Aller au contenu
Avanet

Vérification du WAN cellulaire et du basculement 4G/5G sur Sophos Firewall

Sophos Firewall

Le WAN cellulaire n’est généralement pas un accès Internet principal sur un Sophos Firewall, mais une ligne de secours : lorsque la fibre optique, la ligne DSL ou le câble tombe en panne, une connexion 4G ou 5G doit maintenir l’accès aux services essentiels. C’est pourquoi il ne faut pas attendre une panne pour vérifier le WAN cellulaire.

En pratique, le basculement échoue rarement à cause d’un seul problème. Plus souvent, la SIM/PIN, l’APN, une mauvaise qualité de signal, une passerelle mal configurée, des vérifications de santé SD-WAN incorrectes ou une logique de retour manquante sont impliqués. Cet article explique comment planifier, tester et identifier les erreurs typiques du WAN cellulaire.

Pour le travail de base avec les interfaces, les zones et les passerelles, commencez par Configurer les zones et interfaces de Sophos Firewall. Pour le routage du trafic propre au pare-feu, consultez également Vérifier le routage SD-WAN de Sophos Firewall pour les paquets de réponse et le trafic système.

Quand le WAN cellulaire est-il utile ?

Le WAN cellulaire est principalement adapté comme composant opérationnel et d’urgence. Il ne remplace pas une ligne principale bien dimensionnée, mais peut rendre des sites critiques plus stables.

Cas d’utilisation typiques :

  • petit bureau avec sauvegarde 4G/5G pour l’accès Internet
  • succursale avec basculement SD-WAN en cas de panne du fournisseur
  • site temporaire sans ligne fixe
  • chemin de sauvegarde pour la surveillance, l’accès au support ou les services centraux
  • solution de secours pour le VPN de site, si la bande passante et le tarif le permettent

Avant le déploiement, il doit être clair quels services doivent réellement continuer à fonctionner en cas de basculement. Un lien LTE ou 5G avec un volume de données limité n’est généralement pas destiné à supporter tout le trafic normal du site de manière permanente.

Limites et décisions importantes

Le WAN cellulaire a ses propres limitations. Ces points doivent être clarifiés avant la configuration :

SujetPourquoi c’est important
Volume de donnéesUn site non filtré peut consommer très rapidement un quota de données mobiles.
CGNATDe nombreux fournisseurs mobiles ne fournissent pas d’adresse IPv4 publique directement accessible. Les services entrants et certains scénarios VPN doivent alors être planifiés différemment.
Qualité du signalUn réseau visible ne suffit pas. Des valeurs de signal faibles entraînent des pertes de paquets, des pics de latence et des tests de basculement instables.
Pare-feu du fournisseurCertains tarifs bloquent les connexions entrantes ou certains protocoles.
HALe WAN cellulaire doit être désactivé dans les environnements HA de Sophos Firewall. Cela doit être vérifié avant de concevoir une HA.
SurveillanceLe basculement doit être activement surveillé. Sinon, on ne remarque souvent qu’en cas de panne que la ligne de secours ne fonctionne pas.

Pour les environnements HA, Variantes et fonctionnement du cluster HA de Sophos Firewall est pertinent, car le WAN cellulaire ne peut pas être traité comme une interface synchronisée normale.

Prérequis

Avant la configuration, assurez-vous d’avoir les éléments suivants :

  • modem 4G/5G pris en charge ou module cellulaire intégré
  • carte SIM active avec un forfait de données approprié
  • PIN, si la SIM n’est pas utilisée sans PIN
  • APN du fournisseur
  • nom d’utilisateur et mot de passe du fournisseur, si nécessaire
  • information sur l’utilisation d’une IP publique, privée ou CGNAT par le fournisseur
  • zone souhaitée de l’interface WAN cellulaire
  • logique de basculement SD-WAN ou de passerelle planifiée
  • fenêtre de test pendant laquelle la ligne principale peut être brièvement désactivée

Si la ligne cellulaire doit servir de secours en production, il est également important de clarifier qui est responsable du tarif, du volume de données, du verrouillage de la SIM, du matériel de remplacement et des tests réguliers.

