Naar de inhoud
Avanet

Sophos SD-RED instellen en problemen oplossen

Met een Sophos SD-RED kun je externe locaties, filialen of kleinere thuiswerkplekken verbinden met een Sophos Firewall. De RED bouwt een versleutelde tunnel naar de firewall op en biedt op de externe locatie een netwerk dat centraal via de firewall wordt beheerd.

Het praktische voordeel: ter plaatse is meestal geen complexe VPN-configuratie nodig. De SD-RED wordt met internet verbonden, laadt zijn configuratie via de Sophos RED Provisioning Service en bouwt daarna de tunnel naar de Sophos Firewall op. De tunnel alleen lost echter niet alles op. Zones, firewallregels, DHCP, VLANs, routing, DNS en firmwarestatus moeten ook kloppen.

Indeling: SD-RED, RED-tunnel en SFOS 22

Bij nieuwe projecten moet je duidelijk onderscheid maken tussen huidige SD-RED-locaties en oude site-to-site RED-configuraties. Legacy RED server/client configuraties worden in SFOS 22.0 en nieuwer niet meer ondersteund. Dergelijke oude configuraties moeten voor een upgrade worden gecontroleerd en gemigreerd.

Voor huidige SD-RED-apparaten blijft RED een relevant locatiethema. Met SFOS 21.5 is bovendien een hogere schaalbaarheid voor SD-RED en site-to-site RED-tunnels gedocumenteerd. Voor beheerders betekent dit: nieuwe locaties moeten zorgvuldig met de huidige SD-RED-logica worden gepland, terwijl oude Legacy-RED-tunnels voor SFOS-22-upgrades bewust moeten worden gecontroleerd.

Vereisten op de hoofdlocatie

Voordat je de RED aansluit, moeten de volgende punten op de Sophos Firewall duidelijk zijn:

  • RED Service is op de firewall geactiveerd.
  • Publiek IP-adres of DNS-/DynDNS-naam van de firewall is bereikbaar.
  • RED-verbindingen naar de firewall zijn aan de WAN-zijde toegestaan.
  • RED is onder Administration > Device access voor de juiste WAN-zone toegestaan of via Local Service ACL specifiek vrijgegeven.
  • RED-interface, zone en IP-configuratie zijn gepland.
  • Firewallregels van het RED-netwerk naar de doelnetwerken zijn voorzien.
  • DHCP, DHCP Relay of statische adressering voor clients achter de RED is geregeld.
  • RED Firmware Pattern op de firewall is actueel.
  • Back-up en firmwarestatus van de firewall zijn voor grotere wijzigingen gedocumenteerd.

Voor RED-communicatie zijn met name TCP 3400, UDP 3410 en NTP 123 relevant. Deze verbindingen mogen onderweg niet door provider-routers, voorgeschakelde firewalls of security gateways worden geblokkeerd.

Vereisten op de externe locatie

Op de externe locatie heeft de SD-RED een stabiele internetverbinding nodig. Doorslaggevend is niet alleen de bandbreedte, maar vooral stabiliteit, latentie, pakketverlies en of de provider de benodigde verbindingen toestaat.

Controleer:

  • Internetverbinding is stabiel.
  • WAN-poort van de RED krijgt via DHCP een adres of heeft een correcte statische configuratie.
  • Standaardgateway is bereikbaar.
  • DNS werkt.
  • NTP is bereikbaar.
  • TCP 3400, UDP 3410 en NTP 123 worden niet geblokkeerd.
  • Provider-router of voorgeschakelde firewall voert geen onverwachte filtering uit.
  • Bij VLANs is duidelijk welke poort getagd, ongetagd of hybride werkt.

Voor eenvoudige locaties volstaat vaak een kleine verbinding. In de praktijk zijn echter pakketverlies, instabiele consumentenrouters, CGNAT, DNS-problemen of restrictieve provider-firewalls vaker de oorzaak dan pure bandbreedte.

