Configurar e testar rotas SD-WAN na Sophos Firewall

Routing > SD-WAN routes
```Prossiga:

1. Abra **Adicionar**.
2. Atribuir um nome único, por exemplo `Clients_M365_WAN2`.
3. Escolha **Interface de entrada** ou contexto de origem para corresponder ao design.
4. As redes ou usuários de origem são definidos apenas na largura necessária.
5. Escolha redes de destino, hosts FQDN ou serviços de Internet de forma consciente.
6. Limite os serviços aos protocolos necessários.
7. Selecione perfis de gateway ou SD-WAN.
8. Verifique o failover ou o caminho de backup.
9. Salve a regra e posicione-a adequadamente na ordem.
10. Faça um teste com um cliente definido.

A interface exata pode variar um pouco dependendo da versão do SFOS. O que continua a ser crucial, no entanto, é que a rota deve corresponder ao fluxo desejado e não deve captar acidentalmente mais tráfego do que o planeado.

## Selecione perfis de gateway e SD-WAN

As rotas SD-WAN podem apontar diretamente para gateways ou funcionar com perfis SD-WAN. Qual abordagem é correta depende do objetivo.

| abordagem | Faz sentido se |
| --- | --- |
| gateway fixo | O tráfego deve fluir conscientemente ao longo de uma linha |
| Gateway com backup | uma linha é preferida, mas o failover deve ser possível |
| Perfis SD-WAN | vários gateways podem ser avaliados de acordo com peso, SLA ou prioridade |
| Interface XFRM ou caminho VPN | IPsec baseado em rota está incluído no roteamento |

Se você tiver várias linhas WAN, verifique também se o monitoramento do gateway, os critérios de failover e o roteamento do provedor são realistas. Um gateway pode estar tecnicamente "ativo" mesmo que um aplicativo de destino específico não funcione corretamente por meio desse provedor.

## Verifique a ordem e a precedência da rota

As rotas SD-WAN não são independentes. Dependendo do seu design, eles competem com redes diretamente conectadas, rotas estáticas, rotas VPN e precedência de rota global.

Perguntas importantes:

- Existe uma rota estática mais específica para o destino?
- Uma rota SD-WAN mais ampla cabe mais acima?
- A SD-WAN deve ser avaliada antes ou depois da Estática?
- Está envolvida uma VPN IPsec baseada em políticas ou rotas?
- A rota afeta apenas o tráfego encaminhado do cliente ou também os pacotes de resposta e o tráfego gerado pelo sistema?

A ordem global está em [Altere com segurança a precedência de rota do Sophos Firewall](/pt/kb/alterar-prioridade-routing-sophos-firewall/) explicou. Adequado para casos especiais **Pacotes de Resposta** e **Tráfego do Sistema** [Sophos Firewall Verifique o roteamento SD-WAN para pacotes de resposta e tráfego do sistema](/pt/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).

## Não se esqueça do NAT

O roteamento decide para onde vai um pacote. O NAT decide se o endereço de origem ou de destino será alterado. Ambos têm que se encaixar.

Exemplos típicos:

- O tráfego da Internet via WAN2 pode precisar de MASQ ou de um IP SNAT fixo em WAN2.
- Provedores ou serviços em nuvem permitem apenas um determinado IP público.
- Para redes internas ou VPNs, o NAT costuma ser incorreto porque o IP de origem real deve ser preservado.
- Após o failover, o IP de origem pública pode mudar e os sites remotos podem interromper as sessões.

Se uma rota SD-WAN funcionar corretamente, mas o aplicativo ainda falhar, o NAT deverá ser verificado antecipadamente. O básico está em [Compreendendo o NAT no Sophos Firewall: SNAT, DNAT, MASQ, PAT](/pt/kb/sophos-firewall-nat-basics/).

## Teste e Validação

Um status de gateway verde não prova que a rota SD-WAN esteja atingindo o tráfego esperado. O teste deve verificar um fluxo real.

Processo significativo:

1. Use cliente de teste com IP conhecido.
2. Especifique exatamente o objetivo e o serviço.
3. Habilite o registro de regras de firewall.
4. Inicie a conexão.
5. No **Visualizador de log** verifique Origem, Destino, Serviço, ID da regra, ID NAT e Gateway.
6. Verifique o contador de uso da rota SD-WAN.
7. Se não estiver claro, use **Diagnóstico > Captura de pacotes** com um filtro estreito.
8. O teste falha no gateway primário ao validar o failover.
9. Após o failback, verifique se as sessões e as novas conexões estão funcionando conforme o esperado.

Adequado para análise de fluxo de pacotes [Teste de regras do Sophos Firewall com Log Viewer, Policy Test e Packet Capture](/pt/kb/testar-regras-sophos-firewall/). Importante: O Policy Tester não substitui um teste real de fluxo de pacotes para SD-WAN.

