Naar de inhoud
Avanet

Sophos Firewall SD-WAN-route instellen en testen

Sophos Firewall

SD-WAN-routes op Sophos Firewall bepalen welke route bepaald verkeer moet volgen. Dit is handig voor meerdere WAN-lijnen, MPLS, routegebaseerde IPsec VPN’s, VoIP, cloudservices of applicaties die via een specifieke provider moeten lopen.

In de praktijk komen SD-WAN-problemen zelden voort uit de knop zelf. Criteria zijn meestal te breed, gateways worden verkeerd geëvalueerd, NAT-regels zijn niet geschikt, routeprioriteit is onverwacht of tests zijn te onnauwkeurig. Het artikel behandelt daarom niet alleen het klikpad, maar ook de planning, acceptatie en typische probleemoplossing.

Videohandleiding

De video vult de handleiding aan voor het plannen, configureren en controleren van SD-WAN routes op Sophos Firewall.

Kort antwoord

Onder Routing > SD-WAN-routes maakt u een SD-WAN-route aan. Het moet vooraf duidelijk zijn:

  • welk verkeer gecontroleerd moet worden
  • welke bron, bestemming, diensten en gebruikers worden getroffen
  • welke gateway of welk SD-WAN-profiel wordt gebruikt
  • of statische routes, VPN-routes of routeprioriteit met elkaar concurreren
  • of NAT overeenkomt met de route
  • hoe u het pad in de logviewer en pakketopname kunt controleren

Een goede SD-WAN-route is smal genoeg om alleen het gewenste verkeer te sturen. Een te brede route met Any kan anders plots interne netwerken, beheerstoegang of VPN-verkeer beïnvloeden.

Wanneer SD-WAN-routes zinvol zijn

SD-WAN-routes zijn beleidsroutering. Ze worden gebruikt wanneer de normale routeringstabel alleen niet aangeeft welk verkeer over welk pad moet gaan.

Typische gevallen:

SituatieEen SD-WAN-route gebruiken
twee of meer internetlijnenStuur specifieke applicaties via voorkeurslijn of failover
VoIP of TeamsGeef prioriteit aan lijnen met lage latentie of weinig jitter
ClouddienstenTarget Microsoft 365, ERP of back-upverkeer
routegebaseerde IPsec VPNBeheer verkeer via XFRM-interface of gatewayprofiel
MPLS of siteregelBereik interne doelnetwerken via een speciaal pad
Provider met bron-IP-bindingStuur verkeer over exact de WAN-verbinding die overeenkomt met het toegestane openbare IP-adres

Als alleen een statisch bestemmingsnetwerk via een duidelijke volgende hop moet worden bereikt, kan een statische route eenvoudiger en robuuster zijn. SD-WAN is de moeite waard wanneer criteria, gatewayselectie, failover of prestatie-evaluatie nodig zijn.

Plan vooraf

Voordat u deze maakt, moet de gewenste gegevensstroom specifiek worden beschreven. Een zin als “Teams moeten via WAN2 werken” is te onnauwkeurig. Een kleine matrix is ​​beter:

veldVoorbeeld
BronzoneLAN
BronnetwerkClient_Net_10.20.0.0_24
BestemmingMicrosoft 365 doelgroep, FQDN-groep of specifiek netwerk
ServicesHTTPS, UDP 3478-3481 of gedefinieerde services
Gebruiker/groepoptioneel, alleen als gebruikersmatching stabiel werkt
Primaire gatewayWAN2
TerugvalWAN1
NATMASQ of vast SNAT IP passend bij de gateway
testenClient-IP, bestemming, verwachte gateway, verwachte loginvoer

Hoe duidelijker deze matrix is, hoe minder er later geraden hoeft te worden. Vooral bij VoIP, VPN, clouddiensten en meerdere locaties moet men niet met Any beginnen alleen omdat dit sneller te configureren is.

Vereisten

  • Sophos Firewall in gatewaymodus.
  • Ten minste één geconfigureerde gateway onder Netwerk > WAN-koppelingsbeheer of een geschikt VPN/XFRM-pad.
  • Bekende bron- en bestemmingsnetwerken.
  • Passende firewallregels voor verkeer.
  • Passende NAT-regels als verkeer moet worden vertaald.
  • Inloggen op de relevante firewallregels.
  • Toegang tot Logviewer en Diagnostiek > Pakketopname.

Geschikt voor zones, interfaces en gateways Configureer Sophos Firewall-zones en interfaces. Als de SD-WAN-route bovendien een routegebaseerde IPsec VPN omvat Maak een IPsec-route op Sophos Firewall gelezen worden.

