Zum Inhalt springen
Avanet

Sophos Firewall Routing Priorität ändern

Sophos Firewall

In dieser Anleitung zeigen wir, wie man die Route Precedence auf einer Sophos Firewall prüft und bei Bedarf anpasst. Damit legt man fest, in welcher Reihenfolge die Firewall Static Routes, SD-WAN Policy Routes und VPN-Routen bei der Routenauswahl berücksichtigt.

Voraussetzungen

  • Sophos Firewall mit SFOS 18.0 oder höher
  • Betriebsmodus Gateway
  • Zugriff auf die Device Console, zum Beispiel per SSH
  • Administrationsfenster, wenn produktiver Traffic betroffen sein kann

Falls der Konsolenzugriff noch nicht eingerichtet ist, erklärt die Anleitung Sophos Firewall per SSH verbinden, wie man eine SSH-Verbindung zur Firewall herstellt und die Device Console öffnet.

⚠️ Eine Änderung der Route Precedence kann produktiven Traffic sofort beeinflussen. Vor der Anpassung sollte man die aktuelle Reihenfolge dokumentieren und wissen, welche statischen Routen, SD-WAN Policy Routes und VPN-Routen betroffen sind.

Wozu dient die Route Precedence?

Die Route Precedence legt fest, welche Routing-Art zuerst ausgewertet wird, wenn mehrere Routen zu einem Ziel passen. Das ist vor allem dann wichtig, wenn sich statische Routen, SD-WAN Policy Routes und VPN-Routen überschneiden.

Ein häufiges Szenario: Ein internes Netzwerk ist nur über eine IPsec-Verbindung oder eine statische Route erreichbar. Die Firewall wählt aber eine SD-WAN Policy Route und sendet den Traffic Richtung WAN. In so einem Fall kann eine Anpassung der Route Precedence helfen. Bei IPsec kann je nach Design auch eine IPsec Route die sauberere Lösung sein.

Sophos beschreibt die Route Precedence auch in der offiziellen Dokumentation: route_precedence - Sophos Firewall.

Routing-Arten

  • static: Statische Routen. Laut Sophos gehören auch SSL-VPN-Verbindungen zu dieser Kategorie.
  • sdwan_policyroute: SD-WAN Policy Routes beziehungsweise policybasierte Routen.
  • vpn: VPN-Routen.

Die Standard-Reihenfolge ist:

  1. Static
  2. SD-WAN
  3. VPN

Aktuelle Einstellung anzeigen

Die folgenden Befehle werden in der Device Console ausgeführt, nicht in der Advanced Shell.

system route_precedence show

Die Ausgabe sollte man vor einer Änderung notieren. Wenn später ein Rollback nötig ist, kann man genau diese Reihenfolge wieder setzen.

Reihenfolge ändern

Dieses Beispiel setzt statische Routen vor SD-WAN Policy Routes und VPN-Routen:

system route_precedence set static sdwan_policyroute vpn

Wenn die aktuelle Ausgabe bereits static sdwan_policyroute vpn zeigt, ist die Route Precedence wahrscheinlich nicht die Ursache des Problems. In diesem Fall sollte man statische Routen, SD-WAN Policy Routes, VPN-Konfiguration, Firewall-Regeln und NAT-Regeln prüfen.

Änderung prüfen

Nach der Anpassung die neue Reihenfolge erneut anzeigen:

system route_precedence show

Danach sollte man den betroffenen Traffic gezielt testen:

  • Verbindung zum Zielnetz prüfen, zum Beispiel mit Ping oder Traceroute
  • Log Viewer auf erlaubten oder verworfenen Traffic prüfen
  • Bei Bedarf Packet Capture verwenden
  • Prüfen, ob NAT- oder Firewall-Regeln den Traffic zusätzlich beeinflussen

Rollback

Falls der Traffic nach der Änderung nicht wie erwartet funktioniert, setzt man die zuvor notierte Reihenfolge wieder zurück. Beispiel:

system route_precedence set sdwan_policyroute static vpn

Die genaue Reihenfolge muss der vorher dokumentierten Ausgabe entsprechen.