Zum Inhalt springen
Avanet

Sophos Firewall Cellular WAN und 4G/5G-Failover prüfen

Sophos Firewall

Cellular WAN ist auf einer Sophos Firewall meistens kein primärer Internetzugang, sondern eine Rückfallleitung: wenn die Glasfaser, DSL- oder Kabelleitung ausfällt, soll eine 4G- oder 5G-Verbindung wichtige Dienste weiter erreichbar halten. Genau deshalb darf man Cellular WAN nicht erst im Störungsfall prüfen.

In der Praxis scheitert Failover selten an einem einzelnen Haken. Häufiger sind SIM/PIN, APN, schlechte Signalqualität, ein nicht korrekt erzeugtes Gateway, falsche SD-WAN-Health-Checks oder eine fehlende Rückfalllogik beteiligt. Der Artikel erklärt, wie man Cellular WAN plant, testet und typische Fehler eingrenzt.

Für die grundsätzliche Arbeit mit Interfaces, Zonen und Gateways passt zuerst Sophos Firewall Zonen und Interfaces konfigurieren. Wenn es um Routing von Firewall-eigenem Traffic geht, hilft zusätzlich Sophos Firewall SD-WAN Routing für Reply Packets und System Traffic prüfen.

Wann Cellular WAN sinnvoll ist

Cellular WAN eignet sich vor allem als Betriebs- und Notfallkomponente. Es ersetzt keine sauber dimensionierte Hauptleitung, kann aber kritische Standorte stabiler machen.

Typische Einsatzfälle:

  • kleines Büro mit 4G/5G-Backup für Internetzugang
  • Filiale mit SD-WAN-Failover bei Providerstörung
  • temporärer Standort ohne feste Leitung
  • Backup-Pfad für Monitoring, Supportzugriff oder zentrale Dienste
  • Fallback für Standort-VPN, wenn Bandbreite und Tarif dafür ausreichen

Vor dem Rollout sollte klar sein, welche Dienste im Failover wirklich weiterlaufen müssen. Ein LTE- oder 5G-Link mit begrenztem Datenvolumen ist meist nicht dafür gedacht, den kompletten normalen Standorttraffic dauerhaft zu tragen.

Grenzen und wichtige Entscheidungen

Cellular WAN bringt eigene Einschränkungen mit. Diese Punkte sollten vor der Konfiguration geklärt werden:

ThemaWarum es wichtig ist
DatenvolumenEin ungefilterter Standort kann ein Mobilfunkkontingent sehr schnell verbrauchen.
CGNATViele Mobilfunkanbieter geben keine direkt erreichbare öffentliche IPv4-Adresse. Eingehende Dienste und manche VPN-Szenarien müssen dann anders geplant werden.
SignalqualitätEin sichtbares Netz reicht nicht. Schwache Signalwerte führen zu Paketverlust, Latenzspitzen und instabilen Failover-Tests.
Provider-FirewallManche Tarife blockieren eingehende Verbindungen oder bestimmte Protokolle.
HACellular WAN muss in Sophos-Firewall-HA-Umgebungen deaktiviert sein. Das sollte vor einem HA-Design geprüft werden.
MonitoringFailover muss aktiv überwacht werden. Sonst merkt man oft erst im Störungsfall, dass die Reserveleitung nicht funktioniert.

Für HA-Umgebungen ist Sophos Firewall HA Cluster Varianten und Betrieb relevant, weil Cellular WAN dort nicht wie ein normales synchronisiertes Interface behandelt werden kann.

Voraussetzungen

Vor der Einrichtung sollten diese Punkte bereitliegen:

  • unterstütztes 4G/5G-Modem oder integriertes Mobilfunkmodul
  • aktive SIM-Karte mit passendem Datentarif
  • PIN, falls die SIM nicht ohne PIN betrieben wird
  • APN des Providers
  • optional Benutzername und Passwort des Providers
  • Information, ob der Provider öffentliche IP, private IP oder CGNAT verwendet
  • gewünschte Zone des Cellular-WAN-Interfaces
  • geplante SD-WAN- oder Gateway-Failover-Logik
  • Testzeitfenster, in dem die Hauptleitung kurz deaktiviert werden darf

Wenn die Mobilfunkleitung produktiv als Fallback dienen soll, sollte man zusätzlich klären, wer den Tarif, das Datenvolumen, die SIM-Sperre, Ersatzhardware und die regelmässigen Tests verantwortet.

