Ir al contenido
Avanet

Verificar Sophos Firewall Cellular WAN y conmutación por error 4G/5G

Sophos Firewall

En una Sophos Firewall, Cellular WAN generalmente no es el acceso principal a Internet, sino una línea de respaldo: si la conexión de fibra óptica, DSL o cable falla, una conexión 4G o 5G debe mantener los servicios importantes accesibles. Por eso, no se debe verificar Cellular WAN solo en caso de interrupción.

En la práctica, la conmutación por error rara vez falla por un solo motivo. Más a menudo están involucrados la SIM/PIN, APN, mala calidad de señal, un Gateway mal configurado, verificaciones de salud SD-WAN incorrectas o una lógica de conmutación por error ausente. El artículo explica cómo planificar, probar y delimitar errores típicos de Cellular WAN.

Para el trabajo básico con interfaces, zonas y Gateways, primero consulte Configurar zonas e interfaces de Sophos Firewall. Si se trata de enrutamiento de tráfico propio de la Firewall, también es útil Verificar enrutamiento SD-WAN de Sophos Firewall para paquetes de respuesta y tráfico del sistema.

Cuándo es útil Cellular WAN

Cellular WAN es principalmente adecuado como componente operativo y de emergencia. No reemplaza una línea principal bien dimensionada, pero puede hacer que ubicaciones críticas sean más estables.

Casos de uso típicos:

  • pequeña oficina con respaldo 4G/5G para acceso a Internet
  • sucursal con conmutación por error SD-WAN en caso de interrupción del proveedor
  • ubicación temporal sin línea fija
  • ruta de respaldo para monitoreo, acceso de soporte o servicios centrales
  • respaldo para VPN de ubicación, si el ancho de banda y la tarifa lo permiten

Antes del despliegue, debe estar claro qué servicios deben continuar funcionando en la conmutación por error. Un enlace LTE o 5G con volumen de datos limitado generalmente no está destinado a soportar todo el tráfico normal de la ubicación de manera permanente.

Límites y decisiones importantes

Cellular WAN tiene sus propias limitaciones. Estos puntos deben aclararse antes de la configuración:

TemaPor qué es importante
Volumen de datosUna ubicación sin filtrar puede consumir rápidamente una cuota de datos móviles.
CGNATMuchos proveedores móviles no proporcionan una dirección IPv4 pública directamente accesible. Los servicios entrantes y algunos escenarios VPN deben planificarse de otra manera.
Calidad de señalUna red visible no es suficiente. Valores de señal débiles conducen a pérdida de paquetes, picos de latencia y pruebas de conmutación por error inestables.
Firewall del proveedorAlgunas tarifas bloquean conexiones entrantes o ciertos protocolos.
HACellular WAN debe estar desactivado en entornos HA de Sophos Firewall. Esto debe verificarse antes de un diseño HA.
MonitoreoLa conmutación por error debe ser monitoreada activamente. De lo contrario, a menudo solo se nota en caso de interrupción que la línea de respaldo no funciona.

Para entornos HA, Variantes y operación del clúster HA de Sophos Firewall es relevante, ya que Cellular WAN no puede tratarse como una interfaz sincronizada normal.

Requisitos previos

Antes de la configuración, deben estar disponibles los siguientes puntos:

  • módem 4G/5G compatible o módulo de comunicación móvil integrado
  • tarjeta SIM activa con tarifa de datos adecuada
  • PIN, si la SIM no se opera sin PIN
  • APN del proveedor
  • opcionalmente nombre de usuario y contraseña del proveedor
  • información sobre si el proveedor utiliza IP pública, IP privada o CGNAT
  • zona deseada de la interfaz Cellular WAN
  • lógica de conmutación por error SD-WAN o Gateway planificada
  • ventana de tiempo de prueba en la que se puede desactivar brevemente la línea principal

Si la línea móvil debe servir como respaldo productivo, también debe aclararse quién es responsable de la tarifa, el volumen de datos, el bloqueo de la SIM, el hardware de reemplazo y las pruebas regulares.

Configurar Cellular WAN

La interfaz exacta puede variar ligeramente según la versión de SFOS, el modelo de hardware y el módem. Sin embargo, el procedimiento práctico sigue siendo el mismo: reconocer el módem, configurar correctamente la SIM y el APN, verificar la interfaz y el Gateway, y luego probar la ruta de conmutación por error.

1. Preparar módem y SIM

Primero, el módem o módulo de comunicación móvil debe prepararse sin cambios apresurados en la Firewall.

Verificar:

  • La SIM está activa y no bloqueada.
  • El PIN es conocido o está desactivado en la SIM, si el modelo operativo lo prevé.
  • El APN corresponde a la tarifa empresarial, no a un perfil de consumidor o IoT incorrecto.
  • Las antenas están correctamente conectadas y posicionadas de manera sensata.
  • La ubicación tiene suficiente recepción para el proveedor deseado.

Con antenas exteriores, no solo debe considerarse la intensidad de la señal, sino también la ruta del cable. Cables de antena largos o de mala calidad pueden anular la ventaja de una mejor posición de la antena.

