Przejdz do tresci
Avanet

Dostosowanie priorytetu routingu w Sophos Firewall

Sophos Firewall

W tym artykule wyjaśniamy, jak sprawdzić i w razie potrzeby zmienić route precedence w Sophos Firewall. Ustawienie to określa kolejność, w jakiej firewall uwzględnia trasy statyczne, SD-WAN Policy Routes i trasy VPN podczas wyboru trasy.

Wymagania

  • Sophos Firewall z SFOS 18.0 lub nowszym
  • Tryb Gateway
  • Dostęp do Device Console, na przykład przez SSH
  • Okno serwisowe, jeżeli zmiana może dotyczyć ruchu produkcyjnego

Jeżeli dostęp do konsoli nie jest jeszcze skonfigurowany, instrukcja Połączenie SSH z Sophos Firewall pokazuje, jak połączyć się z firewallem i otworzyć Device Console.

⚠️ Zmiana route precedence może natychmiast wpłynąć na ruch produkcyjny. Przed zmianą należy udokumentować aktualną kolejność i sprawdzić, których tras statycznych, SD-WAN Policy Routes oraz tras VPN może ona dotyczyć.

Do czego służy route precedence?

Route precedence określa, który typ routingu jest sprawdzany jako pierwszy, gdy kilka tras pasuje do tego samego celu. Jest to szczególnie ważne, gdy nakładają się trasy statyczne, SD-WAN Policy Routes i trasy VPN.

Częsty scenariusz: sieć wewnętrzna powinna być osiągalna tylko przez połączenie IPsec albo trasę statyczną, ale firewall wybiera SD-WAN Policy Route i wysyła ruch w stronę WAN. W takim przypadku zmiana route precedence może pomóc. W zależności od projektu IPsec, trasa IPsec może być również czystszym rozwiązaniem.

Sophos dokumentuje to polecenie tutaj: route_precedence - Sophos Firewall.

Typy tras

  • static: trasy statyczne. Według Sophos połączenia SSL VPN również należą do tej kategorii.
  • sdwan_policyroute: SD-WAN Policy Routes, czyli trasy oparte na politykach.
  • vpn: trasy VPN.

Domyślna kolejność to:

  1. Static
  2. SD-WAN
  3. VPN

Wyświetlanie aktualnego ustawienia

Poniższe polecenia wykonuje się w Device Console, a nie w Advanced Shell.

system route_precedence show

Przed zmianą warto zapisać wynik. Jeśli konieczny będzie rollback, można przywrócić dokładnie poprzednią kolejność.

Zmiana kolejności

Ten przykład ustawia trasy statyczne przed SD-WAN Policy Routes i trasami VPN:

system route_precedence set static sdwan_policyroute vpn

Jeżeli aktualny wynik pokazuje już static sdwan_policyroute vpn, route precedence prawdopodobnie nie jest przyczyną problemu. W takim przypadku należy sprawdzić trasy statyczne, SD-WAN Policy Routes, konfigurację VPN, reguły firewalla i reguły NAT.

Weryfikacja zmiany

Ponownie wyświetl nową kolejność:

system route_precedence show

Następnie przetestuj konkretnie objęty ruch:

  • Sprawdź połączenie do sieci docelowej, na przykład pingiem lub traceroute
  • Sprawdź Log Viewer pod kątem dozwolonego lub odrzuconego ruchu
  • W razie potrzeby użyj Packet Capture
  • Zweryfikuj, czy reguły NAT lub firewall również wpływają na ruch

Rollback

Jeśli po zmianie ruch nie działa zgodnie z oczekiwaniami, przywróć wcześniej udokumentowaną kolejność. Przykład:

system route_precedence set sdwan_policyroute static vpn

Dokładna kolejność musi odpowiadać wynikowi zapisanemu przed zmianą.