Aller au contenu
Avanet

Créer une route IPsec sur Sophos Firewall

Sophos Firewall

En général, Sophos Firewall détecte lui-même par quel tunnel IPsec un réseau de destination est joignable. Avec un tunnel IPsec policy-based classique, le réseau distant est déjà défini dans la configuration du tunnel. Dans certaines situations, il peut toutefois être nécessaire de créer manuellement une route IPsec.

Les cas typiques sont une mauvaise sélection de route, des routes qui se chevauchent ou un réseau de destination qui ne passe pas par le tunnel IPsec attendu, mais part vers le WAN ou une autre route.

Conditions préalables

  • Accès à la Device Console, par exemple via SSH
  • Nom du tunnel IPsec
  • Host ou réseau de destination à atteindre via le tunnel
  • Connexion IPsec active ou correctement configurée
  • Règles de pare-feu adaptées au trafic entre le réseau local et le réseau distant

Si l’accès console n’est pas encore configuré, le guide Se connecter à Sophos Firewall via SSH explique comment se connecter et ouvrir la Device Console.

⚠️ Une route IPsec incorrecte peut envoyer le trafic dans le mauvais tunnel ou perturber des connexions existantes. Avant la modification, il faut vérifier le nom du tunnel, le réseau de destination et les routes existantes.

VPN policy-based ou route-based ?

Les routes IPsec sont surtout utiles dans les scénarios IPsec policy-based lorsque le trafic n’est pas correctement associé au tunnel. Avec les VPN route-based, on utilise généralement des routes statiques, des routes SD-WAN ou du routage dynamique vers l’interface du tunnel.

Sophos explique les concepts IPsec dans la documentation officielle : IPsec connections - Sophos Firewall.

Afficher les routes IPsec existantes

Les commandes suivantes s’exécutent dans la Device Console, pas dans l’Advanced Shell.

system ipsec_route show

Il faut documenter la sortie avant toute modification. Cela permet de vérifier ensuite si une route a été ajoutée ou doit être supprimée.

Créer une route IPsec pour un host

Si un seul host doit être joignable via un tunnel précis, on utilise host.

Syntaxe :

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Exemple :

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Créer une route IPsec pour un réseau

Si un réseau complet doit être joignable via le tunnel, on utilise net.

Syntaxe :

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Exemple :

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Sophos documente ces commandes ici : ipsec_route - Sophos Firewall.

Supprimer une route IPsec

Si la route n’est plus nécessaire ou a été configurée incorrectement, elle peut être supprimée.

Supprimer une route host :

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Supprimer une route réseau :

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Ensuite, vérifier à nouveau la liste :

system ipsec_route show

Tester la modification

Après la création ou la suppression d’une route IPsec, il faut tester le trafic concerné de manière ciblée :

  • Vérifier l’accessibilité du host ou réseau de destination avec ping ou traceroute
  • Contrôler le Log Viewer pour le trafic autorisé ou bloqué
  • Utiliser Packet Capture si nécessaire
  • Vérifier si les règles de pare-feu et NAT correspondent au trafic souhaité
  • Si plusieurs routes correspondent, contrôler la priorité de routage de Sophos Firewall

Remarque sur NAT

Une route IPsec définit le chemin vers le tunnel. Elle ne remplace pas les règles de pare-feu ou NAT. Si NAT est utilisé dans le scénario IPsec, la configuration NAT doit aussi être vérifiée. Sophos explique le routing et le NAT pour les tunnels IPsec dans la documentation officielle : Routing and NAT for IPsec tunnels.