Cellular WAN einrichten

Die genaue Oberfläche kann je nach SFOS-Version, Hardwaremodell und Modem leicht abweichen. Der praktische Ablauf bleibt aber gleich: Modem erkennen, SIM und APN korrekt setzen, Interface und Gateway prüfen, danach den Failover-Pfad testen.

1. Modem und SIM vorbereiten

Zuerst sollte das Modem oder Mobilfunkmodul ohne hektische Firewall-Änderungen vorbereitet werden.

Prüfen:

  • SIM ist aktiv und nicht gesperrt.
  • PIN ist bekannt oder auf der SIM deaktiviert, wenn das Betriebsmodell das vorsieht.
  • APN entspricht dem Business-Tarif, nicht einem falschen Consumer- oder IoT-Profil.
  • Antennen sind korrekt angeschlossen und sinnvoll positioniert.
  • Standort hat ausreichend Empfang für den gewünschten Provider.

Bei Aussenantennen sollte nicht nur die Signalstärke, sondern auch die Leitungsführung beachtet werden. Lange oder schlechte Antennenkabel können den Vorteil einer besseren Antennenposition wieder zunichtemachen.

2. Cellular-WAN-Interface prüfen

Nach dem Einsetzen des Modems sollte die Sophos Firewall ein entsprechendes Interface beziehungsweise Gateway erzeugen oder zur Konfiguration anbieten.

Prüfen:

Network > Interfaces

Wichtig sind:

  • Interface ist aktiv.
  • Zone ist bewusst gesetzt, meistens WAN.
  • IP-Adresse wird bezogen.
  • Gateway wird erstellt.
  • DNS- oder Providerparameter passen zum geplanten Betrieb.
  • Interface ist nicht versehentlich Mitglied eines ungeeigneten Designs wie LAG oder HA.

Wenn das Interface nicht erscheint, sollte zuerst das Modem erkannt werden. Danach erst APN, PIN und Gateway prüfen.

3. Gateway und SD-WAN-Profil planen

Ein Cellular-WAN-Gateway sollte nicht einfach ungeprüft neben die Hauptleitung gelegt werden. Entscheidend ist, wann die Firewall den Link als aktiv betrachtet und welcher Traffic im Failover darüber laufen darf.

Prüfen:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Für viele Umgebungen ist ein klares First-Available- oder SLA-basiertes Design sinnvoll:

  • Hauptleitung bevorzugen.
  • Cellular WAN nur bei Ausfall oder schlechter Hauptleitung verwenden.
  • Health Check mit sinnvollen Probe Targets setzen.
  • Business-kritische Ziele priorisieren.
  • Bandbreitenintensive oder nicht kritische Dienste im Failover begrenzen.

Bei SD-WAN-Health-Checks sollte man nicht nur eine einzelne interne oder externe Adresse verwenden, wenn dadurch falsche Ausfälle entstehen können. SD-WAN-Profile können Health Checks mit Ping oder TCP und bis zu zwei Probe Targets verwenden. In Mobilfunkumgebungen ist TCP oft eine realistische Ergänzung, wenn ICMP unterwegs unzuverlässig ist.

Signalstärke per CLI prüfen

Seit SFOS 22.0 MR1 nennt Sophos in den Release Notes den CLI-Befehl:

system cellular_wan show

Dieser Befehl ist nützlich, wenn die Oberfläche nur grob zeigt, dass Cellular WAN verbunden ist, man aber Signal- oder Modemdetails prüfen muss. Er sollte gezielt verwendet und dokumentiert werden, besonders bei Standorten mit instabiler Mobilfunkabdeckung.

⚠️ CLI-Zugriffe sollten nur aus vertrauenswürdigen Admin-Netzen erfolgen. Vor der Nutzung sollte Sophos Firewall per SSH verbinden und die Zugriffshärtung über Device Access und Local Service ACL geprüft werden.

