Configurer Sophos SD-RED et résoudre les erreurs
Avec une Sophos SD-RED, on peut relier assez simplement des sites distants, filiales ou home offices à une Sophos Firewall du site principal. La RED établit un tunnel chiffré vers la firewall et étend le réseau du site principal vers le site distant.
Le grand avantage : sur place, aucune configuration VPN complexe n’est généralement nécessaire. La RED est connectée à Internet, télécharge sa configuration via le Sophos RED Provisioning Service puis établit le tunnel vers la firewall.
Prérequis sur le site principal
- Sophos Firewall
- Licence Network Protection
- RED Service actif sur la firewall
- adresse IP publique joignable ou nom DNS/DynDNS
- connexions RED entrantes autorisées vers la firewall
- règles firewall adaptées pour le trafic du réseau RED vers le réseau cible souhaité
- serveur DHCP ou configuration réseau adaptée pour les clients derrière la RED
Sophos cite TCP 3400, UDP 3410 et NTP 123 comme exigences de communication importantes. Ces connexions ne doivent pas être bloquées par des routeurs provider, firewalls en amont ou Security Gateways.
Prérequis sur le site distant
- Sophos SD-RED
- connexion Internet
- DHCP sur le routeur provider ou adresse statique correctement configurée
- passerelle par défaut joignable
- résolution DNS et heure fonctionnelles
- aucune blocage de TCP 3400, UDP 3410 et NTP 123
Pour des sites simples, une connexion Internet d’au moins 5000/500 Kbit/s suffit souvent. La bande passante n’est toutefois pas le seul critère : stabilité, latence, perte de paquets et passage correct des ports requis par le provider sont tout aussi importants.
Connecter Sophos SD-RED
- Connecter le port WAN de la SD-RED au routeur provider ou modem du site distant.
- Connecter les ports LAN de la SD-RED à un client, un switch ou au réseau local du site distant.
- Alimenter ensuite la SD-RED.
- La RED démarre, obtient une adresse IP, vérifie le routeur, vérifie la connexion Internet, télécharge la configuration et établit le tunnel vers Sophos Firewall.
- Lorsque toutes les LEDs pertinentes sont vertes fixes, la connexion à la firewall est établie.
Sur le site principal, il faut ensuite vérifier que l’interface RED sur Sophos Firewall dispose de la zone, configuration IP, configuration DHCP et des règles firewall adaptées. Le tunnel seul ne signifie pas que les clients derrière la RED peuvent automatiquement tout atteindre.
Comprendre les LEDs au démarrage
Les LEDs d’état sont très utiles pour le troubleshooting RED, car elles montrent à quelle étape la connexion reste bloquée.
Légende :
- ⚫ éteint
- 🟢 vert fixe
- 🟢 vert clignotant
- 🔴 rouge fixe
- 🔴 rouge clignotant
Les codes LED officiels distinguent surtout vert, rouge, clignotant et éteint. Selon l’angle de vue, la photo ou la lumière ambiante, une LED peut paraître jaune ou orange. Pour le diagnostic, l’essentiel est de savoir quelle LED est allumée ou clignote, et si elle est verte ou rouge.
Démarrage normal
| System | Router | Internet | Tunnel | Signification |
|---|---|---|---|---|
| 🟢 clignote | ⚫ | ⚫ | ⚫ | La RED démarre. |
| 🟢 | ⚫ | ⚫ | ⚫ | Le démarrage est terminé. |
| 🟢 | 🟢 clignote | ⚫ | ⚫ | La RED se connecte à la passerelle par défaut ou au routeur. |
| 🟢 | 🟢 | ⚫ | ⚫ | La passerelle par défaut est joignable. |
| 🟢 | 🟢 | 🟢 clignote | ⚫ | La RED se connecte à Internet. |
| 🟢 | 🟢 | 🟢 | ⚫ | La connexion Internet est établie. |
| 🟢 | 🟢 | 🟢 | 🟢 clignote | La RED se connecte à Sophos Firewall. |
| 🟢 | 🟢 | 🟢 | 🟢 | Le tunnel vers la firewall est établi. |
| 🟢 clignote | 🟢 clignote | 🟢 clignote | 🟢 clignote | La RED installe un nouveau firmware. Ne pas éteindre la RED. |
Lorsque les quatre LEDs sont vertes, la connexion technique RED est établie. Si aucun trafic ne passe ensuite, le problème n’est généralement plus le tunnel lui-même, mais les règles firewall, le routing, le NAT, les VLANs ou DHCP.
