Aller au contenu
Avanet

Configurer et dépanner Sophos SD-RED

Avec un Sophos SD-RED, vous pouvez connecter des sites distants, des succursales ou de petits bureaux à domicile à un Sophos Firewall. Le RED établit un tunnel chiffré vers le pare-feu et fournit un réseau sur le site distant, géré de manière centralisée par le pare-feu.

L’avantage pratique : sur place, il n’est généralement pas nécessaire de configurer un VPN complexe. Le SD-RED se connecte à Internet, télécharge sa configuration via le service d’approvisionnement Sophos RED, puis établit le tunnel vers le Sophos Firewall. Cependant, le tunnel seul ne résout pas tout. Les zones, les règles de pare-feu, le DHCP, les VLAN, le routage, le DNS et le niveau de firmware doivent également être corrects.

Classification : SD-RED, tunnel RED et SFOS 22

Dans les nouveaux projets, il est important de distinguer clairement les sites SD-RED actuels des anciennes configurations RED site-à-site. Les configurations serveur/client RED héritées ne sont plus prises en charge dans SFOS 22.0 et versions ultérieures. Ces anciennes configurations doivent être vérifiées et migrées avant une mise à niveau.

Pour les appareils SD-RED actuels, RED reste un sujet pertinent pour les sites. Avec SFOS 21.5, une évolutivité accrue pour les tunnels SD-RED et RED site-à-site a été documentée. Pour les administrateurs, cela signifie que les nouveaux sites doivent être planifiés avec la logique SD-RED actuelle, tandis que les anciens tunnels RED hérités doivent être soigneusement vérifiés avant les mises à niveau SFOS-22.

Prérequis au site principal

Avant de connecter le RED, les points suivants doivent être clairs sur le Sophos Firewall :

  • Le service RED est activé sur le pare-feu.
  • L’adresse IP publique ou le nom DNS/DynDNS du pare-feu est accessible.
  • Les connexions RED au pare-feu sont autorisées sur le côté WAN.
  • RED est autorisé sous Administration > Device access pour la zone WAN appropriée ou spécifiquement autorisé via Local Service ACL.
  • L’interface RED, la zone et la configuration IP sont planifiées.
  • Les règles de pare-feu du réseau RED vers les réseaux cibles sont prévues.
  • Le DHCP, le relais DHCP ou l’adressage statique pour les clients derrière le RED est clarifié.
  • Le modèle de firmware RED sur le pare-feu est à jour.
  • La sauvegarde et le niveau de firmware du pare-feu sont documentés avant les modifications majeures.

Pour la communication RED, les ports TCP 3400, UDP 3410 et NTP 123 sont particulièrement pertinents. Ces connexions ne doivent pas être bloquées en cours de route par des routeurs de fournisseurs, des pare-feu en amont ou des passerelles de sécurité.

Prérequis au site distant

Sur le site distant, le SD-RED a besoin d’une connexion Internet propre. Ce qui est crucial, ce n’est pas seulement la bande passante, mais surtout la stabilité, la latence, la perte de paquets et si le fournisseur autorise les connexions nécessaires.

Il faut vérifier :

  • La connexion Internet est stable.
  • Le port WAN du RED reçoit une adresse par DHCP ou a une configuration statique correcte.
  • La passerelle par défaut est accessible.
  • Le DNS fonctionne.
  • Le NTP est accessible.
  • Les ports TCP 3400, UDP 3410 et NTP 123 ne sont pas bloqués.
  • Le routeur du fournisseur ou le pare-feu en amont ne fait pas de filtrage inattendu.
  • Pour les VLAN, il est clair quel port fonctionne en mode tagué, non tagué ou hybride.

Pour les sites simples, une petite connexion suffit souvent. En pratique, cependant, la perte de paquets, les routeurs grand public instables, le CGNAT, les problèmes DNS ou les pare-feu restrictifs des fournisseurs sont plus souvent la cause que la simple bande passante.

Sophos SD-RED 20 avec LED de statut à l'avant
Les LED du SD-RED indiquent le statut de démarrage, la connexion au routeur, la connexion Internet et le statut du tunnel.

