Naar de inhoud
Avanet

Sophos Firewall Cellular WAN en 4G/5G-failover controleren

Sophos Firewall

Cellular WAN is op een Sophos Firewall meestal geen primaire internetverbinding, maar een back-uplijn: als de glasvezel-, DSL- of kabelverbinding uitvalt, moet een 4G- of 5G-verbinding belangrijke diensten bereikbaar houden. Daarom mag Cellular WAN niet pas bij een storing worden gecontroleerd.

In de praktijk faalt failover zelden door één enkele oorzaak. Vaker zijn SIM/PIN, APN, slechte signaalkwaliteit, een niet correct gegenereerde gateway, verkeerde SD-WAN-gezondheidscontroles of een ontbrekende terugvallogica betrokken. Het artikel legt uit hoe je Cellular WAN plant, test en typische fouten beperkt.

Voor het basiswerk met interfaces, zones en gateways is eerst Sophos Firewall Zones en Interfaces configureren van toepassing. Als het gaat om het routeren van firewall-eigen verkeer, helpt daarnaast Sophos Firewall SD-WAN Routing voor Reply Packets en System Traffic controleren.

Wanneer Cellular WAN zinvol is

Cellular WAN is vooral geschikt als bedrijfs- en noodcomponent. Het vervangt geen goed gedimensioneerde hoofdlijn, maar kan kritieke locaties stabieler maken.

Typische gebruikssituaties:

  • klein kantoor met 4G/5G-back-up voor internettoegang
  • filiaal met SD-WAN-failover bij providerstoring
  • tijdelijke locatie zonder vaste lijn
  • back-up pad voor monitoring, supporttoegang of centrale diensten
  • terugval voor locatie-VPN, als bandbreedte en tarief dat toelaten

Voor de uitrol moet duidelijk zijn welke diensten bij failover echt moeten blijven draaien. Een LTE- of 5G-link met beperkt datavolume is meestal niet bedoeld om het volledige normale locatieverkeer permanent te dragen.

Grenzen en belangrijke beslissingen

Cellular WAN brengt eigen beperkingen met zich mee. Deze punten moeten voor de configuratie worden opgehelderd:

OnderwerpWaarom het belangrijk is
DatavolumeEen ongefilterde locatie kan een mobiel datalimiet zeer snel verbruiken.
CGNATVeel mobiele providers geven geen direct bereikbaar openbaar IPv4-adres. Inkomende diensten en sommige VPN-scenario’s moeten dan anders worden gepland.
SignaalkwaliteitEen zichtbaar netwerk is niet genoeg. Zwakke signaalwaarden leiden tot pakketverlies, latentiepieken en instabiele failover-tests.
Provider-firewallSommige tarieven blokkeren inkomende verbindingen of bepaalde protocollen.
HACellular WAN moet in Sophos Firewall HA-omgevingen uitgeschakeld zijn. Dit moet voor een HA-ontwerp worden gecontroleerd.
MonitoringFailover moet actief worden gemonitord. Anders merkt men vaak pas bij een storing dat de back-uplijn niet werkt.

Voor HA-omgevingen is Sophos Firewall HA Cluster Varianten en Bedrijf relevant, omdat Cellular WAN daar niet als een normaal gesynchroniseerd interface kan worden behandeld.

Vereisten

Voor de configuratie moeten deze punten beschikbaar zijn:

  • ondersteund 4G/5G-modem of geïntegreerde mobiele module
  • actieve SIM-kaart met passend datatarief
  • PIN, als de SIM niet zonder PIN wordt gebruikt
  • APN van de provider
  • optioneel gebruikersnaam en wachtwoord van de provider
  • informatie of de provider een openbaar IP, privé IP of CGNAT gebruikt
  • gewenste zone van de Cellular-WAN-interface
  • geplande SD-WAN- of gateway-failover-logica
  • testtijdvenster waarin de hoofdlijn kort mag worden uitgeschakeld

Als de mobiele lijn productief als back-up moet dienen, moet ook worden opgehelderd wie verantwoordelijk is voor het tarief, het datavolume, de SIM-vergrendeling, vervangende hardware en de regelmatige tests.

Cellular WAN instellen

De exacte interface kan enigszins variëren afhankelijk van de SFOS-versie, het hardwaremodel en het modem. De praktische procedure blijft echter hetzelfde: modem herkennen, SIM en APN correct instellen, interface en gateway controleren, daarna het failover-pad testen.

1. Modem en SIM voorbereiden

Eerst moet het modem of de mobiele module worden voorbereid zonder hectische firewall-wijzigingen.

Controleren:

  • SIM is actief en niet vergrendeld.
  • PIN is bekend of op de SIM uitgeschakeld, als het bedrijfsmodel dat voorziet.
  • APN komt overeen met het zakelijke tarief, niet met een verkeerd consumenten- of IoT-profiel.
  • Antennes zijn correct aangesloten en op een zinvolle positie geplaatst.
  • Locatie heeft voldoende ontvangst voor de gewenste provider.

Bij buitenantennes moet niet alleen de signaalsterkte, maar ook de kabelgeleiding worden overwogen. Lange of slechte antennekabels kunnen het voordeel van een betere antennepositie tenietdoen.