Codes d’erreur
| System | Router | Internet | Tunnel | Signification | Cause typique |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP ou configuration IP statique échoué. | Pas de DHCP, adresse statique incorrecte, gateway non joignable. |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet non joignable. | Routeur joignable, mais DNS, routing, provider ou firewall en amont bloque. |
| 🔴 | 🟢 | 🟢 | ⚫ | Pas de connexion à Sophos Firewall. | Vérifier RED Service, TCP 3400, UDP 3410, provisioning, joignabilité de la firewall ou Unlock Code. |
| 🔴 | 🟢 | 🟢 | 🟢 | Aucune configuration disponible ou mise à jour firmware échouée. | Vérifier configuration provisioning, Firmware Pattern, Unlock Code ou ticket support. |
Failover 3G/4G
Des modèles LED supplémentaires peuvent apparaître sur les modèles SD-RED avec failover 3G/4G ou module correspondant.
| System | Router | Internet | Tunnel | Signification |
|---|---|---|---|---|
| 🔴 clignote | 🟢 clignote | ⚫ | ⚫ | Le failover 3G/4G est actif. |
| 🔴 clignote | 🟢 | 🟢 clignote | ⚫ | La passerelle par défaut est joignable et la connexion Internet est en cours d’établissement. |
| 🔴 clignote | 🟢 | 🟢 | 🟢 clignote | Internet est disponible, le tunnel vers la firewall est en cours d’établissement. |
| 🔴 clignote | 🟢 clignote | 🟢 clignote | 🟢 clignote | Le tunnel est établi via la connexion de failover. Ce modèle n’est visible qu’une fois le tunnel établi. |
Ne pas interrompre les mises à jour firmware
Si les LEDs d’état clignotent en rotation ou ensemble après le démarrage, la RED peut être en train d’installer un firmware. Pendant cette phase, il ne faut pas éteindre la RED ni la déconnecter d’Internet. Une mise à jour firmware peut durer plusieurs minutes.
Sur Sophos Firewall, il faut aussi vérifier sous Backup & firmware > Pattern updates si le RED Firmware Pattern est à jour. Si une RED reste dans une boucle de connexion ou redémarre sans cesse, un RED Firmware Pattern obsolète peut être une cause possible.
Pièges fréquents après une connexion réussie
Un tunnel vert signifie uniquement que la RED est connectée à la firewall. Une configuration réseau propre reste nécessaire.
Points typiques :
- L’interface RED se trouve dans la bonne zone.
- DHCP pour le réseau RED est configuré ou le relay fonctionne.
- Les règles firewall autorisent le trafic du réseau RED vers les réseaux cibles souhaités.
- Le routing retour vers le réseau RED est correct.
- NAT n’est utilisé que là où c’est vraiment nécessaire.
- DNS fonctionne pour les clients du site distant.
- Pour les VLANs, le mode RED est adapté.
Si les clients derrière la RED ne reçoivent pas d’adresse IP, le problème vient généralement de DHCP ou du VLAN tagging. Si les clients reçoivent une adresse IP mais n’atteignent pas les systèmes internes, la cause est le plus souvent les règles firewall, le routing ou DNS.
Troubleshooting : la RED ne se connecte pas
La RED ne reçoit pas d’adresse IP ou n’atteint pas la gateway
Si la RED reste bloquée à l’étape Router ou si le code d’erreur indique DHCP ou gateway, il faut d’abord vérifier le site distant.