2. Verificar la interfaz Cellular WAN

Después de insertar el módem, la Sophos Firewall debería generar una interfaz o Gateway correspondiente o ofrecerla para configuración.

Verificar:

Network > Interfaces

Lo importante es:

  • La interfaz está activa.
  • La zona está configurada conscientemente, generalmente WAN.
  • Se obtiene una dirección IP.
  • Se crea un Gateway.
  • Los parámetros de DNS o del proveedor son adecuados para la operación planificada.
  • La interfaz no es accidentalmente miembro de un diseño inadecuado como LAG o HA.

Si la interfaz no aparece, primero debe reconocerse el módem. Solo después se deben verificar el APN, PIN y Gateway.

3. Planificar Gateway y perfil SD-WAN

Un Gateway Cellular WAN no debe colocarse simplemente sin verificar junto a la línea principal. Lo crucial es cuándo la Firewall considera el enlace como activo y qué tráfico puede pasar por él en la conmutación por error.

Verificar:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Para muchos entornos, un diseño claro basado en First-Available o SLA es sensato:

  • Preferir la línea principal.
  • Usar Cellular WAN solo en caso de falla o mala calidad de la línea principal.
  • Configurar Health Check con objetivos de prueba sensatos.
  • Priorizar objetivos críticos para el negocio.
  • Limitar servicios intensivos en ancho de banda o no críticos en la conmutación por error.

En las verificaciones de salud SD-WAN, no se debe usar solo una dirección interna o externa si esto puede causar fallas falsas. Los perfiles SD-WAN pueden usar verificaciones de salud con Ping o TCP y hasta dos objetivos de prueba. En entornos móviles, TCP a menudo es una adición realista si ICMP es poco confiable en el camino.

Verificar intensidad de señal por CLI

Desde SFOS 22.0 MR1, Sophos menciona en las notas de la versión el comando CLI:

system cellular_wan show

Este comando es útil cuando la interfaz solo muestra de manera general que Cellular WAN está conectado, pero se deben verificar detalles de señal o módem. Debe usarse y documentarse específicamente, especialmente en ubicaciones con cobertura móvil inestable.

⚠️ Los accesos CLI solo deben realizarse desde redes de administración confiables. Antes de usar, se debe verificar Conectar Sophos Firewall por SSH y el endurecimiento del acceso a través de Device Access y Local Service ACL.

Prácticamente, no se deben leer los valores de señal solo una vez. Es mejor una breve serie de mediciones:

  • operación normal
  • después de un cambio de antena
  • en mal tiempo o carga esperada
  • durante la conmutación por error activa
  • después de un cambio de ubicación o proveedor

Si la calidad de la señal varía mucho, la configuración de enrutamiento no es la causa real. Primero se debe verificar la posición de la antena, la cobertura del proveedor, el módulo, la SIM y la ubicación.

Probar conmutación por error

Una prueba de conmutación por error debe planificarse y realizarse de manera comprensible. Simplemente desconectar la línea principal y luego abrir solo un navegador es insuficiente.

Antes de la prueba:

  • Copia de seguridad de la configuración de la Firewall disponible.
  • Ruta primaria y de respaldo esperada documentada.
  • Usuarios afectados o responsables de la ubicación informados.
  • Volumen de datos y límites de tarifa conocidos.
  • Log Viewer y monitoreo abiertos.

Procedimiento de prueba:

  1. Verificar estado inicial: Gateway principal activo, Gateway Cellular WAN listo.
  2. Generar tráfico de prueba, por ejemplo, DNS, HTTPS, RDP, VPN o una aplicación empresarial definida.
  3. Desactivar controladamente la línea principal o hacer que falle deliberadamente la verificación de salud del Gateway.
  4. Verificar si SD-WAN o la conmutación por error del Gateway cambia a Cellular WAN.
  5. En el Log Viewer, verificar qué reglas de Firewall y rutas se utilizan.
  6. Probar la accesibilidad de los objetivos más importantes.
  7. Restaurar la línea principal.
  8. Verificar si la Firewall cambia de nuevo correctamente o permanece deliberadamente en la ruta de respaldo.

Para pruebas de reglas y rutas, consulte Probar regla de Firewall con Log Viewer, Policy Test y Packet Capture. Si surgen problemas de MTU o fragmentación, se debe incluir Verificar MTU y MSS de Sophos Firewall en problemas de VPN.

Registros y diagnóstico

Los problemas de Cellular WAN se distribuyen en varias fuentes de registro. Un solo registro rara vez prueba toda la causa.

PreguntaVerificación típica
¿Se reconoce el módem?mdev.log, syslog.log
¿Se genera una interfaz?networkd.log
¿Se activa un Gateway?Estado del Gateway, dgd.log, Log Viewer
¿Se utiliza la ruta correcta?Ruta SD-WAN, tabla de enrutamiento, Log Viewer
¿Se bloquea el tráfico?Regla de Firewall, NAT, filtro web, Application Control
¿Hay pérdida de paquetes o fragmentación?Packet Capture, iPerf, verificación MTU/MSS

Los archivos de registro más importantes están clasificados en el artículo Asignar correctamente los registros de servicio de Sophos Firewall.