Sophos SD-RED 20 met status-LEDs aan de voorkant
De LEDs van de SD-RED tonen de opstartstatus, routerverbinding, internetverbinding en tunnelstatus.

SD-RED aansluiten

Typische procedure:

  1. Verbind de WAN-poort van de SD-RED met de provider-router of modem.
  2. Verbind de LAN-poort met een testclient, switch of lokaal netwerk.
  3. Voorzie de SD-RED van stroom.
  4. Wacht tot de RED start, het gateway en internet controleert, de configuratie laadt en de tunnel opbouwt.
  5. Controleer op de Sophos Firewall of de RED-interface actief is.
  6. Sluit een testclient achter de RED aan en controleer IP, DNS, gateway en doeltoegang.

Als alle relevante LEDs groen zijn, staat de technische tunnel. Daarna begint de eigenlijke netwerkcontrole: zone, DHCP, firewallregels, terugrouting, DNS en indien nodig VLANs.

Handmatige provisioning met USB-stick

Normaal wordt een SD-RED via de Sophos RED Provisioning Service ingericht. Handmatige provisioning met USB-stick is zinvol wanneer het apparaat in een privaat of sterk beperkt netwerk staat, een statische WAN-configuratie nodig heeft of het automatische provisioningpad niet betrouwbaar werkt.

De procedure is nauwkeuriger dan alleen een provisioningbestand naar USB kopiëren:

  1. Op de firewall onder Administration > Time controleren of de firewall geschikt is als NTP-server voor het RED-scenario. Bij handmatige setup moet de RED een geldige tijd krijgen, zodat de TLS-handshake met de firewall werkt.
  2. Onder Network > Zones een eigen zone voor RED-locaties aanmaken of een bestaande zone zoals VPN of WiFi gebruiken. De LAN-zone moet voor RED worden vermeden, zodat LAN-regels niet onbedoeld voor de externe locatie gelden.
  3. Onder System services > RED de RED Provisioning Service activeren.
  4. Onder Network > Interfaces > Add interface > Add RED de RED-interface aanmaken.
  5. Bij Device deployment Manually via USB stick kiezen.
  6. RED ID, Unlock Code, uplink, RED network settings, zone, DHCP en VLANs passend bij de locatie invullen.
  7. Het gegenereerde provisioningbestand bij de RED-interface downloaden.
  8. Het bestand naar de rootdirectory van de USB-stick kopiëren.
  9. RED uitschakelen, USB-stick plaatsen en RED weer inschakelen.
  10. Na het starten interface, LEDs, client-IP, DNS, firewallregel en doeltoegang controleren.

Als de WAN-zijde van de RED DHCP gebruikt, moet op de externe locatie echt een DHCP-server antwoorden. Krijgt de RED geen adres, dan kan hij in een herstartlus terechtkomen. Bij statische WAN-configuratie moeten IP-adres, gateway, DNS en NTP extra nauwkeurig worden gecontroleerd.

Offline REDs hebben toch een geldige tijd nodig. Ofwel mag de RED de Sophos-NTP-servers bereiken, ofwel plant men een gerichte Local service ACL exception rule, zodat de RED vanuit de WAN-zone met de firewall mag praten. Als source gebruikt men alleen het bekende RED-IP, destination is de WAN-poort van de firewall, service in dit scenario HTTPS, action Accept. Deze uitzondering is geen vervanging voor RED breed via WAN openen.

LED-status begrijpen

De status-LEDs zijn bij RED-troubleshooting vaak de snelste ingang, omdat je daaraan kunt zien op welk punt het opstartproces blijft hangen.

Legenda:

  • ⚫ uit
  • 🟢 brandt groen
  • 🟢 knippert groen
  • 🔴 brandt rood
  • 🔴 knippert rood

Afhankelijk van de kijkhoek, foto of omgevingslicht kan een LED geelachtig of oranje lijken. Voor de diagnose telt vooral welke LED brandt of knippert en of deze groen of rood is.

