiza un filtrado inesperado.
  • En caso de VLANs, está claro qué puerto funciona como etiquetado, no etiquetado o híbrido.

Para ubicaciones simples, a menudo basta con una conexión pequeña. En la práctica, sin embargo, la pérdida de paquetes, routers de consumo inestables, CGNAT, problemas de DNS o firewalls restrictivos del proveedor son más a menudo la causa que el mero ancho de banda.

Sophos SD-RED 20 con LEDs de estado en el frente
Los LEDs del SD-RED muestran el estado de arranque, conexión del router, conexión a Internet y estado del túnel.

Conectar el SD-RED

Procedimiento típico:

  1. Conectar el puerto WAN del SD-RED al router del proveedor o módem.
  2. Conectar el puerto LAN a un cliente de prueba, switch o red local.
  3. Alimentar el SD-RED con energía.
  4. Esperar a que el RED arranque, verifique el gateway e Internet, cargue la configuración y establezca el túnel.
  5. Verificar en el Sophos Firewall si la interfaz RED está activa.
  6. Conectar un cliente de prueba detrás del RED y verificar IP, DNS, gateway y acceso a destino.

Si todos los LEDs relevantes están en verde, el túnel técnico está establecido. Luego comienza la verdadera verificación de la red: zona, DHCP, reglas de firewall, enrutamiento de retorno, DNS y, si es necesario, VLANs.

Provisioning manual con memoria USB

Normalmente un SD-RED se provisiona mediante Sophos RED Provisioning Service. El provisioning manual con memoria USB es útil cuando el dispositivo está en una red privada o muy restringida, necesita una configuración WAN estática o el camino de provisioning automático no es fiable.

El proceso es más preciso que solo copiar un archivo de provisioning a USB:

  1. En la firewall, comprobar en Administration > Time si la firewall es adecuada como servidor NTP para el escenario RED. En el setup manual, el RED debe obtener una hora válida para que el TLS handshake con la firewall funcione.
  2. En Network > Zones, crear una zona propia para sedes RED o usar una zona existente como VPN o WiFi. La zona LAN debería evitarse para RED, para que las reglas LAN no se apliquen involuntariamente a la sede remota.
  3. En System services > RED, activar el RED Provisioning Service.
  4. En Network > Interfaces > Add interface > Add RED, crear la interfaz RED.
  5. En Device deployment, seleccionar Manually via USB stick.
  6. Introducir RED ID, Unlock Code, uplink, RED network settings, zona, DHCP y VLANs según la sede.
  7. Descargar el archivo de provisioning generado en la interfaz RED.
  8. Copiar el archivo al directorio raíz de la memoria USB.
  9. Apagar el RED, insertar la memoria USB y volver a encender el RED.
  10. Tras el arranque, comprobar interfaz, LEDs, IP del cliente, DNS, regla de firewall y acceso a destinos.

Si el lado WAN del RED usa DHCP, en la sede remota debe responder realmente un servidor DHCP. Si el RED no recibe dirección, puede entrar en un bucle de reinicio. Con configuración WAN estática, IP, gateway, DNS y NTP deben revisarse con especial precisión.

Los RED offline también necesitan una hora válida. O bien el RED puede alcanzar los servidores NTP de Sophos, o se planifica una Local service ACL exception rule específica para que el RED pueda comunicarse desde la zona WAN hacia la firewall. La source debe ser solo la IP conocida del RED, la destination es el puerto WAN de la firewall, el service en este escenario es HTTPS y la action Accept. Esta excepción no sustituye abrir RED de forma amplia por WAN.

Entender el estado de los LED

Los LEDs de estado son a menudo la entrada más rápida para la solución de problemas del RED, ya que indican en qué punto se detiene el proceso de inicio.

Leyenda:

  • ⚫ apagado
  • 🟢 encendido verde
  • 🟢 parpadea verde
  • 🔴 encendido rojo
  • 🔴 parpadea rojo

Dependiendo del ángulo de visión, foto o luz ambiental, un LED puede parecer amarillento o naranja. Para el diagnóstico, lo que importa es principalmente qué LED está encendido o parpadeando y si es verde o rojo.

