Sophos SD-RED einrichten und Fehler beheben
Mit einer Sophos SD-RED kann man Aussenstellen, Filialen oder Home-Offices relativ einfach an eine Sophos Firewall am Hauptstandort anbinden. Die RED baut dabei einen verschlüsselten Tunnel zur Firewall auf und erweitert das Netzwerk des Hauptstandorts an den entfernten Standort.
Der grosse Vorteil: Vor Ort braucht es normalerweise keine komplexe VPN-Konfiguration. Die RED wird mit Internet verbunden, lädt ihre Konfiguration über den Sophos RED Provisioning Service und baut danach den Tunnel zur Firewall auf.
Voraussetzungen am Hauptstandort
- Sophos Firewall
- Network Protection Lizenz
- aktiver RED Service auf der Firewall
- erreichbare öffentliche IP-Adresse oder ein DNS-/DynDNS-Name
- eingehend erlaubte RED-Verbindungen zur Firewall
- passende Firewall-Regeln für Traffic vom RED-Netz ins gewünschte Zielnetz
- DHCP-Server oder passende Netzwerkkonfiguration für Clients hinter der RED
Sophos nennt als wichtige Kommunikationsanforderungen TCP 3400, UDP 3410 und NTP 123. Diese Verbindungen dürfen unterwegs nicht durch Provider-Router, vorgeschaltete Firewalls oder Security Gateways blockiert werden.
Voraussetzungen am Aussenstandort
- Sophos SD-RED
- Internetanschluss
- DHCP am Provider-Router oder eine korrekt konfigurierte statische Adresse
- erreichbares Standardgateway
- funktionierende DNS- und Zeitauflösung
- keine Blockade von TCP 3400, UDP 3410 und NTP 123
Für einfache Standorte reicht ein Internetanschluss mit mindestens 5000/500 Kbit/s oft aus. Entscheidend ist aber nicht nur die Bandbreite, sondern auch Stabilität, Latenz, Paketverlust und ob der Provider die benötigten Ports sauber durchlässt.
Sophos SD-RED verbinden
- Man verbindet den WAN-Port der SD-RED mit dem Provider-Router oder Modem am Aussenstandort.
- Die LAN-Ports der SD-RED verbindet man mit einem Client, Switch oder dem lokalen Netz am Aussenstandort.
- Danach wird die SD-RED mit Strom versorgt.
- Die RED startet, holt eine IP-Adresse, prüft den Router, prüft die Internetverbindung, lädt die Konfiguration und baut den Tunnel zur Sophos Firewall auf.
- Sobald alle relevanten LEDs grün leuchten, steht die Verbindung zur Firewall.
Am Hauptstandort muss danach geprüft werden, ob das RED-Interface auf der Sophos Firewall eine passende Zone, IP-Konfiguration, DHCP-Konfiguration und Firewall-Regeln hat. Der Tunnel alleine bedeutet noch nicht, dass Clients hinter der RED automatisch alles erreichen dürfen.
LED-Status beim Start verstehen
Die Status-LEDs sind beim RED-Troubleshooting sehr hilfreich, weil sie zeigen, an welchem Punkt die Verbindung hängen bleibt.
Legende:
- ⚫ aus
- 🟢 leuchtet grün
- 🟢 blinkt grün
- 🔴 leuchtet rot
- 🔴 blinkt rot
Die offiziellen LED-Codes unterscheiden im Wesentlichen zwischen grün, rot, blinkend und aus. Je nach Blickwinkel, Foto oder Umgebungslicht kann eine LED gelblich oder orange wirken. Für die Diagnose zählt aber vor allem: Welche LED leuchtet oder blinkt, und ist sie grün oder rot?
