Sophos SD-RED instellen en problemen oplossen
Met een Sophos SD-RED kun je externe locaties, filialen of kleinere thuiswerkplekken verbinden met een Sophos Firewall. De RED bouwt een versleutelde tunnel naar de firewall op en biedt op de externe locatie een netwerk dat centraal via de firewall wordt beheerd.
Het praktische voordeel: ter plaatse is meestal geen complexe VPN-configuratie nodig. De SD-RED wordt met internet verbonden, laadt zijn configuratie via de Sophos RED Provisioning Service en bouwt daarna de tunnel naar de Sophos Firewall op. De tunnel alleen lost echter niet alles op. Zones, firewallregels, DHCP, VLANs, routing, DNS en firmwarestatus moeten ook kloppen.
Indeling: SD-RED, RED-tunnel en SFOS 22
Bij nieuwe projecten moet je duidelijk onderscheid maken tussen huidige SD-RED-locaties en oude site-to-site RED-configuraties. Legacy RED server/client configuraties worden in SFOS 22.0 en nieuwer niet meer ondersteund. Dergelijke oude configuraties moeten voor een upgrade worden gecontroleerd en gemigreerd.
Voor huidige SD-RED-apparaten blijft RED een relevant locatiethema. Met SFOS 21.5 is bovendien een hogere schaalbaarheid voor SD-RED en site-to-site RED-tunnels gedocumenteerd. Voor beheerders betekent dit: nieuwe locaties moeten zorgvuldig met de huidige SD-RED-logica worden gepland, terwijl oude Legacy-RED-tunnels voor SFOS-22-upgrades bewust moeten worden gecontroleerd.
Vereisten op de hoofdlocatie
Voordat je de RED aansluit, moeten de volgende punten op de Sophos Firewall duidelijk zijn:
- RED Service is op de firewall geactiveerd.
- Publiek IP-adres of DNS-/DynDNS-naam van de firewall is bereikbaar.
- RED-verbindingen naar de firewall zijn aan de WAN-zijde toegestaan.
REDis onder Administration > Device access voor de juiste WAN-zone toegestaan of via Local Service ACL specifiek vrijgegeven.- RED-interface, zone en IP-configuratie zijn gepland.
- Firewallregels van het RED-netwerk naar de doelnetwerken zijn voorzien.
- DHCP, DHCP Relay of statische adressering voor clients achter de RED is geregeld.
- RED Firmware Pattern op de firewall is actueel.
- Back-up en firmwarestatus van de firewall zijn voor grotere wijzigingen gedocumenteerd.
Voor RED-communicatie zijn met name TCP 3400, UDP 3410 en NTP 123 relevant. Deze verbindingen mogen onderweg niet door provider-routers, voorgeschakelde firewalls of security gateways worden geblokkeerd.
Vereisten op de externe locatie
Op de externe locatie heeft de SD-RED een stabiele internetverbinding nodig. Doorslaggevend is niet alleen de bandbreedte, maar vooral stabiliteit, latentie, pakketverlies en of de provider de benodigde verbindingen toestaat.
Controleer:
- Internetverbinding is stabiel.
- WAN-poort van de RED krijgt via DHCP een adres of heeft een correcte statische configuratie.
- Standaardgateway is bereikbaar.
- DNS werkt.
- NTP is bereikbaar.
- TCP
3400, UDP3410en NTP123worden niet geblokkeerd. - Provider-router of voorgeschakelde firewall voert geen onverwachte filtering uit.
- Bij VLANs is duidelijk welke poort getagd, ongetagd of hybride werkt.
Voor eenvoudige locaties volstaat vaak een kleine verbinding. In de praktijk zijn echter pakketverlies, instabiele consumentenrouters, CGNAT, DNS-problemen of restrictieve provider-firewalls vaker de oorzaak dan pure bandbreedte.

SD-RED aansluiten
Typische procedure:
- Verbind de WAN-poort van de SD-RED met de provider-router of modem.
- Verbind de LAN-poort met een testclient, switch of lokaal netwerk.
- Voorzie de SD-RED van stroom.
- Wacht tot de RED start, het gateway en internet controleert, de configuratie laadt en de tunnel opbouwt.
- Controleer op de Sophos Firewall of de RED-interface actief is.
- Sluit een testclient achter de RED aan en controleer IP, DNS, gateway en doeltoegang.
Als alle relevante LEDs groen zijn, staat de technische tunnel. Daarna begint de eigenlijke netwerkcontrole: zone, DHCP, firewallregels, terugrouting, DNS en indien nodig VLANs.
