Ir al contenido
Avanet

Cambia Sophos Firewall Route Precedence de forma segura

El Route Precedence del Sophos Firewall determina el orden en el que se tienen en cuenta los diferentes tipos de ruta al seleccionar la ruta. Esto parece un pequeño ajuste, pero puede afectar inmediatamente al tráfico productivo. Es particularmente relevante cuando Rutas estáticas, Rutas de política SD-WAN y Rutas VPN se superponen.

El artículo explica cuándo tiene sentido un cambio, cuándo debe verificar otras causas primero y cómo documentar adecuadamente el cambio usando Device Console, probarlo y revertirlo si es necesario. Si primero desea planificar o probar una ruta SD-WAN normal, Configuración Sophos Firewall y prueba de ruta SD-WAN es adecuado.

Cuando Route Precedence es importante

Route Precedence adquiere importancia cuando, en teoría, varios mecanismos de enrutamiento se ajustan al mismo destino. Luego, el firewall debe decidir qué tipo de enrutamiento se evalúa primero.

Situaciones típicas:

  • Se puede llegar a una red de destino interna a través de una ruta estática y, además, a través de una ruta de política SD-WAN.
  • A route-based IPsec VPN uses XFRM interfaces and is simultaneously influenced by SD-WAN rules.
  • Un caso especial IPsec basado en políticas funciona con rutas manuales IPsec.
  • El tráfico generado por el sistema o los paquetes de respuesta toman una ruta inesperada después de un cambio SD-WAN.
  • Después de una actualización o migración de firmware, las rutas existentes se comportan de manera diferente a lo esperado.

Para casos especiales de IPsec, Route Precedence no es automáticamente la mejor solución. A menudo, primero es necesario comprender si se trata de un problema de enrutamiento clásico, una ruta IPsec, una regla SD-WAN, NAT o una regla de firewall.

Requisitos

  • Sophos Firewall en modo Puerta de enlace.
  • Acceso al Device Console, por ejemplo a través de SSH.
  • Documentación actual de rutas estáticas afectadas, rutas de política SD-WAN y conexiones VPN.
  • Ventana de mantenimiento o al menos una ruta alternativa cuando el tráfico productivo pueda verse afectado.
  • Acceso a Log Viewer y, en su caso, a Packet Capture.

Si el acceso a la consola aún no está configurado, Connect Sophos Firewall via SSH explica cómo acceder al Device Console. SSH solo debe permitirse desde redes confiables.

⚠️ Importante: Un cambio en el Route Precedence tiene un efecto global. No es sólo un túnel o ruta el que se ve afectado, sino el orden de los tipos de enrutamiento en el firewall. Por lo tanto, nunca debe realizar múltiples cambios de enrutamiento, NAT y SD-WAN al mismo tiempo.

Orden predeterminado

La documentación actual describe el siguiente orden estándar:

  1. Estático
  2. SD-WAN
  3. VPN

Los valores en el Device Console son:

  • static
  • sdwan_policyroute
  • vpn

Importante: Las conexiones SSL VPN pertenecen a la categoría static. Esto es particularmente relevante cuando se consideran en conjunto el tráfico de acceso remoto, las rutas estáticas y las reglas SD-WAN.

También es importante: las redes conectadas directamente se tratan como rutas estáticas en este contexto. Si sdwan_policyroute está frente a static y funciona una ruta SD-WAN con un destino muy amplio como Any, el tráfico interno puede dirigirse repentinamente hacia la puerta de enlace WAN. Esta es exactamente la razón por la que static es el punto de partida seguro en muchos entornos anteriores a sdwan_policyroute.

¿Qué orden es correcto?

No existe un orden correcto para cada diseño. El Route Precedence debe ajustarse al modelo de enrutamiento.

  • Rutas de Internet normales LAN, DMZ, VLAN, acceso remoto y SD-WAN: static sdwan_policyroute vpn Las redes conectadas directamente y las rutas estáticas no deben ser anuladas por rutas anchas SD-WAN.
  • IPsec basado en políticas se superpone con rutas estáticas o SD-WAN: vpn static sdwan_policyroute Utilícelo únicamente si las redes VPN realmente necesitan evaluarse primero. Luego verifique NAT, reglas de firewall y ruta de retorno.
  • La conmutación por error IPsec o WAN basada en rutas se controla deliberadamente a través de SD-WAN: dependiente del diseño, a menudo con SD-WAN antes de otro tipo de enrutamiento Pruebe la interfaz XFRM, los criterios SD-WAN, el estado de la puerta de enlace, NAT y Route Precedence juntos.
  • MTA, enrutamiento especial o escenarios prácticos individuales de Sophos: según escenario probado No copie ciegamente de un ejemplo. Siempre verifique las redes locales y las rutas de regreso.