2. Cellular-WAN-interface controleren

Na het plaatsen van het modem moet de Sophos Firewall een overeenkomstige interface of gateway genereren of voor configuratie aanbieden.

Controleren:

Network > Interfaces

Belangrijk zijn:

  • Interface is actief.
  • Zone is bewust ingesteld, meestal WAN.
  • IP-adres wordt verkregen.
  • Gateway wordt aangemaakt.
  • DNS- of providerparameters passen bij de geplande werking.
  • Interface is niet per ongeluk lid van een ongeschikt ontwerp zoals LAG of HA.

Als de interface niet verschijnt, moet eerst het modem worden herkend. Daarna pas APN, PIN en gateway controleren.

3. Gateway en SD-WAN-profiel plannen

Een Cellular-WAN-gateway moet niet zomaar ongecontroleerd naast de hoofdlijn worden geplaatst. Doorslaggevend is wanneer de firewall de link als actief beschouwt en welk verkeer bij failover daarover mag lopen.

Controleren:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Voor veel omgevingen is een duidelijk First-Available- of SLA-gebaseerd ontwerp zinvol:

  • Hoofdlijn voorkeur geven.
  • Cellular WAN alleen gebruiken bij uitval of slechte hoofdlijn.
  • Health Check met zinvolle probe targets instellen.
  • Bedrijfskritische doelen prioriteren.
  • Bandbreedte-intensieve of niet-kritische diensten bij failover beperken.

Bij SD-WAN-gezondheidscontroles moet men niet alleen een enkel intern of extern adres gebruiken, als daardoor verkeerde uitvallen kunnen ontstaan. SD-WAN-profielen kunnen gezondheidscontroles met Ping of TCP en tot twee probe targets gebruiken. In mobiele omgevingen is TCP vaak een realistische aanvulling, als ICMP onderweg onbetrouwbaar is.

Signaalsterkte via CLI controleren

Sinds SFOS 22.0 MR1 noemt Sophos in de release-opmerkingen het CLI-commando:

system cellular_wan show

Dit commando is nuttig als de interface alleen grofweg laat zien dat Cellular WAN verbonden is, maar men signaal- of modemdetails moet controleren. Het moet gericht worden gebruikt en gedocumenteerd, vooral bij locaties met instabiele mobiele dekking.

⚠️ CLI-toegang moet alleen vanuit vertrouwde beheernetwerken plaatsvinden. Voor gebruik moet Sophos Firewall per SSH verbinden en de toegangshardening via Device Access en Local Service ACL worden gecontroleerd.

Praktisch gezien moet men signaalwaarden niet slechts één keer lezen. Beter is een korte meetreeks:

  • normale werking
  • na antennewijziging
  • bij slecht weer of verwachte belasting
  • tijdens actieve failover
  • na locatie- of providerwisseling

Als de signaalkwaliteit sterk fluctueert, is de routeringsconfiguratie niet de eigenlijke oorzaak. Dan moeten eerst antennepositie, providerdekking, module, SIM en locatie worden gecontroleerd.

Failover testen

Een failover-test moet gepland en navolgbaar worden uitgevoerd. Gewoon de hoofdlijn loskoppelen en daarna alleen een browser openen is te weinig.

Voor de test:

  • Back-up van de firewallconfiguratie aanwezig.
  • Verwachte primaire en back-up pad gedocumenteerd.
  • Betrokken gebruikers of locatieverantwoordelijken geïnformeerd.
  • Datavolume en tariefgrenzen bekend.
  • Log Viewer en monitoring geopend.

Testprocedure:

  1. Beginstatus controleren: hoofdgateway actief, Cellular-WAN-gateway gereed.
  2. Testverkeer genereren, bijvoorbeeld DNS, HTTPS, RDP, VPN of een gedefinieerde zakelijke toepassing.
  3. Hoofdlijn gecontroleerd uitschakelen of de gateway-gezondheidscontrole bewust laten falen.
  4. Controleren of SD-WAN of gateway-failover naar Cellular WAN overschakelt.
  5. In de Log Viewer controleren welke firewallregels en paden worden geraakt.
  6. Bereikbaarheid van de belangrijkste doelen testen.
  7. Hoofdlijn herstellen.
  8. Controleren of de firewall netjes terugschakelt of bewust op het back-up pad blijft.

Voor regel- en padcontroles past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture. Als MTU- of fragmentatieproblemen optreden, moet Sophos Firewall MTU en MSS bij VPN-problemen controleren worden betrokken.

Logs en diagnose

Cellular-WAN-problemen zijn verspreid over meerdere logbronnen. Een enkel logbestand bewijst zelden de hele oorzaak.

VraagstellingTypische controle
Wordt het modem herkend?mdev.log, syslog.log
Wordt een interface aangemaakt?networkd.log
Wordt een gateway actief?Gateway-status, dgd.log, Log Viewer
Wordt de juiste route gebruikt?SD-WAN Route, routeringstabel, Log Viewer
Wordt verkeer geblokkeerd?Firewallregel, NAT, webfilter, Application Control
Is er pakketverlies of fragmentatie?Packet Capture, iPerf, MTU/MSS-controle

De belangrijkste logbestanden zijn in het artikel Sophos Firewall Service Logs correct toewijzen ingedeeld.

