Ir al contenido
Avanet

Cambiar la prioridad de enrutamiento en Sophos Firewall

Sophos Firewall

En esta guía explicamos cómo comprobar y ajustar la route precedence en Sophos Firewall. Con esta opción se define el orden en el que el firewall evalúa rutas estáticas, SD-WAN Policy Routes y rutas VPN al seleccionar una ruta.

Requisitos

  • Sophos Firewall con SFOS 18.0 o superior
  • Modo Gateway
  • Acceso a la Device Console, por ejemplo mediante SSH
  • Ventana de mantenimiento si puede verse afectado tráfico productivo

Si el acceso por consola aún no está configurado, la guía Conectar a Sophos Firewall por SSH explica cómo conectarse y abrir la Device Console.

⚠️ Cambiar la route precedence puede afectar de inmediato al tráfico productivo. Antes de modificarla, documente el orden actual y compruebe qué rutas estáticas, SD-WAN Policy Routes y rutas VPN pueden verse afectadas.

¿Para qué sirve la route precedence?

La route precedence define qué tipo de ruta se evalúa primero cuando varias rutas coinciden con el mismo destino. Esto es especialmente importante cuando se solapan rutas estáticas, SD-WAN Policy Routes y rutas VPN.

Un escenario habitual: una red interna solo debería alcanzarse mediante una conexión IPsec o una ruta estática, pero el firewall selecciona una SD-WAN Policy Route y envía el tráfico hacia la WAN. En este caso, ajustar la route precedence puede ayudar. Según el diseño IPsec, una ruta IPsec también puede ser la solución más limpia.

Sophos documenta este comando aquí: route_precedence - Sophos Firewall.

Tipos de rutas

  • static: rutas estáticas. Según Sophos, las conexiones SSL VPN también pertenecen a esta categoría.
  • sdwan_policyroute: SD-WAN Policy Routes o rutas basadas en políticas.
  • vpn: rutas VPN.

El orden predeterminado es:

  1. Static
  2. SD-WAN
  3. VPN

Mostrar la configuración actual

Los siguientes comandos se ejecutan en la Device Console, no en la Advanced Shell.

system route_precedence show

Conviene documentar la salida antes de cualquier cambio. Si se necesita un rollback, se podrá restaurar exactamente el orden anterior.

Cambiar el orden

Este ejemplo coloca las rutas estáticas antes de las SD-WAN Policy Routes y las rutas VPN:

system route_precedence set static sdwan_policyroute vpn

Si la salida actual ya muestra static sdwan_policyroute vpn, probablemente la route precedence no sea la causa del problema. En ese caso, revise rutas estáticas, SD-WAN Policy Routes, configuración VPN, reglas de firewall y reglas NAT.

Comprobar el cambio

Vuelva a mostrar el nuevo orden:

system route_precedence show

Después pruebe el tráfico afectado de forma específica:

  • Probar la conexión a la red de destino, por ejemplo con ping o traceroute
  • Revisar el Log Viewer para tráfico permitido o bloqueado
  • Usar Packet Capture si es necesario
  • Comprobar si reglas NAT o de firewall también influyen en el tráfico

Rollback

Si el tráfico no funciona como se espera después del cambio, restaure el orden documentado anteriormente. Ejemplo:

system route_precedence set sdwan_policyroute static vpn

El orden exacto debe coincidir con la salida documentada antes del cambio.