Zum Inhalt springen
Avanet

Sophos SD-RED einrichten und Fehler beheben

Mit einer Sophos SD-RED kann man Aussenstellen, Filialen oder kleinere Home-Office-Standorte an eine Sophos Firewall anbinden. Die RED baut einen verschlüsselten Tunnel zur Firewall auf und stellt am entfernten Standort ein Netzwerk bereit, das zentral über die Firewall gesteuert wird.

Der praktische Vorteil: Vor Ort braucht es normalerweise keine komplexe VPN-Konfiguration. Die SD-RED wird mit Internet verbunden, lädt ihre Konfiguration über den Sophos RED Provisioning Service und baut danach den Tunnel zur Sophos Firewall auf. Der Tunnel allein löst aber noch nicht alles. Zonen, Firewall-Regeln, DHCP, VLANs, Routing, DNS und Firmware-Stand müssen ebenfalls passen.

Einordnung: SD-RED, RED-Tunnel und SFOS 22

Bei neuen Projekten sollte man sauber zwischen aktuellen SD-RED-Standorten und alten site-to-site RED-Konfigurationen unterscheiden. Legacy RED server/client configurations werden in SFOS 22.0 und neuer nicht mehr unterstützt. Solche Altlasten sollten vor einem Upgrade geprüft und migriert werden.

Für aktuelle SD-RED-Geräte bleibt RED ein relevantes Standortthema. Mit SFOS 21.5 wurde zudem eine höhere Skalierbarkeit für SD-RED und site-to-site RED-Tunnel dokumentiert. Für Admins heisst das: Neue Standorte sollten sauber mit aktueller SD-RED-Logik geplant werden, während alte Legacy-RED-Tunnel vor SFOS-22-Upgrades bewusst geprüft werden müssen.

Voraussetzungen am Hauptstandort

Vor dem Anschliessen der RED sollten auf der Sophos Firewall diese Punkte klar sein:

  • RED Service ist auf der Firewall aktiviert.
  • Öffentliche IP-Adresse oder DNS-/DynDNS-Name der Firewall ist erreichbar.
  • RED-Verbindungen zur Firewall sind auf der WAN-Seite erlaubt.
  • RED ist unter Administration > Device access für die passende WAN-Zone erlaubt oder über Local Service ACL gezielt freigegeben.
  • RED-Interface, Zone und IP-Konfiguration sind geplant.
  • Firewall-Regeln vom RED-Netz zu den Zielnetzen sind vorgesehen.
  • DHCP, DHCP Relay oder statische Adressierung für Clients hinter der RED ist geklärt.
  • RED Firmware Pattern auf der Firewall ist aktuell.
  • Backup und Firmware-Stand der Firewall sind vor grösseren Änderungen dokumentiert.

Für RED-Kommunikation sind insbesondere TCP 3400, UDP 3410 und NTP 123 relevant. Diese Verbindungen dürfen unterwegs nicht durch Provider-Router, vorgeschaltete Firewalls oder Security Gateways blockiert werden.

Voraussetzungen am Aussenstandort

Am entfernten Standort braucht die SD-RED eine saubere Internetverbindung. Entscheidend ist nicht nur Bandbreite, sondern vor allem Stabilität, Latenz, Paketverlust und ob der Provider die benötigten Verbindungen erlaubt.

Prüfen sollte man:

  • Internetanschluss ist stabil.
  • WAN-Port der RED erhält per DHCP eine Adresse oder hat eine korrekte statische Konfiguration.
  • Standardgateway ist erreichbar.
  • DNS funktioniert.
  • NTP ist erreichbar.
  • TCP 3400, UDP 3410 und NTP 123 werden nicht blockiert.
  • Provider-Router oder vorgeschaltete Firewall macht kein unerwartetes Filtering.
  • Bei VLANs ist klar, welcher Port tagged, untagged oder hybrid arbeitet.

Für einfache Standorte reicht oft eine kleine Leitung. In der Praxis sind aber Paketverlust, instabile Consumer-Router, CGNAT, DNS-Probleme oder restriktive Provider-Firewalls häufiger die Ursache als reine Bandbreite.

Sophos SD-RED 20 mit Status-LEDs an der Vorderseite
Die LEDs der SD-RED zeigen Bootstatus, Router-Verbindung, Internet-Verbindung und Tunnelstatus.