Proceso de arranque normal

SistemaRouterInternetTúnelSignificado
🟢 parpadeaSD-RED está arrancando.
🟢Proceso de arranque completado.
🟢🟢 parpadeaSe está estableciendo la conexión con el gateway o router.
🟢🟢El gateway estándar es accesible.
🟢🟢🟢 parpadeaSe está verificando la conexión a Internet.
🟢🟢🟢La conexión a Internet está establecida.
🟢🟢🟢🟢 parpadeaSe está estableciendo el túnel con el Sophos Firewall.
🟢🟢🟢🟢El túnel con el Sophos Firewall está establecido.
🟢 parpadea🟢 parpadea🟢 parpadea🟢 parpadeaSe está instalando el firmware. No apagar el dispositivo.

Si los cuatro LEDs están en verde, pero no funciona el tráfico, el problema generalmente ya no está en el establecimiento del túnel. Entonces, las reglas de firewall, DHCP, VLANs, DNS, NAT o enrutamiento son más probables.

Códigos de error

SistemaRouterInternetTúnelSignificadoPróxima verificación
🔴Falló la configuración de DHCP o IP estáticaDHCP, cable WAN, IP estática, gateway
🔴🟢Internet no accesibleDNS, NTP, proveedor, firewall intermedio
🔴🟢🟢Sin conexión al Sophos FirewallServicio RED, TCP 3400, UDP 3410, FQDN, código de desbloqueo
🔴🟢🟢🟢Sin configuración o problema de firmwareAprovisionamiento, patrón de firmware RED, código de desbloqueo, caso de soporte

Conmutación por error 3G/4G

En modelos SD-RED con conmutación por error 3G/4G o módulo correspondiente, pueden ocurrir patrones adicionales.

SistemaRouterInternetTúnelSignificado
🔴 parpadea🟢 parpadeaLa conmutación por error 3G/4G está activa.
🔴 parpadea🟢🟢 parpadeaGateway accesible, se está estableciendo la conexión a Internet.
🔴 parpadea🟢🟢🟢 parpadeaInternet está establecida, se está estableciendo el túnel.
🔴 parpadea🟢 parpadea🟢 parpadea🟢 parpadeaEl túnel está establecido a través de la conexión de conmutación por error.

Controlar actualizaciones de firmware

Si los LEDs parpadean juntos, el RED está instalando un firmware. En esta fase, no se debe apagar el dispositivo ni desconectarlo de Internet. Una actualización puede tardar varios minutos.

En el Sophos Firewall, también se debe verificar:

Backup & firmware > Pattern updates

Allí, el patrón de firmware RED debe estar actualizado. Si un RED está en un bucle o no arranca correctamente después de una actualización del firewall, un patrón de firmware RED obsoleto es un paso de verificación sensato.

Un deseo operativo relacionado se describe en Solicitud de características de Sophos Firewall 2024: En las actualizaciones de firmware de RED y puntos de acceso, a menudo faltan notas de lanzamiento visibles directamente en el backend. Para entornos productivos, las actualizaciones deben planificarse conscientemente y no instalarse de manera no coordinada durante tiempos críticos de operación.

Verificar interfaz RED, zona y reglas

Después de establecer con éxito el túnel, el RED necesita una configuración de firewall limpia.

Puntos de verificación típicos:

  • La interfaz RED está activa en Network > Interfaces.
  • La interfaz está en la zona correcta.
  • El servidor DHCP o el relé DHCP están configurados correctamente.
  • Los clientes reciben dirección IP, gateway y DNS.
  • Las reglas de firewall solo permiten los destinos necesarios.
  • El enrutamiento de retorno a la red RED funciona.
  • NAT solo se utiliza si está planificado conscientemente.
  • La configuración de VLAN coincide con el modo RED y el puerto del switch.

