Saltar para o conteudo
Avanet

Configurar e solucionar problemas do Sophos SD-RED

Com um Sophos SD-RED, é possível conectar filiais, escritórios ou pequenos escritórios domésticos a uma Sophos Firewall. O RED estabelece um túnel criptografado para a firewall e fornece uma rede no local remoto, que é gerida centralmente pela firewall.

A vantagem prática: no local, normalmente não é necessária uma configuração VPN complexa. O SD-RED é conectado à Internet, carrega sua configuração através do Sophos RED Provisioning Service e, em seguida, estabelece o túnel para a Sophos Firewall. No entanto, o túnel por si só não resolve tudo. Zonas, regras de firewall, DHCP, VLANs, roteamento, DNS e versão do firmware também devem estar corretos.

Classificação: SD-RED, Túnel RED e SFOS 22

Em novos projetos, deve-se distinguir claramente entre locais SD-RED atuais e antigas configurações RED site-to-site. Configurações legadas de servidor/cliente RED não são mais suportadas no SFOS 22.0 e versões posteriores. Tais legados devem ser verificados e migrados antes de uma atualização.

Para dispositivos SD-RED atuais, o RED continua sendo um tema relevante para o local. Com o SFOS 21.5, foi documentada uma maior escalabilidade para SD-RED e túneis RED site-to-site. Para os administradores, isso significa que novos locais devem ser planejados corretamente com a lógica SD-RED atual, enquanto os antigos túneis RED legados devem ser conscientemente verificados antes das atualizações do SFOS 22.

Requisitos no local principal

Antes de conectar o RED, os seguintes pontos devem estar claros na Sophos Firewall:

  • O serviço RED está ativado na firewall.
  • O endereço IP público ou o nome DNS/DynDNS da firewall é acessível.
  • Conexões RED para a firewall são permitidas no lado WAN.
  • RED é permitido em Administration > Device access para a zona WAN apropriada ou liberado especificamente através do Local Service ACL.
  • Interface RED, zona e configuração IP estão planejadas.
  • Regras de firewall da rede RED para as redes de destino estão previstas.
  • DHCP, DHCP Relay ou endereçamento estático para clientes atrás do RED está resolvido.
  • O padrão de firmware RED na firewall está atualizado.
  • Backup e versão do firmware da firewall estão documentados antes de grandes alterações.

Para a comunicação RED, TCP 3400, UDP 3410 e NTP 123 são particularmente relevantes. Essas conexões não devem ser bloqueadas por roteadores de provedores, firewalls intermediárias ou gateways de segurança.

Requisitos no local remoto

No local remoto, o SD-RED precisa de uma conexão de Internet estável. O que importa não é apenas a largura de banda, mas principalmente a estabilidade, latência, perda de pacotes e se o provedor permite as conexões necessárias.

Deve-se verificar:

  • A conexão de Internet é estável.
  • A porta WAN do RED recebe um endereço por DHCP ou tem uma configuração estática correta.
  • O gateway padrão é acessível.
  • O DNS funciona.
  • O NTP é acessível.
  • TCP 3400, UDP 3410 e NTP 123 não são bloqueados.
  • O roteador do provedor ou firewall intermediária não faz filtragem inesperada.
  • Em VLANs, está claro qual porta opera como tagged, untagged ou híbrida.

Para locais simples, muitas vezes uma pequena conexão é suficiente. Na prática, no entanto, a perda de pacotes, roteadores de consumo instáveis, CGNAT, problemas de DNS ou firewalls restritivas de provedores são mais frequentemente a causa do que a largura de banda pura.

Sophos SD-RED 20 com LEDs de status na frente
Os LEDs do SD-RED indicam o status de inicialização, conexão do roteador, conexão com a Internet e status do túnel.

Conectar o SD-RED

Procedimento típico:

  1. Conectar a porta WAN do SD-RED ao roteador do provedor ou modem.
  2. Conectar a porta LAN a um cliente de teste, switch ou rede local.
  3. Fornecer energia ao SD-RED.
  4. Aguardar até que o RED inicie, verifique o gateway e a Internet, carregue a configuração e estabeleça o túnel.
  5. Verificar na Sophos Firewall se a interface RED está ativa.
  6. Conectar o cliente de teste atrás do RED e verificar IP, DNS, gateway e acesso ao destino.

Se todos os LEDs relevantes estiverem verdes, o túnel técnico está estabelecido. Depois disso, começa a verificação real da rede: Zona, DHCP, regras de firewall, roteamento de retorno, DNS e, se necessário, VLANs.