À vérifier :
- Le routeur provider distribue-t-il une adresse IP via DHCP ?
- Le câble réseau est-il correctement branché sur le port WAN de la RED ?
- La passerelle par défaut est-elle joignable ?
- Une adresse IP statique a-t-elle été saisie correctement ?
- Adresse IP, masque de sous-réseau, gateway et DNS sont-ils cohérents ?
- Un équipement en amont bloque-t-il le trafic ?
Si DHCP ne fonctionne pas sur le site distant, la RED peut entrer dans une boucle de redémarrage, car elle ne peut pas établir de connexion réseau utilisable.
La RED n’atteint pas Internet
Si le routeur/la gateway est joignable mais que la LED Internet ne devient pas verte fixe, le problème se trouve généralement derrière le routeur local.
À vérifier :
- La connexion Internet du site distant fonctionne-t-elle avec un client normal ?
- DNS fonctionne-t-il ?
- NTP est-il joignable ?
- TCP 3400, UDP 3410 ou NTP 123 sont-ils bloqués par le provider ?
- Existe-t-il une firewall ou un proxy entre la RED et Internet ?
Pour le RED provisioning, la RED doit pouvoir joindre le Sophos Provisioning Service. Sophos utilise notamment red.astaro.com sur TCP 3400.
La RED n’atteint pas Sophos Firewall
Si Internet est joignable mais que le tunnel n’est pas établi, il faut vérifier le côté firewall.
À vérifier :
- Le RED Service est-il activé sur Sophos Firewall ?
- L’interface RED est-elle correctement créée ?
- RED-ID et Unlock Code correspondent-ils ?
- L’adresse publique de la firewall ou le FQDN est-il joignable ?
- Administration > Device access autorise-t-il RED sur la zone WAN appropriée ?
- Une Local Service ACL autorise-t-elle l’adresse IP publique du site distant pour RED Services si l’accès a été restreint ?
- TCP 3400 et UDP 3410 arrivent-ils sur la firewall ?
Sur la firewall, on peut vérifier dans l’Advanced Shell avec tcpdump si du trafic RED arrive :
tcpdump -ni any port 3400 or port 3410
Si rien n’arrive, le problème se situe généralement avant la firewall : routeur provider, NAT, firewall en amont, mauvaise IP publique ou blocage de ports.
La RED redémarre sans cesse
Une boucle de redémarrage peut avoir plusieurs causes :
- alimentation instable
- matériel défectueux ou problème d’alimentation
- aucune adresse IP via DHCP
- configuration erronée ou corrompue
- RED Firmware Pattern obsolète
- ports TCP 3400 ou UDP 3410 bloqués
- Unlock Code incorrect
On vérifie d’abord l’alimentation, la connexion réseau et DHCP. Ensuite, il faut mettre à jour le RED Firmware Pattern sur la firewall et vérifier si TCP 3400 et UDP 3410 sont visibles sur la firewall.
Si la configuration semble suspecte, on peut recréer la RED ou la réinitialiser aux paramètres d’usine. Avant cela, il faut s’assurer que RED-ID et Unlock Code sont correctement documentés.
Le tunnel est vert, mais aucun trafic ne passe
Ce cas est très fréquent : les LEDs RED sont bonnes, mais les clients n’atteignent ni les systèmes internes ni Internet.
Causes possibles :
- règle firewall manquante ou mal placée
- interface RED dans la mauvaise zone
- route retour vers le réseau RED manquante
- NAT traduit le trafic de manière inattendue
- DHCP distribue une mauvaise gateway ou de mauvais serveurs DNS
- UDP 3410 est filtré ou bloqué de manière instable sur le trajet
On vérifie dans le Log viewer si le trafic du réseau RED est visible. Ensuite, Diagnostics > Packet capture et, si nécessaire, tcpdump -ni any port 3410 aident à poursuivre l’analyse. Pour les problèmes de règles, l’article Comprendre et configurer correctement les règles Sophos Firewall est utile.
