Przejdz do tresci
Avanet

Konfiguracja Sophos SD-RED i usuwanie problemów

Sophos Firewall

Za pomocą Sophos SD-RED można stosunkowo łatwo podłączyć oddziały, filie lub home office do Sophos Firewall w głównej lokalizacji. RED buduje szyfrowany tunel do firewall i rozszerza sieć głównej lokalizacji na lokalizację zdalną.

Największa zaleta: na miejscu zwykle nie trzeba konfigurować złożonego VPN. RED jest podłączany do Internetu, pobiera konfigurację przez Sophos RED Provisioning Service, a następnie zestawia tunel do firewall.

Wymagania w głównej lokalizacji

  • Sophos Firewall
  • licencja Network Protection
  • aktywny RED Service na firewall
  • osiągalny publiczny adres IP lub nazwa DNS/DynDNS
  • dozwolone połączenia RED przychodzące do firewall
  • odpowiednie reguły firewall dla ruchu z sieci RED do wymaganej sieci docelowej
  • serwer DHCP lub odpowiednia konfiguracja sieci dla klientów za RED

Sophos wskazuje TCP 3400, UDP 3410 i NTP 123 jako ważne wymagania komunikacyjne. Te połączenia nie mogą być blokowane przez routery operatora, firewalle pośrednie ani Security Gateways.

Wymagania w lokalizacji zdalnej

  • Sophos SD-RED
  • połączenie z Internetem
  • DHCP na routerze operatora albo poprawnie skonfigurowany adres statyczny
  • osiągalna brama domyślna
  • działający DNS i synchronizacja czasu
  • brak blokady TCP 3400, UDP 3410 i NTP 123

Dla prostych lokalizacji łącze co najmniej 5000/500 Kbit/s często wystarcza. Ważna jest jednak nie tylko przepustowość, ale też stabilność, opóźnienia, utrata pakietów i to, czy operator przepuszcza wymagane porty.

Sophos SD-RED 20 z diodami statusu z przodu urządzenia
Sophos SD-RED 20: diody statusu pokazują boot, połączenie z routerem, połączenie z Internetem i status tunelu.

Podłączenie Sophos SD-RED

  1. Port WAN urządzenia SD-RED podłącza się do routera lub modemu operatora w lokalizacji zdalnej.
  2. Porty LAN urządzenia SD-RED podłącza się do klienta, switcha lub lokalnej sieci w lokalizacji zdalnej.
  3. Następnie podłącza się SD-RED do zasilania.
  4. RED uruchamia się, pobiera adres IP, sprawdza router, sprawdza połączenie z Internetem, pobiera konfigurację i zestawia tunel do Sophos Firewall.
  5. Gdy wszystkie istotne diody świecą na zielono, połączenie z firewall jest zestawione.

W głównej lokalizacji trzeba następnie sprawdzić, czy interfejs RED na Sophos Firewall ma odpowiednią strefę, konfigurację IP, konfigurację DHCP i reguły firewall. Sam tunel nie oznacza jeszcze, że klienci za RED automatycznie mogą osiągnąć wszystkie zasoby.

Status LED podczas uruchamiania

Diody statusu są bardzo pomocne przy troubleshooting RED, ponieważ pokazują, na którym etapie zatrzymuje się połączenie.

Legenda:

  • ⚫ wyłączona
  • 🟢 świeci na zielono
  • 🟢 miga na zielono
  • 🔴 świeci na czerwono
  • 🔴 miga na czerwono

Oficjalne kody LED rozróżniają przede wszystkim kolor zielony, czerwony, miganie i brak świecenia. W zależności od kąta patrzenia, zdjęcia lub światła otoczenia dioda może wyglądać na żółtą albo pomarańczową. Dla diagnozy liczy się głównie to, która dioda świeci lub miga i czy jest zielona czy czerwona.

