Configurazione e risoluzione dei problemi di Sophos SD-RED
Con un Sophos SD-RED è possibile collegare sedi remote, filiali o piccoli uffici domestici a un Sophos Firewall. Il RED crea un tunnel crittografato verso il firewall e fornisce una rete nella sede remota che viene gestita centralmente tramite il firewall.
Il vantaggio pratico: in loco non è necessaria una configurazione VPN complessa. L’SD-RED si collega a Internet, scarica la sua configurazione tramite il Sophos RED Provisioning Service e quindi stabilisce il tunnel verso il Sophos Firewall. Tuttavia, il solo tunnel non risolve tutto. Anche zone, regole del firewall, DHCP, VLAN, routing, DNS e versione del firmware devono essere corretti.
Classificazione: SD-RED, tunnel RED e SFOS 22
Nei nuovi progetti, è importante distinguere chiaramente tra le attuali sedi SD-RED e le vecchie configurazioni RED site-to-site. Le configurazioni legacy del server/client RED non sono più supportate in SFOS 22.0 e versioni successive. Tali configurazioni obsolete devono essere verificate e migrate prima di un aggiornamento.
Per i dispositivi SD-RED attuali, RED rimane un tema rilevante per le sedi. Con SFOS 21.5 è stata documentata una maggiore scalabilità per SD-RED e tunnel RED site-to-site. Per gli amministratori significa che le nuove sedi devono essere pianificate correttamente con la logica SD-RED attuale, mentre i vecchi tunnel RED legacy devono essere esaminati consapevolmente prima degli aggiornamenti SFOS-22.
Prerequisiti presso la sede principale
Prima di collegare il RED, questi punti devono essere chiari sul Sophos Firewall:
- Il servizio RED è attivato sul firewall.
- L’indirizzo IP pubblico o il nome DNS/DynDNS del firewall è raggiungibile.
- Le connessioni RED al firewall sono consentite sul lato WAN.
REDè consentito sotto Administration > Device access per la zona WAN appropriata o è specificamente consentito tramite Local Service ACL.- Interfaccia RED, zona e configurazione IP sono pianificate.
- Le regole del firewall dalla rete RED alle reti di destinazione sono previste.
- DHCP, DHCP Relay o indirizzamento statico per i client dietro il RED è chiarito.
- Il pattern del firmware RED sul firewall è aggiornato.
- Backup e versione del firmware del firewall sono documentati prima di apportare modifiche significative.
Per la comunicazione RED, sono particolarmente rilevanti TCP 3400, UDP 3410 e NTP 123. Queste connessioni non devono essere bloccate da router del provider, firewall preposti o gateway di sicurezza.
Prerequisiti presso la sede remota
Nella sede remota, l’SD-RED necessita di una connessione Internet pulita. Non è solo la larghezza di banda a essere decisiva, ma soprattutto la stabilità, la latenza, la perdita di pacchetti e se il provider consente le connessioni necessarie.
Si dovrebbe verificare:
- La connessione Internet è stabile.
- La porta WAN del RED riceve un indirizzo tramite DHCP o ha una configurazione statica corretta.
- Il gateway predefinito è raggiungibile.
- Il DNS funziona.
- NTP è raggiungibile.
- TCP
3400, UDP3410e NTP123non sono bloccati. - Il router del provider o il firewall preposto non effettua un filtraggio inaspettato.
- Per le VLAN, è chiaro quale porta è taggata, non taggata o ibrida.
Per le sedi semplici, spesso è sufficiente una piccola connessione. Nella pratica, tuttavia, la perdita di pacchetti, router consumer instabili, CGNAT, problemi DNS o firewall del provider restrittivi sono più spesso la causa rispetto alla pura larghezza di banda.
Collegare l’SD-RED
Procedura tipica:
- Collegare la porta WAN del SD-RED al router del provider o al modem.
- Collegare la porta LAN a un client di test, uno switch o una rete locale.
