Configurar Sophos SD-RED y solucionar errores
Con una Sophos SD-RED se pueden conectar sedes remotas, delegaciones u home offices a una Sophos Firewall en la sede principal de forma relativamente sencilla. La RED crea un túnel cifrado hacia la firewall y extiende la red de la sede principal a la ubicación remota.
La gran ventaja: en la ubicación remota normalmente no hace falta una configuración VPN compleja. La RED se conecta a Internet, descarga su configuración mediante Sophos RED Provisioning Service y después establece el túnel hacia la firewall.
Requisitos en la sede principal
- Sophos Firewall
- licencia Network Protection
- RED Service activo en la firewall
- dirección IP pública alcanzable o nombre DNS/DynDNS
- conexiones RED entrantes permitidas hacia la firewall
- reglas firewall adecuadas para el tráfico desde la red RED hacia la red de destino
- servidor DHCP o configuración de red adecuada para los clientes detrás de la RED
Sophos menciona TCP 3400, UDP 3410 y NTP 123 como requisitos importantes de comunicación. Estas conexiones no deben ser bloqueadas por routers del proveedor, firewalls previas o Security Gateways.
Requisitos en la ubicación remota
- Sophos SD-RED
- conexión a Internet
- DHCP en el router del proveedor o dirección estática correctamente configurada
- gateway predeterminado alcanzable
- DNS y sincronización horaria funcionando
- sin bloqueo de TCP 3400, UDP 3410 y NTP 123
Para ubicaciones sencillas, una conexión de al menos 5000/500 Kbit/s suele ser suficiente. Sin embargo, no solo importa el ancho de banda, sino también la estabilidad, la latencia, la pérdida de paquetes y si el proveedor deja pasar correctamente los puertos necesarios.
Conectar Sophos SD-RED
- Conectar el puerto WAN de la SD-RED al router o módem del proveedor en la ubicación remota.
- Conectar los puertos LAN de la SD-RED a un cliente, switch o a la red local de la ubicación remota.
- Alimentar después la SD-RED.
- La RED arranca, obtiene una dirección IP, comprueba el router, comprueba la conexión a Internet, descarga la configuración y establece el túnel hacia Sophos Firewall.
- Cuando todos los LEDs relevantes están en verde fijo, la conexión con la firewall está establecida.
En la sede principal se debe comprobar después si la interfaz RED en Sophos Firewall tiene la zona, configuración IP, configuración DHCP y reglas firewall adecuadas. El túnel por sí solo no significa que los clientes detrás de la RED puedan acceder automáticamente a todo.
Entender el estado LED durante el arranque
Los LEDs de estado son muy útiles para el troubleshooting RED, porque muestran en qué punto se queda bloqueada la conexión.
Leyenda:
- ⚫ apagado
- 🟢 verde fijo
- 🟢 verde intermitente
- 🔴 rojo fijo
- 🔴 rojo intermitente
Los códigos LED oficiales distinguen principalmente entre verde, rojo, intermitente y apagado. Según el ángulo, la foto o la luz ambiental, un LED puede parecer amarillento o naranja. Para el diagnóstico cuenta sobre todo qué LED está encendido o parpadea, y si es verde o rojo.
Arranque normal
| System | Router | Internet | Tunnel | Significado |
|---|---|---|---|---|
| 🟢 parpadea | ⚫ | ⚫ | ⚫ | La RED está arrancando. |
| 🟢 | ⚫ | ⚫ | ⚫ | El arranque ha finalizado. |
| 🟢 | 🟢 parpadea | ⚫ | ⚫ | La RED se conecta al gateway predeterminado o router. |
| 🟢 | 🟢 | ⚫ | ⚫ | El gateway predeterminado es alcanzable. |
| 🟢 | 🟢 | 🟢 parpadea | ⚫ | La RED se conecta a Internet. |
| 🟢 | 🟢 | 🟢 | ⚫ | La conexión a Internet está establecida. |
| 🟢 | 🟢 | 🟢 | 🟢 parpadea | La RED se conecta a Sophos Firewall. |
| 🟢 | 🟢 | 🟢 | 🟢 | El túnel hacia la firewall está establecido. |
| 🟢 parpadea | 🟢 parpadea | 🟢 parpadea | 🟢 parpadea | La RED instala nuevo firmware. No apagar la RED. |
Cuando los cuatro LEDs están en verde, la conexión técnica RED está establecida. Si aun así no fluye tráfico, el problema normalmente ya no está en el túnel, sino en reglas firewall, routing, NAT, VLANs o DHCP.