Para las bases de las reglas, consulte Entender y configurar correctamente las reglas de Sophos Firewall. Si el túnel está establecido pero el tráfico no fluye, se debe combinar Log Viewer y Packet Capture.

Trampas de actualización y migración

Verificar RED de sitio a sitio heredado antes de SFOS 22

Antes de una actualización a SFOS 22 o posterior, se debe verificar si aún existen configuraciones de servidor/cliente RED heredadas. Estas configuraciones RED de sitio a sitio heredadas ya no son compatibles en SFOS 22.0 y versiones posteriores.

Prácticamente, esto significa:

  • Inventariar las configuraciones RED y VPN antes de la actualización.
  • Identificar configuraciones de servidor/cliente RED heredadas.
  • Planificar la migración a variantes RED de sitio a sitio o VPN compatibles.
  • Después de la migración, verificar reglas de firewall, zonas, enrutamiento y DHCP.
  • Realizar la actualización solo cuando las conexiones de ubicación hayan sido probadas.

Para una planificación de actualización más amplia, consulte también Planificar correctamente la actualización de firmware de Sophos Firewall.

Hosts del sistema RED después de SFOS 21.5 MR1

Desde SFOS 21.5 MR1, los objetos de host del sistema RED reciben la máscara de subred /32 correcta. Si tales objetos se usaron anteriormente en reglas o configuraciones para más de una IP de host, el tráfico puede coincidir de manera diferente después de la actualización.

Después de una actualización, se debe verificar:

  • ¿Se utilizan hosts del sistema RED en reglas de firewall?
  • ¿Una regla espera erróneamente una red en lugar de un solo host?
  • ¿Deben reemplazarse objetos de IP Host o Network Host?
  • ¿Las coincidencias de reglas en el Log Viewer aún son correctas?

RED y failover HA

En entornos HA, las sedes RED deben probarse de forma consciente después de un failover. Sophos indica que los túneles RED no siempre se reconectan inmediatamente al dispositivo auxiliary tras un failover HA. La duración depende, entre otros factores, del número de interfaces y de la configuración.

Para sedes críticas no basta con revisar el estado HA de la firewall. También se debe comprobar:

  • estado de la interfaz RED tras el failover
  • acceso de clientes detrás del RED
  • matches relevantes de reglas de firewall
  • DNS y DHCP detrás del RED
  • alertas de monitoring ante interrupciones largas del túnel

Solución de problemas

RED no recibe dirección IP

Si el RED se detiene en el paso del router o el código de error indica DHCP o gateway, la causa generalmente está en la ubicación remota.

Verificar:

  • ¿El router del proveedor asigna una dirección IP por DHCP?
  • ¿El cable de red está correctamente conectado al puerto WAN?
  • ¿El gateway estándar es accesible?
  • ¿Se ha ingresado completamente una dirección IP estática?
  • ¿Coinciden la dirección IP, máscara de subred, gateway y DNS?
  • ¿Un dispositivo intermedio bloquea el tráfico?

Si DHCP no funciona en la ubicación remota, el RED puede entrar en un bucle de reinicio.

RED no alcanza Internet

Si el router o gateway es accesible, pero el LED de Internet no se vuelve verde permanentemente, el problema generalmente está detrás del router local.

Verificar:

  • ¿Funciona la conexión a Internet con un cliente normal?
  • ¿Funciona DNS?
  • ¿Es accesible NTP?
  • ¿Se bloquean TCP 3400, UDP 3410 o NTP 123?
  • ¿Hay un proxy o firewall entre el RED e Internet?
  • ¿La conexión del proveedor es lo suficientemente estable?

Para el aprovisionamiento RED, el RED debe alcanzar el Sophos Provisioning Service. En muchos entornos, red.astaro.com en TCP 3400 es relevante.

RED no alcanza el Sophos Firewall

Si Internet es accesible pero no se establece el túnel, se debe verificar el lado del firewall.