Configurer le WAN cellulaire

L’interface exacte peut varier légèrement selon la version SFOS, le modèle matériel et le modem. Cependant, le processus pratique reste le même : reconnaître le modem, configurer correctement la SIM et l’APN, vérifier l’interface et la passerelle, puis tester le chemin de basculement.

1. Préparer le modem et la SIM

Commencez par préparer le modem ou le module cellulaire sans modifications précipitées du pare-feu.

Vérifiez :

  • La SIM est active et non verrouillée.
  • Le PIN est connu ou désactivé sur la SIM, si le modèle d’exploitation le prévoit.
  • L’APN correspond au tarif professionnel, et non à un profil consommateur ou IoT incorrect.
  • Les antennes sont correctement connectées et positionnées de manière optimale.
  • Le site a une réception suffisante pour le fournisseur souhaité.

Pour les antennes extérieures, il ne faut pas seulement tenir compte de la force du signal, mais aussi du cheminement des câbles. Des câbles d’antenne longs ou de mauvaise qualité peuvent annuler l’avantage d’une meilleure position d’antenne.

2. Vérifier l’interface WAN cellulaire

Après l’insertion du modem, le Sophos Firewall devrait créer une interface ou une passerelle correspondante ou proposer sa configuration.

Vérifiez :

Network > Interfaces

Les points importants sont :

  • L’interface est active.
  • La zone est définie de manière consciente, généralement WAN.
  • L’adresse IP est obtenue.
  • La passerelle est créée.
  • Les paramètres DNS ou du fournisseur correspondent à l’exploitation prévue.
  • L’interface n’est pas accidentellement membre d’une conception inappropriée comme LAG ou HA.

Si l’interface n’apparaît pas, le modem doit d’abord être reconnu. Ensuite, vérifiez l’APN, le PIN et la passerelle.

3. Planifier la passerelle et le profil SD-WAN

Une passerelle WAN cellulaire ne doit pas être simplement placée à côté de la ligne principale sans vérification. Ce qui est crucial, c’est quand le pare-feu considère le lien comme actif et quel trafic peut passer par le basculement.

Vérifiez :

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Pour de nombreux environnements, une conception claire basée sur le premier disponible ou le SLA est judicieuse :

  • Préférer la ligne principale.
  • Utiliser le WAN cellulaire uniquement en cas de panne ou de mauvaise qualité de la ligne principale.
  • Définir une vérification de santé avec des cibles de test appropriées.
  • Prioriser les objectifs critiques pour l’entreprise.
  • Limiter les services gourmands en bande passante ou non critiques en cas de basculement.

Pour les vérifications de santé SD-WAN, il ne faut pas utiliser uniquement une seule adresse interne ou externe si cela peut entraîner des pannes incorrectes. Les profils SD-WAN peuvent utiliser des vérifications de santé avec Ping ou TCP et jusqu’à deux cibles de test. Dans les environnements cellulaires, le TCP est souvent un complément réaliste lorsque l’ICMP est peu fiable en cours de route.

Vérifier la force du signal via CLI

Depuis SFOS 22.0 MR1, Sophos mentionne dans les notes de version la commande CLI :

system cellular_wan show

Cette commande est utile lorsque l’interface ne montre que grossièrement que le WAN cellulaire est connecté, mais que vous devez vérifier les détails du signal ou du modem. Elle doit être utilisée et documentée de manière ciblée, en particulier sur les sites avec une couverture cellulaire instable.

⚠️ Les accès CLI ne doivent être effectués que depuis des réseaux administratifs de confiance. Avant utilisation, vérifiez Connecter Sophos Firewall via SSH et le renforcement de l’accès via Device Access et Local Service ACL.