SD-RED anschliessen

Typischer Ablauf:

  1. WAN-Port der SD-RED mit Provider-Router oder Modem verbinden.
  2. LAN-Port mit Testclient, Switch oder lokalem Netz verbinden.
  3. SD-RED mit Strom versorgen.
  4. Warten, bis die RED startet, Gateway und Internet prüft, die Konfiguration lädt und den Tunnel aufbaut.
  5. Auf der Sophos Firewall prüfen, ob das RED-Interface aktiv ist.
  6. Testclient hinter der RED anschliessen und IP, DNS, Gateway und Zielzugriff prüfen.

Wenn alle relevanten LEDs grün sind, steht der technische Tunnel. Danach beginnt die eigentliche Netzwerkprüfung: Zone, DHCP, Firewall-Regeln, Rückrouting, DNS und bei Bedarf VLANs.

LED-Status verstehen

Die Status-LEDs sind beim RED-Troubleshooting oft der schnellste Einstieg, weil daran erkennbar ist, an welchem Punkt der Startprozess hängen bleibt.

Legende:

  • ⚫ aus
  • 🟢 leuchtet grün
  • 🟢 blinkt grün
  • 🔴 leuchtet rot
  • 🔴 blinkt rot

Je nach Blickwinkel, Foto oder Umgebungslicht kann eine LED gelblich oder orange wirken. Für die Diagnose zählt vor allem, welche LED leuchtet oder blinkt und ob sie grün oder rot ist.

Normaler Bootvorgang

SystemRouterInternetTunnelBedeutung
🟢 blinktSD-RED startet.
🟢Bootvorgang abgeschlossen.
🟢🟢 blinktVerbindung zum Gateway oder Router wird aufgebaut.
🟢🟢Standardgateway ist erreichbar.
🟢🟢🟢 blinktInternetverbindung wird geprüft.
🟢🟢🟢Internetverbindung steht.
🟢🟢🟢🟢 blinktTunnel zur Sophos Firewall wird aufgebaut.
🟢🟢🟢🟢Tunnel zur Sophos Firewall steht.
🟢 blinkt🟢 blinkt🟢 blinkt🟢 blinktFirmware wird installiert. Gerät nicht ausschalten.

Wenn alle vier LEDs grün leuchten, aber kein Traffic funktioniert, liegt das Problem meistens nicht mehr beim Tunnelaufbau. Dann sind Firewall-Regeln, DHCP, VLANs, DNS, NAT oder Routing wahrscheinlicher.

Fehlercodes

SystemRouterInternetTunnelBedeutungNächster Check
🔴DHCP oder statische IP-Konfiguration fehlgeschlagenDHCP, WAN-Kabel, statische IP, Gateway
🔴🟢Internet nicht erreichbarDNS, NTP, Provider, vorgeschaltete Firewall
🔴🟢🟢Keine Verbindung zur Sophos FirewallRED Service, TCP 3400, UDP 3410, FQDN, Unlock Code
🔴🟢🟢🟢Keine Konfiguration oder Firmware-ProblemProvisioning, RED Firmware Pattern, Unlock Code, Supportfall

3G/4G-Failover

Bei SD-RED-Modellen mit 3G/4G-Failover oder entsprechendem Modul können zusätzliche Muster auftreten.

SystemRouterInternetTunnelBedeutung
🔴 blinkt🟢 blinkt3G/4G-Failover ist aktiv.
🔴 blinkt🟢🟢 blinktGateway erreichbar, Internetverbindung wird aufgebaut.
🔴 blinkt🟢🟢🟢 blinktInternet steht, Tunnel wird aufgebaut.
🔴 blinkt🟢 blinkt🟢 blinkt🟢 blinktTunnel steht über Failover-Verbindung.

Firmware-Updates kontrollieren

Wenn die LEDs gemeinsam blinken, kann die RED gerade eine Firmware installieren. In dieser Phase sollte man das Gerät nicht ausschalten und nicht vom Internet trennen. Ein Update kann einige Minuten dauern.

Auf der Sophos Firewall sollte man zusätzlich prüfen:

Backup & firmware > Pattern updates

Dort muss das RED Firmware Pattern aktuell sein. Wenn eine RED in einer Schleife hängt oder nach einem Firewall-Update nicht mehr sauber startet, ist ein veraltetes RED Firmware Pattern ein sinnvoller Prüfschritt.