Typische foutbeelden

Modem wordt niet herkend

Eerst fysieke punten controleren: module, USB-poort, stroomvoorziening, antennes, ondersteunde hardware en firmwareversie. Daarna mdev.log en syslog.log controleren. Als het modem helemaal niet wordt herkend, zijn APN of SD-WAN nog niet relevant.

SIM is actief, maar er ontstaat geen verbinding

Dan zijn meestal PIN, APN, providerprofiel of ontvangst betrokken. Ook een geblokkeerde SIM na meerdere verkeerde PIN-pogingen is mogelijk. Bij zakelijke tarieven moet de APN niet worden geraden, maar bij de provider worden gecontroleerd.

Gateway is actief, maar er gaat geen verkeer over Cellular WAN

Dan ligt de oorzaak vaak bij SD-WAN Route, gatewayprioriteit, firewallregel, NAT of ontbrekende terugweg. In de Log Viewer moet zichtbaar zijn of het testverkeer echt het back-up pad gebruikt.

Failover werkt, maar toepassingen zijn instabiel

Mobiel internet heeft hogere latentie en sterkere schommelingen dan een vaste lijn. Toepassingen met gevoelige sessies, VoIP, grote bestandsoverdrachten, VPN-over-VPN of RDP kunnen daarom anders reageren. Daarnaast kunnen MTU/MSS en pakketverlies een rol spelen.

VPN werkt via de hoofdlijn, maar niet via Cellular WAN

Bij mobiel internet zijn CGNAT, providerfilters, wisselende IP-adressen en protocolbeperkingen veelvoorkomende oorzaken. Voor locatie-VPN moet worden gecontroleerd of het mobiele pad als initiator werkt, of de tegenpartij dynamische IP’s accepteert en of de terugroute klopt.

Bedrijfsaanbeveling

Cellular WAN moet worden beheerd als een noodpad, niet als een vergeten optie in de interface.

Zinvolle bedrijfsregels:

  • Failover minstens elk kwartaal testen.
  • Datavolume en kosten monitoren.
  • SIM, APN en providercontract documenteren.
  • Antennepositie en signaalwaarden vastleggen.
  • Niet-kritisch verkeer bij failover beperken.
  • Gateway- en SD-WAN-status in monitoring opnemen.
  • Na firmware-updates een korte failover-test plannen.
  • Bij HA-planning Cellular WAN vroegtijdig uitsluiten of het ontwerp aanpassen.

Als een locatie afhankelijk is van Cellular WAN, moet ook de terugweg worden gedocumenteerd: wie ontvangt een storingsmelding, wie mag de hoofdlijn uitschakelen, wie controleert de mobiele provider, en wanneer wordt teruggeschakeld naar de normale werking?

Checklist

  • Modem of mobiele module wordt herkend.
  • SIM is actief en niet vergrendeld.
  • PIN en APN zijn correct.
  • Cellular-WAN-interface heeft de juiste zone.
  • Gateway wordt aangemaakt en gemonitord.
  • SD-WAN-profiel gebruikt zinvolle gezondheidscontroles.
  • Failover is getest met echt testverkeer.
  • Firewallregels en NAT passen ook in het back-up pad.
  • Datavolume en kosten zijn bekend.
  • Signaalwaarden zijn gedocumenteerd.
  • HA-beperkingen zijn in overweging genomen.
  • Logbronnen en supportproces zijn bekend.

FAQ

Kan Cellular WAN als hoofdlijn worden gebruikt?

Technisch kan dat afhankelijk van de locatie werken. Voor de meeste bedrijven is Cellular WAN echter meer een back-up pad. Datavolume, latentie, CGNAT, wisselende signaalkwaliteit en providervoorwaarden moeten voor een productieve permanente werking worden gecontroleerd.

Waarom is de gateway actief, maar heeft de locatie toch geen internet?

Een actieve gateway betekent alleen dat de firewall het pad in principe ziet. Daarna moeten SD-WAN Route, firewallregel, NAT, DNS, terugweg en beveiligingsfuncties passen. Daarom moet men het concrete testverkeer in de Log Viewer controleren.

Is een succesvolle ping voldoende als failover-test?

Nee. Ping is een eerste aanwijzing, maar geen bewijs voor productieve bereikbaarheid. Daarnaast moeten DNS, HTTPS, centrale toepassingen, VPN, RDP of andere echt benodigde diensten worden getest.

Werkt Cellular WAN in een Sophos Firewall HA-cluster?

Voor HA moet Cellular WAN uitgeschakeld zijn. Als mobiele failover en HA tegelijkertijd vereist zijn, is een apart ontwerp nodig, bijvoorbeeld via een voorgeschakeld mobiel apparaat of een andere WAN-architectuur.

Welk CLI-commando toont Cellular-WAN-details?

Vanaf SFOS 22.0 MR1 is het commando system cellular_wan show beschikbaar om Cellular-WAN-informatie zoals signaalwaarden via de CLI te controleren.