Pas de trafic VLAN via la RED
Avec SD-RED 60, les scénarios VLAN sont possibles, mais le mode est déterminant. Sophos indique que le trafic VLAN n’est traité que dans un mode RED adapté. Pour les trunks VLAN, il est particulièrement important de savoir si le port est configuré en Access, Hybrid ou Tagged Trunk.
À vérifier :
- Les VLAN-IDs sont-ils corrects sur la firewall et la RED ?
- Le port LAN de la RED est-il dans le bon mode ?
- Le port switch du site distant est-il correctement tagged ou untagged ?
- Existe-t-il des règles firewall pour les réseaux VLAN ?
- Le mode de fonctionnement RED utilisé est-il adapté au trafic VLAN ?
- DHCP et DNS sont-ils corrects pour les VLANs ?
Si les VLANs ne fonctionnent pas, il faut d’abord tester avec un réseau untagged simple. Si cela fonctionne, l’erreur vient très probablement du VLAN-ID, du tagging ou du mode de port.
Les RED Access Points restent inactifs
Si une RED avec module Wi-Fi ou RED Access Point redémarre dans un VLAN, elle peut apparaître comme Inactive. Sophos décrit comme cause possible une DHCP Option 234 manquante sur l’interface VLAN.
Dans ce cas, la RED ou l’Access Point doit savoir via quelle IP d’interface firewall communiquer. La DHCP Option 234 peut être définie dans la Device Console. C’est un cas spécial à appliquer uniquement lorsque le scénario correspond vraiment.
Offline Provisioning à nouveau écrasé
Si une RED a d’abord été provisionnée en ligne puis ensuite hors ligne via USB, l’ancienne configuration en ligne peut rester sur le Sophos Provisioning Server. Si la RED n’atteint pas la firewall, elle peut se provisionner à nouveau en ligne et écraser la configuration USB.
Dans ce cas, la RED doit être provisionnée hors ligne une nouvelle fois. L’ancienne configuration en ligne sur le RED Provisioning Server doit également être supprimée. Pour cela, il faut contacter Sophos Support.
Impossible de créer ou modifier l’interface RED
Si une interface RED ne peut pas être créée ou enregistrée, les causes suivantes sont les plus fréquentes :
- autorisation admin manquante
- configuration RED contradictoire
- Unlock Code incorrect
- la firewall ne peut pas joindre le RED Provisioning Server
- configuration RED existante ou en conflit
Depuis Sophos Firewall, on peut tester la connexion au Provisioning Server :
telnet red.astaro.com 3400
Si DNS ne résout pas ou si aucune connexion n’est possible, il faut d’abord vérifier la connexion Internet et DNS de la firewall.
Logs et points de diagnostic importants
Pour les problèmes RED, ces emplacements sont particulièrement utiles :
- Log viewer avec événements RED, firewall et système
- Diagnostics > Packet capture
- Advanced Shell avec
tcpdump - état de l’interface RED sous Network > Interfaces
- règles firewall pour la zone RED et les zones cibles
- Device Access pour RED Services
- RED Firmware Pattern sous Backup & firmware > Pattern updates
Pour les fichiers log généraux et les noms de services, l’article Comprendre les services et fichiers log de Sophos Firewall est utile.
Informations supplémentaires
Plus de détails sont disponibles dans les documents Sophos officiels :
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Une Sophos RED permet de connecter très facilement une filiale ou un home office au réseau d’entreprise. Ces sites contiennent toutefois souvent des appareils qui ne sont pas en permanence sous le contrôle direct de l’IT. Il est donc judicieux de protéger aussi les endpoints dans les réseaux RED, par exemple avec Sophos Central Intercept X Essentials ou Sophos Central Intercept X Advanced.