Sophos SD-RED instellen en problemen oplossen
Met een Sophos SD-RED kan men externe vestigingen, filialen of home offices relatief eenvoudig verbinden met een Sophos Firewall op de hoofdlocatie. De RED bouwt een versleutelde tunnel naar de firewall op en breidt het netwerk van de hoofdlocatie uit naar de externe locatie.
Het grote voordeel: lokaal is normaal gesproken geen complexe VPN-configuratie nodig. De RED wordt met internet verbonden, downloadt de configuratie via de Sophos RED Provisioning Service en bouwt daarna de tunnel naar de firewall op.
Vereisten op de hoofdlocatie
- Sophos Firewall
- Network Protection licentie
- actieve RED Service op de firewall
- bereikbaar publiek IP-adres of DNS-/DynDNS-naam
- inkomende RED-verbindingen naar de firewall toegestaan
- passende firewallregels voor verkeer van het RED-netwerk naar het gewenste doelnetwerk
- DHCP-server of passende netwerkconfiguratie voor clients achter de RED
Sophos noemt TCP 3400, UDP 3410 en NTP 123 als belangrijke communicatievereisten. Deze verbindingen mogen onderweg niet worden geblokkeerd door providerrouters, voorgeschakelde firewalls of Security Gateways.
Vereisten op de externe locatie
- Sophos SD-RED
- internetverbinding
- DHCP op de providerrouter of een correct geconfigureerd statisch adres
- bereikbaar standaardgateway
- werkende DNS- en tijdresolutie
- geen blokkade van TCP 3400, UDP 3410 en NTP 123
Voor eenvoudige locaties is een internetverbinding van minstens 5000/500 Kbit/s vaak voldoende. Niet alleen bandbreedte is belangrijk, maar ook stabiliteit, latency, packet loss en of de provider de vereiste poorten netjes doorlaat.
Sophos SD-RED verbinden
- Verbind de WAN-poort van de SD-RED met de providerrouter of modem op de externe locatie.
- Verbind de LAN-poorten van de SD-RED met een client, switch of het lokale netwerk op de externe locatie.
- Sluit daarna de SD-RED aan op de stroom.
- De RED start, krijgt een IP-adres, controleert de router, controleert de internetverbinding, downloadt de configuratie en bouwt de tunnel naar Sophos Firewall op.
- Zodra alle relevante LEDs groen branden, staat de verbinding met de firewall.
Op de hoofdlocatie moet daarna worden gecontroleerd of de RED-interface op Sophos Firewall de juiste zone, IP-configuratie, DHCP-configuratie en firewallregels heeft. Alleen een tunnel betekent nog niet dat clients achter de RED automatisch alles mogen bereiken.
LED-status bij het starten begrijpen
De status-LEDs zijn bij RED-troubleshooting erg nuttig, omdat ze tonen op welk punt de verbinding blijft hangen.
Legenda:
- β« uit
- π’ brandt groen
- π’ knippert groen
- π΄ brandt rood
- π΄ knippert rood
De officiΓ«le LED-codes onderscheiden vooral groen, rood, knipperend en uit. Afhankelijk van kijkhoek, foto of omgevingslicht kan een LED geelachtig of oranje lijken. Voor diagnose telt vooral welke LED brandt of knippert, en of deze groen of rood is.
Normale bootprocedure
| System | Router | Internet | Tunnel | Betekenis |
|---|---|---|---|---|
| π’ knippert | β« | β« | β« | De RED start. |
| π’ | β« | β« | β« | De bootprocedure is voltooid. |
| π’ | π’ knippert | β« | β« | De RED verbindt met het standaardgateway of de router. |
| π’ | π’ | β« | β« | Het standaardgateway is bereikbaar. |
| π’ | π’ | π’ knippert | β« | De RED verbindt met internet. |
| π’ | π’ | π’ | β« | De internetverbinding staat. |
| π’ | π’ | π’ | π’ knippert | De RED verbindt met Sophos Firewall. |
| π’ | π’ | π’ | π’ | De tunnel naar de firewall staat. |
| π’ knippert | π’ knippert | π’ knippert | π’ knippert | De RED installeert nieuwe firmware. RED niet uitschakelen. |
Als alle vier LEDs groen branden, is de technische RED-verbinding opgebouwd. Als er daarna toch geen verkeer loopt, ligt het probleem meestal niet meer bij de tunnelopbouw, maar bij firewallregels, routing, NAT, VLANs of DHCP.
