Vai al contenuto
Avanet

Verifica della WAN cellulare e del failover 4G/5G su Sophos Firewall

Sophos Firewall

La WAN cellulare su una Sophos Firewall non è solitamente un accesso primario a Internet, ma una linea di riserva: quando la fibra ottica, la linea DSL o via cavo si interrompe, una connessione 4G o 5G dovrebbe mantenere accessibili i servizi importanti. Proprio per questo motivo, la WAN cellulare non deve essere verificata solo in caso di guasto.

Nella pratica, il failover raramente fallisce per un singolo motivo. Più spesso sono coinvolti SIM/PIN, APN, scarsa qualità del segnale, un gateway non correttamente creato, controlli di integrità SD-WAN errati o una logica di fallback mancante. L’articolo spiega come pianificare, testare e delimitare gli errori tipici della WAN cellulare.

Per il lavoro di base con interfacce, zone e gateway, è utile iniziare con Configurare zone e interfacce su Sophos Firewall. Se si tratta di routing del traffico proprio della firewall, è utile anche Verificare il routing SD-WAN per i pacchetti di risposta e il traffico di sistema su Sophos Firewall.

Quando la WAN cellulare è utile

La WAN cellulare è particolarmente adatta come componente operativa e di emergenza. Non sostituisce una linea principale ben dimensionata, ma può rendere più stabili le sedi critiche.

Casi d’uso tipici:

  • piccolo ufficio con backup 4G/5G per l’accesso a Internet
  • filiale con failover SD-WAN in caso di guasto del provider
  • sede temporanea senza linea fissa
  • percorso di backup per monitoraggio, accesso di supporto o servizi centrali
  • fallback per VPN di sede, se la larghezza di banda e il piano tariffario lo consentono

Prima del rollout, dovrebbe essere chiaro quali servizi devono effettivamente continuare a funzionare in caso di failover. Un collegamento LTE o 5G con volume di dati limitato non è generalmente destinato a sostenere tutto il traffico normale della sede in modo permanente.

Limiti e decisioni importanti

La WAN cellulare ha le sue limitazioni. Questi punti dovrebbero essere chiariti prima della configurazione:

ArgomentoPerché è importante
Volume di datiUna sede non filtrata può consumare molto rapidamente un contingente di dati mobili.
CGNATMolti fornitori di servizi mobili non forniscono un indirizzo IPv4 pubblico direttamente raggiungibile. I servizi in entrata e alcuni scenari VPN devono quindi essere pianificati diversamente.
Qualità del segnaleUna rete visibile non è sufficiente. Valori di segnale deboli portano a perdita di pacchetti, picchi di latenza e test di failover instabili.
Firewall del providerAlcuni piani tariffari bloccano le connessioni in entrata o determinati protocolli.
HALa WAN cellulare deve essere disattivata negli ambienti HA di Sophos Firewall. Questo dovrebbe essere verificato prima di un design HA.
MonitoraggioIl failover deve essere monitorato attivamente. Altrimenti, spesso ci si accorge solo in caso di guasto che la linea di riserva non funziona.

Per gli ambienti HA, è rilevante Varianti e operatività del cluster HA di Sophos Firewall, poiché la WAN cellulare non può essere trattata come un’interfaccia sincronizzata normale.

Prerequisiti

Prima della configurazione, dovrebbero essere disponibili i seguenti elementi:

  • modem 4G/5G supportato o modulo cellulare integrato
  • SIM attiva con piano dati appropriato
  • PIN, se la SIM non viene utilizzata senza PIN
  • APN del provider
  • opzionalmente nome utente e password del provider
  • informazione se il provider utilizza IP pubblico, IP privato o CGNAT
  • zona desiderata dell’interfaccia WAN cellulare
  • logica di failover SD-WAN o gateway pianificata
  • finestra di test in cui la linea principale può essere temporaneamente disattivata

Se la linea cellulare deve servire come fallback produttivo, dovrebbe essere chiarito anche chi è responsabile del piano tariffario, del volume di dati, del blocco della SIM, dell’hardware di ricambio e dei test regolari.

Configurazione della WAN cellulare

L’interfaccia esatta può variare leggermente a seconda della versione SFOS, del modello hardware e del modem. Tuttavia, il processo pratico rimane lo stesso: riconoscere il modem, impostare correttamente SIM e APN, verificare l’interfaccia e il gateway, quindi testare il percorso di failover.

1. Preparare modem e SIM

Per prima cosa, il modem o il modulo cellulare dovrebbe essere preparato senza modifiche frenetiche alla firewall.

Verificare:

  • La SIM è attiva e non bloccata.
  • Il PIN è noto o disattivato sulla SIM, se il modello operativo lo prevede.
  • L’APN corrisponde al piano aziendale, non a un profilo consumer o IoT errato.
  • Le antenne sono collegate correttamente e posizionate in modo sensato.
  • La posizione ha una ricezione sufficiente per il provider desiderato.

Con le antenne esterne, non solo l’intensità del segnale, ma anche il percorso del cavo dovrebbe essere considerato. Cavi d’antenna lunghi o di scarsa qualità possono annullare il vantaggio di una migliore posizione dell’antenna.