Praktisch sollte man Signalwerte nicht nur einmal lesen. Besser ist eine kurze Messreihe:

  • normaler Betrieb
  • nach Antennenänderung
  • bei schlechtem Wetter oder erwarteter Last
  • während aktivem Failover
  • nach Standort- oder Providerwechsel

Wenn die Signalqualität stark schwankt, ist die Routing-Konfiguration nicht die eigentliche Ursache. Dann sollte zuerst Antennenposition, Providerabdeckung, Modul, SIM und Standort geprüft werden.

Failover testen

Ein Failover-Test sollte geplant und nachvollziehbar durchgeführt werden. Einfach die Hauptleitung ziehen und danach nur einen Browser öffnen ist zu wenig.

Vor dem Test:

  • Backup der Firewall-Konfiguration vorhanden.
  • Erwarteter Primär- und Backup-Pfad dokumentiert.
  • Betroffene Benutzer oder Standortverantwortliche informiert.
  • Datenvolumen und Tarifgrenzen bekannt.
  • Log Viewer und Monitoring geöffnet.

Testablauf:

  1. Ausgangszustand prüfen: Hauptgateway aktiv, Cellular-WAN-Gateway bereit.
  2. Testtraffic erzeugen, zum Beispiel DNS, HTTPS, RDP, VPN oder eine definierte Business-Anwendung.
  3. Hauptleitung kontrolliert deaktivieren oder den Gateway-Health-Check gezielt fehlschlagen lassen.
  4. Prüfen, ob SD-WAN oder Gateway-Failover auf Cellular WAN wechselt.
  5. Im Log Viewer kontrollieren, welche Firewall-Regeln und Pfade getroffen werden.
  6. Erreichbarkeit der wichtigsten Ziele testen.
  7. Hauptleitung wiederherstellen.
  8. Prüfen, ob die Firewall sauber zurückschwenkt oder bewusst auf dem Backup-Pfad bleibt.

Für Regel- und Pfadprüfungen passt Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture. Wenn MTU- oder Fragmentierungsprobleme auftreten, sollte Sophos Firewall MTU und MSS bei VPN-Problemen prüfen einbezogen werden.

Logs und Diagnose

Cellular-WAN-Probleme verteilen sich über mehrere Logquellen. Ein einzelnes Log beweist selten die ganze Ursache.

FragestellungTypische Prüfung
Wird das Modem erkannt?mdev.log, syslog.log
Wird ein Interface erzeugt?networkd.log
Wird ein Gateway aktiv?Gateway-Status, dgd.log, Log Viewer
Greift die richtige Route?SD-WAN Route, Routing-Tabelle, Log Viewer
Wird Traffic geblockt?Firewall-Regel, NAT, Webfilter, Application Control
Gibt es Paketverlust oder Fragmentierung?Packet Capture, iPerf, MTU/MSS-Prüfung

Die wichtigsten Logdateien sind im Artikel Sophos Firewall Service Logs richtig zuordnen eingeordnet.

Typische Fehlerbilder

Modem wird nicht erkannt

Zuerst physische Punkte prüfen: Modul, USB-Port, Stromversorgung, Antennen, unterstützte Hardware und Firmwarestand. Danach mdev.log und syslog.log prüfen. Wenn das Modem gar nicht erkannt wird, sind APN oder SD-WAN noch nicht relevant.

SIM ist aktiv, aber keine Verbindung entsteht

Dann sind meistens PIN, APN, Providerprofil oder Empfang beteiligt. Auch eine gesperrte SIM nach mehreren falschen PIN-Versuchen ist möglich. Bei Business-Tarifen sollte der APN nicht geraten, sondern beim Provider geprüft werden.

Gateway ist aktiv, aber kein Traffic geht über Cellular WAN

Dann liegt die Ursache oft bei SD-WAN Route, Gateway-Priorität, Firewall-Regel, NAT oder fehlendem Rückweg. Im Log Viewer sollte sichtbar sein, ob der Testtraffic wirklich den Backup-Pfad verwendet.