Connecter le SD-RED

Procédure typique :

  1. Connecter le port WAN du SD-RED au routeur ou modem du fournisseur.
  2. Connecter le port LAN à un client de test, un commutateur ou un réseau local.
  3. Alimenter le SD-RED.
  4. Attendre que le RED démarre, vérifie la passerelle et Internet, charge la configuration et établisse le tunnel.
  5. Vérifier sur le Sophos Firewall si l’interface RED est active.
  6. Connecter un client de test derrière le RED et vérifier l’IP, le DNS, la passerelle et l’accès cible.

Si toutes les LED pertinentes sont vertes, le tunnel technique est établi. Ensuite, commence la vérification réelle du réseau : zone, DHCP, règles de pare-feu, retour de routage, DNS et, si nécessaire, VLAN.

Comprendre le statut des LED

Les LED de statut sont souvent le point d’entrée le plus rapide pour le dépannage RED, car elles indiquent à quel point le processus de démarrage est bloqué.

Légende :

  • ⚫ éteint
  • 🟢 allumé vert
  • 🟢 clignote vert
  • 🔴 allumé rouge
  • 🔴 clignote rouge

Selon l’angle de vue, la photo ou la lumière ambiante, une LED peut sembler jaunâtre ou orange. Pour le diagnostic, ce qui compte surtout, c’est quelle LED est allumée ou clignote et si elle est verte ou rouge.

Processus de démarrage normal

SystèmeRouteurInternetTunnelSignification
🟢 clignoteSD-RED démarre.
🟢Processus de démarrage terminé.
🟢🟢 clignoteConnexion à la passerelle ou au routeur en cours.
🟢🟢La passerelle par défaut est accessible.
🟢🟢🟢 clignoteVérification de la connexion Internet.
🟢🟢🟢Connexion Internet établie.
🟢🟢🟢🟢 clignoteÉtablissement du tunnel vers le Sophos Firewall.
🟢🟢🟢🟢Tunnel vers le Sophos Firewall établi.
🟢 clignote🟢 clignote🟢 clignote🟢 clignoteInstallation du firmware en cours. Ne pas éteindre l’appareil.

Si les quatre LED sont allumées en vert mais qu’aucun trafic ne fonctionne, le problème ne réside généralement plus dans l’établissement du tunnel. Les règles de pare-feu, le DHCP, les VLAN, le DNS, le NAT ou le routage sont alors plus probables.

Codes d’erreur

SystèmeRouteurInternetTunnelSignificationVérification suivante
🔴Échec de la configuration DHCP ou IP statiqueDHCP, câble WAN, IP statique, passerelle
🔴🟢Internet inaccessibleDNS, NTP, fournisseur, pare-feu en amont
🔴🟢🟢Pas de connexion au Sophos FirewallService RED, TCP 3400, UDP 3410, FQDN, code de déverrouillage
🔴🟢🟢🟢Pas de configuration ou problème de firmwareApprovisionnement, modèle de firmware RED, code de déverrouillage, cas de support

Basculement 3G/4G

Avec les modèles SD-RED dotés de basculement 3G/4G ou d’un module correspondant, des motifs supplémentaires peuvent apparaître.

SystèmeRouteurInternetTunnelSignification
🔴 clignote🟢 clignoteBasculement 3G/4G actif.
🔴 clignote🟢🟢 clignotePasserelle accessible, connexion Internet en cours.
🔴 clignote🟢🟢🟢 clignoteInternet établi, tunnel en cours d’établissement.
🔴 clignote🟢 clignote🟢 clignote🟢 clignoteTunnel établi via la connexion de basculement.

Contrôler les mises à jour du firmware

Si les LED clignotent ensemble, le RED est en train d’installer un firmware. À ce stade, il ne faut pas éteindre l’appareil ni le déconnecter d’Internet. Une mise à jour peut prendre quelques minutes.

Sur le Sophos Firewall, il faut également vérifier :

Backup & firmware > Pattern updates

Le modèle de firmware RED doit y être à jour. Si un RED est bloqué dans une boucle ou ne démarre plus correctement après une mise à jour du pare-feu, un modèle de firmware RED obsolète est une étape de vérification judicieuse.