En pratique, il est préférable de lire les valeurs de signal plus d’une fois. Une série de mesures courtes est préférable :

  • fonctionnement normal
  • après modification des antennes
  • par mauvais temps ou charge attendue
  • pendant un basculement actif
  • après un changement de site ou de fournisseur

Si la qualité du signal fluctue fortement, la configuration du routage n’est pas la cause principale. Il faut d’abord vérifier la position des antennes, la couverture du fournisseur, le module, la SIM et le site.

Tester le basculement

Un test de basculement doit être planifié et réalisé de manière traçable. Simplement débrancher la ligne principale et ouvrir un navigateur ne suffit pas.

Avant le test :

  • Sauvegarde de la configuration du pare-feu disponible.
  • Chemin primaire et de secours attendu documenté.
  • Utilisateurs concernés ou responsables du site informés.
  • Volume de données et limites tarifaires connus.
  • Log Viewer et surveillance ouverts.

Procédure de test :

  1. Vérifiez l’état initial : passerelle principale active, passerelle WAN cellulaire prête.
  2. Générer du trafic de test, par exemple DNS, HTTPS, RDP, VPN ou une application métier définie.
  3. Désactiver la ligne principale de manière contrôlée ou faire échouer délibérément la vérification de santé de la passerelle.
  4. Vérifiez si le basculement SD-WAN ou de la passerelle passe au WAN cellulaire.
  5. Dans le Log Viewer, vérifiez quelles règles de pare-feu et quels chemins sont utilisés.
  6. Testez l’accessibilité des objectifs les plus importants.
  7. Rétablissez la ligne principale.
  8. Vérifiez si le pare-feu revient proprement ou reste délibérément sur le chemin de secours.

Pour les vérifications de règles et de chemins, consultez Tester une règle de pare-feu avec Log Viewer, Policy Test et Packet Capture. Si des problèmes de MTU ou de fragmentation surviennent, consultez Vérifier MTU et MSS sur Sophos Firewall en cas de problèmes VPN.

Journaux et diagnostic

Les problèmes de WAN cellulaire se répartissent sur plusieurs sources de journaux. Un seul journal ne prouve rarement la cause entière.

QuestionVérification typique
Le modem est-il reconnu ?mdev.log, syslog.log
Une interface est-elle créée ?networkd.log
Une passerelle est-elle active ?Statut de la passerelle, dgd.log, Log Viewer
La bonne route est-elle utilisée ?Route SD-WAN, table de routage, Log Viewer
Le trafic est-il bloqué ?Règle de pare-feu, NAT, filtre Web, Application Control
Y a-t-il une perte de paquets ou une fragmentation ?Packet Capture, iPerf, vérification MTU/MSS

Les fichiers journaux les plus importants sont classés dans l’article Attribuer correctement les journaux de service de Sophos Firewall.

Scénarios d’erreurs typiques

Le modem n’est pas reconnu

Vérifiez d’abord les points physiques : module, port USB, alimentation, antennes, matériel pris en charge et version du firmware. Ensuite, vérifiez mdev.log et syslog.log. Si le modem n’est pas du tout reconnu, l’APN ou le SD-WAN ne sont pas encore pertinents.

La SIM est active, mais aucune connexion ne se fait

Dans ce cas, le PIN, l’APN, le profil du fournisseur ou la réception sont généralement impliqués. Une SIM verrouillée après plusieurs tentatives de PIN incorrectes est également possible. Pour les tarifs professionnels, l’APN ne doit pas être deviné, mais vérifié auprès du fournisseur.

La passerelle est active, mais aucun trafic ne passe par le WAN cellulaire

La cause réside souvent dans la route SD-WAN, la priorité de la passerelle, la règle de pare-feu, le NAT ou l’absence de retour. Dans le Log Viewer, il devrait être visible si le trafic de test utilise réellement le chemin de secours.