- Alimentare l’SD-RED.
- Attendere che il RED si avvii, verifichi il gateway e Internet, carichi la configurazione e stabilisca il tunnel.
- Verificare sul Sophos Firewall se l’interfaccia RED è attiva.
- Collegare un client di test dietro il RED e verificare IP, DNS, gateway e accesso alla destinazione.
Se tutti i LED rilevanti sono verdi, il tunnel tecnico è attivo. Successivamente inizia la vera verifica della rete: zona, DHCP, regole del firewall, routing inverso, DNS e, se necessario, VLAN.
Comprendere lo stato dei LED
I LED di stato sono spesso il punto di partenza più rapido per il troubleshooting del RED, poiché indicano in quale punto il processo di avvio si blocca.
Legenda:
- ⚫ spento
- 🟢 acceso verde
- 🟢 lampeggiante verde
- 🔴 acceso rosso
- 🔴 lampeggiante rosso
A seconda dell’angolo di visuale, della foto o della luce ambientale, un LED può apparire giallastro o arancione. Per la diagnosi conta soprattutto quale LED è acceso o lampeggiante e se è verde o rosso.
Normale sequenza di avvio
| Sistema | Router | Internet | Tunnel | Significato |
|---|---|---|---|---|
| 🟢 lampeggia | ⚫ | ⚫ | ⚫ | SD-RED si avvia. |
| 🟢 | ⚫ | ⚫ | ⚫ | Sequenza di avvio completata. |
| 🟢 | 🟢 lampeggia | ⚫ | ⚫ | Connessione al gateway o router in corso. |
| 🟢 | 🟢 | ⚫ | ⚫ | Gateway predefinito raggiungibile. |
| 🟢 | 🟢 | 🟢 lampeggia | ⚫ | Verifica della connessione Internet in corso. |
| 🟢 | 🟢 | 🟢 | ⚫ | Connessione Internet stabilita. |
| 🟢 | 🟢 | 🟢 | 🟢 lampeggia | Tunnel verso Sophos Firewall in costruzione. |
| 🟢 | 🟢 | 🟢 | 🟢 | Tunnel verso Sophos Firewall stabilito. |
| 🟢 lampeggia | 🟢 lampeggia | 🟢 lampeggia | 🟢 lampeggia | Installazione del firmware in corso. Non spegnere il dispositivo. |
Se tutti e quattro i LED sono verdi ma il traffico non funziona, il problema di solito non è più nel tunnel. In tal caso, le regole del firewall, DHCP, VLAN, DNS, NAT o il routing sono più probabili.
Codici di errore
| Sistema | Router | Internet | Tunnel | Significato | Prossimo controllo |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP o configurazione IP statica fallita | DHCP, cavo WAN, IP statico, gateway |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet non raggiungibile | DNS, NTP, provider, firewall preposto |
| 🔴 | 🟢 | 🟢 | ⚫ | Nessuna connessione al Sophos Firewall | Servizio RED, TCP 3400, UDP 3410, FQDN, codice di sblocco |
| 🔴 | 🟢 | 🟢 | 🟢 | Nessuna configurazione o problema di firmware | Provisioning, pattern del firmware RED, codice di sblocco, supporto |
Failover 3G/4G
Nei modelli SD-RED con failover 3G/4G o modulo corrispondente possono verificarsi modelli aggiuntivi.
| Sistema | Router | Internet | Tunnel | Significato |
|---|---|---|---|---|
| 🔴 lampeggia | 🟢 lampeggia | ⚫ | ⚫ | Failover 3G/4G attivo. |
| 🔴 lampeggia | 🟢 | 🟢 lampeggia | ⚫ | Gateway raggiungibile, connessione Internet in corso. |
| 🔴 lampeggia | 🟢 | 🟢 | 🟢 lampeggia | Internet stabilito, tunnel in costruzione. |
| 🔴 lampeggia | 🟢 lampeggia | 🟢 lampeggia | 🟢 lampeggia | Tunnel stabilito tramite connessione di failover. |
Controllare gli aggiornamenti del firmware
Se i LED lampeggiano insieme, il RED sta installando un firmware. In questa fase non si dovrebbe spegnere il dispositivo né scollegarlo da Internet. Un aggiornamento può richiedere alcuni minuti.