Handmatige provisioning met USB-stick
Normaal wordt een SD-RED via de Sophos RED Provisioning Service ingericht. Handmatige provisioning met USB-stick is zinvol wanneer het apparaat in een privaat of sterk beperkt netwerk staat, een statische WAN-configuratie nodig heeft of het automatische provisioningpad niet betrouwbaar werkt.
De procedure is nauwkeuriger dan alleen een provisioningbestand naar USB kopiëren:
- Op de firewall onder Administration > Time controleren of de firewall geschikt is als NTP-server voor het RED-scenario. Bij handmatige setup moet de RED een geldige tijd krijgen, zodat de TLS-handshake met de firewall werkt.
- Onder Network > Zones een eigen zone voor RED-locaties aanmaken of een bestaande zone zoals
VPNofWiFigebruiken. DeLAN-zone moet voor RED worden vermeden, zodat LAN-regels niet onbedoeld voor de externe locatie gelden. - Onder System services > RED de RED Provisioning Service activeren.
- Onder Network > Interfaces > Add interface > Add RED de RED-interface aanmaken.
- Bij Device deployment Manually via USB stick kiezen.
- RED ID, Unlock Code, uplink, RED network settings, zone, DHCP en VLANs passend bij de locatie invullen.
- Het gegenereerde provisioningbestand bij de RED-interface downloaden.
- Het bestand naar de rootdirectory van de USB-stick kopiëren.
- RED uitschakelen, USB-stick plaatsen en RED weer inschakelen.
- Na het starten interface, LEDs, client-IP, DNS, firewallregel en doeltoegang controleren.
Als de WAN-zijde van de RED DHCP gebruikt, moet op de externe locatie echt een DHCP-server antwoorden. Krijgt de RED geen adres, dan kan hij in een herstartlus terechtkomen. Bij statische WAN-configuratie moeten IP-adres, gateway, DNS en NTP extra nauwkeurig worden gecontroleerd.
Offline REDs hebben toch een geldige tijd nodig. Ofwel mag de RED de Sophos-NTP-servers bereiken, ofwel plant men een gerichte Local service ACL exception rule, zodat de RED vanuit de WAN-zone met de firewall mag praten. Als source gebruikt men alleen het bekende RED-IP, destination is de WAN-poort van de firewall, service in dit scenario HTTPS, action Accept. Deze uitzondering is geen vervanging voor RED breed via WAN openen.
LED-status begrijpen
De status-LEDs zijn bij RED-troubleshooting vaak de snelste ingang, omdat je daaraan kunt zien op welk punt het opstartproces blijft hangen.
Legenda:
- ⚫ uit
- 🟢 brandt groen
- 🟢 knippert groen
- 🔴 brandt rood
- 🔴 knippert rood
Afhankelijk van de kijkhoek, foto of omgevingslicht kan een LED geelachtig of oranje lijken. Voor de diagnose telt vooral welke LED brandt of knippert en of deze groen of rood is.
Normaal opstartproces
| Systeem | Router | Internet | Tunnel | Betekenis |
|---|---|---|---|---|
| 🟢 knippert | ⚫ | ⚫ | ⚫ | SD-RED start op. |
| 🟢 | ⚫ | ⚫ | ⚫ | Opstartproces voltooid. |
| 🟢 | 🟢 knippert | ⚫ | ⚫ | Verbinding met gateway of router wordt opgebouwd. |
| 🟢 | 🟢 | ⚫ | ⚫ | Standaardgateway is bereikbaar. |
| 🟢 | 🟢 | 🟢 knippert | ⚫ | Internetverbinding wordt gecontroleerd. |
| 🟢 | 🟢 | 🟢 | ⚫ | Internetverbinding staat. |
| 🟢 | 🟢 | 🟢 | 🟢 knippert | Tunnel naar Sophos Firewall wordt opgebouwd. |
| 🟢 | 🟢 | 🟢 | 🟢 | Tunnel naar Sophos Firewall staat. |
| 🟢 knippert | 🟢 knippert | 🟢 knippert | 🟢 knippert | Firmware wordt geïnstalleerd. Apparaat niet uitschakelen. |
Als alle vier de LEDs groen branden, maar er geen verkeer werkt, ligt het probleem meestal niet meer bij de tunnelopbouw. Dan zijn firewallregels, DHCP, VLANs, DNS, NAT of routing waarschijnlijker.