Normaler Bootvorgang
| System | Router | Internet | Tunnel | Bedeutung |
|---|---|---|---|---|
| 🟢 blinkt | ⚫ | ⚫ | ⚫ | Die RED startet. |
| 🟢 | ⚫ | ⚫ | ⚫ | Der Bootvorgang ist abgeschlossen. |
| 🟢 | 🟢 blinkt | ⚫ | ⚫ | Die RED verbindet sich mit dem Standardgateway oder Router. |
| 🟢 | 🟢 | ⚫ | ⚫ | Das Standardgateway ist erreichbar. |
| 🟢 | 🟢 | 🟢 blinkt | ⚫ | Die RED verbindet sich mit dem Internet. |
| 🟢 | 🟢 | 🟢 | ⚫ | Die Internetverbindung steht. |
| 🟢 | 🟢 | 🟢 | 🟢 blinkt | Die RED verbindet sich mit der Sophos Firewall. |
| 🟢 | 🟢 | 🟢 | 🟢 | Der Tunnel zur Firewall steht. |
| 🟢 blinkt | 🟢 blinkt | 🟢 blinkt | 🟢 blinkt | Die RED installiert eine neue Firmware. RED nicht ausschalten. |
Wenn alle vier LEDs grün leuchten, ist die technische RED-Verbindung aufgebaut. Wenn danach trotzdem kein Traffic fliesst, liegt das Problem meistens nicht mehr beim Tunnelaufbau, sondern bei Firewall-Regeln, Routing, NAT, VLANs oder DHCP.
Fehlercodes
| System | Router | Internet | Tunnel | Bedeutung | Typische Ursache |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP oder statische IP-Konfiguration fehlgeschlagen. | Kein DHCP, falsche statische Adresse, Gateway nicht erreichbar. |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet nicht erreichbar. | Router erreichbar, aber DNS, Routing, Provider oder Firewall davor blockiert. |
| 🔴 | 🟢 | 🟢 | ⚫ | Keine Verbindung zur Sophos Firewall. | RED Service, TCP 3400, UDP 3410, Provisioning, Firewall-Erreichbarkeit oder Unlock Code prüfen. |
| 🔴 | 🟢 | 🟢 | 🟢 | Keine Konfiguration verfügbar oder Firmware-Update fehlgeschlagen. | Provisioning-Konfiguration, Firmware Pattern, Unlock Code oder Supportfall prüfen. |
3G/4G Failover
Bei SD-RED-Modellen mit 3G/4G-Failover oder entsprechendem Modul können zusätzliche LED-Muster auftreten.
| System | Router | Internet | Tunnel | Bedeutung |
|---|---|---|---|---|
| 🔴 blinkt | 🟢 blinkt | ⚫ | ⚫ | 3G/4G-Failover ist aktiv. |
| 🔴 blinkt | 🟢 | 🟢 blinkt | ⚫ | Das Standardgateway ist erreichbar und die Internetverbindung wird aufgebaut. |
| 🔴 blinkt | 🟢 | 🟢 | 🟢 blinkt | Internet steht, Tunnel zur Firewall wird aufgebaut. |
| 🔴 blinkt | 🟢 blinkt | 🟢 blinkt | 🟢 blinkt | Tunnel steht über Failover-Verbindung. Dieses Muster sieht man erst, wenn der Tunnel aufgebaut wurde. |
Firmware-Update nicht unterbrechen
Wenn die Status-LEDs nach dem Start rotierend oder gemeinsam blinken, kann die RED gerade eine Firmware installieren. In dieser Phase sollte man die RED nicht ausschalten und auch nicht vom Internet trennen. Ein Firmware-Update kann einige Minuten dauern.
Auf der Sophos Firewall sollte man zusätzlich unter Backup & firmware > Pattern updates prüfen, ob das RED Firmware Pattern aktuell ist. Wenn eine RED in einer Verbindungsschleife hängt oder immer wieder neu startet, kann ein veraltetes RED Firmware Pattern eine mögliche Ursache sein.
Häufige Stolpersteine nach erfolgreicher Verbindung
Ein grüner Tunnel bedeutet nur, dass die RED mit der Firewall verbunden ist. Danach braucht es weiterhin eine saubere Netzwerkkonfiguration.
Typische Punkte:
- RED-Interface hat die richtige Zone.
- DHCP für das RED-Netz ist eingerichtet oder Relay funktioniert.
- Firewall-Regeln erlauben Traffic vom RED-Netz zu den gewünschten Zielnetzen.
- Routing zurück zum RED-Netz ist korrekt.
- NAT wird nur dort verwendet, wo es wirklich nötig ist.
- DNS für Clients am Aussenstandort funktioniert.
- Bei VLANs ist der RED-Modus passend gewählt.
Wenn Clients hinter der RED keine IP-Adresse bekommen, ist meist DHCP oder VLAN-Tagging das Problem. Wenn Clients eine IP-Adresse bekommen, aber keine internen Systeme erreichen, sind meistens Firewall-Regeln, Routing oder DNS die Ursache.