Sul Sophos Firewall si dovrebbe inoltre verificare:
Backup & firmware > Pattern updates
Lì, il pattern del firmware RED deve essere aggiornato. Se un RED è bloccato in un ciclo o non si avvia correttamente dopo un aggiornamento del firewall, un pattern del firmware RED obsoleto è un passo di verifica sensato.
Un desiderio operativo correlato è descritto in Sophos Firewall Feature Request 2024: negli aggiornamenti del firmware RED e Access Point spesso mancano note di rilascio visibili direttamente nel backend. Per ambienti produttivi, gli aggiornamenti dovrebbero quindi essere pianificati consapevolmente e non installati in modo non coordinato durante i tempi operativi critici.
Verificare interfaccia RED, zona e regole
Dopo il successo del tunnel, il RED necessita di una configurazione del firewall pulita.
Punti di verifica tipici:
- L’interfaccia RED è attiva sotto Network > Interfaces.
- L’interfaccia si trova nella zona corretta.
- Il server DHCP o il relay DHCP è configurato correttamente.
- I client ricevono indirizzo IP, gateway e DNS.
- Le regole del firewall consentono solo le destinazioni necessarie.
- Il routing inverso verso la rete RED funziona.
- NAT viene utilizzato solo se pianificato consapevolmente.
- La configurazione VLAN corrisponde alla modalità RED e alla porta dello switch.
Per le basi delle regole, si adatta Comprendere e configurare correttamente le regole del Sophos Firewall. Se il tunnel è attivo ma il traffico non scorre, si dovrebbe combinare Log Viewer e Packet Capture.
Insidie di aggiornamento e migrazione
Verificare il RED site-to-site legacy prima di SFOS 22
Prima di un aggiornamento a SFOS 22 o versioni successive, si dovrebbe verificare se sono ancora presenti configurazioni legacy del server/client RED del firewall. Queste configurazioni legacy site-to-site RED non sono più supportate in SFOS 22.0 e versioni successive.
Praticamente significa:
- Inventariare le configurazioni RED e VPN prima dell’aggiornamento.
- Identificare le configurazioni legacy del server/client RED.
- Pianificare la migrazione a varianti RED site-to-site o VPN supportate.
- Dopo la migrazione, verificare regole del firewall, zone, routing e DHCP.
- Eseguire l’aggiornamento solo quando le connessioni delle sedi sono testate.
Per una pianificazione di aggiornamento più ampia, si adatta anche Pianificare correttamente l’aggiornamento del firmware Sophos Firewall.
Host di sistema RED dopo SFOS 21.5 MR1
Da SFOS 21.5 MR1, gli oggetti host di sistema RED ricevono la corretta maschera di sottorete /32. Se tali oggetti generati automaticamente sono stati utilizzati in precedenza in regole o altre configurazioni per più di un IP host, dopo l’aggiornamento il traffico potrebbe corrispondere diversamente.
Dopo un aggiornamento, si dovrebbe quindi verificare:
- Gli host di sistema RED vengono utilizzati nelle regole del firewall?
- Una regola si aspetta erroneamente una rete invece di un singolo host?
- Devono essere sostituiti oggetti IP Host o Network Host?
- Le corrispondenze delle regole nel Log Viewer sono ancora corrette?
Risoluzione dei problemi
Il RED non riceve un indirizzo IP
Se il RED si blocca al passaggio del router o il codice di errore indica DHCP o gateway, la causa è di solito nella sede remota.