2. Verificare l’interfaccia WAN cellulare

Dopo aver inserito il modem, Sophos Firewall dovrebbe generare un’interfaccia o un gateway corrispondente o offrirlo per la configurazione.

Verificare:

Network > Interfaces

Sono importanti:

  • L’interfaccia è attiva.
  • La zona è impostata consapevolmente, di solito WAN.
  • L’indirizzo IP viene assegnato.
  • Il gateway viene creato.
  • I parametri DNS o del provider sono adatti al funzionamento pianificato.
  • L’interfaccia non è accidentalmente membro di un design inappropriato come LAG o HA.

Se l’interfaccia non appare, dovrebbe essere prima riconosciuto il modem. Solo successivamente verificare APN, PIN e gateway.

3. Pianificare il gateway e il profilo SD-WAN

Un gateway WAN cellulare non dovrebbe essere semplicemente posizionato accanto alla linea principale senza verifica. È cruciale quando la firewall considera il collegamento attivo e quale traffico può passare in failover.

Verificare:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Per molti ambienti, un design chiaro basato su First-Available o SLA è sensato:

  • Preferire la linea principale.
  • Utilizzare la WAN cellulare solo in caso di guasto o linea principale scadente.
  • Impostare un Health Check con obiettivi di prova sensati.
  • Dare priorità agli obiettivi critici per il business.
  • Limitare i servizi ad alta intensità di banda o non critici in failover.

Nei controlli di integrità SD-WAN, non si dovrebbe utilizzare solo un singolo indirizzo interno o esterno se ciò può causare falsi guasti. I profili SD-WAN possono utilizzare controlli di integrità con Ping o TCP e fino a due obiettivi di prova. In ambienti cellulari, TCP è spesso un’aggiunta realistica quando ICMP è inaffidabile.

Verifica dell’intensità del segnale tramite CLI

Dalla versione SFOS 22.0 MR1, Sophos menziona nelle note di rilascio il comando CLI:

system cellular_wan show

Questo comando è utile quando l’interfaccia mostra solo in modo approssimativo che la WAN cellulare è connessa, ma è necessario verificare i dettagli del segnale o del modem. Dovrebbe essere utilizzato e documentato in modo mirato, specialmente in sedi con copertura cellulare instabile.

⚠️ Gli accessi CLI dovrebbero essere effettuati solo da reti amministrative fidate. Prima dell’uso, dovrebbe essere verificato Collegarsi a Sophos Firewall tramite SSH e il rafforzamento dell’accesso tramite Device Access e Local Service ACL.

Praticamente, i valori del segnale non dovrebbero essere letti solo una volta. È meglio una breve serie di misurazioni:

  • funzionamento normale
  • dopo modifica delle antenne
  • in caso di maltempo o carico previsto
  • durante il failover attivo
  • dopo cambio di sede o provider

Se la qualità del segnale varia notevolmente, la configurazione del routing non è la causa principale. Dovrebbero essere prima verificate la posizione delle antenne, la copertura del provider, il modulo, la SIM e la sede.

Test del failover

Un test di failover dovrebbe essere pianificato e condotto in modo tracciabile. Semplicemente scollegare la linea principale e poi aprire solo un browser non è sufficiente.

Prima del test:

  • Backup della configurazione della firewall disponibile.
  • Percorso primario e di backup previsto documentato.
  • Utenti interessati o responsabili della sede informati.
  • Volume di dati e limiti tariffari noti.
  • Log Viewer e monitoraggio aperti.

Procedura di test:

  1. Verificare lo stato iniziale: gateway principale attivo, gateway WAN cellulare pronto.
  2. Generare traffico di test, ad esempio DNS, HTTPS, RDP, VPN o un’applicazione aziendale definita.
  3. Disattivare controllatamente la linea principale o far fallire intenzionalmente il controllo di integrità del gateway.
  4. Verificare se SD-WAN o il failover del gateway passa alla WAN cellulare.
  5. Controllare nel Log Viewer quali regole e percorsi della firewall vengono colpiti.
  6. Testare la raggiungibilità degli obiettivi più importanti.
  7. Ripristinare la linea principale.
  8. Verificare se la firewall ritorna correttamente o rimane intenzionalmente sul percorso di backup.

Per le verifiche di regole e percorsi, è utile Testare le regole della firewall con Log Viewer, Policy Test e Packet Capture. Se si verificano problemi di MTU o frammentazione, dovrebbe essere considerato Verificare MTU e MSS su Sophos Firewall in caso di problemi VPN.

Log e diagnosi

I problemi della WAN cellulare si distribuiscono su più fonti di log. Un singolo log raramente dimostra l’intera causa.

DomandaVerifica tipica
Il modem viene riconosciuto?mdev.log, syslog.log
Viene creata un’interfaccia?networkd.log
Un gateway diventa attivo?Stato del gateway, dgd.log, Log Viewer
La rotta corretta viene utilizzata?Rotta SD-WAN, tabella di routing, Log Viewer
Il traffico viene bloccato?Regola della firewall, NAT, filtro web, Application Control
Ci sono perdite di pacchetti o frammentazione?Packet Capture, iPerf, verifica MTU/MSS

I log più importanti sono ordinati nell’articolo Assegnare correttamente i log dei servizi di Sophos Firewall.

