Saltar para o conteudo
Avanet

Alterar a prioridade de routing na Sophos Firewall

Sophos Firewall

Neste guia explicamos como verificar e ajustar a route precedence numa Sophos Firewall. Esta definição determina a ordem em que a firewall avalia rotas estáticas, SD-WAN Policy Routes e rotas VPN durante a seleção de rota.

Requisitos

  • Sophos Firewall com SFOS 18.0 ou superior
  • Modo Gateway
  • Acesso à Device Console, por exemplo via SSH
  • Janela de manutenção se o tráfego produtivo puder ser afetado

Se o acesso à consola ainda não estiver configurado, o guia Ligar à Sophos Firewall por SSH explica como estabelecer a ligação e abrir a Device Console.

⚠️ Alterar a route precedence pode afetar imediatamente o tráfego produtivo. Antes da alteração, documente a ordem atual e confirme que rotas estáticas, SD-WAN Policy Routes e rotas VPN podem ser afetadas.

Para que serve a route precedence?

A route precedence define que tipo de routing é avaliado primeiro quando várias rotas correspondem ao mesmo destino. Isto é especialmente importante quando rotas estáticas, SD-WAN Policy Routes e rotas VPN se sobrepõem.

Um cenário comum: uma rede interna só deveria ser alcançada através de uma ligação IPsec ou de uma rota estática, mas a firewall seleciona uma SD-WAN Policy Route e envia o tráfego para a WAN. Neste caso, ajustar a route precedence pode ajudar. Dependendo do desenho IPsec, uma rota IPsec também pode ser a solução mais limpa.

A Sophos documenta este comando aqui: route_precedence - Sophos Firewall.

Tipos de rotas

  • static: rotas estáticas. Segundo a Sophos, as ligações SSL VPN também pertencem a esta categoria.
  • sdwan_policyroute: SD-WAN Policy Routes ou rotas baseadas em políticas.
  • vpn: rotas VPN.

A ordem predefinida é:

  1. Static
  2. SD-WAN
  3. VPN

Mostrar a configuração atual

Os comandos seguintes são executados na Device Console, não na Advanced Shell.

system route_precedence show

Documente a saída antes de qualquer alteração. Se for necessário rollback, poderá restaurar exatamente a ordem anterior.

Alterar a ordem

Este exemplo coloca as rotas estáticas antes das SD-WAN Policy Routes e das rotas VPN:

system route_precedence set static sdwan_policyroute vpn

Se a saída atual já mostrar static sdwan_policyroute vpn, a route precedence provavelmente não é a causa do problema. Nesse caso, verifique rotas estáticas, SD-WAN Policy Routes, configuração VPN, regras de firewall e regras NAT.

Verificar a alteração

Mostre novamente a nova ordem:

system route_precedence show

Depois teste o tráfego afetado de forma direcionada:

  • Testar a ligação à rede de destino, por exemplo com ping ou traceroute
  • Verificar o Log Viewer para tráfego permitido ou bloqueado
  • Usar Packet Capture se necessário
  • Confirmar se regras NAT ou de firewall também influenciam o tráfego

Rollback

Se o tráfego não funcionar como esperado após a alteração, restaure a ordem documentada anteriormente. Exemplo:

system route_precedence set sdwan_policyroute static vpn

A ordem exata deve corresponder à saída documentada antes da alteração.