Verificare:
- Il router del provider assegna un indirizzo IP tramite DHCP?
- Il cavo di rete è correttamente inserito nella porta WAN?
- Il gateway predefinito è raggiungibile?
- Un indirizzo IP statico è stato inserito completamente?
- Indirizzo IP, maschera di sottorete, gateway e DNS sono corretti?
- Un dispositivo preposto blocca il traffico?
Se il DHCP nella sede remota non funziona, il RED può finire in un ciclo di riavvio.
Il RED non raggiunge Internet
Se il router o il gateway è raggiungibile ma il LED Internet non diventa verde in modo permanente, il problema è di solito dietro il router locale.
Verificare:
- La connessione Internet funziona con un client normale?
- Il DNS funziona?
- NTP è raggiungibile?
- TCP
3400, UDP3410o NTP123sono bloccati? - C’è un proxy o un firewall tra RED e Internet?
- La connessione del provider è abbastanza stabile?
Per il provisioning RED, il RED deve raggiungere il Sophos Provisioning Service. In molti ambienti, red.astaro.com su TCP 3400 è rilevante.
Il RED non raggiunge il Sophos Firewall
Se Internet è raggiungibile ma il tunnel non viene stabilito, si verifica il lato del firewall.
Verificare:
- Il servizio RED è attivato sul Sophos Firewall?
- Il RED è configurato correttamente?
- ID RED e codice di sblocco sono corretti?
- L’IP pubblico o il FQDN del firewall è raggiungibile?
- Administration > Device access è consentito per RED nella zona WAN appropriata?
- Una Local Service ACL consente l’accesso dalla sede remota?
- TCP
3400e UDP3410arrivano al firewall?
Nella Advanced Shell si può verificare se il traffico RED arriva:
tcpdump -ni any port 3400 or port 3410
Se non arriva nulla, il problema è di solito prima del firewall: router del provider, NAT, firewall preposto, IP pubblico errato, FQDN o blocco delle porte.
Il RED si riavvia continuamente
Un ciclo di riavvio può avere diverse cause:
- alimentazione instabile
- alimentatore difettoso
- nessun indirizzo IP tramite DHCP
- configurazione IP statica errata
- porte bloccate
- pattern del firmware RED obsoleto
- codice di sblocco errato
- configurazione RED danneggiata o errata
Prima controllare alimentazione, cavi e DHCP. Poi verificare pattern del firmware RED, raggiungibilità delle porte e configurazione. Se il RED viene ricreato o ripristinato, ID RED e codice di sblocco devono essere documentati in anticipo.
Il tunnel è verde, ma il traffico non scorre
Questo caso è particolarmente comune. Il RED è connesso, ma i client non raggiungono sistemi interni o Internet.
Possibili cause:
- Regola del firewall mancante o troppo bassa.
- L’interfaccia RED si trova nella zona sbagliata.
- DHCP distribuisce gateway o server DNS errati.
- Mancanza di routing inverso verso la rete RED.
- NAT traduce il traffico inaspettatamente.
- Il tagging VLAN non è corretto.
- Una funzione di sicurezza blocca il traffico.
Ordine di verifica:
- Verificare IP client, gateway e DNS.
- Filtrare Log Viewer sull’IP di origine del client RED.
- Verificare la corrispondenza della regola del firewall.
- Eseguire Packet Capture su interfaccia RED e interfaccia di destinazione.
- Verificare il percorso di ritorno dal sistema di destinazione o dalla rete di destinazione.
- Controllare NAT e routing.
In caso di corrispondenze di regole poco chiare, aiuta Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture.
Il traffico VLAN non funziona
Con SD-RED 60 sono possibili scenari VLAN, ma la modalità della porta, l’ID VLAN e la modalità RED devono corrispondere.
Verificare:
- Gli ID VLAN sono corretti su firewall, RED e switch.
- La porta RED è configurata come Access, Hybrid o Tagged Trunk in modo appropriato.