Foutcodes
| System | Router | Internet | Tunnel | Betekenis | Typische oorzaak |
|---|---|---|---|---|---|
| π΄ | β« | β« | β« | DHCP of statische IP-configuratie mislukt. | Geen DHCP, verkeerd statisch adres, gateway niet bereikbaar. |
| π΄ | π’ | β« | β« | Internet niet bereikbaar. | Router bereikbaar, maar DNS, routing, provider of voorgeschakelde firewall blokkeert. |
| π΄ | π’ | π’ | β« | Geen verbinding met Sophos Firewall. | RED Service, TCP 3400, UDP 3410, provisioning, firewallbereikbaarheid of Unlock Code controleren. |
| π΄ | π’ | π’ | π’ | Geen configuratie beschikbaar of firmware-update mislukt. | Provisioning-configuratie, Firmware Pattern, Unlock Code of supportcase controleren. |
3G/4G failover
Bij SD-RED-modellen met 3G/4G-failover of bijbehorende module kunnen extra LED-patronen voorkomen.
| System | Router | Internet | Tunnel | Betekenis |
|---|---|---|---|---|
| π΄ knippert | π’ knippert | β« | β« | 3G/4G-failover is actief. |
| π΄ knippert | π’ | π’ knippert | β« | Het standaardgateway is bereikbaar en de internetverbinding wordt opgebouwd. |
| π΄ knippert | π’ | π’ | π’ knippert | Internet staat, tunnel naar de firewall wordt opgebouwd. |
| π΄ knippert | π’ knippert | π’ knippert | π’ knippert | Tunnel staat via de failoververbinding. Dit patroon ziet men pas nadat de tunnel is opgebouwd. |
Firmware-update niet onderbreken
Als de status-LEDs na het starten roterend of gezamenlijk knipperen, kan de RED firmware installeren. In deze fase mag de RED niet worden uitgeschakeld en ook niet van internet worden losgekoppeld. Een firmware-update kan enkele minuten duren.
Op Sophos Firewall moet men daarnaast onder Backup & firmware > Pattern updates controleren of het RED Firmware Pattern actueel is. Als een RED in een verbindingslus blijft hangen of steeds opnieuw start, kan een verouderd RED Firmware Pattern een mogelijke oorzaak zijn.
Veelvoorkomende valkuilen na succesvolle verbinding
Een groene tunnel betekent alleen dat de RED met de firewall verbonden is. Daarna blijft een nette netwerkconfiguratie nodig.
Typische punten:
- RED-interface heeft de juiste zone.
- DHCP voor het RED-netwerk is ingericht of relay werkt.
- Firewallregels staan verkeer van het RED-netwerk naar de gewenste doelnetwerken toe.
- Terugroute naar het RED-netwerk is correct.
- NAT wordt alleen gebruikt waar het echt nodig is.
- DNS voor clients op de externe locatie werkt.
- Bij VLANs is de RED-modus passend gekozen.
Als clients achter de RED geen IP-adres krijgen, is meestal DHCP of VLAN-tagging het probleem. Als clients wel een IP-adres krijgen maar geen interne systemen bereiken, zijn meestal firewallregels, routing of DNS de oorzaak.
Troubleshooting: RED verbindt niet
RED krijgt geen IP-adres of bereikt het gateway niet
Als de RED bij de routerstap blijft hangen of de foutcode op DHCP of gateway wijst, controleert men eerst de externe locatie.