Verificar:

  • ¿Está activado el servicio RED en el Sophos Firewall?
  • ¿Está correctamente configurado el RED?
  • ¿Coinciden la ID del RED y el código de desbloqueo?
  • ¿Es accesible la IP pública o el FQDN del firewall?
  • ¿Está permitido Administration > Device access para RED en la zona WAN adecuada?
  • ¿Permite una Local Service ACL el acceso desde la ubicación remota?
  • ¿Llegan TCP 3400 y UDP 3410 al firewall?

En la Advanced Shell, se puede verificar si llega tráfico RED:

tcpdump -ni any port 3400 or port 3410

Si no llega nada, el problema generalmente está antes del firewall: router del proveedor, NAT, firewall intermedio, IP pública incorrecta, FQDN o bloqueo de puertos.

RED se reinicia constantemente

Un bucle de reinicio puede tener varias causas:

  • suministro de energía inestable
  • adaptador de corriente defectuoso
  • no se recibe dirección IP por DHCP
  • configuración IP estática incorrecta
  • puertos bloqueados
  • patrón de firmware RED obsoleto
  • código de desbloqueo incorrecto
  • configuración RED dañada o incorrecta

Primero, verificar suministro de energía, cables y DHCP. Luego, controlar el patrón de firmware RED, accesibilidad de puertos y configuración. Si se crea o restablece un nuevo RED, la ID del RED y el código de desbloqueo deben estar documentados previamente.

El túnel está verde, pero no fluye tráfico

Este caso es especialmente común. El RED está conectado, pero los clientes no alcanzan sistemas internos ni Internet.

Posibles causas:

  • Falta una regla de firewall o está demasiado baja.
  • La interfaz RED está en la zona incorrecta.
  • DHCP distribuye un gateway o servidores DNS incorrectos.
  • Falta el enrutamiento de retorno a la red RED.
  • NAT traduce el tráfico inesperadamente.
  • El etiquetado VLAN no coincide.
  • Una función de seguridad bloquea el tráfico.

Orden de verificación:

  1. Verificar IP del cliente, gateway y DNS.
  2. Filtrar en Log Viewer por la IP de origen del cliente RED.
  3. Verificar coincidencia de regla de firewall.
  4. Ejecutar Packet Capture en la interfaz RED y la interfaz de destino.
  5. Verificar el camino de retorno desde el sistema o red de destino.
  6. Controlar NAT y enrutamiento.

Para coincidencias de reglas poco claras, consulte Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture.

El tráfico VLAN no funciona

En SD-RED 60, los escenarios VLAN son posibles, pero el modo de puerto, la ID de VLAN y el modo RED deben coincidir.

Verificar:

  • Las IDs de VLAN coinciden en el firewall, RED y switch.
  • El puerto RED está configurado como Access, Hybrid o Tagged Trunk adecuadamente.
  • El puerto del switch en la ubicación remota está correctamente etiquetado o no etiquetado.
  • DHCP y DNS están planificados por VLAN.
  • Existen reglas de firewall para las respectivas redes VLAN.
  • El modo RED elegido admite el escenario VLAN deseado.

Para la solución de problemas, una red de prueba no etiquetada simple es útil. Si esta funciona, la causa generalmente está en la ID de VLAN, etiquetado, modo de puerto o configuración del switch.

Los puntos de acceso RED permanecen inactivos

Si los puntos de acceso RED o las funciones Wi-Fi en escenarios VLAN permanecen inactivos, la opción DHCP 234 puede ser relevante. Esto afecta principalmente a casos en los que la comunicación RED o de puntos de acceso se realiza a través de interfaces VLAN.

Esta opción solo debe establecerse si el escenario concreto lo permite y está claro qué IP de interfaz de firewall deben alcanzar los dispositivos. En problemas generales de conexión RED, la opción DHCP 234 no es el primer paso.

El aprovisionamiento offline se sobrescribe

Si un RED se aprovisionó primero en línea y luego se aprovisiona offline por USB, una configuración en línea antigua puede permanecer en el Sophos Provisioning Server. Si el RED no alcanza el firewall, puede volver a aprovisionarse en línea y sobrescribir la configuración USB.