Maak een SD-WAN-route

Menupad:

Routing > SD-WAN routes
```Doorgaan:

1. Open **Toevoegen**.
2. Geef een unieke naam op, bijvoorbeeld `Clients_M365_WAN2`.
3. Kies **Inkomende interface** of broncontext die bij het ontwerp past.
4. Bronnetwerken of gebruikers stellen slechts zo breed in als nodig is.
5. Kies bewust voor bestemmingsnetwerken, FQDN-hosts of internetdiensten.
6. Beperk services tot de vereiste protocollen.
7. Selecteer gateway- of SD-WAN-profielen.
8. Controleer failover of back-uppad.
9. Sla de regel op en plaats deze op de juiste manier in de volgorde.
10. Voer een test uit bij een gedefinieerde klant.

De exacte interface kan enigszins variëren, afhankelijk van de SFOS-versie. Cruciaal blijft echter dat de route moet aansluiten bij de gewenste doorstroming en niet per ongeluk meer verkeer moet trekken dan gepland.

## Selecteer gateway- en SD-WAN-profielen

SD-WAN-routes kunnen rechtstreeks naar gateways verwijzen of werken met SD-WAN-profielen. Welke aanpak de juiste is, hangt af van het doel.

| aanpak | Het is logisch als |
| --- | --- |
| vaste toegangspoort | Verkeer moet bewust over een lijn stromen |
| Gateway met back-up | één regel heeft de voorkeur, maar failover moet mogelijk zijn |
| SD-WAN-profielen | meerdere gateways kunnen worden geëvalueerd op basis van gewicht, SLA of prioriteit |
| XFRM-interface of VPN-pad | routegebaseerde IPsec is opgenomen in de routing |

Als u meerdere WAN-lijnen heeft, moet u ook controleren of gatewaymonitoring, failovercriteria en providerrouting realistisch zijn. Een gateway kan technisch gezien "up" zijn, ook al werkt een specifieke doelapplicatie niet goed via deze provider.

## Controleer de volgorde en routeprioriteit

SD-WAN-routes staan ​​niet op zichzelf. Afhankelijk van hun ontwerp concurreren ze met direct verbonden netwerken, statische routes, VPN-routes en globale routevoorrang.

Belangrijke vragen:

- Is er een specifiekere statische route naar de bestemming?
- Past een bredere SD-WAN-route verderop?
- Moet SD-WAN vóór of na Statisch worden geëvalueerd?
- Is er sprake van een op beleid gebaseerde of routegebaseerde IPsec VPN?
- Heeft de route alleen invloed op het doorgestuurde clientverkeer of ook op antwoordpakketten en door het systeem gegenereerd verkeer?

De wereldorde is binnen [Wijzig de routeprioriteit van Sophos Firewall veilig](/nl/kb/sophos-firewall-routingprioriteit-wijzigen/) uitgelegd. Geschikt voor de speciale gevallen **Antwoordpakketten** en **Systeemverkeer** [Sophos Firewall Controleer SD-WAN-routering op antwoordpakketten en systeemverkeer](/nl/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).

## Vergeet NAT niet

Routing bepaalt waar een pakket naartoe gaat. NAT beslist of het bron- of bestemmingsadres wordt gewijzigd. Beide moeten bij elkaar passen.

Typische voorbeelden:

- Voor internetverkeer via WAN2 is mogelijk MASQ of een vast SNAT IP op WAN2 nodig.
- Providers of clouddiensten staan ​​alleen een bepaald openbaar IP-adres toe.
- Voor interne netwerken of VPN's is NAT vaak onjuist omdat het echte bron-IP behouden moet blijven.
- Na een failover kan het openbare bron-IP veranderen en kunnen externe sites sessies beëindigen.

Als een SD-WAN-route correct werkt, maar de applicatie nog steeds niet werkt, moet NAT vroegtijdig worden gecontroleerd. De basis is binnen [NAT begrijpen op Sophos Firewall: SNAT, DNAT, MASQ, PAT](/nl/kb/sophos-firewall-nat-basics/).

## Testen en valideren

Een groene gatewaystatus bewijst niet dat de SD-WAN-route het verwachte verkeer bereikt. De test moet een echte stroom controleren.

Betekenisvol proces:

1. Gebruik een testclient met bekend IP-adres.
2. Specificeer het doel en de dienst exact.
3. Schakel logboekregistratie van firewallregels in.
4. Verbinding starten.
5. Controleer in de **Logviewer** Bron, Bestemming, Service, Regel-ID, NAT ID en Gateway.
6. Controleer de gebruiksteller van de SD-WAN-route.
7. Als het onduidelijk is, gebruik dan **Diagnostiek > Pakketopname** met een smal filter.
8. Test mislukt de primaire gateway bij het valideren van failover.
9. Controleer na de failback of sessies en nieuwe verbindingen naar verwachting werken.

Geschikt voor pakketstroomanalyse [Sophos Firewall-regeltesten met Log Viewer, Policy Test en Packet Capture](/nl/kb/sophos-firewall-regels-testen/). Belangrijk: De Policy Tester vervangt geen echte pakketstroomtest voor SD-WAN.

## Veel voorkomende fouten

| Fout | Effect | Betere aanpak |
| --- | --- | --- |
