Configurar e solucionar problemas do Sophos SD-RED
Com um Sophos SD-RED, é possível conectar filiais, escritórios ou pequenos escritórios domésticos a uma Sophos Firewall. O RED estabelece um túnel criptografado para a firewall e fornece uma rede no local remoto, que é gerida centralmente pela firewall.
A vantagem prática: no local, normalmente não é necessária uma configuração VPN complexa. O SD-RED é conectado à Internet, carrega sua configuração através do Sophos RED Provisioning Service e, em seguida, estabelece o túnel para a Sophos Firewall. No entanto, o túnel por si só não resolve tudo. Zonas, regras de firewall, DHCP, VLANs, roteamento, DNS e versão do firmware também devem estar corretos.
Classificação: SD-RED, Túnel RED e SFOS 22
Em novos projetos, deve-se distinguir claramente entre locais SD-RED atuais e antigas configurações RED site-to-site. Configurações legadas de servidor/cliente RED não são mais suportadas no SFOS 22.0 e versões posteriores. Tais legados devem ser verificados e migrados antes de uma atualização.
Para dispositivos SD-RED atuais, o RED continua sendo um tema relevante para o local. Com o SFOS 21.5, foi documentada uma maior escalabilidade para SD-RED e túneis RED site-to-site. Para os administradores, isso significa que novos locais devem ser planejados corretamente com a lógica SD-RED atual, enquanto os antigos túneis RED legados devem ser conscientemente verificados antes das atualizações do SFOS 22.
Requisitos no local principal
Antes de conectar o RED, os seguintes pontos devem estar claros na Sophos Firewall:
- O serviço RED está ativado na firewall.
- O endereço IP público ou o nome DNS/DynDNS da firewall é acessível.
- Conexões RED para a firewall são permitidas no lado WAN.
REDé permitido em Administration > Device access para a zona WAN apropriada ou liberado especificamente através do Local Service ACL.- Interface RED, zona e configuração IP estão planejadas.
- Regras de firewall da rede RED para as redes de destino estão previstas.
- DHCP, DHCP Relay ou endereçamento estático para clientes atrás do RED está resolvido.
- O padrão de firmware RED na firewall está atualizado.
- Backup e versão do firmware da firewall estão documentados antes de grandes alterações.
Para a comunicação RED, TCP 3400, UDP 3410 e NTP 123 são particularmente relevantes. Essas conexões não devem ser bloqueadas por roteadores de provedores, firewalls intermediárias ou gateways de segurança.
Requisitos no local remoto
No local remoto, o SD-RED precisa de uma conexão de Internet estável. O que importa não é apenas a largura de banda, mas principalmente a estabilidade, latência, perda de pacotes e se o provedor permite as conexões necessárias.
Deve-se verificar:
- A conexão de Internet é estável.
- A porta WAN do RED recebe um endereço por DHCP ou tem uma configuração estática correta.
- O gateway padrão é acessível.
- O DNS funciona.
- O NTP é acessível.
- TCP
3400, UDP3410e NTP123não são bloqueados. - O roteador do provedor ou firewall intermediária não faz filtragem inesperada.
- Em VLANs, está claro qual porta opera como tagged, untagged ou híbrida.
Para locais simples, muitas vezes uma pequena conexão é suficiente. Na prática, no entanto, a perda de pacotes, roteadores de consumo instáveis, CGNAT, problemas de DNS ou firewalls restritivas de provedores são mais frequentemente a causa do que a largura de banda pura.

Conectar o SD-RED
Procedimento típico:
- Conectar a porta WAN do SD-RED ao roteador do provedor ou modem.
- Conectar a porta LAN a um cliente de teste, switch ou rede local.
- Fornecer energia ao SD-RED.
- Aguardar até que o RED inicie, verifique o gateway e a Internet, carregue a configuração e estabeleça o túnel.
- Verificar na Sophos Firewall se a interface RED está ativa.
- Conectar o cliente de teste atrás do RED e verificar IP, DNS, gateway e acesso ao destino.
Se todos os LEDs relevantes estiverem verdes, o túnel técnico está estabelecido. Depois disso, começa a verificação real da rede: Zona, DHCP, regras de firewall, roteamento de retorno, DNS e, se necessário, VLANs.
Provisioning manual com pen USB
Normalmente, um SD-RED é provisionado através do Sophos RED Provisioning Service. O provisioning manual por pen USB é útil quando o dispositivo está numa rede privada ou fortemente restringida, precisa de uma configuração WAN estática ou o caminho de provisioning automático não é fiável.