Un souhait opérationnel connexe est décrit dans Sophos Firewall Feature Request 2024 : lors des mises à jour de firmware RED et des points d’accès, les notes de version directement visibles manquent souvent dans le backend. Pour les environnements de production, il est donc conseillé de planifier les mises à jour consciemment et de ne pas les installer de manière non coordonnée pendant les périodes critiques d’exploitation.

Vérifier l’interface RED, la zone et les règles

Après l’établissement réussi du tunnel, le RED a besoin d’une configuration de pare-feu propre.

Points de vérification typiques :

  • L’interface RED est active sous Network > Interfaces.
  • L’interface est dans la bonne zone.
  • Le serveur DHCP ou le relais DHCP est correctement configuré.
  • Les clients reçoivent une adresse IP, une passerelle et un DNS.
  • Les règles de pare-feu n’autorisent que les cibles nécessaires.
  • Le retour de routage vers le réseau RED fonctionne.
  • Le NAT n’est utilisé que s’il est consciemment planifié.
  • La configuration VLAN correspond au mode RED et au port du commutateur.

Pour les bases des règles, voir Comprendre et configurer correctement les règles de Sophos Firewall. Si le tunnel est établi mais que le trafic ne passe pas, il faut combiner Log Viewer et Packet Capture.

Pièges de mise à niveau et de migration

Vérifier le site-à-site RED hérité avant SFOS 22

Avant une mise à niveau vers SFOS 22 ou une version ultérieure, il faut vérifier s’il existe encore des configurations serveur/client RED héritées. Ces configurations RED site-à-site héritées ne sont plus prises en charge dans SFOS 22.0 et versions ultérieures.

Concrètement, cela signifie :

  • Inventorier les configurations RED et VPN avant la mise à niveau.
  • Identifier les configurations serveur/client RED héritées.
  • Planifier la migration vers des variantes RED site-à-site ou VPN prises en charge.
  • Après la migration, vérifier les règles de pare-feu, les zones, le routage et le DHCP.
  • Effectuer la mise à niveau uniquement lorsque les connexions de site ont été testées.

Pour une planification de mise à niveau plus large, voir également Planifier correctement la mise à jour du firmware Sophos Firewall.

Hôtes système RED après SFOS 21.5 MR1

Depuis SFOS 21.5 MR1, les objets hôtes système RED reçoivent le masque de sous-réseau /32 correct. Si ces objets générés automatiquement ont été utilisés auparavant dans des règles ou d’autres configurations pour plus d’une IP hôte, le trafic peut correspondre différemment après la mise à jour.

Après une mise à niveau, il faut donc vérifier :

  • Les hôtes système RED sont-ils utilisés dans les règles de pare-feu ?
  • Une règle attend-elle par erreur un réseau au lieu d’un seul hôte ?
  • Les objets IP Host ou Network Host doivent-ils être remplacés ?
  • Les correspondances de règles dans le Log Viewer sont-elles toujours correctes ?

Dépannage

Le RED ne reçoit pas d’adresse IP

Si le RED reste bloqué à l’étape du routeur ou si le code d’erreur indique DHCP ou passerelle, la cause se trouve généralement au site distant.

Vérifier :

  • Le routeur du fournisseur attribue-t-il une adresse IP par DHCP ?
  • Le câble réseau est-il correctement branché sur le port WAN ?
  • La passerelle par défaut est-elle accessible ?
  • Une adresse IP statique a-t-elle été entièrement saisie ?
  • L’adresse IP, le masque de sous-réseau, la passerelle et le DNS sont-ils corrects ?
  • Un appareil en amont bloque-t-il le trafic ?

Si le DHCP ne fonctionne pas sur le site distant, le RED peut entrer dans une boucle de redémarrage.

Le RED n’atteint pas Internet

Si le routeur ou la passerelle est accessible mais que la LED Internet ne devient pas verte en permanence, le problème se situe généralement derrière le routeur local.

Vérifier :

  • La connexion Internet fonctionne-t-elle avec un client normal ?
  • Le DNS fonctionne-t-il ?
  • Le NTP est-il accessible ?
  • Les ports TCP 3400, UDP 3410 ou NTP 123 sont-ils bloqués ?
  • Y a-t-il un proxy ou un pare-feu entre le RED et Internet ?
  • La connexion du fournisseur est-elle suffisamment stable ?