Entonces, el RED debe aprovisionarse nuevamente offline. Además, la configuración en línea antigua debe eliminarse a través del soporte de Sophos.

Puntos de diagnóstico en el Sophos Firewall

Para problemas RED, estos puntos son útiles:

  • Network > Interfaces para la interfaz RED y estado
  • Administration > Device access para permisos de servicio RED
  • Rules and policies > Firewall rules para tráfico desde la red RED
  • Diagnostics > Packet capture para verificación de ruta
  • Log viewer con eventos RED, de firewall y del sistema
  • Backup & firmware > Pattern updates para el patrón de firmware RED
  • Advanced Shell con tcpdump

Para archivos de registro y asignación de servicios, consulte Solución de problemas de Sophos Firewall: Servicios y registros.

Lista de verificación operativa

Antes del despliegue:

  • Documentada la ID del RED y el código de desbloqueo.
  • Verificada la dirección pública del firewall o FQDN.
  • Verificados TCP 3400, UDP 3410 y NTP 123.
  • Planificado el servicio RED y Device Access en el firewall.
  • Definidas zona, DHCP, enrutamiento y reglas de firewall.
  • Probado el modo VLAN si es necesario.

Después de la conexión:

  • Los LEDs muestran un túnel exitoso.
  • La interfaz RED está activa.
  • El cliente recibe IP, gateway y DNS.
  • Log Viewer muestra la regla de firewall esperada.
  • Los sistemas de destino internos y la ruta a Internet funcionan como se planeó.
  • El patrón de firmware está actualizado.

En operación:

  • Verificar regularmente el patrón de firmware RED.
  • Probar conexiones de ubicación después de actualizaciones de firewall.
  • Eliminar o migrar RED de sitio a sitio heredado antes de SFOS 22.
  • Verificar los efectos de /32 en hosts del sistema RED después de SFOS 21.5 MR1.
  • Incluir ubicaciones RED en monitoreo, respaldo y planificación de contingencias.

Preguntas frecuentes

¿Qué puertos necesita Sophos SD-RED?

Para la comunicación RED, son importantes TCP 3400, UDP 3410 y NTP 123. Dependiendo de la red, también pueden ser relevantes DNS y otras conexiones para aprovisionamiento, tiempo y operación.

¿Por qué el túnel RED está verde, pero los clientes no alcanzan nada?

Entonces, el túnel está establecido, pero probablemente la configuración de red detrás no es correcta. A menudo faltan reglas de firewall, DHCP es incorrecto, la interfaz RED está en la zona incorrecta, el enrutamiento o NAT es defectuoso o el etiquetado VLAN no coincide.

¿Cuándo necesita un SD-RED provisioning manual por USB?

El provisioning manual es útil cuando el RED está en una red privada o muy restringida, necesita una configuración WAN estática o el provisioning automático no es fiable. NTP, archivo de provisioning, zona, Device Access y reglas de firewall deben planificarse especialmente bien.

¿Qué se debe verificar antes de SFOS 22 con RED?

Antes de SFOS 22, se debe verificar si aún existen configuraciones de servidor/cliente RED heredadas. Estas configuraciones RED de sitio a sitio heredadas ya no son compatibles en SFOS 22.0 y versiones posteriores.

¿Por qué son relevantes los hosts del sistema RED después de una actualización?

Desde SFOS 21.5 MR1, los objetos de host del sistema RED reciben la máscara de subred /32 correcta. Si tales objetos se usaron anteriormente como objetos de red, las reglas de firewall pueden coincidir de manera diferente después de la actualización.

¿Se debe apagar un SD-RED durante una actualización de firmware?

No. Si los LEDs indican una actualización de firmware, no se debe apagar el SD-RED ni desconectarlo de Internet. Después, se debe verificar si el patrón de firmware RED en el firewall está actualizado.