Vai al contenuto
Avanet

Modificare la priorità di routing su Sophos Firewall

Sophos Firewall

In questa guida spieghiamo come verificare e modificare la route precedence su Sophos Firewall. Questa impostazione definisce l’ordine con cui il firewall valuta rotte statiche, SD-WAN Policy Routes e rotte VPN nella scelta del percorso.

Requisiti

  • Sophos Firewall con SFOS 18.0 o superiore
  • Modalità Gateway
  • Accesso alla Device Console, ad esempio tramite SSH
  • Finestra di manutenzione se può essere interessato traffico produttivo

Se l’accesso alla console non è ancora configurato, la guida Connettersi a Sophos Firewall tramite SSH spiega come collegarsi e aprire la Device Console.

⚠️ Modificare la route precedence può influenzare immediatamente il traffico produttivo. Prima della modifica, documentare l’ordine attuale e verificare quali rotte statiche, SD-WAN Policy Routes e rotte VPN possono essere interessate.

A cosa serve la route precedence?

La route precedence stabilisce quale tipo di routing viene valutato per primo quando più rotte corrispondono alla stessa destinazione. Questo è particolarmente importante quando rotte statiche, SD-WAN Policy Routes e rotte VPN si sovrappongono.

Scenario frequente: una rete interna dovrebbe essere raggiungibile solo tramite una connessione IPsec o una rotta statica, ma il firewall seleziona una SD-WAN Policy Route e invia il traffico verso la WAN. In questo caso, modificare la route precedence può aiutare. A seconda del design IPsec, una rotta IPsec può anche essere la soluzione più pulita.

Sophos documenta questo comando qui: route_precedence - Sophos Firewall.

Tipi di rotte

  • static: rotte statiche. Secondo Sophos, anche le connessioni SSL VPN appartengono a questa categoria.
  • sdwan_policyroute: SD-WAN Policy Routes o rotte basate su policy.
  • vpn: rotte VPN.

L’ordine predefinito è:

  1. Static
  2. SD-WAN
  3. VPN

Mostrare l’impostazione attuale

I comandi seguenti vengono eseguiti nella Device Console, non nella Advanced Shell.

system route_precedence show

La relativa uscita dovrebbe essere documentata prima di qualsiasi modifica. Se serve un rollback, si può ripristinare esattamente l’ordine precedente.

Modificare l’ordine

Questo esempio posiziona le rotte statiche prima delle SD-WAN Policy Routes e delle rotte VPN:

system route_precedence set static sdwan_policyroute vpn

Se l’uscita attuale mostra già static sdwan_policyroute vpn, probabilmente la route precedence non è la causa del problema. In questo caso, verificare rotte statiche, SD-WAN Policy Routes, configurazione VPN, regole firewall e regole NAT.

Verificare la modifica

Mostrare di nuovo il nuovo ordine:

system route_precedence show

Poi testare in modo mirato il traffico interessato:

  • Verificare la connettività verso la rete di destinazione, ad esempio con ping o traceroute
  • Controllare il Log Viewer per traffico consentito o bloccato
  • Usare Packet Capture se necessario
  • Verificare se anche regole NAT o firewall influenzano il traffico

Rollback

Se dopo la modifica il traffico non funziona come previsto, ripristinare l’ordine documentato in precedenza. Esempio:

system route_precedence set sdwan_policyroute static vpn

L’ordine esatto deve corrispondere all’uscita documentata prima della modifica.