Normalny proces bootowania

SystemRouterInternetTunnelZnaczenie
🟢 migaRED uruchamia się.
🟢Boot został zakończony.
🟢🟢 migaRED łączy się z bramą domyślną lub routerem.
🟢🟢Brama domyślna jest osiągalna.
🟢🟢🟢 migaRED łączy się z Internetem.
🟢🟢🟢Połączenie z Internetem działa.
🟢🟢🟢🟢 migaRED łączy się z Sophos Firewall.
🟢🟢🟢🟢Tunel do firewall jest zestawiony.
🟢 miga🟢 miga🟢 miga🟢 migaRED instaluje nowy firmware. Nie wyłączać RED.

Jeżeli wszystkie cztery diody świecą na zielono, techniczne połączenie RED jest zestawione. Jeżeli mimo to ruch nie przechodzi, problem zwykle nie dotyczy już tunelu, tylko reguł firewall, routingu, NAT, VLAN albo DHCP.

Kody błędów

SystemRouterInternetTunnelZnaczenieTypowa przyczyna
🔴DHCP lub statyczna konfiguracja IP nie powiodła się.Brak DHCP, zły adres statyczny, brama nieosiągalna.
🔴🟢Internet nieosiągalny.Router osiągalny, ale DNS, routing, operator lub firewall pośredni blokuje ruch.
🔴🟢🟢Brak połączenia z Sophos Firewall.Sprawdzić RED Service, TCP 3400, UDP 3410, provisioning, osiągalność firewall lub Unlock Code.
🔴🟢🟢🟢Brak konfiguracji albo aktualizacja firmware nie powiodła się.Sprawdzić konfigurację provisioning, Firmware Pattern, Unlock Code lub zgłoszenie supportowe.

Failover 3G/4G

W modelach SD-RED z failover 3G/4G albo odpowiednim modułem mogą wystąpić dodatkowe wzorce LED.

SystemRouterInternetTunnelZnaczenie
🔴 miga🟢 migaFailover 3G/4G jest aktywny.
🔴 miga🟢🟢 migaBrama domyślna jest osiągalna, a połączenie z Internetem jest zestawiane.
🔴 miga🟢🟢🟢 migaInternet działa, tunel do firewall jest zestawiany.
🔴 miga🟢 miga🟢 miga🟢 migaTunel działa przez połączenie failover. Ten wzorzec widać dopiero po zestawieniu tunelu.

Nie przerywać aktualizacji firmware

Jeżeli po starcie diody statusu migają rotacyjnie albo razem, RED może instalować firmware. W tej fazie nie powinno się wyłączać RED ani odłączać urządzenia od Internetu. Aktualizacja firmware może potrwać kilka minut.

Na Sophos Firewall warto dodatkowo sprawdzić pod Backup & firmware > Pattern updates, czy RED Firmware Pattern jest aktualny. Jeżeli RED tkwi w pętli łączenia albo stale się restartuje, przestarzały RED Firmware Pattern może być jedną z przyczyn.

Typowe pułapki po udanym połączeniu

Zielony tunel oznacza tylko, że RED jest połączony z firewall. Nadal potrzebna jest poprawna konfiguracja sieci.

Typowe punkty:

  • interfejs RED jest w odpowiedniej strefie
  • DHCP dla sieci RED jest skonfigurowane albo działa relay
  • reguły firewall pozwalają na ruch z sieci RED do wymaganych sieci docelowych
  • routing powrotny do sieci RED jest poprawny
  • NAT jest używany tylko tam, gdzie naprawdę jest potrzebny
  • DNS działa dla klientów w lokalizacji zdalnej
  • przy VLANs wybrano odpowiedni tryb RED

Jeżeli klienci za RED nie dostają adresu IP, problemem jest zwykle DHCP albo VLAN tagging. Jeżeli klienci dostają adres IP, ale nie osiągają systemów wewnętrznych, przyczyną są najczęściej reguły firewall, routing albo DNS.

Troubleshooting: RED nie łączy się

RED nie otrzymuje adresu IP albo nie osiąga bramy

Jeżeli RED zatrzymuje się na kroku Router albo kod błędu wskazuje DHCP lub bramę, najpierw sprawdza się lokalizację zdalną.