Foutcodes
| Systeem | Router | Internet | Tunnel | Betekenis | Volgende controle |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP of statische IP-configuratie mislukt | DHCP, WAN-kabel, statisch IP, gateway |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet niet bereikbaar | DNS, NTP, provider, voorgeschakelde firewall |
| 🔴 | 🟢 | 🟢 | ⚫ | Geen verbinding met Sophos Firewall | RED Service, TCP 3400, UDP 3410, FQDN, Unlock Code |
| 🔴 | 🟢 | 🟢 | 🟢 | Geen configuratie of firmwareprobleem | Provisioning, RED Firmware Pattern, Unlock Code, Supportgeval |
3G/4G-Failover
Bij SD-RED-modellen met 3G/4G-failover of een overeenkomstig module kunnen extra patronen optreden.
| Systeem | Router | Internet | Tunnel | Betekenis |
|---|---|---|---|---|
| 🔴 knippert | 🟢 knippert | ⚫ | ⚫ | 3G/4G-failover is actief. |
| 🔴 knippert | 🟢 | 🟢 knippert | ⚫ | Gateway bereikbaar, internetverbinding wordt opgebouwd. |
| 🔴 knippert | 🟢 | 🟢 | 🟢 knippert | Internet staat, tunnel wordt opgebouwd. |
| 🔴 knippert | 🟢 knippert | 🟢 knippert | 🟢 knippert | Tunnel staat via failover-verbinding. |
Firmware-updates controleren
Als de LEDs gezamenlijk knipperen, kan de RED net een firmware installeren. In deze fase moet je het apparaat niet uitschakelen en niet van het internet loskoppelen. Een update kan enkele minuten duren.
Op de Sophos Firewall moet je daarnaast controleren:
Backup & firmware > Pattern updates
Daar moet het RED Firmware Pattern actueel zijn. Als een RED in een lus blijft hangen of na een firewall-update niet meer goed opstart, is een verouderd RED Firmware Pattern een zinvolle controle.
Een gerelateerde operationele wens is beschreven in Sophos Firewall Feature Request 2024: Bij RED- en Access-Point-firmwareupdates ontbreken vaak direct zichtbare release-opmerkingen in de backend. Voor productieve omgevingen moet je updates daarom bewust plannen en niet ongecoördineerd tijdens kritieke bedrijfstijden installeren.
RED-interface, zone en regels controleren
Na succesvolle tunnelopbouw heeft de RED een goede firewallconfiguratie nodig.
Typische controlepunten:
- RED-interface is onder Network > Interfaces actief.
- Interface ligt in de juiste zone.
- DHCP-server of DHCP-relay is correct ingesteld.
- Clients ontvangen IP-adres, gateway en DNS.
- Firewallregels staan alleen de benodigde doelen toe.
- Terugrouting naar het RED-netwerk werkt.
- NAT wordt alleen gebruikt als het bewust gepland is.
- VLAN-configuratie past bij de RED-modus en de switchpoort.
Voor de regelbasis past Sophos Firewall-regels begrijpen en correct configureren. Als de tunnel staat, maar verkeer niet stroomt, moet je Log Viewer en Packet Capture combineren.
Upgrade- en migratievalkuilen
Legacy site-to-site RED voor SFOS 22 controleren
Voor een upgrade naar SFOS 22 of nieuwer moet je controleren of er nog Legacy firewall RED server/client configuraties aanwezig zijn. Deze Legacy-site-to-site-RED-configuraties worden in SFOS 22.0 en nieuwer niet meer ondersteund.
Praktisch betekent dit:
- RED- en VPN-configuraties voor de upgrade inventariseren.
- Legacy RED server/client configuraties identificeren.
- Migratie naar ondersteunde RED-site-to-site- of VPN-varianten plannen.
- Na de migratie firewallregels, zones, routing en DHCP controleren.
- Upgrade pas uitvoeren als de locatieverbindingen getest zijn.
Voor grotere upgradeplanning past daarnaast Sophos Firewall Firmware Update correct plannen.
RED system hosts na SFOS 21.5 MR1
Sinds SFOS 21.5 MR1 krijgen RED system host objects de correcte /32-subnetmasker. Als dergelijke automatisch gegenereerde RED-systeemobjecten eerder in regels of andere configuraties voor meer dan één host-IP werden gebruikt, kan na de update verkeer anders matchen.
Na een upgrade moet je daarom controleren:
- Worden RED system hosts in firewallregels gebruikt?
- Verwacht een regel per ongeluk een netwerk in plaats van een enkele host?
- Moeten IP Host of Network Host objecten worden vervangen?
