Ir al contenido
Avanet

Crear una ruta IPsec en Sophos Firewall

Sophos Firewall

Normalmente, Sophos Firewall detecta por qué túnel IPsec se alcanza una red de destino. En un túnel IPsec policy-based clásico, la red remota ya se define en la configuración del túnel. Sin embargo, en algunas situaciones puede ser necesario crear una ruta IPsec manualmente.

Casos típicos son una selección de ruta incorrecta, rutas solapadas o una red de destino que no pasa por el túnel IPsec esperado, sino que se envía hacia la WAN o por otra ruta.

Requisitos

  • Acceso a la Device Console, por ejemplo mediante SSH
  • Nombre del túnel IPsec
  • Host o red de destino que debe alcanzarse a través del túnel
  • Conexión IPsec activa o correctamente configurada
  • Reglas de firewall adecuadas para el tráfico entre la red local y la remota

Si el acceso por consola aún no está configurado, la guía Conectar a Sophos Firewall por SSH explica cómo conectarse y abrir la Device Console.

⚠️ Una ruta IPsec incorrecta puede enviar tráfico al túnel equivocado o interrumpir conexiones existentes. Antes del cambio, compruebe el nombre del túnel, la red de destino y las rutas existentes.

¿VPN policy-based o route-based?

Las rutas IPsec son útiles principalmente en escenarios IPsec policy-based cuando el tráfico no se asigna correctamente al túnel. En VPN route-based, normalmente se usan rutas estáticas, rutas SD-WAN o routing dinámico hacia la interfaz del túnel.

Sophos explica los conceptos de IPsec en la documentación oficial: IPsec connections - Sophos Firewall.

Mostrar rutas IPsec existentes

Los siguientes comandos se ejecutan en la Device Console, no en la Advanced Shell.

system ipsec_route show

Documente la salida antes de realizar cambios. Así podrá comprobar después si se añadió una ruta o si debe eliminarse de nuevo.

Crear una ruta IPsec para un host

Si solo un host debe alcanzarse por un túnel específico, use host.

Sintaxis:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Ejemplo:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Crear una ruta IPsec para una red

Si una red completa debe alcanzarse por el túnel, use net.

Sintaxis:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Ejemplo:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Sophos documenta estos comandos aquí: ipsec_route - Sophos Firewall.

Eliminar una ruta IPsec

Si la ruta ya no se necesita o se configuró incorrectamente, puede eliminarse.

Eliminar una ruta de host:

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Eliminar una ruta de red:

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Después, compruebe de nuevo la lista:

system ipsec_route show

Probar el cambio

Después de crear o eliminar una ruta IPsec, pruebe el tráfico afectado de forma específica:

  • Comprobar la conectividad al host o red de destino con ping o traceroute
  • Revisar el Log Viewer para tráfico permitido o bloqueado
  • Usar Packet Capture si es necesario
  • Comprobar si las reglas de firewall y NAT coinciden con el tráfico previsto
  • Si coinciden varias rutas, revisar la prioridad de enrutamiento de Sophos Firewall

Nota sobre NAT

Una ruta IPsec define el camino hacia el túnel. No sustituye reglas de firewall ni de NAT. Si se usa NAT en el escenario IPsec, la configuración NAT también debe revisarse. Sophos explica routing y NAT para túneles IPsec en la documentación oficial: Routing and NAT for IPsec tunnels.