Configurer et tester une route SD-WAN Sophos Firewall
Les routes SD-WAN sur Sophos Firewall contrôlent l’itinéraire que certains trafics doivent emprunter. Ceci est utile pour plusieurs lignes WAN, MPLS, VPN IPsec basés sur des routes, VoIP, services cloud ou applications qui doivent fonctionner via un fournisseur spécifique.
En pratique, les problèmes SD-WAN proviennent rarement du bouton lui-même. Les critères sont généralement trop larges, les passerelles sont mal évaluées, les règles NAT ne sont pas appropriées, la priorité des routes est inattendue ou les tests sont trop imprécis. L’article ne couvre donc pas seulement le chemin de clic, mais également la planification, l’acceptation et le dépannage typique.
Guide vidéo
Réponse courte
Vous créez une route SD-WAN sous Routage > Routes SD-WAN. Il faut être clair au préalable :
- quel trafic doit être contrôlé
- quelle source, destination, services et utilisateurs sont concernés
- quelle passerelle ou quel profil SD-WAN est utilisé
- si les routes statiques, les routes VPN ou la priorité des routes sont en concurrence
- si NAT correspond à la route
- comment vérifier le chemin dans la visionneuse de journaux et la capture de paquets
Une bonne route SD-WAN est suffisamment précise pour ne contrôler que le trafic souhaité. Une route trop large avec Any peut sinon affecter soudainement des réseaux internes, l’accès d’administration ou le trafic VPN.
Quand les routes SD-WAN ont du sens
Les routes SD-WAN sont un routage de stratégie. Ils sont utilisés lorsque la table de routage normale à elle seule n’exprime pas quel trafic doit emprunter quel chemin.
Cas typiques :
| Situation | Utiliser une route SD-WAN |
|---|---|
| deux lignes Internet ou plus | Envoyer des applications spécifiques via la ligne préférée ou le basculement |
| VoIP ou équipes | Prioriser les lignes à faible latence ou à faible gigue |
| Services cloud | Cibler le trafic Microsoft 365, ERP ou de sauvegarde |
| VPN IPsec basé sur le routage | Contrôler le trafic via l’interface XFRM ou le profil de passerelle |
| MPLS ou ligne de site | Atteindre les réseaux cibles internes via un chemin dédié |
| Fournisseur avec liaison IP source | Envoyez le trafic exactement sur la connexion WAN qui correspond à l’adresse IP publique autorisée |
Si seul un réseau de destination statique doit être atteint via un prochain saut clair, une route statique peut être plus simple et plus robuste. Le SD-WAN est utile lorsque des critères, une sélection de passerelle, un basculement ou une évaluation des performances sont nécessaires.
Planifiez à l’avance
Avant de créer, le flux de données souhaité doit être spécifiquement décrit. Une phrase comme « Les équipes devraient travailler sur WAN2 » est trop imprécise. Une petite matrice c’est mieux :
| champ | Exemple |
|---|---|
| Zone source | LAN |
| Réseau source | Client_Net_10.20.0.0_24 |
| Destination | Groupe cible Microsoft 365, groupe FQDN ou réseau spécifique |
| Services | HTTPS, UDP 3478-3481 ou services définis |
| Utilisateur/Groupe | facultatif, uniquement si la correspondance des utilisateurs fonctionne de manière stable |
| Passerelle principale | WAN2 |
| Repli | WAN1 |
| NAT | MASQ ou IP SNAT fixe correspondant à la passerelle |
| tester | IP client, destination, passerelle attendue, entrée de journal attendue |
Plus cette matrice est claire, moins il faudra deviner ensuite. Surtout avec VoIP, VPN, services cloud et plusieurs sites, il ne faut pas commencer avec Any uniquement parce que c’est plus rapide à cliquer.
Exigences
- Sophos Firewall en mode passerelle.
- Au moins une passerelle configurée sous Réseau > Gestionnaire de liens WAN ou un chemin VPN/XFRM approprié.
- Réseaux sources et destinations connus.
- Règles de pare-feu appropriées pour le trafic.
- Règles NAT appropriées si le trafic doit être traduit.
- Connexion aux règles de pare-feu pertinentes.
- Accès à Visionneuse de journaux et Diagnostics > Packet Capture.
Convient aux zones, interfaces et passerelles Configurer les zones et les interfaces de Sophos Firewall. Si la route SD-WAN implique un VPN IPsec basé sur la route,Créer une route IPsec sur Sophos Firewall être lu.
Créer une route SD-WAN
Chemin du menu :
Routing > SD-WAN routes
```Procéder:
1. Ouvrez **Ajouter**.
2. Attribuer un nom unique, par exemple `Clients_M365_WAN2`.
3. Choisissez **Interface entrante** ou le contexte source pour correspondre à la conception.
4. Les réseaux sources ou les utilisateurs ne sont définis que dans la mesure nécessaire.
5. Choisissez consciemment les réseaux de destination, les hôtes FQDN ou les services Internet.
6. Limitez les services aux protocoles requis.
7. Sélectionnez les profils de passerelle ou SD-WAN.
8. Vérifiez le chemin de basculement ou de sauvegarde.
9. Enregistrez la règle et positionnez-la de manière appropriée dans l'ordre.
10. Réaliser un test avec un client défini.
L'interface exacte peut varier légèrement en fonction de la version SFOS. Ce qui reste cependant crucial, c'est que l'itinéraire doit correspondre au flux souhaité et ne doit pas capter accidentellement plus de trafic que prévu.