Ein verwandter Betriebswunsch ist in Sophos Firewall Feature Request 2024 beschrieben: Bei RED- und Access-Point-Firmwareupdates fehlen oft direkt sichtbare Release-Notes im Backend. Für produktive Umgebungen sollte man Updates deshalb bewusst planen und nicht unkoordiniert während kritischer Betriebszeiten installieren.

RED-Interface, Zone und Regeln prüfen

Nach erfolgreichem Tunnelaufbau braucht die RED eine saubere Firewall-Konfiguration.

Typische Prüfpunkte:

  • RED-Interface ist unter Network > Interfaces aktiv.
  • Interface liegt in der richtigen Zone.
  • DHCP Server oder DHCP Relay ist korrekt eingerichtet.
  • Clients erhalten IP-Adresse, Gateway und DNS.
  • Firewall-Regeln erlauben nur die benötigten Ziele.
  • Rückrouting zum RED-Netz funktioniert.
  • NAT wird nur verwendet, wenn es bewusst geplant ist.
  • VLAN-Konfiguration passt zum RED-Modus und zum Switch-Port.

Für die Regelgrundlagen passt Sophos Firewall-Regeln verstehen und richtig konfigurieren. Wenn der Tunnel steht, aber Traffic nicht fliesst, sollte man Log Viewer und Packet Capture kombinieren.

Upgrade- und Migrationsfallen

Legacy site-to-site RED vor SFOS 22 prüfen

Vor einem Upgrade auf SFOS 22 oder neuer sollte man prüfen, ob noch Legacy firewall RED server/client configurations vorhanden sind. Diese Legacy-site-to-site-RED-Konfigurationen werden in SFOS 22.0 und neuer nicht mehr unterstützt.

Praktisch bedeutet das:

  • RED- und VPN-Konfigurationen vor dem Upgrade inventarisieren.
  • Legacy RED server/client configurations identifizieren.
  • Migration auf unterstützte RED-site-to-site- oder VPN-Varianten planen.
  • Nach der Migration Firewall-Regeln, Zonen, Routing und DHCP prüfen.
  • Upgrade erst durchführen, wenn die Standortverbindungen getestet sind.

Für grössere Upgradeplanung passt zusätzlich Sophos Firewall Firmware Update richtig planen.

RED system hosts nach SFOS 21.5 MR1

Seit SFOS 21.5 MR1 erhalten RED system host objects die korrekte /32-Subnetzmaske. Wenn solche automatisch erzeugten RED-Systemobjekte früher in Regeln oder anderen Konfigurationen für mehr als eine Host-IP verwendet wurden, kann nach dem Update Traffic anders matchen.

Nach einem Upgrade sollte man deshalb prüfen:

  • Werden RED system hosts in Firewall-Regeln verwendet?
  • Erwartet eine Regel versehentlich ein Netz statt eines einzelnen Hosts?
  • Müssen IP Host oder Network Host Objekte ersetzt werden?
  • Stimmen Regel-Matches im Log Viewer noch?

Troubleshooting

RED erhält keine IP-Adresse

Wenn die RED beim Router-Schritt hängen bleibt oder der Fehlercode auf DHCP beziehungsweise Gateway zeigt, liegt die Ursache meist am Aussenstandort.

Prüfen:

  • Gibt der Provider-Router per DHCP eine IP-Adresse aus?
  • Ist das Netzwerkkabel am WAN-Port korrekt eingesteckt?
  • Ist das Standardgateway erreichbar?
  • Wurde eine statische IP-Adresse vollständig eingetragen?
  • Stimmen IP-Adresse, Subnetzmaske, Gateway und DNS?
  • Blockiert ein vorgeschaltetes Gerät den Traffic?

Wenn DHCP am Aussenstandort nicht funktioniert, kann die RED in einer Neustartschleife landen.

RED erreicht das Internet nicht

Wenn Router oder Gateway erreichbar ist, die Internet-LED aber nicht dauerhaft grün wird, liegt das Problem meist hinter dem lokalen Router.

Prüfen:

  • Funktioniert der Internetanschluss mit einem normalen Client?
  • Funktioniert DNS?
  • Ist NTP erreichbar?
  • Werden TCP 3400, UDP 3410 oder NTP 123 blockiert?
  • Gibt es einen Proxy oder eine Firewall zwischen RED und Internet?
  • Ist der Provideranschluss stabil genug?