Provisioning manual com pen USB

Normalmente, um SD-RED é provisionado através do Sophos RED Provisioning Service. O provisioning manual por pen USB é útil quando o dispositivo está numa rede privada ou fortemente restringida, precisa de uma configuração WAN estática ou o caminho de provisioning automático não é fiável.

O processo é mais preciso do que apenas copiar um ficheiro de provisioning para USB:

  1. Na firewall, em Administration > Time, verificar se a firewall é adequada como servidor NTP para o cenário RED. No setup manual, o RED tem de obter uma hora válida para que o TLS handshake com a firewall funcione.
  2. Em Network > Zones, criar uma zona própria para sites RED ou usar uma zona existente como VPN ou WiFi. A zona LAN deve ser evitada para RED, para que as regras LAN não se apliquem involuntariamente ao site remoto.
  3. Em System services > RED, ativar o RED Provisioning Service.
  4. Em Network > Interfaces > Add interface > Add RED, criar a interface RED.
  5. Em Device deployment, escolher Manually via USB stick.
  6. Introduzir RED ID, Unlock Code, uplink, RED network settings, zona, DHCP e VLANs adequados ao site.
  7. Descarregar o ficheiro de provisioning gerado na interface RED.
  8. Copiar o ficheiro para o diretório raiz da pen USB.
  9. Desligar o RED, inserir a pen USB e voltar a ligar o RED.
  10. Após o arranque, verificar interface, LEDs, IP do cliente, DNS, regra de firewall e acesso aos destinos.

Se o lado WAN do RED usar DHCP, tem de existir realmente um servidor DHCP a responder no site remoto. Se o RED não receber um endereço, pode entrar num ciclo de reinício. Com configuração WAN estática, IP, gateway, DNS e NTP têm de ser verificados com especial cuidado.

REDs offline continuam a precisar de uma hora válida. Ou o RED pode alcançar os servidores NTP Sophos, ou se planeia uma Local service ACL exception rule direcionada para que o RED possa comunicar da zona WAN para a firewall. A source deve ser apenas o IP RED conhecido, a destination é a porta WAN da firewall, o service neste cenário é HTTPS, action Accept. Esta exceção não substitui abrir RED de forma ampla pela WAN.

Entender o status dos LEDs

Os LEDs de status são frequentemente o ponto de partida mais rápido para o troubleshooting do RED, pois indicam em que ponto o processo de inicialização está travado.

Legenda:

  • ⚫ apagado
  • 🟢 aceso verde
  • 🟢 piscando verde
  • 🔴 aceso vermelho
  • 🔴 piscando vermelho

Dependendo do ângulo de visão, foto ou luz ambiente, um LED pode parecer amarelado ou laranja. Para o diagnóstico, o que importa é qual LED está aceso ou piscando e se é verde ou vermelho.

Processo de inicialização normal

SistemaRoteadorInternetTúnelSignificado
🟢 piscandoSD-RED está iniciando.
🟢Processo de inicialização concluído.
🟢🟢 piscandoConexão com o gateway ou roteador está sendo estabelecida.
🟢🟢Gateway padrão é acessível.
🟢🟢🟢 piscandoConexão com a Internet está sendo verificada.
🟢🟢🟢Conexão com a Internet está estabelecida.
🟢🟢🟢🟢 piscandoTúnel para a Sophos Firewall está sendo estabelecido.
🟢🟢🟢🟢Túnel para a Sophos Firewall está estabelecido.
🟢 piscando🟢 piscando🟢 piscando🟢 piscandoFirmware está sendo instalado. Não desligue o dispositivo.

Se todos os quatro LEDs estiverem verdes, mas nenhum tráfego funcionar, o problema geralmente não está mais na configuração do túnel. Nesse caso, regras de firewall, DHCP, VLANs, DNS, NAT ou roteamento são mais prováveis.

Códigos de erro

SistemaRoteadorInternetTúnelSignificadoPróxima verificação
🔴DHCP ou configuração IP estática falhouDHCP, cabo WAN, IP estático, gateway
🔴🟢Internet não acessívelDNS, NTP, provedor, firewall intermediária
🔴🟢🟢Sem conexão com a Sophos FirewallServiço RED, TCP 3400, UDP 3410, FQDN, Código de Desbloqueio
🔴🟢🟢🟢Sem configuração ou problema de firmwareProvisionamento, padrão de firmware RED, Código de Desbloqueio, caso de suporte

Failover 3G/4G

Em modelos SD-RED com failover 3G/4G ou módulo correspondente, podem ocorrer padrões adicionais.