Normaal opstartproces

SysteemRouterInternetTunnelBetekenis
🟢 knippertSD-RED start op.
🟢Opstartproces voltooid.
🟢🟢 knippertVerbinding met gateway of router wordt opgebouwd.
🟢🟢Standaardgateway is bereikbaar.
🟢🟢🟢 knippertInternetverbinding wordt gecontroleerd.
🟢🟢🟢Internetverbinding staat.
🟢🟢🟢🟢 knippertTunnel naar Sophos Firewall wordt opgebouwd.
🟢🟢🟢🟢Tunnel naar Sophos Firewall staat.
🟢 knippert🟢 knippert🟢 knippert🟢 knippertFirmware wordt geïnstalleerd. Apparaat niet uitschakelen.

Als alle vier de LEDs groen branden, maar er geen verkeer werkt, ligt het probleem meestal niet meer bij de tunnelopbouw. Dan zijn firewallregels, DHCP, VLANs, DNS, NAT of routing waarschijnlijker.

Foutcodes

SysteemRouterInternetTunnelBetekenisVolgende controle
🔴DHCP of statische IP-configuratie misluktDHCP, WAN-kabel, statisch IP, gateway
🔴🟢Internet niet bereikbaarDNS, NTP, provider, voorgeschakelde firewall
🔴🟢🟢Geen verbinding met Sophos FirewallRED Service, TCP 3400, UDP 3410, FQDN, Unlock Code
🔴🟢🟢🟢Geen configuratie of firmwareprobleemProvisioning, RED Firmware Pattern, Unlock Code, Supportgeval

3G/4G-Failover

Bij SD-RED-modellen met 3G/4G-failover of een overeenkomstig module kunnen extra patronen optreden.

SysteemRouterInternetTunnelBetekenis
🔴 knippert🟢 knippert3G/4G-failover is actief.
🔴 knippert🟢🟢 knippertGateway bereikbaar, internetverbinding wordt opgebouwd.
🔴 knippert🟢🟢🟢 knippertInternet staat, tunnel wordt opgebouwd.
🔴 knippert🟢 knippert🟢 knippert🟢 knippertTunnel staat via failover-verbinding.

Firmware-updates controleren

Als de LEDs gezamenlijk knipperen, kan de RED net een firmware installeren. In deze fase moet je het apparaat niet uitschakelen en niet van het internet loskoppelen. Een update kan enkele minuten duren.

Op de Sophos Firewall moet je daarnaast controleren:

Backup & firmware > Pattern updates

Daar moet het RED Firmware Pattern actueel zijn. Als een RED in een lus blijft hangen of na een firewall-update niet meer goed opstart, is een verouderd RED Firmware Pattern een zinvolle controle.

Een gerelateerde operationele wens is beschreven in Sophos Firewall Feature Request 2024: Bij RED- en Access-Point-firmwareupdates ontbreken vaak direct zichtbare release-opmerkingen in de backend. Voor productieve omgevingen moet je updates daarom bewust plannen en niet ongecoördineerd tijdens kritieke bedrijfstijden installeren.

RED-interface, zone en regels controleren

Na succesvolle tunnelopbouw heeft de RED een goede firewallconfiguratie nodig.

Typische controlepunten:

  • RED-interface is onder Network > Interfaces actief.
  • Interface ligt in de juiste zone.
  • DHCP-server of DHCP-relay is correct ingesteld.
  • Clients ontvangen IP-adres, gateway en DNS.
  • Firewallregels staan alleen de benodigde doelen toe.
  • Terugrouting naar het RED-netwerk werkt.
  • NAT wordt alleen gebruikt als het bewust gepland is.
  • VLAN-configuratie past bij de RED-modus en de switchpoort.

Voor de regelbasis past Sophos Firewall-regels begrijpen en correct configureren. Als de tunnel staat, maar verkeer niet stroomt, moet je Log Viewer en Packet Capture combineren.

