Przejdz do tresci
Avanet

Tworzenie trasy IPsec w Sophos Firewall

Sophos Firewall

Zwykle Sophos Firewall sam rozpoznaje, przez który tunel IPsec osiągalna jest sieć docelowa. W klasycznym tunelu IPsec policy-based sieć zdalna jest już podana w konfiguracji tunelu. W niektórych sytuacjach trzeba jednak utworzyć trasę IPsec ręcznie.

Typowe przypadki to błędny wybór trasy, nakładające się trasy albo sieć docelowa, która nie przechodzi przez oczekiwany tunel IPsec, lecz jest wysyłana w stronę WAN lub inną trasą.

Wymagania

  • Dostęp do Device Console, na przykład przez SSH
  • Nazwa tunelu IPsec
  • Host docelowy lub sieć docelowa, które mają być osiągalne przez tunel
  • Aktywne albo poprawnie skonfigurowane połączenie IPsec
  • Pasujące reguły firewalla dla ruchu między siecią lokalną i zdalną

Jeżeli dostęp do konsoli nie jest jeszcze skonfigurowany, instrukcja Połączenie SSH z Sophos Firewall pokazuje, jak połączyć się z firewallem i otworzyć Device Console.

⚠️ Błędna trasa IPsec może wysłać ruch do niewłaściwego tunelu albo zakłócić istniejące połączenia. Przed zmianą należy sprawdzić nazwę tunelu, sieć docelową i istniejące trasy.

VPN policy-based czy route-based?

Trasy IPsec są przydatne głównie w scenariuszach IPsec policy-based, gdy ruch nie jest poprawnie przypisywany do tunelu. Przy VPN route-based zwykle używa się tras statycznych, tras SD-WAN albo dynamicznego routingu do interfejsu tunelu.

Sophos wyjaśnia podstawy IPsec w oficjalnej dokumentacji: IPsec connections - Sophos Firewall.

Wyświetlanie istniejących tras IPsec

Poniższe polecenia wykonuje się w Device Console, a nie w Advanced Shell.

system ipsec_route show

Przed zmianami warto zapisać wynik. Ułatwia to późniejsze sprawdzenie, czy trasa została dodana albo czy trzeba ją ponownie usunąć.

Tworzenie trasy IPsec dla hosta

Jeżeli tylko pojedynczy host ma być osiągalny przez konkretny tunel, użyj host.

Składnia:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Przykład:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Tworzenie trasy IPsec dla sieci

Jeżeli cała sieć ma być osiągalna przez tunel, użyj net.

Składnia:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Przykład:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Sophos dokumentuje te polecenia tutaj: ipsec_route - Sophos Firewall.

Usuwanie trasy IPsec

Jeżeli trasa nie jest już potrzebna albo została błędnie skonfigurowana, można ją usunąć.

Usuwanie trasy hosta:

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Usuwanie trasy sieci:

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Następnie ponownie sprawdź listę:

system ipsec_route show

Testowanie zmiany

Po utworzeniu albo usunięciu trasy IPsec należy celowo przetestować objęty ruch:

  • Sprawdzić osiągalność hosta lub sieci docelowej pingiem albo traceroute
  • Sprawdzić Log Viewer pod kątem dozwolonego lub odrzuconego ruchu
  • W razie potrzeby użyć Packet Capture
  • Sprawdzić, czy reguły firewalla i NAT pasują do oczekiwanego ruchu
  • Jeżeli pasuje kilka tras, sprawdzić priorytet routingu w Sophos Firewall

Uwaga dotycząca NAT

Trasa IPsec definiuje drogę do tunelu. Nie zastępuje reguł firewalla ani NAT. Jeżeli w scenariuszu IPsec używany jest NAT, trzeba dodatkowo sprawdzić konfigurację NAT. Sophos opisuje routing i NAT dla tuneli IPsec w oficjalnej dokumentacji: Routing and NAT for IPsec tunnels.