Naar de inhoud
Avanet

Sophos Firewall routingprioriteit wijzigen

Sophos Firewall

In deze handleiding leggen we uit hoe je de route precedence op Sophos Firewall controleert en indien nodig aanpast. Daarmee bepaal je in welke volgorde de firewall statische routes, SD-WAN Policy Routes en VPN-routes gebruikt bij route lookup.

Vereisten

  • Sophos Firewall met SFOS 18.0 of hoger
  • Modus Gateway
  • Toegang tot de Device Console, bijvoorbeeld via SSH
  • Een onderhoudsvenster als productieverkeer geraakt kan worden

Als consoletoegang nog niet is ingericht, legt de handleiding Sophos Firewall via SSH verbinden uit hoe je verbinding maakt en de Device Console opent.

⚠️ Het wijzigen van de route precedence kan productieverkeer direct beïnvloeden. Documenteer vooraf de huidige volgorde en controleer welke statische routes, SD-WAN Policy Routes en VPN-routes geraakt kunnen worden.

Waarvoor dient route precedence?

Route precedence bepaalt welk type routing als eerste wordt geëvalueerd wanneer meerdere routes naar dezelfde bestemming passen. Dit is vooral belangrijk wanneer statische routes, SD-WAN Policy Routes en VPN-routes elkaar overlappen.

Een veelvoorkomend scenario: een intern netwerk zou alleen via een IPsec-verbinding of een statische route bereikbaar moeten zijn, maar de firewall kiest een SD-WAN Policy Route en stuurt het verkeer richting WAN. In zo’n geval kan het aanpassen van de route precedence helpen. Afhankelijk van het IPsec-design kan een IPsec-route ook de schonere oplossing zijn.

Sophos documenteert dit commando hier: route_precedence - Sophos Firewall.

Routingtypen

  • static: statische routes. Volgens Sophos vallen ook SSL VPN-verbindingen onder deze categorie.
  • sdwan_policyroute: SD-WAN Policy Routes of policy-based routes.
  • vpn: VPN-routes.

De standaardvolgorde is:

  1. Static
  2. SD-WAN
  3. VPN

Huidige instelling weergeven

De volgende commando’s worden uitgevoerd in de Device Console, niet in de Advanced Shell.

system route_precedence show

Noteer de uitvoer voordat je iets wijzigt. Als een rollback nodig is, kun je exact de vorige volgorde herstellen.

Volgorde wijzigen

Dit voorbeeld plaatst statische routes vóór SD-WAN Policy Routes en VPN-routes:

system route_precedence set static sdwan_policyroute vpn

Als de huidige uitvoer al static sdwan_policyroute vpn toont, is route precedence waarschijnlijk niet de oorzaak van het probleem. Controleer dan statische routes, SD-WAN Policy Routes, VPN-configuratie, firewallregels en NAT-regels.

Wijziging controleren

Toon de nieuwe volgorde opnieuw:

system route_precedence show

Test daarna het betrokken verkeer gericht:

  • Test de verbinding met het doelnetwerk, bijvoorbeeld met ping of traceroute
  • Controleer de Log Viewer op toegestaan of geblokkeerd verkeer
  • Gebruik indien nodig Packet Capture
  • Controleer of NAT- of firewallregels het verkeer ook beïnvloeden

Rollback

Als het verkeer na de wijziging niet werkt zoals verwacht, herstel je de eerder gedocumenteerde volgorde. Voorbeeld:

system route_precedence set sdwan_policyroute static vpn

De exacte volgorde moet overeenkomen met de uitvoer die vóór de wijziging is gedocumenteerd.