- La porta dello switch nella sede remota è correttamente taggata o non taggata.
- DHCP e DNS sono pianificati per VLAN.
- Esistono regole del firewall per le rispettive reti VLAN.
- La modalità RED scelta supporta lo scenario VLAN desiderato.
Per la risoluzione dei problemi, è utile una semplice rete di test non taggata. Se questa funziona, la causa è di solito nell’ID VLAN, nel tagging, nella modalità della porta o nella configurazione dello switch.
I punti di accesso RED rimangono inattivi
Se i punti di accesso RED o le funzioni Wi-Fi rimangono inattivi in scenari VLAN, l’opzione DHCP 234 può essere rilevante. Questo riguarda soprattutto i casi in cui la comunicazione RED o Access Point avviene tramite interfacce VLAN.
Questa opzione dovrebbe essere impostata solo se lo scenario specifico è adatto e chiaro quale IP dell’interfaccia del firewall i dispositivi devono raggiungere. In caso di problemi generali di connessione RED, l’opzione DHCP 234 non è il primo passo.
Il provisioning offline viene sovrascritto
Se un RED è stato prima provisionato online e successivamente offline tramite USB, una vecchia configurazione online può rimanere sul Sophos Provisioning Server. Se il RED non raggiunge il firewall, può riprovare a provisionare online e sovrascrivere la configurazione USB.
In tal caso, il RED deve essere nuovamente provisionato offline. Inoltre, la vecchia configurazione online dovrebbe essere rimossa tramite il supporto Sophos.
Punti di diagnosi sul Sophos Firewall
Per i problemi RED, questi punti sono utili:
- Network > Interfaces per interfaccia RED e stato
- Administration > Device access per autorizzazioni del servizio RED
- Rules and policies > Firewall rules per traffico dalla rete RED
- Diagnostics > Packet capture per verifica del percorso
- Log viewer con eventi RED, firewall e di sistema
- Backup & firmware > Pattern updates per pattern del firmware RED
- Advanced Shell con
tcpdump
Per file di log e assegnazione dei servizi, si adatta Risoluzione dei problemi del Sophos Firewall: servizi e log.
Lista di controllo operativa
Prima del rollout:
- ID RED e codice di sblocco documentati.
- Indirizzo pubblico del firewall o FQDN verificato.
- TCP
3400, UDP3410e NTP123verificati. - Servizio RED e Device Access pianificati sul firewall.
- Zona, DHCP, routing e regole del firewall definiti.
- Modalità VLAN testata in anticipo se necessario.
Dopo il collegamento:
- I LED mostrano il successo del tunnel.
- L’interfaccia RED è attiva.
- Il client riceve IP, gateway e DNS.
- Log Viewer mostra la regola del firewall prevista.
- I sistemi di destinazione interni e il percorso Internet funzionano come previsto.
- Il pattern del firmware è aggiornato.
In esercizio:
- Verificare regolarmente il pattern del firmware RED.
- Testare le connessioni delle sedi dopo gli aggiornamenti del firewall.
- Rimuovere o migrare il RED site-to-site legacy prima di SFOS 22.
- Verificare gli effetti
/32sugli host di sistema RED dopo SFOS 21.5 MR1. - Includere le sedi RED nel monitoraggio, nel backup e nella pianificazione di emergenza.
FAQ
Quali porte sono necessarie per Sophos SD-RED?
3400, UDP 3410 e NTP 123. A seconda della rete, possono essere rilevanti anche DNS e altre connessioni per provisioning, tempo e operatività.Perché il tunnel RED è verde, ma i client non raggiungono nulla?
Cosa deve essere verificato prima di SFOS 22 per RED?
Perché gli host di sistema RED sono rilevanti dopo un aggiornamento?
/32. Se tali oggetti sono stati utilizzati in precedenza come oggetti di rete, le regole del firewall possono corrispondere diversamente dopo l’aggiornamento.