| Bestemming `Any` voor het gemak | er wordt te veel verkeer opgevangen door SD-WAN | Selecteer doelnetwerken, FQDN-hosts of internetdiensten nauwer |
| SD-WAN-route is te hoog | meer specifieke applicatie of route wordt overschreven | Controleer bestelling en druk op teller |
| NAT komt niet overeen met de gateway | Toepassing ziet onjuiste bron-IP- of retourpadonderbrekingen | Controleer de NAT-regel en MASQ/SNAT |
| Gateway-monitoring is te grof | Gateway is actief, ook al kan de doeltoepassing niet worden bereikt | Kies SLA/monitoringdoelen die aansluiten bij de dienstverlening |
| Routeprioriteit genegeerd | Statische route of VPN-route werkt anders dan verwacht | Prioriteit van document- en testroute |
| Antwoordverkeer verkeerd geclassificeerd | Antwoorden gaan niet via het verwachte pad | Controleer de optie voor het vastleggen en beantwoorden van pakketten |
| meerdere wijzigingen tegelijk | De oorzaak blijft onduidelijk een verandering, een test, dan verder |

## Problemen oplossen

Als de SD-WAN-route niet werkt zoals verwacht, moet je de fout niet meteen ‘oplossen’ met bredere regels. Een duidelijke afbakening is beter.

Rekening:

1. Bereikt het pakket zelfs de firewall?
2. Voldoet het aan de verwachte firewallregel?
3. Komt de SD-WAN-route overeen volgens de meter?
4. Is een andere SD-WAN-route hogerop specifieker of breder?
5. Past de dienst echt, bijvoorbeeld TCP/UDP en poort?
6. Wordt NAT gebruikt en is dat gewenst?
7. Verlaat het pakket de firewall via de verwachte gateway?
8. Zal het antwoord terugkomen?
9. Is er een statische route, VPN-route of routeprioriteit die het pad beïnvloedt?

Als Packet Capture helemaal geen pakket ziet, ligt het probleem in de firewall: clientgateway, VLAN, switch, lokale routering of onjuiste test. Als het pakket aankomt maar het verkeerde pad volgt, zijn SD-WAN-criteria, volgorde, NAT en routeprioriteit de volgende controlepunten.

## Operationele controle

SD-WAN-routes moeten na introductie worden gedocumenteerd en regelmatig worden gecontroleerd. Dit is vooral belangrijk bij het wisselen van provider, nieuwe VPN's, extra WAN-lijnen of wijzigingen in clouddiensten.

U moet documenteren:

- Doel van het traject
- Bron- en bestemmingscriteria
- Diensten
- Gateway- of SD-WAN-profielen
- NAT-verwachting
- Failover-gedrag
- Testklant en testdoel
- Eigenaar en beoordelingsdatum

Voor bedrijfskritische applicaties moet ook duidelijk zijn wie moet reageren bij verstoringen van de provider, failover-problemen of gewijzigde publieke IP's.

## Controlelijst

- Verkeersbestemming en zoekintentie van de route worden duidelijk beschreven.
- Bron, bestemming en diensten zijn niet onnodig breed vastgelegd.
- Gateway- of SD-WAN-profielen zijn bewust gekozen.
- Firewallregel en NAT-regel komen overeen met de route.
- Routeprioriteit gecontroleerd.
- Antwoordpakketten en door het systeem gegenereerd verkeer worden alleen opgenomen als dat nodig is.
- Log Viewer en Packet Capture gebruikt voor acceptatie.
- Failover en failback getest als onderdeel van het ontwerp.
- Route gedocumenteerd en voorzien van eigenaar.

## Veelgestelde vragen








  
Wanneer heb je een SD-WAN-route nodig op Sophos Firewall?

  

    Een SD-WAN-route is zinvol wanneer bepaald verkeer over een specifiek pad moet stromen, afhankelijk van de bron, bestemming, dienst, gebruiker of gateway. Voor een eenvoudig doelnetwerk kan een statische route vaak voldoende zijn.
  












  
Waarom werkt mijn SD-WAN-route niet?

  

    Vaak komen de prioriteit van bron, bestemming, dienst, bestelling of route niet overeen. Bovendien kan een firewallregel, NAT-regel of statische route de daadwerkelijke pakketstroom beïnvloeden.
  












  
Kunt u SD-WAN gebruiken met routegebaseerde IPsec?

  

    Ja, routegebaseerde IPsec kan worden geïntegreerd in SD-WAN-ontwerpen met XFRM-interfaces en geschikte routes. Vervolgens moeten de IPsec-status, SD-WAN-route, routeprioriteit, NAT en firewallregels samen worden gecontroleerd.
  












  
Moet u Bestemming altijd op Willekeurig instellen?

  

    Nee. Any is alleen zinvol als de route werkelijk al het bestemmingsverkeer van deze bron moet sturen. Voor clouddiensten, VoIP, interne netwerken of VPN’s zijn specifiekere doelen meestal veiliger en beter onderhoudbaar.
  












  
Is de Policy Tester voldoende voor SD-WAN-testen?

  

    Nee. De Policy Tester helpt bij beleidslogica, maar vervangt geen echte pakketstroomtest. Voor SD-WAN moet u logviewer, hitcounter en pakketopname gebruiken.