- Kloppen regelmatches nog in de Log Viewer?
RED en HA-failover
In HA-omgevingen moeten RED-locaties na een failover bewust worden getest. Sophos wijst erop dat RED-tunnels na een HA-failover niet altijd direct met het auxiliary-apparaat opnieuw verbonden zijn. De duur hangt onder meer af van het aantal interfaces en de configuratie.
Voor kritieke locaties moet men niet alleen de firewall-HA-status controleren, maar ook:
- RED-interfacestatus na failover
- clienttoegang achter de RED
- relevante firewallregelmatches
- DNS en DHCP achter de RED
- monitoringalarm bij langere tunnelonderbreking
Problemen oplossen
RED krijgt geen IP-adres
Als de RED bij de routerstap blijft hangen of de foutcode op DHCP of gateway wijst, ligt de oorzaak meestal op de externe locatie.
Controleer:
- Geeft de provider-router een IP-adres via DHCP?
- Is de netwerkkabel correct aangesloten op de WAN-poort?
- Is de standaardgateway bereikbaar?
- Is een statisch IP-adres volledig ingevoerd?
- Kloppen IP-adres, subnetmasker, gateway en DNS?
- Blokkeert een voorgeschakeld apparaat het verkeer?
Als DHCP op de externe locatie niet werkt, kan de RED in een herstartlus terechtkomen.
RED bereikt het internet niet
Als router of gateway bereikbaar is, maar de internet-LED niet permanent groen wordt, ligt het probleem meestal achter de lokale router.
Controleer:
- Werkt de internetverbinding met een normale client?
- Werkt DNS?
- Is NTP bereikbaar?
- Worden TCP
3400, UDP3410of NTP123geblokkeerd? - Is er een proxy of firewall tussen RED en internet?
- Is de providerverbinding stabiel genoeg?
Voor RED-provisioning moet de RED de Sophos Provisioning Service bereiken. In veel omgevingen is daarbij red.astaro.com op TCP 3400 relevant.
RED bereikt de Sophos Firewall niet
Als internet bereikbaar is, maar de tunnel niet wordt opgebouwd, controleer je de firewallzijde.
Controleer:
- Is de RED Service op de Sophos Firewall geactiveerd?
- Is de RED correct aangemaakt?
- Kloppen RED-ID en Unlock Code?
- Is het publieke IP of de FQDN van de firewall bereikbaar?
- Is Administration > Device access voor RED in de juiste WAN-zone toegestaan?
- Staat een Local Service ACL toegang vanaf de externe locatie toe?
- Komen TCP
3400en UDP3410op de firewall aan? - Past de tijd van de RED bij de TLS-handshake tijdens handmatige provisioning?
- Bereikt een offline RED NTP of de geplande Local Service ACL-uitzondering?
In de Advanced Shell kun je controleren of RED-verkeer aankomt:
tcpdump -ni any port 3400 or port 3410
Als er niets aankomt, ligt het probleem meestal voor de firewall: provider-router, NAT, voorgeschakelde firewall, verkeerd publiek IP, FQDN of poortblokkade.
RED start steeds opnieuw op
Een herstartlus kan meerdere oorzaken hebben:
- instabiele stroomvoorziening
- defecte voeding
- geen IP-adres via DHCP
- verkeerde statische IP-configuratie
- geblokkeerde poorten
- verouderd RED Firmware Pattern
- verkeerde Unlock Code
- beschadigde of verkeerde RED-configuratie
Controleer eerst stroomvoorziening, kabels en DHCP. Controleer daarna RED Firmware Pattern, poortbereikbaarheid en configuratie. Als de RED opnieuw wordt aangemaakt of gereset, moeten RED-ID en Unlock Code vooraf gedocumenteerd zijn.
Tunnel is groen, maar er stroomt geen verkeer
Dit geval komt bijzonder vaak voor. De RED is verbonden, maar clients bereiken geen interne systemen of geen internet.
Mogelijke oorzaken:
- Firewallregel ontbreekt of staat te laag.
- RED-interface ligt in de verkeerde zone.
- DHCP deelt verkeerd gateway of verkeerde DNS-servers uit.
- Terugrouting naar het RED-netwerk ontbreekt.
- NAT vertaalt verkeer onverwacht.
- VLAN-tagging klopt niet.
- Security Feature blokkeert het verkeer.
Controlevolgorde:
- Controleer client-IP, gateway en DNS.
- Filter Log Viewer op bron-IP van de RED-client.
- Controleer firewallregel-match.
- Voer Packet Capture uit op RED-interface en doelinterface.