Le basculement fonctionne, mais les applications sont instables

Le cellulaire a une latence plus élevée et des fluctuations plus importantes qu’une ligne fixe. Les applications avec des sessions sensibles, VoIP, transferts de fichiers volumineux, VPN-over-VPN ou RDP peuvent donc réagir différemment. De plus, le MTU/MSS et la perte de paquets peuvent jouer un rôle.

Le VPN fonctionne sur la ligne principale, mais pas sur le WAN cellulaire

Dans le cellulaire, le CGNAT, les filtres du fournisseur, les adresses IP changeantes et les restrictions de protocole sont des causes fréquentes. Pour le VPN de site, il faut vérifier si le chemin cellulaire fonctionne comme initiateur, si le site distant accepte les IP dynamiques et si la route de retour est correcte.

Recommandations d’exploitation

Le WAN cellulaire doit être exploité comme un chemin d’urgence, pas comme une option oubliée dans l’interface.

Règles d’exploitation sensées :

  • Tester le basculement au moins trimestriellement.
  • Surveiller le volume de données et les coûts.
  • Documenter la SIM, l’APN et le contrat fournisseur.
  • Noter la position des antennes et les valeurs de signal.
  • Limiter le trafic non critique en cas de basculement.
  • Intégrer le statut de la passerelle et du SD-WAN dans la surveillance.
  • Planifier un court test de basculement après les mises à jour du firmware.
  • Lors de la planification HA, exclure tôt le WAN cellulaire ou adapter la conception.

Si un site dépend du WAN cellulaire, le retour doit également être documenté : qui reçoit une alerte de panne, qui peut désactiver la ligne principale, qui vérifie le fournisseur cellulaire, et quand revenir au fonctionnement normal ?

Liste de contrôle

  • Le modem ou le module cellulaire est reconnu.
  • La SIM est active et non verrouillée.
  • Le PIN et l’APN sont corrects.
  • L’interface WAN cellulaire a la bonne zone.
  • La passerelle est créée et surveillée.
  • Le profil SD-WAN utilise des vérifications de santé appropriées.
  • Le basculement a été testé avec un trafic de test réel.
  • Les règles de pare-feu et le NAT sont adaptés au chemin de secours.
  • Le volume de données et les coûts sont connus.
  • Les valeurs de signal ont été documentées.
  • Les limitations HA ont été prises en compte.
  • Les sources de journaux et le processus de support sont connus.

FAQ

Le WAN cellulaire peut-il être utilisé comme ligne principale ?

Techniquement, cela peut fonctionner selon le site. Pour la plupart des entreprises, le WAN cellulaire est plutôt un chemin de secours. Le volume de données, la latence, le CGNAT, la qualité de signal fluctuante et les conditions du fournisseur doivent être vérifiés avant une utilisation continue en production.

Pourquoi la passerelle est-elle active, mais le site n'a toujours pas d'Internet ?

Une passerelle active signifie seulement que le pare-feu voit fondamentalement le chemin. Ensuite, la route SD-WAN, la règle de pare-feu, le NAT, le DNS, le retour et les fonctionnalités de sécurité doivent être corrects. C’est pourquoi il faut vérifier le trafic de test concret dans le Log Viewer.

Un ping réussi suffit-il comme test de basculement ?

Non. Un ping est un premier indice, mais pas une preuve d’accessibilité productive. En plus, il faut tester le DNS, le HTTPS, les applications centrales, le VPN, le RDP ou d’autres services réellement nécessaires.

Le WAN cellulaire fonctionne-t-il dans un cluster HA de Sophos Firewall ?

Pour la HA, le WAN cellulaire doit être désactivé. Si le basculement cellulaire et la HA sont requis simultanément, une conception séparée est nécessaire, par exemple via un appareil cellulaire en amont ou une autre architecture WAN.

Quelle commande CLI affiche les détails du WAN cellulaire ?

À partir de SFOS 22.0 MR1, la commande system cellular_wan show est disponible pour vérifier les informations du WAN cellulaire comme les valeurs de signal via la CLI.