## Erros comuns

| Erro | Efeito | Melhor abordagem |
| --- | --- | --- |
| Destino `Any` por conveniência | muito tráfego é capturado por SD-WAN | Selecione redes alvo, hosts FQDN ou serviços de Internet de forma mais restrita |
| A rota SD-WAN é muito alta | aplicação ou rota mais específica é substituída | Verifique o pedido e o contador de visitas |
| NAT não corresponde ao gateway | Aplicativo vê IP de origem incorreto ou quebras de caminho de retorno | Verifique a regra NAT e MASQ/SNAT |
| O monitoramento do gateway é muito grosseiro | O gateway está ativo mesmo que o aplicativo de destino não possa ser alcançado | Escolha metas de SLA/monitoramento que correspondam ao serviço |
| Precedência de rota ignorada | Rota estática ou rota VPN funciona de maneira diferente do esperado | Precedência de rota de documento e teste |
| Tráfego de resposta classificado incorretamente | As respostas não seguem o caminho esperado | Verifique a opção de captura de pacotes e pacote de resposta |
| múltiplas alterações ao mesmo tempo | A causa permanece obscura: uma mudança, um teste e depois seguir em frente |

## Solução de problemas

Se a rota SD-WAN não funcionar conforme o esperado, você não deve “resolver” imediatamente o erro com regras mais amplas. Uma demarcação clara é melhor.

Verificar:

1. O pacote chega ao firewall?
2. Ele atende à regra de firewall esperada?
3. A rota SD-WAN corresponde de acordo com o medidor?
4. Outra rota SD-WAN superior é mais específica ou mais ampla?
5. O serviço realmente se adapta, por exemplo, TCP/UDP e porta?
6. O NAT é usado e isso é desejado?
7. O pacote sai do firewall pelo gateway esperado?
8. A resposta voltará?
9. Existe uma rota estática, rota VPN ou precedência de rota que influencia o caminho?

Se o Packet Capture não encontrar nenhum pacote, o problema está no firewall: gateway do cliente, VLAN, switch, roteamento local ou teste incorreto. Se o pacote chegar, mas passar pelo caminho errado, os critérios SD-WAN, ordem, NAT e precedência de rota serão os próximos pontos de verificação.

## Verificação operacional

As rotas SD-WAN devem ser documentadas e verificadas regularmente após a introdução. Isto é particularmente importante ao mudar de fornecedor, novas VPNs, linhas WAN adicionais ou mudanças nos serviços em nuvem.

Você deve documentar:

- Objetivo da rota
- Critérios de origem e destino
- Serviços
- Perfis de gateway ou SD-WAN
- Expectativa de NAT
- Comportamento de failover
- Cliente de teste e alvo de teste
- Proprietário e data de revisão

Para aplicações críticas para os negócios, também deve ficar claro quem deve reagir em caso de interrupções do provedor, problemas de failover ou alteração de IPs públicos.

## Lista de verificação

- O destino do tráfego e a intenção de busca da rota são claramente descritos.
- A origem, o destino e os serviços não são definidos de forma desnecessariamente ampla.
- Perfis de gateway ou SD-WAN escolhidos deliberadamente.
- A regra de firewall e a regra NAT correspondem à rota.
- Precedência de rota verificada.
- Pacotes de resposta e tráfego gerado pelo sistema incluídos apenas quando necessário.
- Log Viewer e Packet Capture usados ​​para aceitação.
- Failover e failback testados quando fazem parte do design.
- Rota documentada e fornecida ao proprietário.

## Perguntas frequentes







  
Quando você precisa de uma rota SD-WAN no Sophos Firewall?
  

    Uma rota SD-WAN faz sentido quando determinado tráfego deve fluir por um caminho específico dependendo da origem, destino, serviço, usuário ou gateway. Para uma rede alvo simples, muitas vezes uma rota estática pode ser suficiente.
  









  
Por que minha rota SD-WAN não está funcionando?
  

    Muitas vezes a origem, o destino, o serviço, a ordem ou a precedência da rota não coincidem. Além disso, uma regra de firewall, regra NAT ou rota estática pode afetar o fluxo real de pacotes.
  









  
Você pode usar SD-WAN com IPsec baseado em rota?
  

    Sim, o IPsec baseado em rotas pode ser integrado em projetos SD-WAN com interfaces XFRM e rotas apropriadas. Em seguida, o status do IPsec, a rota SD-WAN, a precedência da rota, o NAT e as regras de firewall devem ser verificados juntos.
  









  
Você deve sempre definir Destino como Qualquer?
  

    Não. Any só faz sentido se a rota tiver realmente de controlar todo o tráfego de destino desta origem. Para serviços cloud, VoIP, redes internas ou VPNs, destinos mais restritos são normalmente mais seguros e mais fáceis de manter.
  









  
O Policy Tester é suficiente para testes de SD-WAN?
  

    Não. O Policy Tester ajuda com a lógica da política, mas não substitui um teste real de fluxo de pacotes. Para SD-WAN você deve usar visualizador de log, contador de visitas e captura de pacotes.