Códigos de error
| System | Router | Internet | Tunnel | Significado | Causa típica |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP o configuración IP estática fallida. | Sin DHCP, dirección estática incorrecta, gateway no alcanzable. |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet no alcanzable. | Router alcanzable, pero DNS, routing, proveedor o firewall previa bloquea. |
| 🔴 | 🟢 | 🟢 | ⚫ | Sin conexión con Sophos Firewall. | Comprobar RED Service, TCP 3400, UDP 3410, provisioning, alcanzabilidad de la firewall o Unlock Code. |
| 🔴 | 🟢 | 🟢 | 🟢 | Sin configuración disponible o actualización firmware fallida. | Comprobar configuración de provisioning, Firmware Pattern, Unlock Code o caso de soporte. |
Failover 3G/4G
En modelos SD-RED con failover 3G/4G o módulo correspondiente pueden aparecer patrones LED adicionales.
| System | Router | Internet | Tunnel | Significado |
|---|---|---|---|---|
| 🔴 parpadea | 🟢 parpadea | ⚫ | ⚫ | El failover 3G/4G está activo. |
| 🔴 parpadea | 🟢 | 🟢 parpadea | ⚫ | El gateway predeterminado es alcanzable y la conexión a Internet se está estableciendo. |
| 🔴 parpadea | 🟢 | 🟢 | 🟢 parpadea | Internet está activo, el túnel hacia la firewall se está estableciendo. |
| 🔴 parpadea | 🟢 parpadea | 🟢 parpadea | 🟢 parpadea | El túnel está activo mediante la conexión de failover. Este patrón solo se ve una vez establecido el túnel. |
No interrumpir una actualización firmware
Si después del arranque los LEDs de estado parpadean en rotación o todos juntos, la RED puede estar instalando firmware. En esta fase no se debe apagar la RED ni desconectarla de Internet. Una actualización firmware puede tardar varios minutos.
En Sophos Firewall también se debe comprobar en Backup & firmware > Pattern updates si el RED Firmware Pattern está actualizado. Si una RED queda en un bucle de conexión o se reinicia constantemente, un RED Firmware Pattern obsoleto puede ser una posible causa.
Problemas frecuentes después de una conexión correcta
Un túnel verde solo significa que la RED está conectada a la firewall. Después sigue siendo necesaria una configuración de red limpia.
Puntos típicos:
- La interfaz RED está en la zona correcta.
- DHCP para la red RED está configurado o el relay funciona.
- Las reglas firewall permiten tráfico desde la red RED hacia las redes destino requeridas.
- El routing de retorno hacia la red RED es correcto.
- NAT solo se usa donde realmente es necesario.
- DNS funciona para los clientes de la ubicación remota.
- En VLANs, el modo RED es adecuado.
Si los clientes detrás de la RED no reciben dirección IP, el problema suele ser DHCP o VLAN tagging. Si reciben una IP pero no llegan a sistemas internos, normalmente la causa está en reglas firewall, routing o DNS.
Troubleshooting: la RED no se conecta
La RED no recibe IP o no alcanza el gateway
Si la RED se queda bloqueada en el paso Router o el código de error apunta a DHCP o gateway, se revisa primero la ubicación remota.
Comprobar:
- ¿El router del proveedor entrega una IP por DHCP?
- ¿El cable de red está correctamente conectado al puerto WAN de la RED?
- ¿El gateway predeterminado es alcanzable?
- ¿Se configuró correctamente una dirección IP estática?
- ¿IP, máscara de subred, gateway y DNS son coherentes?
- ¿Un equipo previo bloquea el tráfico?
Si DHCP no funciona en la ubicación remota, la RED puede entrar en un bucle de reinicio porque no puede crear una conexión de red utilizable.
La RED no alcanza Internet
Si el router/gateway es alcanzable pero el LED Internet no queda en verde fijo, el problema suele estar detrás del router local.
Comprobar:
- ¿Funciona la conexión a Internet de la ubicación remota con un cliente normal?
- ¿Funciona DNS?
- ¿NTP es alcanzable?
- ¿El proveedor bloquea TCP 3400, UDP 3410 o NTP 123?
- ¿Hay una firewall o proxy entre la RED e Internet?
Para RED provisioning, la RED debe poder alcanzar el Sophos Provisioning Service. Sophos usa, entre otros, red.astaro.com en TCP 3400.
La RED no alcanza Sophos Firewall
Si Internet funciona pero el túnel no se establece, se comprueba el lado firewall.
Comprobar:
- ¿Está activado el RED Service en Sophos Firewall?
- ¿Se creó correctamente la interfaz RED?
- ¿Coinciden RED-ID y Unlock Code?
- ¿La dirección pública de la firewall o el FQDN es alcanzable?
- ¿Administration > Device access permite RED en la zona WAN correcta?
- ¿Una Local Service ACL permite la IP pública de la ubicación remota para RED Services si se restringió el acceso?
- ¿Llegan TCP 3400 y UDP 3410 a la firewall?
En la firewall, se puede comprobar con tcpdump en Advanced Shell si llega tráfico RED:
tcpdump -ni any port 3400 or port 3410
Si no llega nada, el problema suele estar delante de la firewall: router del proveedor, NAT, firewall previa, IP pública incorrecta o bloqueo de puertos.