Warto sprawdzić:

  • Czy router operatora przydziela adres IP przez DHCP?
  • Czy kabel sieciowy jest poprawnie podłączony do portu WAN RED?
  • Czy brama domyślna jest osiągalna?
  • Czy adres statyczny został wpisany poprawnie?
  • Czy adres IP, maska, brama i DNS są spójne?
  • Czy urządzenie pośrednie blokuje ruch?

Jeżeli DHCP w lokalizacji zdalnej nie działa, RED może wejść w pętlę restartu, ponieważ nie może zestawić użytecznego połączenia sieciowego.

RED nie osiąga Internetu

Jeżeli router/brama jest osiągalna, ale dioda Internet nie świeci stale na zielono, problem zwykle znajduje się za lokalnym routerem.

Warto sprawdzić:

  • Czy połączenie internetowe w lokalizacji zdalnej działa ze zwykłym klientem?
  • Czy DNS działa?
  • Czy NTP jest osiągalny?
  • Czy operator blokuje TCP 3400, UDP 3410 albo NTP 123?
  • Czy pomiędzy RED a Internetem znajduje się firewall albo proxy?

Do RED provisioning RED musi osiągnąć Sophos Provisioning Service. Sophos używa między innymi red.astaro.com na TCP 3400.

RED nie osiąga Sophos Firewall

Jeżeli Internet działa, ale tunel się nie zestawia, sprawdza się stronę firewall.

Warto sprawdzić:

  • Czy RED Service jest aktywny na Sophos Firewall?
  • Czy interfejs RED został utworzony poprawnie?
  • Czy RED-ID i Unlock Code są zgodne?
  • Czy publiczny adres firewall albo FQDN jest osiągalny?
  • Czy Administration > Device access zezwala na RED w odpowiedniej strefie WAN?
  • Czy Local Service ACL zezwala na publiczny IP lokalizacji zdalnej dla RED Services, jeżeli dostęp został ograniczony?
  • Czy TCP 3400 i UDP 3410 docierają do firewall?

Na firewall można w Advanced Shell użyć tcpdump, aby sprawdzić, czy ruch RED dociera:

tcpdump -ni any port 3400 or port 3410

Jeżeli nic nie dociera, problem zwykle znajduje się przed firewall: router operatora, NAT, firewall pośredni, zły publiczny IP albo blokada portów.

RED stale się restartuje

Pętla restartu może mieć kilka przyczyn:

  • niestabilne zasilanie
  • uszkodzony sprzęt lub problem z zasilaczem
  • brak adresu IP przez DHCP
  • błędna lub uszkodzona konfiguracja
  • przestarzały RED Firmware Pattern
  • zablokowane porty TCP 3400 albo UDP 3410
  • błędny Unlock Code

Najpierw sprawdza się zasilanie, połączenie sieciowe i DHCP. Następnie aktualizuje się RED Firmware Pattern na firewall i sprawdza, czy TCP 3400 oraz UDP 3410 są widoczne na firewall.

Jeżeli konfiguracja wygląda podejrzanie, RED można utworzyć ponownie albo zresetować do ustawień fabrycznych. Przedtem trzeba upewnić się, że RED-ID i Unlock Code są poprawnie udokumentowane.

Tunel jest zielony, ale ruch nie przechodzi

To bardzo częsty przypadek: diody RED wyglądają dobrze, ale klienci nie osiągają systemów wewnętrznych albo Internetu.

Możliwe przyczyny:

  • brak reguły firewall albo zła kolejność reguły
  • interfejs RED jest w złej strefie
  • brakuje trasy powrotnej do sieci RED
  • NAT nieoczekiwanie tłumaczy ruch
  • DHCP rozdaje złą bramę albo złe serwery DNS
  • UDP 3410 jest niestabilnie blokowany lub filtrowany po drodze

W Log viewer sprawdza się, czy widoczny jest ruch z sieci RED. Następnie pomagają Diagnostics > Packet capture i ewentualnie tcpdump -ni any port 3410. Przy problemach z regułami pomocny jest artykuł Zrozumieć i poprawnie skonfigurować reguły Sophos Firewall.