Upgrade- en migratievalkuilen

Legacy site-to-site RED voor SFOS 22 controleren

Voor een upgrade naar SFOS 22 of nieuwer moet je controleren of er nog Legacy firewall RED server/client configuraties aanwezig zijn. Deze Legacy-site-to-site-RED-configuraties worden in SFOS 22.0 en nieuwer niet meer ondersteund.

Praktisch betekent dit:

  • RED- en VPN-configuraties voor de upgrade inventariseren.
  • Legacy RED server/client configuraties identificeren.
  • Migratie naar ondersteunde RED-site-to-site- of VPN-varianten plannen.
  • Na de migratie firewallregels, zones, routing en DHCP controleren.
  • Upgrade pas uitvoeren als de locatieverbindingen getest zijn.

Voor grotere upgradeplanning past daarnaast Sophos Firewall Firmware Update correct plannen.

RED system hosts na SFOS 21.5 MR1

Sinds SFOS 21.5 MR1 krijgen RED system host objects de correcte /32-subnetmasker. Als dergelijke automatisch gegenereerde RED-systeemobjecten eerder in regels of andere configuraties voor meer dan één host-IP werden gebruikt, kan na de update verkeer anders matchen.

Na een upgrade moet je daarom controleren:

  • Worden RED system hosts in firewallregels gebruikt?
  • Verwacht een regel per ongeluk een netwerk in plaats van een enkele host?
  • Moeten IP Host of Network Host objecten worden vervangen?
  • Kloppen regelmatches nog in de Log Viewer?

RED en HA-failover

In HA-omgevingen moeten RED-locaties na een failover bewust worden getest. Sophos wijst erop dat RED-tunnels na een HA-failover niet altijd direct met het auxiliary-apparaat opnieuw verbonden zijn. De duur hangt onder meer af van het aantal interfaces en de configuratie.

Voor kritieke locaties moet men niet alleen de firewall-HA-status controleren, maar ook:

  • RED-interfacestatus na failover
  • clienttoegang achter de RED
  • relevante firewallregelmatches
  • DNS en DHCP achter de RED
  • monitoringalarm bij langere tunnelonderbreking

Problemen oplossen

RED krijgt geen IP-adres

Als de RED bij de routerstap blijft hangen of de foutcode op DHCP of gateway wijst, ligt de oorzaak meestal op de externe locatie.

Controleer:

  • Geeft de provider-router een IP-adres via DHCP?
  • Is de netwerkkabel correct aangesloten op de WAN-poort?
  • Is de standaardgateway bereikbaar?
  • Is een statisch IP-adres volledig ingevoerd?
  • Kloppen IP-adres, subnetmasker, gateway en DNS?
  • Blokkeert een voorgeschakeld apparaat het verkeer?

Als DHCP op de externe locatie niet werkt, kan de RED in een herstartlus terechtkomen.

RED bereikt het internet niet

Als router of gateway bereikbaar is, maar de internet-LED niet permanent groen wordt, ligt het probleem meestal achter de lokale router.

Controleer:

  • Werkt de internetverbinding met een normale client?
  • Werkt DNS?
  • Is NTP bereikbaar?
  • Worden TCP 3400, UDP 3410 of NTP 123 geblokkeerd?
  • Is er een proxy of firewall tussen RED en internet?
  • Is de providerverbinding stabiel genoeg?

Voor RED-provisioning moet de RED de Sophos Provisioning Service bereiken. In veel omgevingen is daarbij red.astaro.com op TCP 3400 relevant.

RED bereikt de Sophos Firewall niet

Als internet bereikbaar is, maar de tunnel niet wordt opgebouwd, controleer je de firewallzijde.

Controleer:

  • Is de RED Service op de Sophos Firewall geactiveerd?
  • Is de RED correct aangemaakt?
  • Kloppen RED-ID en Unlock Code?
  • Is het publieke IP of de FQDN van de firewall bereikbaar?
  • Is Administration > Device access voor RED in de juiste WAN-zone toegestaan?
  • Staat een Local Service ACL toegang vanaf de externe locatie toe?
  • Komen TCP 3400 en UDP 3410 op de firewall aan?
  • Past de tijd van de RED bij de TLS-handshake tijdens handmatige provisioning?
  • Bereikt een offline RED NTP of de geplande Local Service ACL-uitzondering?