La RED se reinicia constantemente
Un bucle de reinicio puede tener varias causas:
- alimentación inestable
- hardware defectuoso o problema de fuente de alimentación
- sin IP por DHCP
- configuración incorrecta o dañada
- RED Firmware Pattern obsoleto
- puertos TCP 3400 o UDP 3410 bloqueados
- Unlock Code incorrecto
Primero se comprueban alimentación, conexión de red y DHCP. Después se actualiza el RED Firmware Pattern en la firewall y se verifica si TCP 3400 y UDP 3410 son visibles en la firewall.
Si la configuración parece sospechosa, se puede recrear la RED o restablecerla a valores de fábrica. Antes, hay que asegurarse de que RED-ID y Unlock Code estén documentados correctamente.
El túnel está verde, pero no pasa tráfico
Este caso es muy frecuente: los LEDs RED parecen correctos, pero los clientes no alcanzan sistemas internos ni Internet.
Posibles causas:
- falta una regla firewall o está mal posicionada
- la interfaz RED está en la zona equivocada
- falta la ruta de retorno hacia la red RED
- NAT traduce el tráfico de forma inesperada
- DHCP distribuye gateway o DNS incorrectos
- UDP 3410 se filtra o bloquea de forma intermitente en el camino
En el Log viewer se comprueba si el tráfico desde la red RED es visible. Después ayudan Diagnostics > Packet capture y, si hace falta, tcpdump -ni any port 3410. Para problemas de reglas, el artículo Entender y configurar correctamente las reglas de Sophos Firewall resulta útil.
Sin tráfico VLAN a través de la RED
Con SD-RED 60 son posibles escenarios VLAN, pero el modo es decisivo. Sophos indica que el tráfico VLAN solo se procesa en el modo RED adecuado. Para trunks VLAN es especialmente importante si el puerto está configurado como Access, Hybrid o Tagged Trunk.
Comprobar:
- ¿Son correctos los VLAN IDs en la firewall y en la RED?
- ¿El puerto LAN de la RED está en el modo adecuado?
- ¿El puerto del switch en la ubicación remota está correctamente tagged o untagged?
- ¿Existen reglas firewall para las redes VLAN?
- ¿El modo de operación RED utilizado es adecuado para tráfico VLAN?
- ¿DHCP y DNS son correctos para las VLANs?
Si las VLANs no funcionan, primero se debería probar con una red untagged simple. Si funciona, el error muy probablemente está en VLAN-ID, tagging o modo de puerto.
Los RED Access Points quedan inactivos
Si una RED con módulo Wi-Fi o RED Access Point se reinicia en una VLAN, puede aparecer como Inactive. Sophos describe como posible causa una DHCP Option 234 faltante en la interfaz VLAN.
En este caso, la RED o el Access Point debe saber con qué IP de interfaz de firewall debe comunicarse. La DHCP Option 234 puede configurarse en Device Console. Es un caso especial y solo debería aplicarse si el escenario encaja realmente.
Offline Provisioning se sobrescribe de nuevo
Si una RED se provisionó primero online y después offline mediante USB, la configuración online antigua puede quedar en Sophos Provisioning Server. Si la RED no alcanza la firewall, puede provisionarse online de nuevo y sobrescribir la configuración USB.
En este caso, la RED debe volver a provisionarse offline. Además, se debe eliminar la configuración online antigua del RED Provisioning Server. Para ello hay que contactar con Sophos Support.
La interfaz RED no se puede crear o editar
Si una interfaz RED no se puede crear o guardar, estas suelen ser las causas:
- permiso de administrador insuficiente
- configuración RED contradictoria
- Unlock Code incorrecto
- la firewall no puede alcanzar el RED Provisioning Server
- configuración RED existente o en conflicto
Desde Sophos Firewall se puede probar la conexión al Provisioning Server:
telnet red.astaro.com 3400
Si DNS no resuelve o no es posible conectar, primero se debe revisar la conexión a Internet y DNS de la firewall.
Logs y puntos de diagnóstico importantes
Para problemas RED, estos puntos son especialmente útiles:
- Log viewer con eventos RED, firewall y sistema
- Diagnostics > Packet capture
- Advanced Shell con
tcpdump - estado de la interfaz RED en Network > Interfaces
- reglas firewall para la zona RED y zonas destino
- Device Access para RED Services
- RED Firmware Pattern en Backup & firmware > Pattern updates
Para archivos de log generales y nombres de servicios ayuda el artículo Entender servicios y archivos de log de Sophos Firewall.
Información adicional
Hay más detalles en los documentos oficiales de Sophos:
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Con una Sophos RED se puede conectar muy fácilmente una delegación u home office a la red corporativa. Sin embargo, en esas redes suele haber dispositivos que no están permanentemente bajo control directo de IT. Por eso también se deberían proteger los endpoints en redes RED, por ejemplo con Sophos Central Intercept X Essentials o Sophos Central Intercept X Advanced.