Pour l’approvisionnement RED, le RED doit atteindre le service d’approvisionnement Sophos. Dans de nombreux environnements, red.astaro.com sur TCP 3400 est pertinent.

Le RED n’atteint pas le Sophos Firewall

Si Internet est accessible mais que le tunnel ne s’établit pas, vérifiez le côté pare-feu.

Vérifier :

  • Le service RED est-il activé sur le Sophos Firewall ?
  • Le RED est-il correctement configuré ?
  • L’ID RED et le code de déverrouillage sont-ils corrects ?
  • L’IP publique ou le FQDN du pare-feu est-il accessible ?
  • Administration > Device access est-il autorisé pour RED dans la zone WAN appropriée ?
  • Une Local Service ACL autorise-t-elle l’accès depuis le site distant ?
  • Les ports TCP 3400 et UDP 3410 arrivent-ils sur le pare-feu ?

Dans l’Advanced Shell, vous pouvez vérifier si le trafic RED arrive :

tcpdump -ni any port 3400 or port 3410

Si rien n’arrive, le problème se situe généralement avant le pare-feu : routeur du fournisseur, NAT, pare-feu en amont, IP publique incorrecte, FQDN ou blocage de port.

Le RED redémarre sans cesse

Une boucle de redémarrage peut avoir plusieurs causes :

  • alimentation instable
  • adaptateur secteur défectueux
  • pas d’adresse IP par DHCP
  • configuration IP statique incorrecte
  • ports bloqués
  • modèle de firmware RED obsolète
  • code de déverrouillage incorrect
  • configuration RED endommagée ou incorrecte

Vérifiez d’abord l’alimentation, les câbles et le DHCP. Ensuite, contrôlez le modèle de firmware RED, l’accessibilité des ports et la configuration. Si le RED est recréé ou réinitialisé, l’ID RED et le code de déverrouillage doivent être documentés au préalable.

Le tunnel est vert, mais aucun trafic ne passe

Ce cas est particulièrement fréquent. Le RED est connecté, mais les clients n’atteignent aucun système interne ou Internet.

Causes possibles :

  • Règle de pare-feu manquante ou trop basse.
  • L’interface RED est dans la mauvaise zone.
  • Le DHCP distribue une passerelle ou des serveurs DNS incorrects.
  • Le retour de routage vers le réseau RED manque.
  • Le NAT traduit le trafic de manière inattendue.
  • Le marquage VLAN ne correspond pas.
  • Une fonctionnalité de sécurité bloque le trafic.

Ordre de vérification :

  1. Vérifiez l’IP, la passerelle et le DNS du client.
  2. Filtrez le Log Viewer sur l’IP source du client RED.
  3. Vérifiez la correspondance de la règle de pare-feu.
  4. Effectuez une capture de paquets sur l’interface RED et l’interface cible.
  5. Vérifiez le chemin de retour depuis le système ou le réseau cible.
  6. Contrôlez le NAT et le routage.

En cas de correspondances de règles peu claires, voir Tester une règle de pare-feu avec Log Viewer, Policy Test et Packet Capture.

Le trafic VLAN ne fonctionne pas

Avec le SD-RED 60, les scénarios VLAN sont possibles, mais le mode de port, l’ID VLAN et le mode RED doivent correspondre.

Vérifier :

  • Les ID VLAN sont corrects sur le pare-feu, le RED et le commutateur.
  • Le port RED est configuré comme Access, Hybrid ou Tagged Trunk de manière appropriée.
  • Le port du commutateur sur le site distant est correctement tagué ou non tagué.
  • Le DHCP et le DNS sont planifiés pour chaque VLAN.
  • Les règles de pare-feu existent pour les réseaux VLAN respectifs.
  • Le mode RED choisi prend en charge le scénario VLAN souhaité.

Pour le dépannage, un réseau de test non tagué simple est utile. Si cela fonctionne, la cause réside généralement dans l’ID VLAN, le marquage, le mode de port ou la configuration du commutateur.

Les points d’accès RED restent inactifs

Si les points d’accès RED ou les fonctions Wi-Fi restent inactifs dans les scénarios VLAN, l’option DHCP 234 peut être pertinente. Cela concerne surtout les cas où la communication RED ou des points d’accès passe par des interfaces VLAN.