In de Advanced Shell kun je controleren of RED-verkeer aankomt:

tcpdump -ni any port 3400 or port 3410

Als er niets aankomt, ligt het probleem meestal voor de firewall: provider-router, NAT, voorgeschakelde firewall, verkeerd publiek IP, FQDN of poortblokkade.

RED start steeds opnieuw op

Een herstartlus kan meerdere oorzaken hebben:

  • instabiele stroomvoorziening
  • defecte voeding
  • geen IP-adres via DHCP
  • verkeerde statische IP-configuratie
  • geblokkeerde poorten
  • verouderd RED Firmware Pattern
  • verkeerde Unlock Code
  • beschadigde of verkeerde RED-configuratie

Controleer eerst stroomvoorziening, kabels en DHCP. Controleer daarna RED Firmware Pattern, poortbereikbaarheid en configuratie. Als de RED opnieuw wordt aangemaakt of gereset, moeten RED-ID en Unlock Code vooraf gedocumenteerd zijn.

Tunnel is groen, maar er stroomt geen verkeer

Dit geval komt bijzonder vaak voor. De RED is verbonden, maar clients bereiken geen interne systemen of geen internet.

Mogelijke oorzaken:

  • Firewallregel ontbreekt of staat te laag.
  • RED-interface ligt in de verkeerde zone.
  • DHCP deelt verkeerd gateway of verkeerde DNS-servers uit.
  • Terugrouting naar het RED-netwerk ontbreekt.
  • NAT vertaalt verkeer onverwacht.
  • VLAN-tagging klopt niet.
  • Security Feature blokkeert het verkeer.

Controlevolgorde:

  1. Controleer client-IP, gateway en DNS.
  2. Filter Log Viewer op bron-IP van de RED-client.
  3. Controleer firewallregel-match.
  4. Voer Packet Capture uit op RED-interface en doelinterface.
  5. Controleer de terugweg van het doelsysteem of doelnetwerk.
  6. Controleer NAT en routing.

Bij onduidelijke regelmatches helpt Firewallregel testen met Log Viewer, Policy Test en Packet Capture.

VLAN-verkeer werkt niet

Bij SD-RED 60 zijn VLAN-scenario’s mogelijk, maar poortmodus, VLAN-ID en RED-modus moeten samenpassen.

Controleer:

  • VLAN-IDs kloppen op firewall, RED en switch.
  • RED-poort is als Access, Hybrid of Tagged Trunk passend geconfigureerd.
  • Switch-poort op de externe locatie is correct getagd of ongetagd.
  • DHCP en DNS zijn per VLAN gepland.
  • Firewallregels bestaan voor de respectieve VLAN-netwerken.
  • De gekozen RED-modus ondersteunt het gewenste VLAN-scenario.

Voor het oplossen van problemen is een eenvoudig ongetagd testnetwerk nuttig. Als dit werkt, ligt de oorzaak meestal bij VLAN-ID, tagging, poortmodus of switchconfiguratie.

RED Access Points blijven inactief

Als RED Access Points of Wi-Fi-functies in VLAN-scenario’s inactief blijven, kan DHCP-optie 234 relevant zijn. Dit betreft vooral gevallen waarin RED- of Access-Point-communicatie via VLAN-interfaces verloopt.

Deze optie moet je alleen instellen als het specifieke scenario past en duidelijk is welke firewall-interface-IP de apparaten moeten bereiken. Bij algemene RED-verbindingsproblemen is DHCP-optie 234 niet de eerste stap.

Offline provisioning wordt overschreven

Als een RED eerst online geprovisioneerd is en later via USB offline geprovisioneerd wordt, kan een oude online-configuratie op de Sophos Provisioning Server behouden blijven. Als de RED de firewall niet bereikt, kan deze opnieuw online provisioneren en de USB-configuratie overschrijven.