Escenarios de error típicos

El módem no se reconoce

Primero, verifique los puntos físicos: módulo, puerto USB, fuente de alimentación, antenas, hardware compatible y versión de firmware. Luego verifique mdev.log y syslog.log. Si el módem no se reconoce en absoluto, el APN o SD-WAN aún no son relevantes.

La SIM está activa, pero no se establece conexión

Entonces, generalmente están involucrados el PIN, APN, perfil del proveedor o recepción. También es posible una SIM bloqueada después de varios intentos de PIN incorrectos. En tarifas empresariales, el APN no debe adivinarse, sino verificarse con el proveedor.

El Gateway está activo, pero no hay tráfico a través de Cellular WAN

Entonces, la causa a menudo radica en la ruta SD-WAN, prioridad del Gateway, regla de Firewall, NAT o falta de ruta de retorno. En el Log Viewer debería ser visible si el tráfico de prueba realmente utiliza la ruta de respaldo.

La conmutación por error funciona, pero las aplicaciones son inestables

La comunicación móvil tiene mayor latencia y fluctuaciones más fuertes que una línea fija. Las aplicaciones con sesiones sensibles, VoIP, transferencias de archivos grandes, VPN sobre VPN o RDP pueden reaccionar de manera diferente. Además, MTU/MSS y la pérdida de paquetes pueden jugar un papel.

La VPN funciona a través de la línea principal, pero no a través de Cellular WAN

En la comunicación móvil, CGNAT, filtros del proveedor, direcciones IP cambiantes y restricciones de protocolo son causas comunes. Para la VPN de ubicación, se debe verificar si la ruta móvil funciona como iniciador, si el punto remoto acepta IPs dinámicas y si la ruta de retorno es correcta.

Recomendaciones operativas

Cellular WAN debe operarse como una ruta de emergencia, no como una opción olvidada en la interfaz.

Reglas operativas sensatas:

  • Probar la conmutación por error al menos trimestralmente.
  • Monitorear el volumen de datos y los costos.
  • Documentar SIM, APN y contrato del proveedor.
  • Registrar posición de antenas y valores de señal.
  • Limitar tráfico no crítico en la conmutación por error.
  • Incluir el estado del Gateway y SD-WAN en el monitoreo.
  • Planificar una breve prueba de conmutación por error después de actualizaciones de firmware.
  • En la planificación HA, excluir temprano Cellular WAN o ajustar el diseño.

Si una ubicación depende de Cellular WAN, también debe documentarse la ruta de retorno: ¿Quién recibe una notificación de interrupción, quién puede desactivar la línea principal, quién verifica el proveedor móvil y cuándo se cambia de nuevo al funcionamiento normal?

Lista de verificación

  • Se reconoce el módem o módulo de comunicación móvil.
  • La SIM está activa y no bloqueada.
  • El PIN y APN son correctos.
  • La interfaz Cellular WAN tiene la zona correcta.
  • Se crea y monitorea el Gateway.
  • El perfil SD-WAN utiliza verificaciones de salud sensatas.
  • La conmutación por error se probó con tráfico de prueba real.
  • Las reglas de Firewall y NAT también son adecuadas en la ruta de respaldo.
  • Se conocen el volumen de datos y los costos.
  • Se documentaron los valores de señal.
  • Se consideraron las limitaciones de HA.
  • Se conocen las fuentes de registro y el proceso de soporte.

Preguntas frecuentes

¿Puede usarse Cellular WAN como línea principal?

Técnicamente, puede funcionar según la ubicación. Sin embargo, para la mayoría de las empresas, Cellular WAN es más bien una ruta de respaldo. El volumen de datos, la latencia, CGNAT, la calidad de señal fluctuante y las condiciones del proveedor deben verificarse antes de un funcionamiento continuo productivo.

¿Por qué el Gateway está activo, pero la ubicación aún no tiene Internet?

Un Gateway activo solo significa que la Firewall ve la ruta en principio. Luego, deben coincidir la ruta SD-WAN, la regla de Firewall, NAT, DNS, la ruta de retorno y las características de seguridad. Por eso, se debe verificar el tráfico de prueba específico en el Log Viewer.

¿Es suficiente un ping exitoso como prueba de conmutación por error?

No. El ping es una primera indicación, pero no una prueba de accesibilidad productiva. Además, deben probarse DNS, HTTPS, aplicaciones centrales, VPN, RDP u otros servicios realmente necesarios.

¿Funciona Cellular WAN en un clúster HA de Sophos Firewall?

Para HA, Cellular WAN debe estar desactivado. Si se requieren conmutación por error móvil y HA al mismo tiempo, se necesita un diseño separado, por ejemplo, a través de un dispositivo móvil previo o una arquitectura WAN diferente.

¿Qué comando CLI muestra detalles de Cellular WAN?

A partir de SFOS 22.0 MR1, el comando system cellular_wan show está disponible para verificar información de Cellular WAN como valores de señal a través de la CLI.