Si un ejemplo de Sophos muestra un orden diferente, no se trata automáticamente de un nuevo estándar. Muchos ejemplos resuelven un problema concreto y especial. Lo que cuenta para un firewall productivo es qué redes de origen y de destino compiten realmente.

Límite antes del cambio

Route Precedence no debería ser la primera reacción cuando no se puede alcanzar una red de destino. Primero debes limitar el flujo de paquetes afectados.

Comprobar:

  1. ¿Qué origen y destino se ven afectados?
  2. ¿Qué zona y qué interfaz están implicadas?
  3. ¿Existe una ruta estática adecuada?
  4. ¿Existe una ruta de política SD-WAN que sea más amplia de lo planeado?
  5. ¿Está involucrada una ruta VPN o una interfaz XFRM?
  6. ¿Se aplica NAT o MASQ?
  7. ¿Se cumple la regla de firewall esperada en el Log Viewer?
  8. ¿Muestra Packet Capture la ruta de entrada y salida esperada?

Regla de prueba Sophos Firewall con Log Viewer y Packet Capture y Sophos Firewall usa Packet Capture en WebAdmin ayuda para el examen práctico. Para preguntas sobre NAT, Comprender NAT en Sophos Firewall encaja.

Ver Route Precedence actual

Los comandos se ejecutan en Device Console, no en Advanced Shell.

Mostrar orden actual:

system route_precedence show

El resultado debe documentarse antes de cualquier cambio. Lo mejor es anotar también la fecha, el motivo, las redes afectadas y el comportamiento esperado. Si es necesaria una reversión, se debe volver a establecer este orden exacto.

En el WebAdmin también puedes ver el Route Precedence actual en:

Routing > SD-WAN routes

Allí se mostrará en el área de consejos de ruta. El orden se cambia a través del Device Console.

Route Precedence cambio

La sintaxis es:

system route_precedence set [sdwan_policyroute] [static] [vpn]

El orden de los tres valores determina la prioridad. Un ejemplo típico coloca rutas estáticas delante de las rutas de política SD-WAN y las rutas VPN:

system route_precedence set static sdwan_policyroute vpn

Si esta orden ya está activa, el problema probablemente no esté en Route Precedence. Luego, debe verificar específicamente la búsqueda de rutas, las rutas de política SD-WAN, la configuración de IPsec, NAT, las reglas de firewall y las rutas de retorno.

Otro ejemplo coloca las rutas de política SD-WAN antes que las rutas estáticas:

system route_precedence set sdwan_policyroute static vpn
```Esto puede ser intencionado en ciertos diseños de SD-WAN, pero es riesgoso cuando las reglas amplias de SD-WAN funcionan con `Any` o grandes áreas de red. En tales casos, el acceso de administración, las redes internas o los paquetes de retorno pueden enrutarse inesperadamente a través de SD-WAN. El artículo [Sophos Firewall SD-WAN Verifique el enrutamiento de paquetes de respuesta y tráfico del sistema](/es/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/) explica estas interacciones con más detalle.

Para casos especiales IPsec basados en políticas, `vpn` también puede ser necesario en primer lugar:

```shell
system route_precedence set vpn static sdwan_policyroute

Esto solo debe hacerse si las rutas estáticas o SD-WAN anulan las redes remotas IPsec. Con IPsec basado en ruta con

Cambio de prueba

Después del ajuste, primero verifique el nuevo orden:

system route_precedence show

Luego pruebe el tráfico afectado específicamente. Un estado verde VPN o una ruta existente no es prueba suficiente.

Comprobar:

  • Conexión a la red de destino con ping, prueba TCP o prueba de aplicación.
  • Filtrar Log Viewer según origen, destino y regla de firewall.
  • Ejecute Packet Capture en la interfaz de entrada y salida.
  • Verificar búsqueda de ruta o regla SD-WAN afectada.
  • Verifique la regla NAT y la IP de origen traducida.
  • Comprobar el camino de retorno de la estación remota.
  • Pruebe el acceso a la gestión de WebAdmin y SSH desde redes de administración relevantes.

Si varias ubicaciones se ven afectadas, no debe verificar solo un cliente de prueba. Es mejor tener al menos un cliente por red relevante, un servidor de destino y un acceso remoto o prueba VPN si estas rutas se ven afectadas por el cambio.

Revertir

Una reversión no consiste en un valor predeterminado recomendado, sino en el orden previamente documentado.

