Aller au contenu
Avanet

Changer la priorité de routage de Sophos Firewall

Sophos Firewall

Dans ce guide, nous expliquons comment vérifier et ajuster la route precedence sur Sophos Firewall. Ce réglage définit l’ordre dans lequel le pare-feu évalue les routes statiques, les SD-WAN Policy Routes et les routes VPN lors de la sélection d’une route.

Conditions préalables

  • Sophos Firewall avec SFOS 18.0 ou supérieur
  • Mode Gateway
  • Accès à la Device Console, par exemple via SSH
  • Fenêtre de maintenance si du trafic de production peut être concerné

Si l’accès console n’est pas encore configuré, le guide Se connecter à Sophos Firewall via SSH explique comment se connecter et ouvrir la Device Console.

⚠️ Modifier la route precedence peut influencer immédiatement le trafic de production. Avant l’ajustement, il faut documenter l’ordre actuel et identifier les routes statiques, SD-WAN Policy Routes et routes VPN concernées.

À quoi sert la route precedence ?

La route precedence définit quel type de routage est évalué en premier lorsque plusieurs routes correspondent à la même destination. C’est particulièrement important lorsque des routes statiques, des SD-WAN Policy Routes et des routes VPN se chevauchent.

Scénario fréquent : un réseau interne ne devrait être joignable que via une connexion IPsec ou une route statique, mais le pare-feu sélectionne une SD-WAN Policy Route et envoie le trafic vers le WAN. Dans ce cas, modifier la route precedence peut aider. Selon le design IPsec, une route IPsec peut aussi être la solution la plus propre.

Sophos documente cette commande ici : route_precedence - Sophos Firewall.

Types de routes

  • static : routes statiques. Selon Sophos, les connexions SSL VPN appartiennent aussi à cette catégorie.
  • sdwan_policyroute : SD-WAN Policy Routes ou routes basées sur des politiques.
  • vpn : routes VPN.

L’ordre par défaut est :

  1. Static
  2. SD-WAN
  3. VPN

Afficher le réglage actuel

Les commandes suivantes s’exécutent dans la Device Console, pas dans l’Advanced Shell.

system route_precedence show

Il faut noter la sortie avant toute modification. Si un rollback est nécessaire, le même ordre pourra être restauré.

Modifier l’ordre

Cet exemple place les routes statiques avant les SD-WAN Policy Routes et les routes VPN :

system route_precedence set static sdwan_policyroute vpn

Si la sortie actuelle affiche déjà static sdwan_policyroute vpn, la route precedence n’est probablement pas la cause du problème. Dans ce cas, il faut vérifier les routes statiques, les SD-WAN Policy Routes, la configuration VPN, les règles de pare-feu et les règles NAT.

Vérifier la modification

Afficher à nouveau le nouvel ordre :

system route_precedence show

Tester ensuite le trafic concerné de manière ciblée :

  • Tester la connexion au réseau de destination, par exemple avec ping ou traceroute
  • Contrôler le Log Viewer pour le trafic autorisé ou bloqué
  • Utiliser Packet Capture si nécessaire
  • Vérifier si des règles NAT ou de pare-feu influencent aussi le trafic

Rollback

Si le trafic ne fonctionne pas comme prévu après la modification, restaurer l’ordre documenté précédemment. Exemple :

system route_precedence set sdwan_policyroute static vpn

L’ordre exact doit correspondre à la sortie documentée avant la modification.