Brak ruchu VLAN przez RED

W SD-RED 60 możliwe są scenariusze VLAN, ale decydujący jest tryb pracy. Sophos wskazuje, że ruch VLAN jest przetwarzany tylko w odpowiednim trybie RED. Dla VLAN trunk szczególnie ważne jest, czy port działa jako Access, Hybrid czy Tagged Trunk.

Warto sprawdzić:

  • Czy VLAN-ID na firewall i RED są poprawne?
  • Czy port LAN RED jest w odpowiednim trybie?
  • Czy port switcha w lokalizacji zdalnej jest poprawnie tagged albo untagged?
  • Czy istnieją reguły firewall dla sieci VLAN?
  • Czy używany tryb RED nadaje się do ruchu VLAN?
  • Czy DHCP i DNS dla VLAN są poprawne?

Jeżeli VLAN nie działa, najpierw testuje się prostą sieć untagged. Jeżeli działa, błąd najprawdopodobniej dotyczy VLAN-ID, tagowania albo trybu portu.

RED Access Points pozostają nieaktywne

Jeżeli RED z modułem Wi-Fi albo RED Access Point restartuje się w VLAN, może pojawić się jako Inactive. Sophos opisuje brakującą DHCP Option 234 na interfejsie VLAN jako możliwą przyczynę.

W takim przypadku RED albo Access Point musi wiedzieć, przez jaki adres IP interfejsu firewall ma komunikować się z firewall. DHCP Option 234 można ustawić w Device Console. To przypadek specjalny i powinien być stosowany tylko wtedy, gdy scenariusz rzeczywiście pasuje.

Offline Provisioning zostaje ponownie nadpisany

Jeżeli RED był najpierw provisionowany online, a później offline przez USB, stara konfiguracja online może pozostać na Sophos Provisioning Server. Jeżeli RED nie osiąga firewall, może ponownie wykonać provisioning online i nadpisać konfigurację USB.

W takim przypadku RED trzeba ponownie provisionować offline. Dodatkowo starą konfigurację online na RED Provisioning Server należy usunąć. W tym celu trzeba skontaktować się z Sophos Support.

Nie można utworzyć albo edytować interfejsu RED

Jeżeli interfejs RED nie daje się utworzyć albo zapisać, najczęstsze przyczyny to:

  • brak uprawnień administratora
  • sprzeczna konfiguracja RED
  • błędny Unlock Code
  • firewall nie może osiągnąć RED Provisioning Server
  • istniejąca albo konfliktująca konfiguracja RED

Z Sophos Firewall można przetestować połączenie z Provisioning Server:

telnet red.astaro.com 3400

Jeżeli DNS nie rozwiązuje nazwy albo połączenie nie jest możliwe, najpierw trzeba sprawdzić połączenie internetowe i DNS firewall.

Ważne logi i punkty diagnostyczne

Przy problemach RED szczególnie pomocne są:

  • Log viewer z eventami RED, firewall i systemowymi
  • Diagnostics > Packet capture
  • Advanced Shell z tcpdump
  • status interfejsu RED w Network > Interfaces
  • reguły firewall dla strefy RED i stref docelowych
  • Device Access dla RED Services
  • RED Firmware Pattern w Backup & firmware > Pattern updates

W przypadku ogólnych plików log i nazw usług pomocny jest artykuł Zrozumieć usługi i pliki log Sophos Firewall.

Dodatkowe informacje

Więcej szczegółów znajduje się w oficjalnych dokumentach Sophos:

Sophos Central Intercept X Advanced

Za pomocą Sophos RED można bardzo łatwo podłączyć oddział albo home office do sieci firmowej. W takich sieciach często znajdują się jednak urządzenia, które nie są stale pod bezpośrednią kontrolą IT. Dlatego endpointy w sieciach RED również powinny być chronione, na przykład za pomocą Sophos Central Intercept X Essentials albo Sophos Central Intercept X Advanced.