## Sélectionnez les profils de passerelle et SD-WAN
Les routes SD-WAN peuvent pointer directement vers des passerelles ou fonctionner avec des profils SD-WAN. La bonne approche dépend de l’objectif.
| approche | Cela a du sens si |
| --- | --- |
| passerelle fixe | Le trafic doit délibérément circuler sur une ligne |
| Passerelle avec sauvegarde | une seule ligne est préférable, mais le basculement devrait être possible |
| Profils SD-WAN | plusieurs passerelles peuvent être évaluées en fonction du poids, du SLA ou de la priorité |
| Interface XFRM ou chemin VPN | IPsec basé sur le routage est inclus dans le routage |
Si vous disposez de plusieurs lignes WAN, vous devez également vérifier si la surveillance de la passerelle, les critères de basculement et le routage du fournisseur sont réalistes. Une passerelle peut être techniquement « opérationnelle » même si une application cible spécifique ne fonctionne pas correctement via ce fournisseur.
## Vérifier l'ordre et la priorité des itinéraires
Les routes SD-WAN ne sont pas autonomes. Selon leur conception, ils entrent en concurrence avec les réseaux directement connectés, les routes statiques, les routes VPN et la priorité de route globale.
Questions importantes :
- Existe-t-il un itinéraire statique plus spécifique vers la destination ?
- Une route SD-WAN plus large peut-elle être appliquée plus haut ?
- Le SD-WAN doit-il être évalué avant ou après Static ?
- Un VPN IPsec basé sur des règles ou sur des routes est-il impliqué ?
- L'itinéraire affecte-t-il uniquement le trafic client transféré ou également les paquets de réponse et le trafic généré par le système ?
L’ordre mondial est en place [Modifier en toute sécurité la priorité de routage du Sophos Firewall](/fr/kb/changer-la-priorite-de-routage-de-sophos-firewall/) expliqué. Convient aux cas particuliers **Paquets de réponse** et **Trafic système** [Sophos Firewall Vérifier le routage SD-WAN pour les paquets de réponse et le trafic système](/fr/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).
## N'oubliez pas NAT
Le routage décide où va un paquet. NAT décide si l'adresse source ou de destination est modifiée. Les deux doivent s’accorder.
Exemples typiques :
- Le trafic Internet sur WAN2 peut nécessiter MASQ ou une IP SNAT fixe sur WAN2.
- Les fournisseurs ou les services cloud n'autorisent qu'une certaine adresse IP publique.
- Pour les réseaux internes ou les VPN, le NAT est souvent incorrect car la véritable adresse IP source doit être préservée.
- Après le basculement, l'adresse IP de la source publique peut changer et les sites distants peuvent abandonner les sessions.
Si une route SD-WAN fonctionne correctement mais que l'application échoue toujours, NAT doit être vérifié dès le début. Les bases sont là [Comprendre NAT sur Sophos Firewall : SNAT, DNAT, MASQ, PAT](/fr/kb/sophos-firewall-nat-basics/).
## Tests et validation
Un statut de passerelle verte ne prouve pas que la route SD-WAN atteint le trafic attendu. Le test doit vérifier un flux réel.
Processus significatif :
1. Utilisez un client de test avec une adresse IP connue.
2. Précisez exactement l’objectif et le service.
3. Activez la journalisation des règles de pare-feu.
4. Démarrez la connexion.
5. Dans la **Visionneuse de journaux**, vérifiez Source, Destination, Service, ID de règle, ID NAT et Passerelle.
6. Vérifiez le compteur d'utilisation de la route SD-WAN.
7. Si ce n'est pas clair, utilisez **Diagnostics > Packet Capture** avec un filtre étroit.
8. Testez l’échec de la passerelle principale lors de la validation du basculement.
9. Après la restauration, vérifiez si les sessions et les nouvelles connexions fonctionnent comme prévu.
Convient à l'analyse du flux de paquets [Test des règles du pare-feu Sophos avec Log Viewer, Policy Test et Packet Capture](/fr/kb/test-regles-sophos-firewall/). Important : Le Policy Tester ne remplace pas un véritable test de flux de paquets pour le SD-WAN.