SistemaRoteadorInternetTúnelSignificado
🔴 piscando🟢 piscandoFailover 3G/4G está ativo.
🔴 piscando🟢🟢 piscandoGateway acessível, conexão com a Internet está sendo estabelecida.
🔴 piscando🟢🟢🟢 piscandoInternet está estabelecida, túnel está sendo estabelecido.
🔴 piscando🟢 piscando🟢 piscando🟢 piscandoTúnel está estabelecido através da conexão de failover.

Controlar atualizações de firmware

Se os LEDs piscarem juntos, o RED pode estar instalando um firmware. Nesta fase, não se deve desligar o dispositivo nem desconectá-lo da Internet. Uma atualização pode levar alguns minutos.

Na Sophos Firewall, deve-se verificar adicionalmente:

Backup & firmware > Pattern updates

Lá, o padrão de firmware RED deve estar atualizado. Se um RED estiver em um loop ou não iniciar corretamente após uma atualização da firewall, um padrão de firmware RED desatualizado é um passo de verificação sensato.

Um desejo operacional relacionado está descrito em Solicitação de Recurso da Sophos Firewall 2024: Em atualizações de firmware de RED e Access Point, muitas vezes faltam notas de lançamento visíveis diretamente no backend. Para ambientes produtivos, as atualizações devem ser planejadas conscientemente e não instaladas de forma descoordenada durante horários críticos de operação.

Verificar interface RED, zona e regras

Após o estabelecimento bem-sucedido do túnel, o RED precisa de uma configuração de firewall limpa.

Pontos típicos de verificação:

  • A interface RED está ativa em Network > Interfaces.
  • A interface está na zona correta.
  • O servidor DHCP ou o DHCP Relay está configurado corretamente.
  • Os clientes recebem endereço IP, gateway e DNS.
  • As regras de firewall permitem apenas os destinos necessários.
  • O roteamento de retorno para a rede RED funciona.
  • O NAT é usado apenas quando planejado conscientemente.
  • A configuração VLAN corresponde ao modo RED e à porta do switch.

Para as bases das regras, consulte Entender e configurar corretamente as regras da Sophos Firewall. Se o túnel estiver estabelecido, mas o tráfego não fluir, deve-se combinar Log Viewer e Packet Capture.

Armadilhas de atualização e migração

Verificar RED site-to-site legado antes do SFOS 22

Antes de uma atualização para o SFOS 22 ou posterior, deve-se verificar se ainda existem configurações legadas de servidor/cliente RED na firewall. Essas configurações RED site-to-site legadas não são mais suportadas no SFOS 22.0 e versões posteriores.

Na prática, isso significa:

  • Inventariar as configurações RED e VPN antes da atualização.
  • Identificar configurações legadas de servidor/cliente RED.
  • Planejar a migração para variantes RED site-to-site ou VPN suportadas.
  • Após a migração, verificar regras de firewall, zonas, roteamento e DHCP.
  • Realizar a atualização apenas quando as conexões do local forem testadas.

Para um planejamento de atualização maior, consulte também Planejar corretamente a atualização de firmware da Sophos Firewall.

Hosts do sistema RED após SFOS 21.5 MR1

Desde o SFOS 21.5 MR1, os objetos de host do sistema RED recebem a máscara de sub-rede /32 correta. Se tais objetos foram usados anteriormente como objetos de rede, as regras de firewall podem corresponder de forma diferente após a atualização.

Após uma atualização, deve-se verificar:

  • Os hosts do sistema RED são usados em regras de firewall?
  • Uma regra espera erroneamente uma rede em vez de um único host?
  • Devem ser substituídos objetos IP Host ou Network Host?
  • As correspondências de regras no Log Viewer ainda estão corretas?

RED e failover HA

Em ambientes HA, os sites RED devem ser testados conscientemente após um failover. A Sophos indica que os túneis RED nem sempre se reconectam imediatamente ao dispositivo auxiliary após um failover HA. A duração depende, entre outros fatores, do número de interfaces e da configuração.

Para sites críticos, não se deve verificar apenas o estado HA da firewall. Também verificar:

  • estado da interface RED após failover
  • acesso de clientes atrás do RED
  • correspondências relevantes de regras de firewall
  • DNS e DHCP atrás do RED
  • alertas de monitoring para interrupções de túnel prolongadas

Solução de problemas

RED não recebe endereço IP

Se o RED ficar preso na etapa do roteador ou o código de erro indicar DHCP ou gateway, a causa geralmente está no local remoto.

