Naar de inhoud
Avanet

IPsec-route op Sophos Firewall maken

Sophos Firewall

Normaal herkent Sophos Firewall zelf via welke IPsec-tunnel een doelnetwerk bereikbaar is. Bij een klassieke policy-based IPsec-tunnel wordt het remote netwerk al in de tunnelconfiguratie opgegeven. In bepaalde situaties kan het toch nodig zijn om handmatig een IPsec-route te maken.

Typische situaties zijn verkeerde routekeuze, overlappende routes of een doelnetwerk dat niet via de verwachte IPsec-tunnel loopt, maar richting WAN of via een andere route wordt gestuurd.

Vereisten

  • Toegang tot de Device Console, bijvoorbeeld via SSH
  • Naam van de IPsec-tunnel
  • Doelhost of doelnetwerk dat via de tunnel bereikbaar moet zijn
  • Actieve of correct geconfigureerde IPsec-verbinding
  • Passende firewallregels voor verkeer tussen lokaal en remote netwerk

Als consoletoegang nog niet is ingericht, legt de handleiding Sophos Firewall via SSH verbinden uit hoe je verbinding maakt en de Device Console opent.

⚠️ Een verkeerde IPsec-route kan verkeer naar de verkeerde tunnel sturen of bestaande verbindingen verstoren. Controleer vóór de wijziging de tunnelnaam, het doelnetwerk en de bestaande routes.

Policy-based of route-based VPN?

IPsec-routes zijn vooral nuttig in policy-based IPsec-scenario’s wanneer verkeer niet correct aan de tunnel wordt gekoppeld. Bij route-based VPN’s werk je meestal met statische routes, SD-WAN-routes of dynamische routing naar de tunnelinterface.

Sophos legt de IPsec-concepten uit in de officiële documentatie: IPsec connections - Sophos Firewall.

Bestaande IPsec-routes weergeven

De volgende commando’s worden uitgevoerd in de Device Console, niet in de Advanced Shell.

system ipsec_route show

Documenteer de uitvoer voordat je wijzigingen aanbrengt. Zo kun je later controleren of een route is toegevoegd of weer verwijderd moet worden.

IPsec-route voor een host maken

Als slechts één host via een specifieke tunnel bereikbaar moet zijn, gebruik je host.

Syntax:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Voorbeeld:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

IPsec-route voor een netwerk maken

Als een volledig netwerk via de tunnel bereikbaar moet zijn, gebruik je net.

Syntax:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Voorbeeld:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Sophos documenteert deze commando’s hier: ipsec_route - Sophos Firewall.

IPsec-route verwijderen

Als de route niet meer nodig is of verkeerd is ingesteld, kan deze weer worden verwijderd.

Host-route verwijderen:

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Netwerkroute verwijderen:

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Controleer daarna opnieuw de lijst:

system ipsec_route show

Wijziging testen

Na het maken of verwijderen van een IPsec-route moet je het betrokken verkeer gericht testen:

  • Bereikbaarheid van doelhost of doelnetwerk testen met ping of traceroute
  • Log Viewer controleren op toegestaan of geblokkeerd verkeer
  • Indien nodig Packet Capture gebruiken
  • Controleren of firewallregels en NAT-regels passen bij het gewenste verkeer
  • Als meerdere routes passen, de routingprioriteit van Sophos Firewall controleren

Opmerking over NAT

Een IPsec-route definieert het pad naar de tunnel. Ze vervangt geen firewall- of NAT-regels. Als NAT in het IPsec-scenario wordt gebruikt, moet de NAT-configuratie ook worden gecontroleerd. Sophos beschrijft routing en NAT voor IPsec-tunnels in de officiële documentatie: Routing and NAT for IPsec tunnels.