## Erreurs courantes
| Erreur | Effet | Meilleure approche |
| --- | --- | --- |
| Destination `Any` pour plus de commodité | trop de trafic est capturé par le SD-WAN | Sélectionnez plus précisément les réseaux cibles, les hôtes FQDN ou les services Internet |
| La route SD-WAN est trop élevée | une application ou un itinéraire plus spécifique est remplacé | Vérifier la commande et frapper le compteur |
| NAT ne correspond pas à la passerelle | L'application détecte une adresse IP source incorrecte ou des ruptures de chemin de retour | Vérifiez la règle NAT et MASQ/SNAT |
| La surveillance de la passerelle est trop grossière | La passerelle est active même si l'application cible n'est pas accessible | Choisissez les objectifs SLA/surveillance qui correspondent au service |
| Priorité d'itinéraire ignorée | La route statique ou la route VPN fonctionne différemment que prévu | Documenter et tester la priorité des itinéraires |
| Trafic de réponse mal classé | Les réponses ne suivent pas le chemin attendu | Vérifier la capture des paquets et l'option du paquet de réponse |
| plusieurs changements en même temps | La cause reste floue un changement, un test, puis passe à autre chose |
## Dépannage
Si la route SD-WAN ne fonctionne pas comme prévu, vous ne devez pas « résoudre » immédiatement l’erreur avec des règles plus larges. Une démarcation claire est préférable.
Vérifier:
1. Le paquet atteint-il même le pare-feu ?
2. Répond-il à la règle de pare-feu attendue ?
3. La route SD-WAN correspond-elle selon le compteur ?
4. Existe-t-il une autre route SD-WAN située plus haut, plus spécifique ou plus large ?
5. Le service est-il vraiment adapté, par exemple TCP/UDP et port ?
6. Le NAT est-il utilisé et est-ce souhaité ?
7. Le paquet quitte-t-il le pare-feu via la passerelle attendue ?
8. La réponse reviendra-t-elle ?
9. Existe-t-il une route statique, une route VPN ou une priorité de route qui influence le chemin ?
Si Packet Capture ne voit aucun paquet, le problème vient du pare-feu : passerelle client, VLAN, commutateur, routage local ou test incorrect. Si le paquet arrive mais emprunte le mauvais chemin, les critères SD-WAN, l'ordre, le NAT et la priorité de route sont les prochains points de contrôle.
## Contrôle opérationnel
Les routes SD-WAN doivent être documentées et régulièrement vérifiées après leur introduction. Ceci est particulièrement important en cas de changement de fournisseur, de nouveaux VPN, de lignes WAN supplémentaires ou de modifications des services cloud.
Vous devez documenter :
- But de l'itinéraire
- Critères de source et de destination
- Services
- Profils de passerelle ou SD-WAN
- Attente NAT
- Comportement de basculement
- Client de test et cible de test
- Propriétaire et date d'examen
Pour les applications critiques pour l'entreprise, il convient également de savoir clairement qui doit réagir en cas de perturbations du fournisseur, de problèmes de basculement ou de modification des adresses IP publiques.
## Liste de contrôle
- La destination du trafic et l'intention de recherche de l'itinéraire sont clairement décrites.
- La source, la destination et les services ne sont pas définis de manière inutilement large.
- Profils de passerelle ou SD-WAN délibérément choisis.
- La règle de pare-feu et la règle NAT correspondent à la route.
- Priorité d'itinéraire vérifiée.
- Les paquets de réponse et le trafic généré par le système sont inclus uniquement lorsque cela est nécessaire.
- Log Viewer et Packet Capture utilisés pour l’acceptation.
- Basculement et restauration testés lorsqu'ils font partie de la conception.
- Itinéraire documenté et fourni avec le propriétaire.
## Questions fréquemment posées
Quand avez-vous besoin d’une route SD-WAN sur Sophos Firewall ?
Une route SD-WAN est logique lorsqu’un certain trafic doit circuler sur un chemin spécifique en fonction de la source, de la destination, du service, de l’utilisateur ou de la passerelle. Pour un réseau cible simple, une route statique peut souvent suffire.
Pourquoi ma route SD-WAN ne fonctionne-t-elle pas ?
Souvent, la priorité de la source, de la destination, du service, de la commande ou de l’itinéraire ne correspond pas. De plus, une règle de pare-feu, une règle NAT ou une route statique peut affecter le flux réel des paquets.
Pouvez-vous utiliser le SD-WAN avec IPsec basé sur le routage ?
Oui, IPsec basé sur les routes peut être intégré dans les conceptions SD-WAN avec des interfaces XFRM et des routes appropriées. Ensuite, l’état IPsec, la route SD-WAN, la priorité de route, les règles NAT et de pare-feu doivent être vérifiés ensemble.
Devez-vous toujours définir Destination sur N'importe laquelle ?
Non. Any n’a de sens que si la route doit réellement contrôler tout le trafic de destination provenant de cette source. Pour les services cloud, VoIP, les réseaux internes ou les VPN, des cibles plus précises sont généralement plus sûres et plus faciles à maintenir.
Le Policy Tester est-il suffisant pour les tests SD-WAN ?
Non. Le Policy Tester facilite la logique des politiques, mais ne remplace pas un véritable test de flux de paquets. Pour le SD-WAN, vous devez utiliser la visionneuse de journaux, le compteur d’accès et la capture de paquets.