Verificar:

  • O roteador do provedor fornece um endereço IP por DHCP?
  • O cabo de rede está corretamente conectado à porta WAN?
  • O gateway padrão é acessível?
  • Um endereço IP estático foi totalmente inserido?
  • O endereço IP, máscara de sub-rede, gateway e DNS estão corretos?
  • Um dispositivo intermediário está bloqueando o tráfego?

Se o DHCP no local remoto não funcionar, o RED pode entrar em um loop de reinicialização.

RED não alcança a Internet

Se o roteador ou gateway for acessível, mas o LED da Internet não ficar verde permanentemente, o problema geralmente está atrás do roteador local.

Verificar:

  • A conexão de Internet funciona com um cliente normal?
  • O DNS funciona?
  • O NTP é acessível?
  • TCP 3400, UDP 3410 ou NTP 123 estão bloqueados?
  • Existe um proxy ou firewall entre o RED e a Internet?
  • A conexão do provedor é estável o suficiente?

Para o provisionamento RED, o RED deve alcançar o Sophos Provisioning Service. Em muitos ambientes, red.astaro.com em TCP 3400 é relevante.

RED não alcança a Sophos Firewall

Se a Internet for acessível, mas o túnel não for estabelecido, deve-se verificar o lado da firewall.

Verificar:

  • O serviço RED está ativado na Sophos Firewall?
  • O RED está corretamente configurado?
  • A ID RED e o Código de Desbloqueio estão corretos?
  • O IP público ou o FQDN da firewall é acessível?
  • Administration > Device access para RED está permitido na zona WAN apropriada?
  • Um Local Service ACL permite o acesso do local remoto?
  • TCP 3400 e UDP 3410 chegam à firewall?
  • A hora do RED está adequada para o TLS handshake no provisioning manual?
  • Um RED offline alcança NTP ou a exceção Local Service ACL planeada?

Na Advanced Shell, pode-se verificar se o tráfego RED está chegando:

tcpdump -ni any port 3400 or port 3410

Se nada chegar, o problema geralmente está antes da firewall: roteador do provedor, NAT, firewall intermediária, IP público incorreto, FQDN ou bloqueio de porta.

RED reinicia continuamente

Um loop de reinicialização pode ter várias causas:

  • fornecimento de energia instável
  • fonte de alimentação defeituosa
  • sem endereço IP por DHCP
  • configuração IP estática incorreta
  • portas bloqueadas
  • padrão de firmware RED desatualizado
  • Código de Desbloqueio incorreto
  • configuração RED danificada ou incorreta

Primeiro, verifique o fornecimento de energia, cabos e DHCP. Depois, controle o padrão de firmware RED, a acessibilidade das portas e a configuração. Se o RED for recriado ou redefinido, a ID RED e o Código de Desbloqueio devem ser documentados previamente.

Túnel está verde, mas nenhum tráfego flui

Este caso é particularmente comum. O RED está conectado, mas os clientes não alcançam sistemas internos ou a Internet.

Possíveis causas:

  • Falta de regra de firewall ou está muito baixa.
  • Interface RED está na zona errada.
  • DHCP distribui gateway ou servidores DNS incorretos.
  • Falta de roteamento de retorno para a rede RED.
  • NAT traduz o tráfego inesperadamente.
  • Tagging VLAN não está correto.
  • Recurso de segurança bloqueia o tráfego.

Ordem de verificação:

  1. Verificar IP do cliente, gateway e DNS.
  2. Filtrar no Log Viewer pelo IP de origem do cliente RED.
  3. Verificar correspondência da regra de firewall.
  4. Executar Packet Capture na interface RED e na interface de destino.
  5. Verificar o caminho de retorno do sistema ou rede de destino.
  6. Controlar NAT e roteamento.

Para correspondências de regras incertas, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Tráfego VLAN não funciona

No SD-RED 60, cenários VLAN são possíveis, mas o modo de porta, ID VLAN e modo RED devem corresponder.

Verificar:

  • IDs VLAN estão corretas na firewall, RED e switch.
  • Porta RED está configurada como Access, Hybrid ou Tagged Trunk adequadamente.
  • Porta do switch no local remoto está corretamente tagged ou untagged.
  • DHCP e DNS estão planejados por VLAN.
  • Regras de firewall existem para as respectivas redes VLAN.
  • O modo RED escolhido suporta o cenário VLAN desejado.

Para a solução de problemas, uma rede de teste untagged simples é útil. Se esta funcionar, a causa geralmente está na ID VLAN, tagging, modo de porta ou configuração do switch.