Für RED-Provisioning muss die RED den Sophos Provisioning Service erreichen. In vielen Umgebungen ist dabei red.astaro.com auf TCP 3400 relevant.

RED erreicht die Sophos Firewall nicht

Wenn Internet erreichbar ist, der Tunnel aber nicht aufgebaut wird, prüft man die Firewall-Seite.

Prüfen:

  • Ist der RED Service auf der Sophos Firewall aktiviert?
  • Ist die RED korrekt angelegt?
  • Stimmen RED-ID und Unlock Code?
  • Ist die öffentliche IP oder der FQDN der Firewall erreichbar?
  • Ist Administration > Device access für RED in der passenden WAN-Zone erlaubt?
  • Erlaubt eine Local Service ACL den Zugriff vom Aussenstandort?
  • Kommen TCP 3400 und UDP 3410 auf der Firewall an?

In der Advanced Shell kann man prüfen, ob RED-Traffic ankommt:

tcpdump -ni any port 3400 or port 3410

Wenn nichts ankommt, liegt das Problem meistens vor der Firewall: Provider-Router, NAT, vorgeschaltete Firewall, falsche öffentliche IP, FQDN oder Portblockade.

RED startet immer wieder neu

Eine Neustartschleife kann mehrere Ursachen haben:

  • instabile Stromversorgung
  • defektes Netzteil
  • keine IP-Adresse per DHCP
  • falsche statische IP-Konfiguration
  • blockierte Ports
  • veraltetes RED Firmware Pattern
  • falscher Unlock Code
  • beschädigte oder falsche RED-Konfiguration

Zuerst Stromversorgung, Kabel und DHCP prüfen. Danach RED Firmware Pattern, Port-Erreichbarkeit und Konfiguration kontrollieren. Wenn die RED neu angelegt oder zurückgesetzt wird, müssen RED-ID und Unlock Code vorher dokumentiert sein.

Tunnel ist grün, aber kein Traffic fliesst

Dieser Fall ist besonders häufig. Die RED ist verbunden, aber Clients erreichen keine internen Systeme oder kein Internet.

Mögliche Ursachen:

  • Firewall-Regel fehlt oder steht zu tief.
  • RED-Interface liegt in der falschen Zone.
  • DHCP verteilt falsches Gateway oder falsche DNS-Server.
  • Rückrouting zum RED-Netz fehlt.
  • NAT übersetzt Traffic unerwartet.
  • VLAN-Tagging passt nicht.
  • Security Feature blockiert den Traffic.

Prüfreihenfolge:

  1. Client-IP, Gateway und DNS prüfen.
  2. Log Viewer auf Source-IP des RED-Clients filtern.
  3. Firewall-Regel-Match prüfen.
  4. Packet Capture auf RED-Interface und Zielinterface ausführen.
  5. Rückweg vom Zielsystem oder Zielnetz prüfen.
  6. NAT und Routing kontrollieren.

Bei unklaren Regel-Matches hilft Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.

VLAN-Traffic funktioniert nicht

Bei SD-RED 60 sind VLAN-Szenarien möglich, aber Portmodus, VLAN-ID und RED-Modus müssen zusammenpassen.

Prüfen:

  • VLAN-IDs stimmen auf Firewall, RED und Switch.
  • RED-Port ist als Access, Hybrid oder Tagged Trunk passend konfiguriert.
  • Switch-Port am Aussenstandort ist korrekt tagged oder untagged.
  • DHCP und DNS sind pro VLAN geplant.
  • Firewall-Regeln existieren für die jeweiligen VLAN-Netze.
  • Der gewählte RED-Modus unterstützt das gewünschte VLAN-Szenario.

Für die Fehlersuche ist ein einfaches untagged Testnetz hilfreich. Wenn dieses funktioniert, liegt die Ursache meist bei VLAN-ID, Tagging, Portmodus oder Switch-Konfiguration.

RED Access Points bleiben inaktiv

Wenn RED Access Points oder Wi-Fi-Funktionen in VLAN-Szenarien inaktiv bleiben, kann DHCP Option 234 relevant sein. Das betrifft vor allem Fälle, in denen RED- beziehungsweise Access-Point-Kommunikation über VLAN-Interfaces läuft.