Errori tipici

Il modem non viene riconosciuto

Verificare prima i punti fisici: modulo, porta USB, alimentazione, antenne, hardware supportato e versione firmware. Poi controllare mdev.log e syslog.log. Se il modem non viene riconosciuto, APN o SD-WAN non sono ancora rilevanti.

La SIM è attiva, ma non si stabilisce una connessione

In questo caso, sono spesso coinvolti PIN, APN, profilo del provider o ricezione. È anche possibile una SIM bloccata dopo diversi tentativi di PIN errati. Con i piani aziendali, l’APN non dovrebbe essere indovinato, ma verificato con il provider.

Il gateway è attivo, ma nessun traffico passa attraverso la WAN cellulare

In questo caso, la causa è spesso nella rotta SD-WAN, nella priorità del gateway, nella regola della firewall, nel NAT o nella mancanza di un percorso di ritorno. Nel Log Viewer dovrebbe essere visibile se il traffico di test utilizza effettivamente il percorso di backup.

Il failover funziona, ma le applicazioni sono instabili

La rete mobile ha una latenza più elevata e fluttuazioni più forti rispetto a una linea fissa. Applicazioni con sessioni sensibili, VoIP, trasferimenti di file di grandi dimensioni, VPN-over-VPN o RDP possono quindi reagire diversamente. Inoltre, MTU/MSS e perdita di pacchetti possono giocare un ruolo.

La VPN funziona sulla linea principale, ma non sulla WAN cellulare

Con la rete mobile, CGNAT, filtri del provider, indirizzi IP variabili e restrizioni di protocollo sono cause comuni. Per la VPN di sede, dovrebbe essere verificato se il percorso mobile funziona come iniziatore, se la controparte accetta IP dinamici e se la rotta di ritorno è corretta.

Raccomandazioni operative

La WAN cellulare dovrebbe essere gestita come un percorso di emergenza, non come un’opzione dimenticata nell’interfaccia.

Regole operative sensate:

  • Testare il failover almeno trimestralmente.
  • Monitorare il volume di dati e i costi.
  • Documentare SIM, APN e contratto del provider.
  • Registrare la posizione delle antenne e i valori del segnale.
  • Limitare il traffico non critico in failover.
  • Includere lo stato del gateway e SD-WAN nel monitoraggio.
  • Pianificare un breve test di failover dopo gli aggiornamenti del firmware.
  • Escludere presto la WAN cellulare nella pianificazione HA o adattare il design.

Se una sede dipende dalla WAN cellulare, dovrebbe essere documentato anche il percorso di ritorno: chi riceve una notifica di guasto, chi può disattivare la linea principale, chi verifica il fornitore di servizi mobili e quando si ritorna al funzionamento normale.

Checklist

  • Il modem o il modulo cellulare viene riconosciuto.
  • La SIM è attiva e non bloccata.
  • PIN e APN sono corretti.
  • L’interfaccia WAN cellulare ha la zona corretta.
  • Il gateway viene creato e monitorato.
  • Il profilo SD-WAN utilizza controlli di integrità sensati.
  • Il failover è stato testato con traffico di test reale.
  • Le regole della firewall e il NAT sono adeguati anche nel percorso di backup.
  • Il volume di dati e i costi sono noti.
  • I valori del segnale sono stati documentati.
  • Le limitazioni HA sono state considerate.
  • Le fonti di log e il processo di supporto sono noti.

FAQ

La WAN cellulare può essere utilizzata come linea principale?

Tecnicamente può funzionare a seconda della sede. Tuttavia, per la maggior parte delle aziende, la WAN cellulare è più un percorso di backup. Volume di dati, latenza, CGNAT, qualità del segnale variabile e condizioni del provider devono essere verificati prima di un funzionamento continuo produttivo.

Perché il gateway è attivo, ma la sede non ha comunque Internet?

Un gateway attivo significa solo che la firewall vede fondamentalmente il percorso. Successivamente, devono essere adeguate la rotta SD-WAN, la regola della firewall, il NAT, il DNS, il percorso di ritorno e le funzionalità di sicurezza. Pertanto, il traffico di test specifico dovrebbe essere verificato nel Log Viewer.

Un ping riuscito è sufficiente come test di failover?

No. Il ping è un primo indizio, ma non una prova di raggiungibilità produttiva. Dovrebbero essere testati anche DNS, HTTPS, applicazioni centrali, VPN, RDP o altri servizi realmente necessari.

La WAN cellulare funziona in un cluster HA di Sophos Firewall?

Per HA, la WAN cellulare deve essere disattivata. Se sono richiesti contemporaneamente failover mobile e HA, è necessario un design separato, ad esempio tramite un dispositivo mobile preposto o un’altra architettura WAN.

Quale comando CLI mostra i dettagli della WAN cellulare?

Dalla versione SFOS 22.0 MR1, è disponibile il comando system cellular_wan show per verificare le informazioni sulla WAN cellulare come i valori del segnale tramite CLI.