Troubleshooting: RED verbindet sich nicht
RED erhält keine IP-Adresse oder erreicht das Gateway nicht
Wenn die RED beim Router-Schritt hängen bleibt oder der Fehlercode auf DHCP beziehungsweise Gateway zeigt, sollte man zuerst den Aussenstandort prüfen.
Dabei sollte man prüfen:
- Gibt der Provider-Router per DHCP eine IP-Adresse aus?
- Ist das Netzwerkkabel am WAN-Port der RED korrekt eingesteckt?
- Ist das Standardgateway erreichbar?
- Wurde eine statische IP-Adresse korrekt eingetragen?
- Sind IP-Adresse, Subnetzmaske, Gateway und DNS konsistent?
- Blockiert ein vorgeschaltetes Gerät den Traffic?
Wenn DHCP am Aussenstandort nicht funktioniert, kann die RED in einer Neustartschleife landen, weil sie keine brauchbare Netzwerkverbindung aufbauen kann.
RED erreicht das Internet nicht
Wenn Router/Gateway erreichbar ist, aber die Internet-LED nicht dauerhaft grün wird, liegt das Problem meistens hinter dem lokalen Router.
Dabei sollte man prüfen:
- Funktioniert der Internetanschluss am Aussenstandort mit einem normalen Client?
- Funktioniert DNS?
- Ist NTP erreichbar?
- Werden TCP 3400, UDP 3410 oder NTP 123 durch den Provider blockiert?
- Gibt es eine Firewall oder einen Proxy zwischen RED und Internet?
Für RED-Provisioning muss die RED den Sophos Provisioning Service erreichen können. Sophos verwendet dafür unter anderem red.astaro.com auf TCP 3400.
RED erreicht die Sophos Firewall nicht
Wenn Internet erreichbar ist, aber der Tunnel nicht aufgebaut wird, prüft man die Firewall-Seite.
Dabei sollte man prüfen:
- Ist der RED Service auf der Sophos Firewall aktiviert?
- Ist das RED Interface korrekt angelegt?
- Stimmen RED-ID und Unlock Code?
- Ist die öffentliche Firewall-Adresse oder der FQDN erreichbar?
- Ist Administration > Device access für RED auf der passenden WAN-Zone erlaubt?
- Erlaubt eine Local Service ACL die öffentliche IP des Aussenstandorts für RED Services, falls der Zugriff eingeschränkt wurde?
- Kommen TCP 3400 und UDP 3410 auf der Firewall an?
Auf der Firewall kann man in der Advanced Shell mit tcpdump prüfen, ob RED-Traffic ankommt:
tcpdump -ni any port 3400 or port 3410
Wenn nichts ankommt, liegt das Problem meistens vor der Firewall: Provider-Router, NAT, vorgeschaltete Firewall, falsche öffentliche IP oder Portblockade.
RED startet immer wieder neu
Eine Neustartschleife kann mehrere Ursachen haben:
- instabile Stromversorgung
- defekte Hardware oder Netzteilproblem
- keine IP-Adresse per DHCP
- falsche oder beschädigte Konfiguration
- veraltetes RED Firmware Pattern
- blockierte Ports TCP 3400 oder UDP 3410
- falscher Unlock Code
Zuerst prüft man Stromversorgung, Netzwerkanschluss und DHCP. Danach sollte man das RED Firmware Pattern auf der Firewall aktualisieren und prüfen, ob TCP 3400 und UDP 3410 auf der Firewall sichtbar sind.
Wenn die Konfiguration verdächtig ist, kann man die RED neu anlegen oder auf Werkseinstellungen zurücksetzen. Vorher sollte man aber sicherstellen, dass RED-ID und Unlock Code korrekt dokumentiert sind.
Tunnel ist grün, aber es fliesst kein Traffic
Dieser Fall ist besonders häufig: Die RED-LEDs sehen gut aus, aber Clients erreichen keine internen Systeme oder kein Internet.
Mögliche Ursachen:
- Firewall-Regel fehlt oder steht falsch.
- RED-Interface ist in der falschen Zone.
- Routing zurück zum RED-Netz fehlt.
- NAT übersetzt Traffic unerwartet.
- DHCP verteilt falsches Gateway oder falsche DNS-Server.
- UDP 3410 wird unterwegs instabil blockiert oder gefiltert.