Pontos de Acesso RED permanecem inativos

Se os Pontos de Acesso RED ou funções Wi-Fi em cenários VLAN permanecerem inativos, a opção DHCP 234 pode ser relevante. Isso é especialmente relevante em casos onde a comunicação RED ou Access Point ocorre através de interfaces VLAN.

Esta opção deve ser configurada apenas se o cenário específico for adequado e estiver claro qual IP de interface da firewall os dispositivos devem alcançar. Para problemas gerais de conexão RED, a opção DHCP 234 não é o primeiro passo.

Provisionamento offline é sobrescrito

Se um RED foi provisionado online primeiro e depois provisionado offline via USB, uma configuração online antiga pode permanecer no Sophos Provisioning Server. Se o RED não alcançar a firewall, ele pode provisionar novamente online e sobrescrever a configuração USB.

Nesse caso, o RED deve ser provisionado offline novamente. Além disso, a configuração online antiga deve ser removida através do suporte da Sophos.

Pontos de diagnóstico na Sophos Firewall

Para problemas RED, estes locais são úteis:

  • Network > Interfaces para interface RED e status
  • Administration > Device access para liberações de serviço RED
  • Rules and policies > Firewall rules para tráfego da rede RED
  • Diagnostics > Packet capture para verificação de caminho
  • Log viewer com eventos RED, de firewall e de sistema
  • Backup & firmware > Pattern updates para padrão de firmware RED
  • Advanced Shell com tcpdump

Para arquivos de log e atribuição de serviços, consulte Solução de problemas da Sophos Firewall: Serviços e Logs.

Lista de verificação operacional

Antes do lançamento:

  • ID RED e Código de Desbloqueio documentados.
  • Endereço público da firewall ou FQDN verificado.
  • TCP 3400, UDP 3410 e NTP 123 verificados.
  • Serviço RED e Device Access planejados na firewall.
  • Zona, DHCP, roteamento e regras de firewall definidos.
  • Modo VLAN testado antecipadamente, se necessário.

Após a conexão:

  • LEDs indicam estabelecimento bem-sucedido do túnel.
  • Interface RED está ativa.
  • Cliente recebe IP, gateway e DNS.
  • Log Viewer mostra a regra de firewall esperada.
  • Sistemas de destino internos e caminho para a Internet funcionam conforme planejado.
  • Padrão de firmware está atualizado.

Em operação:

  • Verificar regularmente o padrão de firmware RED.
  • Testar conexões do local após atualizações da firewall.
  • Remover ou migrar RED site-to-site legado antes do SFOS 22.
  • Verificar impactos /32 em hosts do sistema RED após SFOS 21.5 MR1.
  • Incluir locais RED em monitoramento, backup e planejamento de emergência.

FAQ

Quais portas o Sophos SD-RED precisa?

Para a comunicação RED, TCP 3400, UDP 3410 e NTP 123 são importantes. Dependendo da rede, DNS e outras conexões para provisionamento, tempo e operação podem ser relevantes.

Por que o túnel RED está verde, mas os clientes não alcançam nada?

O túnel está estabelecido, mas a configuração de rede por trás provavelmente não está correta. Frequentemente, faltam regras de firewall, DHCP está incorreto, a interface RED está na zona errada, roteamento ou NAT está incorreto ou o tagging VLAN não está correto.

Quando um SD-RED precisa de provisioning manual por USB?

O provisioning manual é útil quando o RED está numa rede privada ou fortemente restringida, precisa de configuração WAN estática ou o provisioning automático não é fiável. NTP, ficheiro de provisioning, zona, Device Access e regras de firewall devem então ser planeados com especial cuidado.

O que deve ser verificado no RED antes do SFOS 22?

Antes do SFOS 22, deve-se verificar se ainda existem configurações legadas de servidor/cliente RED na firewall. Essas configurações RED site-to-site legadas não são mais suportadas no SFOS 22.0 e versões posteriores.

Por que os hosts do sistema RED são relevantes após uma atualização?

Desde o SFOS 21.5 MR1, os objetos de host do sistema RED recebem a máscara de sub-rede /32 correta. Se tais objetos foram usados anteriormente como objetos de rede, as regras de firewall podem corresponder de forma diferente após a atualização.

Deve-se desligar um SD-RED durante uma atualização de firmware?

Não. Se os LEDs indicarem uma atualização de firmware, o SD-RED não deve ser desligado nem desconectado da Internet. Depois, deve-se verificar se o padrão de firmware RED na firewall está atualizado.