Diese Option sollte man nur setzen, wenn das konkrete Szenario passt und klar ist, welche Firewall-Interface-IP die Geräte erreichen sollen. Bei allgemeinen RED-Verbindungsproblemen ist DHCP Option 234 nicht der erste Schritt.

Offline Provisioning wird überschrieben

Wenn eine RED zuerst online provisioniert wurde und später per USB offline provisioniert wird, kann eine alte Online-Konfiguration auf dem Sophos Provisioning Server erhalten bleiben. Wenn die RED die Firewall nicht erreicht, kann sie erneut online provisionieren und die USB-Konfiguration überschreiben.

Dann muss die RED erneut offline provisioniert werden. Zusätzlich sollte die alte Online-Konfiguration über Sophos Support entfernt werden.

Diagnosepunkte auf der Sophos Firewall

Für RED-Probleme sind diese Stellen hilfreich:

  • Network > Interfaces für RED-Interface und Status
  • Administration > Device access für RED-Service-Freigaben
  • Rules and policies > Firewall rules für Traffic vom RED-Netz
  • Diagnostics > Packet capture für Pfadprüfung
  • Log viewer mit RED-, Firewall- und System-Events
  • Backup & firmware > Pattern updates für RED Firmware Pattern
  • Advanced Shell mit tcpdump

Für Logdateien und Service-Zuordnung passt Sophos Firewall Troubleshooting: Services und Logs.

Betriebscheckliste

Vor dem Rollout:

  • RED-ID und Unlock Code dokumentiert.
  • Öffentliche Firewall-Adresse oder FQDN geprüft.
  • TCP 3400, UDP 3410 und NTP 123 geprüft.
  • RED Service und Device Access auf der Firewall geplant.
  • Zone, DHCP, Routing und Firewall-Regeln definiert.
  • VLAN-Modus bei Bedarf vorab getestet.

Nach dem Anschliessen:

  • LEDs zeigen erfolgreichen Tunnelaufbau.
  • RED-Interface ist aktiv.
  • Client erhält IP, Gateway und DNS.
  • Log Viewer zeigt erwartete Firewall-Regel.
  • Interne Zielsysteme und Internetpfad funktionieren wie geplant.
  • Firmware Pattern ist aktuell.

Im Betrieb:

  • RED-Firmware-Pattern regelmässig prüfen.
  • Standortverbindungen nach Firewall-Upgrades testen.
  • Legacy site-to-site RED vor SFOS 22 entfernen oder migrieren.
  • RED system hosts nach SFOS 21.5 MR1 auf /32-Auswirkungen prüfen.
  • RED-Standorte in Monitoring, Backup- und Notfallplanung aufnehmen.

FAQ

Welche Ports braucht Sophos SD-RED?

Für RED-Kommunikation sind insbesondere TCP 3400, UDP 3410 und NTP 123 wichtig. Je nach Netzwerk können zusätzlich DNS und weitere Verbindungen für Provisioning, Zeit und Betrieb relevant sein.

Warum ist der RED-Tunnel grün, aber Clients erreichen nichts?

Dann steht der Tunnel, aber die Netzwerkkonfiguration dahinter passt wahrscheinlich nicht. Häufig fehlen Firewall-Regeln, DHCP ist falsch, das RED-Interface liegt in der falschen Zone, Routing oder NAT ist fehlerhaft oder VLAN-Tagging passt nicht.

Was muss vor SFOS 22 bei RED geprüft werden?

Vor SFOS 22 muss geprüft werden, ob noch Legacy firewall RED server/client configurations vorhanden sind. Diese Legacy-site-to-site-RED-Konfigurationen werden in SFOS 22.0 und neuer nicht mehr unterstützt.

Warum sind RED system hosts nach einem Upgrade relevant?

Seit SFOS 21.5 MR1 erhalten RED system host objects die korrekte /32-Subnetzmaske. Wenn solche Objekte vorher wie Netzwerkobjekte verwendet wurden, können Firewall-Regeln nach dem Update anders matchen.

Sollte man eine SD-RED während eines Firmware-Updates ausschalten?

Nein. Wenn die LEDs auf ein Firmware-Update hinweisen, sollte die SD-RED nicht ausgeschaltet und nicht vom Internet getrennt werden. Danach sollte man prüfen, ob das RED Firmware Pattern auf der Firewall aktuell ist.