Daarbij controleert men:
- Geeft de providerrouter via DHCP een IP-adres uit?
- Is de netwerkkabel correct aangesloten op de WAN-poort van de RED?
- Is het standaardgateway bereikbaar?
- Is een statisch IP-adres correct ingevoerd?
- Zijn IP-adres, subnetmasker, gateway en DNS consistent?
- Blokkeert een voorgeschakeld apparaat het verkeer?
Als DHCP op de externe locatie niet werkt, kan de RED in een herstartlus terechtkomen, omdat ze geen bruikbare netwerkverbinding kan opbouwen.
RED bereikt internet niet
Als router/gateway bereikbaar is, maar de internet-LED niet permanent groen wordt, ligt het probleem meestal achter de lokale router.
Daarbij controleert men:
- Werkt de internetverbinding op de externe locatie met een normale client?
- Werkt DNS?
- Is NTP bereikbaar?
- Worden TCP 3400, UDP 3410 of NTP 123 door de provider geblokkeerd?
- Staat er een firewall of proxy tussen RED en internet?
Voor RED provisioning moet de RED de Sophos Provisioning Service kunnen bereiken. Sophos gebruikt daarvoor onder meer red.astaro.com op TCP 3400.
RED bereikt Sophos Firewall niet
Als internet bereikbaar is, maar de tunnel niet wordt opgebouwd, controleert men de firewallzijde.
Daarbij controleert men:
- Is de RED Service op Sophos Firewall geactiveerd?
- Is de RED-interface correct aangemaakt?
- Kloppen RED-ID en Unlock Code?
- Is het publieke firewalladres of de FQDN bereikbaar?
- Is Administration > Device access voor RED op de juiste WAN-zone toegestaan?
- Staat een Local Service ACL het publieke IP van de externe locatie toe voor RED Services als toegang beperkt werd?
- Komen TCP 3400 en UDP 3410 op de firewall aan?
Op de firewall kan men in de Advanced Shell met tcpdump controleren of RED-verkeer aankomt:
tcpdump -ni any port 3400 or port 3410
Als er niets aankomt, ligt het probleem meestal vΓ³Γ³r de firewall: providerrouter, NAT, voorgeschakelde firewall, verkeerd publiek IP of poortblokkade.
RED start steeds opnieuw
Een herstartlus kan meerdere oorzaken hebben:
- instabiele stroomvoorziening
- defecte hardware of probleem met voeding
- geen IP-adres via DHCP
- verkeerde of beschadigde configuratie
- verouderd RED Firmware Pattern
- geblokkeerde poorten TCP 3400 of UDP 3410
- verkeerde Unlock Code
Eerst controleert men stroomvoorziening, netwerkaansluiting en DHCP. Daarna wordt het RED Firmware Pattern op de firewall bijgewerkt en gecontroleerd of TCP 3400 en UDP 3410 op de firewall zichtbaar zijn.
Als de configuratie verdacht is, kan men de RED opnieuw aanmaken of terugzetten naar fabrieksinstellingen. Vooraf moet men zeker weten dat RED-ID en Unlock Code correct gedocumenteerd zijn.
Tunnel is groen, maar er loopt geen verkeer
Dit komt vaak voor: de RED-LEDs zien er goed uit, maar clients bereiken geen interne systemen of internet.
Mogelijke oorzaken:
- firewallregel ontbreekt of staat verkeerd
- RED-interface zit in de verkeerde zone
- terugroute naar het RED-netwerk ontbreekt
- NAT vertaalt verkeer onverwacht
- DHCP deelt verkeerde gateway of DNS-servers uit
- UDP 3410 wordt onderweg instabiel geblokkeerd of gefilterd
Men controleert in de Log viewer of verkeer vanaf het RED-netwerk zichtbaar is. Daarna helpen Diagnostics > Packet capture en eventueel tcpdump -ni any port 3410. Voor regelproblemen is het artikel Sophos Firewall-regels begrijpen en correct configureren nuttig.