- Controleer de terugweg van het doelsysteem of doelnetwerk.
- Controleer NAT en routing.
Bij onduidelijke regelmatches helpt Firewallregel testen met Log Viewer, Policy Test en Packet Capture.
VLAN-verkeer werkt niet
Bij SD-RED 60 zijn VLAN-scenario’s mogelijk, maar poortmodus, VLAN-ID en RED-modus moeten samenpassen.
Controleer:
- VLAN-IDs kloppen op firewall, RED en switch.
- RED-poort is als Access, Hybrid of Tagged Trunk passend geconfigureerd.
- Switch-poort op de externe locatie is correct getagd of ongetagd.
- DHCP en DNS zijn per VLAN gepland.
- Firewallregels bestaan voor de respectieve VLAN-netwerken.
- De gekozen RED-modus ondersteunt het gewenste VLAN-scenario.
Voor het oplossen van problemen is een eenvoudig ongetagd testnetwerk nuttig. Als dit werkt, ligt de oorzaak meestal bij VLAN-ID, tagging, poortmodus of switchconfiguratie.
RED Access Points blijven inactief
Als RED Access Points of Wi-Fi-functies in VLAN-scenario’s inactief blijven, kan DHCP-optie 234 relevant zijn. Dit betreft vooral gevallen waarin RED- of Access-Point-communicatie via VLAN-interfaces verloopt.
Deze optie moet je alleen instellen als het specifieke scenario past en duidelijk is welke firewall-interface-IP de apparaten moeten bereiken. Bij algemene RED-verbindingsproblemen is DHCP-optie 234 niet de eerste stap.
Offline provisioning wordt overschreven
Als een RED eerst online geprovisioneerd is en later via USB offline geprovisioneerd wordt, kan een oude online-configuratie op de Sophos Provisioning Server behouden blijven. Als de RED de firewall niet bereikt, kan deze opnieuw online provisioneren en de USB-configuratie overschrijven.
Dan moet de RED opnieuw offline geprovisioneerd worden. Daarnaast moet de oude online-configuratie via Sophos Support verwijderd worden.
Diagnosepunten op de Sophos Firewall
Voor RED-problemen zijn deze punten nuttig:
- Network > Interfaces voor RED-interface en status
- Administration > Device access voor RED-servicevrijgaven
- Rules and policies > Firewall rules voor verkeer vanuit het RED-netwerk
- Diagnostics > Packet capture voor padcontrole
- Log viewer met RED-, firewall- en systeemgebeurtenissen
- Backup & firmware > Pattern updates voor RED Firmware Pattern
- Advanced Shell met
tcpdump
Voor logbestanden en service-toewijzing past Sophos Firewall Troubleshooting: Services en Logs.
Operationele checklist
Voor de uitrol:
- RED-ID en Unlock Code gedocumenteerd.
- Publiek firewalladres of FQDN gecontroleerd.
- TCP
3400, UDP3410en NTP123gecontroleerd. - RED Service en Device Access op de firewall gepland.
- Zone, DHCP, routing en firewallregels gedefinieerd.
- VLAN-modus indien nodig vooraf getest.
Na het aansluiten:
- LEDs tonen succesvolle tunnelopbouw.
- RED-interface is actief.
- Client ontvangt IP, gateway en DNS.
- Log Viewer toont verwachte firewallregel.
- Interne doelsystemen en internetpad werken zoals gepland.
- Firmware Pattern is actueel.
In bedrijf:
- RED-firmwarepatroon regelmatig controleren.
- Locatieverbindingen na firewall-upgrades testen.
- Legacy site-to-site RED voor SFOS 22 verwijderen of migreren.
- RED system hosts na SFOS 21.5 MR1 op
/32-effecten controleren. - RED-locaties opnemen in monitoring, back-up en noodplanning.
FAQ
Welke poorten heeft Sophos SD-RED nodig?
3400, UDP 3410 en NTP 123 belangrijk. Afhankelijk van het netwerk kunnen daarnaast DNS en andere verbindingen voor provisioning, tijd en bedrijf relevant zijn.Waarom is de RED-tunnel groen, maar bereiken clients niets?
Wanneer heeft een SD-RED handmatige provisioning via USB nodig?
Wat moet voor SFOS 22 bij RED gecontroleerd worden?
Waarom zijn RED system hosts na een upgrade relevant?
/32-subnetmasker. Als dergelijke objecten eerder als netwerkobjecten werden gebruikt, kunnen firewallregels na de update anders matchen.