Ejemplo:

system route_precedence set static sdwan_policyroute vpn

o:

system route_precedence set sdwan_policyroute static vpn

Verifique nuevamente después de la reversión:

system route_precedence show

Luego repita las mismas pruebas que después del cambio. Si esto hace que vuelva el error original, es una fuerte indicación de que el Route Precedence realmente está involucrado. Si nada cambia, la causa probablemente esté en otra parte.

Errores comunes

La regla SD-WAN es demasiado amplia

Si una ruta de política SD-WAN coincide con fuentes o destinos muy amplios, puede capturar más tráfico del planeado. Esto es particularmente peligroso si se prioriza SD-WAN sobre static. El acceso de administración o las redes de destino internas pueden ejecutarse inesperadamente a través de una ruta WAN.

Patrón típico:

  • Route Precedence está en sdwan_policyroute static vpn.
  • Una ruta SD-WAN utiliza Any como destino.
  • El tráfico generado por el sistema o los paquetes de respuesta también se evalúan a través de SD-WAN.

Entonces se puede perder el acceso a WebAdmin o SSH desde una subred interna, aunque aún se puede acceder al firewall desde otras redes.

El estado de VPN se confunde con el enrutamiento

Un túnel IPsec activo sólo prueba que el túnel ha sido negociado. No prueba que el firewall enrute el tráfico hacia el túnel, que NAT sea correcto o que la estación remota conozca el camino de regreso.

Con IPsec basado en políticas, es particularmente importante si las rutas estáticas o SD-WAN también se ajustan a las subredes remotas. En caso afirmativo, puede ser necesario vpn static sdwan_policyroute. Para IPsec basado en rutas, primero debe verificar la interfaz XFRM, la ruta, la ruta SD-WAN y las reglas del firewall.

NAT se pasa por alto

El enrutamiento decide dónde se envía un paquete. NAT decide si se cambia la dirección de origen o de destino. Si una ruta es correcta pero la ruta de regreso no funciona, a menudo está involucrada NAT o la ruta de regreso.

Múltiples cambios a la vez

Si las reglas Route Precedence, SD-WAN, NAT, reglas de firewall y parámetros VPN se cambian al mismo tiempo, el efecto difícilmente se puede atribuir claramente. Es mejor hacer un cambio, luego probar y luego hacer el siguiente cambio.

Lista de verificación

  • Route Precedence actual documentado con system route_precedence show.
  • Se señalan fuentes, destinos, redes y servicios afectados.
  • Rutas estáticas, rutas de política SD-WAN y rutas VPN marcadas.
  • Se tienen en cuenta las redes conectadas directamente y las rutas de gestión interna.
  • Rutas anchas SD-WAN identificadas con Any.
  • Se comprobaron las reglas de NAT y firewall.
  • Ventana de mantenimiento o ruta alternativa definida.
  • Cambio de set con orden exacto.
  • Después de la modificación Log Viewer, Packet Capture y prueba de aplicación realizada.
  • Se ha marcado el acceso a la gestión desde las redes de administración.
  • Orden de reversión documentada.

Preguntas frecuentes

¿Cuál es la prioridad de ruta predeterminada de Sophos Firewall?

El orden predeterminado es static, sdwan_policyroute, vpn. Se vuelve visible con system route_precedence show.

¿Dónde puede ver la precedencia de ruta en WebAdmin?

En WebAdmin puede ver el Route Precedence actual en Routing > SD-WAN routes en el área de aviso de ruta. Se cambia a través del Device Console por system route_precedence.

¿SSL VPN es parte de vpn o estático?

Sophos asigna conexiones SSL VPN a la categoría static. Esto es importante al comprobar el tráfico de acceso remoto y las reglas SD-WAN juntas.

¿Tiene que ajustar la prioridad de ruta para cada VPN?

No. Route Precedence es un ordenamiento global de tipos de enrutamiento. Para casos especiales de IPsec individuales basados ​​en políticas, una Ruta IPsec específica o una regla de enrutamiento/SD-WAN limpia suele ser mejor que un cambio global.

¿Por qué el túnel funciona pero no hay tráfico?

Porque el estado del túnel, el enrutamiento, la NAT, las reglas del firewall y la ruta de retorno son cosas diferentes. Se puede conectar un túnel mientras el tráfico sigue siendo mal manejado por Route Precedence, NAT o reglas de firewall. Para el análisis sistemático, Sophos Firewall IPsec VPN Solución de problemas es adecuado.

¿SD-WAN debería ir siempre antes que Static?

No. Eso depende del diseño. SD-WAN antes de Static puede ser útil si se debe priorizar conscientemente el enrutamiento de políticas. Sin embargo, también puede registrar incorrectamente el acceso a la administración o las redes internas si las reglas SD-WAN son demasiado amplias. Esto es particularmente crítico con los paquetes de respuesta o el tráfico generado por el sistema.