Man prüft im Log viewer, ob Traffic vom RED-Netz sichtbar ist. Danach helfen Diagnostics > Packet capture und gegebenenfalls tcpdump -ni any port 3410. Für Regelprobleme ist der Artikel Sophos Firewall-Regeln verstehen und richtig konfigurieren hilfreich.
Kein VLAN-Traffic über die RED
Bei SD-RED 60 sind VLAN-Szenarien möglich, aber der Modus ist entscheidend. Sophos weist darauf hin, dass VLAN-Traffic nur im passenden RED-Modus verarbeitet wird. Für VLAN-Trunks ist besonders wichtig, ob der Port als Access, Hybrid oder Tagged Trunk konfiguriert ist.
Dabei sollte man prüfen:
- Sind VLAN-IDs auf Firewall und RED korrekt?
- Ist der RED LAN-Port im passenden Modus?
- Ist der Switch-Port am Aussenstandort korrekt tagged oder untagged?
- Existieren Firewall-Regeln für die VLAN-Netze?
- Ist der verwendete RED-Betriebsmodus für VLAN-Traffic geeignet?
- Sind DHCP und DNS für die VLANs korrekt?
Wenn VLANs nicht funktionieren, sollte man zuerst mit einem einfachen untagged Netz testen. Funktioniert dieses, liegt der Fehler sehr wahrscheinlich in VLAN-ID, Tagging oder Portmodus.
RED Access Points bleiben inaktiv
Wenn eine RED mit Wi-Fi-Modul oder RED Access Point in einem VLAN neu startet, kann sie als Inactive angezeigt werden. Sophos beschreibt als mögliche Ursache eine fehlende DHCP Option 234 auf dem VLAN-Interface.
In diesem Fall muss die RED beziehungsweise der Access Point wissen, über welche Firewall-Interface-IP er kommunizieren soll. Die DHCP Option 234 kann in der Device Console gesetzt werden. Das ist ein Spezialfall und sollte nur umgesetzt werden, wenn das Szenario wirklich passt.
Offline Provisioning wird wieder überschrieben
Wenn eine RED zuerst online provisioniert wurde und später per USB offline provisioniert wird, kann die alte Online-Konfiguration auf dem Sophos Provisioning Server erhalten bleiben. Wenn die RED die Firewall nicht erreicht, kann sie erneut online provisionieren und die USB-Konfiguration überschreiben.
In diesem Fall muss die RED nochmals offline provisioniert werden. Zusätzlich sollte die alte Online-Konfiguration auf dem RED Provisioning Server entfernt werden. Dafür muss man Sophos Support kontaktieren.
RED Interface kann nicht erstellt oder bearbeitet werden
Wenn sich ein RED Interface nicht erstellen oder speichern lässt, kommen meist diese Ursachen infrage:
- fehlende Admin-Berechtigung
- widersprüchliche RED-Konfiguration
- falscher Unlock Code
- Firewall kann den RED Provisioning Server nicht erreichen
- bereits vorhandene oder kollidierende RED-Konfiguration
Von der Sophos Firewall aus kann man die Verbindung zum Provisioning Server testen:
telnet red.astaro.com 3400
Wenn DNS nicht auflöst oder keine Verbindung möglich ist, muss zuerst die Internet- und DNS-Verbindung der Firewall geprüft werden.
Wichtige Logs und Diagnosepunkte
Für RED-Probleme sind besonders diese Stellen hilfreich:
- Log viewer mit RED-, Firewall- und System-Events
- Diagnostics > Packet capture
- Advanced Shell mit
tcpdump - RED-Interface-Status unter Network > Interfaces
- Firewall-Regeln für RED-Zone und Zielzonen
- Device Access für RED Services
- RED Firmware Pattern unter Backup & firmware > Pattern updates
Für allgemeine Logdateien und Service-Namen hilft der Artikel Sophos Firewall Troubleshooting: Services und Logs.
Zusätzliche Informationen
Weitere Details findet man in den offiziellen Sophos-Dokumenten:
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Mit einer Sophos RED kann sehr einfach eine Aussenstelle oder ein Home-Office ans Firmennetzwerk angebunden werden. Dort befinden sich aber oft Geräte, die nicht permanent unter direkter Kontrolle der IT stehen. Daher sollte man Endpoints in RED-Netzen ebenfalls schützen, zum Beispiel mit Sophos Central Intercept X Essentials oder Sophos Central Intercept X Advanced.