Failover funktioniert, aber Anwendungen sind instabil

Mobilfunk hat höhere Latenz und stärkere Schwankungen als eine feste Leitung. Anwendungen mit empfindlichen Sessions, VoIP, grosse Dateiübertragungen, VPN-over-VPN oder RDP können deshalb anders reagieren. Zusätzlich können MTU/MSS und Paketverlust eine Rolle spielen.

VPN funktioniert über die Hauptleitung, aber nicht über Cellular WAN

Bei Mobilfunk sind CGNAT, Providerfilter, wechselnde IP-Adressen und Protokollbeschränkungen häufige Ursachen. Für Standort-VPN sollte geprüft werden, ob der Mobilfunkpfad als Initiator funktioniert, ob die Gegenstelle dynamische IPs akzeptiert und ob die Rückroute stimmt.

Betriebsempfehlung

Cellular WAN sollte wie ein Notfallpfad betrieben werden, nicht wie ein vergessener Haken in der Oberfläche.

Sinnvolle Betriebsregeln:

  • Failover mindestens quartalsweise testen.
  • Datenvolumen und Kosten überwachen.
  • SIM, APN und Providervertrag dokumentieren.
  • Antennenposition und Signalwerte festhalten.
  • Nicht kritischen Traffic im Failover begrenzen.
  • Gateway- und SD-WAN-Status ins Monitoring aufnehmen.
  • Nach Firmware-Updates einen kurzen Failover-Test einplanen.
  • Bei HA-Planung Cellular WAN früh ausschliessen oder das Design anpassen.

Wenn ein Standort auf Cellular WAN angewiesen ist, sollte auch der Rückweg dokumentiert werden: Wer bekommt eine Störungsmeldung, wer darf die Hauptleitung deaktivieren, wer prüft den Mobilfunkanbieter, und wann wird auf den normalen Betrieb zurückgeschaltet?

Checkliste

  • Modem oder Mobilfunkmodul wird erkannt.
  • SIM ist aktiv und nicht gesperrt.
  • PIN und APN sind korrekt.
  • Cellular-WAN-Interface hat die richtige Zone.
  • Gateway wird erstellt und überwacht.
  • SD-WAN-Profil nutzt sinnvolle Health Checks.
  • Failover wurde mit realem Testtraffic geprüft.
  • Firewall-Regeln und NAT passen auch im Backup-Pfad.
  • Datenvolumen und Kosten sind bekannt.
  • Signalwerte wurden dokumentiert.
  • HA-Einschränkungen wurden berücksichtigt.
  • Logquellen und Supportprozess sind bekannt.

FAQ

Kann Cellular WAN als Hauptleitung verwendet werden?

Technisch kann das je nach Standort funktionieren. Für die meisten Firmen ist Cellular WAN aber eher ein Backup-Pfad. Datenvolumen, Latenz, CGNAT, schwankende Signalqualität und Providerbedingungen müssen vor einem produktiven Dauerbetrieb geprüft werden.

Warum ist das Gateway aktiv, aber der Standort hat trotzdem kein Internet?

Ein aktives Gateway bedeutet nur, dass die Firewall den Pfad grundsätzlich sieht. Danach müssen SD-WAN Route, Firewall-Regel, NAT, DNS, Rückweg und Security Features passen. Deshalb sollte man den konkreten Testtraffic im Log Viewer prüfen.

Reicht ein erfolgreicher Ping als Failover-Test?

Nein. Ping ist ein erster Hinweis, aber kein Beweis für produktive Erreichbarkeit. Zusätzlich sollten DNS, HTTPS, zentrale Anwendungen, VPN, RDP oder andere wirklich benötigte Dienste getestet werden.

Funktioniert Cellular WAN in einem Sophos Firewall HA-Cluster?

Für HA muss Cellular WAN deaktiviert sein. Wenn Mobilfunk-Failover und HA gleichzeitig gefordert sind, braucht es ein separates Design, zum Beispiel über ein vorgeschaltetes Mobilfunkgerät oder eine andere WAN-Architektur.

Welcher CLI-Befehl zeigt Cellular-WAN-Details?

Ab SFOS 22.0 MR1 steht der Befehl system cellular_wan show zur Verfügung, um Cellular-WAN-Informationen wie Signalwerte über die CLI zu prüfen.