Dan moet de RED opnieuw offline geprovisioneerd worden. Daarnaast moet de oude online-configuratie via Sophos Support verwijderd worden.

Diagnosepunten op de Sophos Firewall

Voor RED-problemen zijn deze punten nuttig:

  • Network > Interfaces voor RED-interface en status
  • Administration > Device access voor RED-servicevrijgaven
  • Rules and policies > Firewall rules voor verkeer vanuit het RED-netwerk
  • Diagnostics > Packet capture voor padcontrole
  • Log viewer met RED-, firewall- en systeemgebeurtenissen
  • Backup & firmware > Pattern updates voor RED Firmware Pattern
  • Advanced Shell met tcpdump

Voor logbestanden en service-toewijzing past Sophos Firewall Troubleshooting: Services en Logs.

Operationele checklist

Voor de uitrol:

  • RED-ID en Unlock Code gedocumenteerd.
  • Publiek firewalladres of FQDN gecontroleerd.
  • TCP 3400, UDP 3410 en NTP 123 gecontroleerd.
  • RED Service en Device Access op de firewall gepland.
  • Zone, DHCP, routing en firewallregels gedefinieerd.
  • VLAN-modus indien nodig vooraf getest.

Na het aansluiten:

  • LEDs tonen succesvolle tunnelopbouw.
  • RED-interface is actief.
  • Client ontvangt IP, gateway en DNS.
  • Log Viewer toont verwachte firewallregel.
  • Interne doelsystemen en internetpad werken zoals gepland.
  • Firmware Pattern is actueel.

In bedrijf:

  • RED-firmwarepatroon regelmatig controleren.
  • Locatieverbindingen na firewall-upgrades testen.
  • Legacy site-to-site RED voor SFOS 22 verwijderen of migreren.
  • RED system hosts na SFOS 21.5 MR1 op /32-effecten controleren.
  • RED-locaties opnemen in monitoring, back-up en noodplanning.

FAQ

Welke poorten heeft Sophos SD-RED nodig?

Voor RED-communicatie zijn met name TCP 3400, UDP 3410 en NTP 123 belangrijk. Afhankelijk van het netwerk kunnen daarnaast DNS en andere verbindingen voor provisioning, tijd en bedrijf relevant zijn.

Waarom is de RED-tunnel groen, maar bereiken clients niets?

Dan staat de tunnel, maar de netwerkconfiguratie erachter klopt waarschijnlijk niet. Vaak ontbreken firewallregels, is DHCP verkeerd, ligt de RED-interface in de verkeerde zone, is routing of NAT foutief of klopt VLAN-tagging niet.

Wanneer heeft een SD-RED handmatige provisioning via USB nodig?

Handmatige provisioning is zinvol wanneer de RED in een privaat of sterk beperkt netwerk staat, een statische WAN-configuratie nodig heeft of automatische provisioning niet betrouwbaar werkt. NTP, provisioningbestand, zone, Device Access en firewallregels moeten dan extra zorgvuldig worden gepland.

Wat moet voor SFOS 22 bij RED gecontroleerd worden?

Voor SFOS 22 moet gecontroleerd worden of er nog Legacy firewall RED server/client configuraties aanwezig zijn. Deze Legacy-site-to-site-RED-configuraties worden in SFOS 22.0 en nieuwer niet meer ondersteund.

Waarom zijn RED system hosts na een upgrade relevant?

Sinds SFOS 21.5 MR1 krijgen RED system host objects de correcte /32-subnetmasker. Als dergelijke objecten eerder als netwerkobjecten werden gebruikt, kunnen firewallregels na de update anders matchen.

Moet je een SD-RED uitschakelen tijdens een firmware-update?

Nee. Als de LEDs op een firmware-update wijzen, moet de SD-RED niet worden uitgeschakeld en niet van het internet worden losgekoppeld. Daarna moet je controleren of het RED Firmware Pattern op de firewall actueel is.