Cette option ne doit être définie que si le scénario concret est adapté et qu’il est clair quelle IP d’interface de pare-feu les appareils doivent atteindre. Pour les problèmes généraux de connexion RED, l’option DHCP 234 n’est pas le premier pas.

L’approvisionnement hors ligne est écrasé

Si un RED a d’abord été approvisionné en ligne puis approvisionné hors ligne via USB, une ancienne configuration en ligne peut rester sur le serveur d’approvisionnement Sophos. Si le RED n’atteint pas le pare-feu, il peut se réapprovisionner en ligne et écraser la configuration USB.

Dans ce cas, le RED doit être réapprovisionné hors ligne. De plus, l’ancienne configuration en ligne doit être supprimée via le support Sophos.

Points de diagnostic sur le Sophos Firewall

Pour les problèmes RED, ces points sont utiles :

  • Network > Interfaces pour l’interface RED et le statut
  • Administration > Device access pour les autorisations de service RED
  • Rules and policies > Firewall rules pour le trafic du réseau RED
  • Diagnostics > Packet capture pour la vérification du chemin
  • Log viewer avec les événements RED, pare-feu et système
  • Backup & firmware > Pattern updates pour le modèle de firmware RED
  • Advanced Shell avec tcpdump

Pour les fichiers journaux et l’attribution des services, voir Dépannage Sophos Firewall : Services et journaux.

Liste de contrôle opérationnelle

Avant le déploiement :

  • ID RED et code de déverrouillage documentés.
  • Adresse publique du pare-feu ou FQDN vérifié.
  • TCP 3400, UDP 3410 et NTP 123 vérifiés.
  • Service RED et accès aux appareils planifiés sur le pare-feu.
  • Zone, DHCP, routage et règles de pare-feu définis.
  • Mode VLAN testé au besoin à l’avance.

Après la connexion :

  • Les LED indiquent un établissement de tunnel réussi.
  • L’interface RED est active.
  • Le client reçoit une IP, une passerelle et un DNS.
  • Le Log Viewer montre la règle de pare-feu attendue.
  • Les systèmes cibles internes et le chemin Internet fonctionnent comme prévu.
  • Le modèle de firmware est à jour.

En exploitation :

  • Vérifiez régulièrement le modèle de firmware RED.
  • Testez les connexions de site après les mises à niveau du pare-feu.
  • Supprimez ou migrez le site-à-site RED hérité avant SFOS 22.
  • Vérifiez les impacts /32 sur les hôtes système RED après SFOS 21.5 MR1.
  • Intégrez les sites RED dans la surveillance, la sauvegarde et la planification d’urgence.

FAQ

Quels ports sont nécessaires pour Sophos SD-RED ?

Pour la communication RED, les ports TCP 3400, UDP 3410 et NTP 123 sont particulièrement importants. Selon le réseau, le DNS et d’autres connexions peuvent également être pertinents pour l’approvisionnement, le temps et l’exploitation.

Pourquoi le tunnel RED est-il vert mais les clients n'atteignent rien ?

Le tunnel est alors établi, mais la configuration réseau derrière n’est probablement pas correcte. Souvent, il manque des règles de pare-feu, le DHCP est incorrect, l’interface RED est dans la mauvaise zone, le routage ou le NAT est défectueux ou le marquage VLAN ne correspond pas.

Que faut-il vérifier avant SFOS 22 pour RED ?

Avant SFOS 22, il faut vérifier s’il existe encore des configurations serveur/client RED héritées. Ces configurations RED site-à-site héritées ne sont plus prises en charge dans SFOS 22.0 et versions ultérieures.

Pourquoi les hôtes système RED sont-ils pertinents après une mise à niveau ?

Depuis SFOS 21.5 MR1, les objets hôtes système RED reçoivent le masque de sous-réseau /32 correct. Si ces objets ont été utilisés auparavant comme des objets réseau, les règles de pare-feu peuvent correspondre différemment après la mise à jour.

Faut-il éteindre un SD-RED pendant une mise à jour du firmware ?

Non. Si les LED indiquent une mise à jour du firmware, le SD-RED ne doit pas être éteint ni déconnecté d’Internet. Ensuite, il faut vérifier si le modèle de firmware RED sur le pare-feu est à jour.