Geen VLAN-verkeer via de RED
Bij SD-RED 60 zijn VLAN-scenario’s mogelijk, maar de modus is bepalend. Sophos geeft aan dat VLAN-verkeer alleen in de passende RED-modus wordt verwerkt. Voor VLAN-trunks is vooral belangrijk of de poort als Access, Hybrid of Tagged Trunk is geconfigureerd.
Daarbij controleert men:
- Zijn VLAN-IDs op firewall en RED correct?
- Staat de RED LAN-poort in de juiste modus?
- Is de switchpoort op de externe locatie correct tagged of untagged?
- Bestaan er firewallregels voor de VLAN-netwerken?
- Is de gebruikte RED-bedrijfsmodus geschikt voor VLAN-verkeer?
- Zijn DHCP en DNS voor de VLANs correct?
Als VLANs niet werken, test men eerst met een eenvoudig untagged netwerk. Werkt dat wel, dan zit de fout zeer waarschijnlijk in VLAN-ID, tagging of poortmodus.
RED Access Points blijven inactief
Als een RED met Wi-Fi-module of RED Access Point in een VLAN herstart, kan deze als Inactive worden weergegeven. Sophos noemt een ontbrekende DHCP Option 234 op de VLAN-interface als mogelijke oorzaak.
In dit geval moet de RED of het Access Point weten via welk firewall-interface-IP het moet communiceren. DHCP Option 234 kan in de Device Console worden ingesteld. Dit is een speciaal geval en moet alleen worden toegepast als het scenario echt past.
Offline Provisioning wordt opnieuw overschreven
Als een RED eerst online is geprovisioned en later via USB offline wordt geprovisioned, kan de oude online configuratie op de Sophos Provisioning Server blijven staan. Als de RED de firewall niet bereikt, kan ze opnieuw online provisionen en de USB-configuratie overschrijven.
In dit geval moet de RED opnieuw offline worden geprovisioned. Daarnaast moet de oude online configuratie op de RED Provisioning Server worden verwijderd. Hiervoor moet Sophos Support worden gecontacteerd.
RED-interface kan niet worden aangemaakt of bewerkt
Als een RED-interface niet kan worden aangemaakt of opgeslagen, zijn meestal deze oorzaken relevant:
- ontbrekende adminrechten
- tegenstrijdige RED-configuratie
- verkeerde Unlock Code
- firewall kan de RED Provisioning Server niet bereiken
- bestaande of conflicterende RED-configuratie
Vanaf Sophos Firewall kan men de verbinding met de Provisioning Server testen:
telnet red.astaro.com 3400
Als DNS niet oplost of geen verbinding mogelijk is, moet eerst de internet- en DNS-verbinding van de firewall worden gecontroleerd.
Belangrijke logs en diagnosepunten
Voor RED-problemen zijn vooral deze punten nuttig:
- Log viewer met RED-, firewall- en system events
- Diagnostics > Packet capture
- Advanced Shell met
tcpdump - RED-interface-status onder Network > Interfaces
- firewallregels voor RED-zone en doelzones
- Device Access voor RED Services
- RED Firmware Pattern onder Backup & firmware > Pattern updates
Voor algemene logbestanden en servicenamen helpt het artikel Sophos Firewall services en logbestanden begrijpen.
Aanvullende informatie
Meer details staan in de officiΓ«le Sophos-documenten:
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Met een Sophos RED kan heel eenvoudig een externe vestiging of home office aan het bedrijfsnetwerk worden gekoppeld. Daar bevinden zich echter vaak apparaten die niet permanent onder directe controle van IT staan. Daarom moeten endpoints in RED-netwerken ook worden beschermd, bijvoorbeeld met Sophos Central Intercept X Essentials of Sophos Central Intercept X Advanced.