O processo é mais preciso do que apenas copiar um ficheiro de provisioning para USB:
- Na firewall, em Administration > Time, verificar se a firewall é adequada como servidor NTP para o cenário RED. No setup manual, o RED tem de obter uma hora válida para que o TLS handshake com a firewall funcione.
- Em Network > Zones, criar uma zona própria para sites RED ou usar uma zona existente como
VPNouWiFi. A zonaLANdeve ser evitada para RED, para que as regras LAN não se apliquem involuntariamente ao site remoto. - Em System services > RED, ativar o RED Provisioning Service.
- Em Network > Interfaces > Add interface > Add RED, criar a interface RED.
- Em Device deployment, escolher Manually via USB stick.
- Introduzir RED ID, Unlock Code, uplink, RED network settings, zona, DHCP e VLANs adequados ao site.
- Descarregar o ficheiro de provisioning gerado na interface RED.
- Copiar o ficheiro para o diretório raiz da pen USB.
- Desligar o RED, inserir a pen USB e voltar a ligar o RED.
- Após o arranque, verificar interface, LEDs, IP do cliente, DNS, regra de firewall e acesso aos destinos.
Se o lado WAN do RED usar DHCP, tem de existir realmente um servidor DHCP a responder no site remoto. Se o RED não receber um endereço, pode entrar num ciclo de reinício. Com configuração WAN estática, IP, gateway, DNS e NTP têm de ser verificados com especial cuidado.
REDs offline continuam a precisar de uma hora válida. Ou o RED pode alcançar os servidores NTP Sophos, ou se planeia uma Local service ACL exception rule direcionada para que o RED possa comunicar da zona WAN para a firewall. A source deve ser apenas o IP RED conhecido, a destination é a porta WAN da firewall, o service neste cenário é HTTPS, action Accept. Esta exceção não substitui abrir RED de forma ampla pela WAN.
Entender o status dos LEDs
Os LEDs de status são frequentemente o ponto de partida mais rápido para o troubleshooting do RED, pois indicam em que ponto o processo de inicialização está travado.
Legenda:
- ⚫ apagado
- 🟢 aceso verde
- 🟢 piscando verde
- 🔴 aceso vermelho
- 🔴 piscando vermelho
Dependendo do ângulo de visão, foto ou luz ambiente, um LED pode parecer amarelado ou laranja. Para o diagnóstico, o que importa é qual LED está aceso ou piscando e se é verde ou vermelho.
Processo de inicialização normal
| Sistema | Roteador | Internet | Túnel | Significado |
|---|---|---|---|---|
| 🟢 piscando | ⚫ | ⚫ | ⚫ | SD-RED está iniciando. |
| 🟢 | ⚫ | ⚫ | ⚫ | Processo de inicialização concluído. |
| 🟢 | 🟢 piscando | ⚫ | ⚫ | Conexão com o gateway ou roteador está sendo estabelecida. |
| 🟢 | 🟢 | ⚫ | ⚫ | Gateway padrão é acessível. |
| 🟢 | 🟢 | 🟢 piscando | ⚫ | Conexão com a Internet está sendo verificada. |
| 🟢 | 🟢 | 🟢 | ⚫ | Conexão com a Internet está estabelecida. |
| 🟢 | 🟢 | 🟢 | 🟢 piscando | Túnel para a Sophos Firewall está sendo estabelecido. |
| 🟢 | 🟢 | 🟢 | 🟢 | Túnel para a Sophos Firewall está estabelecido. |
| 🟢 piscando | 🟢 piscando | 🟢 piscando | 🟢 piscando | Firmware está sendo instalado. Não desligue o dispositivo. |
Se todos os quatro LEDs estiverem verdes, mas nenhum tráfego funcionar, o problema geralmente não está mais na configuração do túnel. Nesse caso, regras de firewall, DHCP, VLANs, DNS, NAT ou roteamento são mais prováveis.
Códigos de erro
| Sistema | Roteador | Internet | Túnel | Significado | Próxima verificação |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP ou configuração IP estática falhou | DHCP, cabo WAN, IP estático, gateway |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet não acessível | DNS, NTP, provedor, firewall intermediária |
| 🔴 | 🟢 | 🟢 | ⚫ | Sem conexão com a Sophos Firewall | Serviço RED, TCP 3400, UDP 3410, FQDN, Código de Desbloqueio |
| 🔴 | 🟢 | 🟢 | 🟢 | Sem configuração ou problema de firmware | Provisionamento, padrão de firmware RED, Código de Desbloqueio, caso de suporte |
Failover 3G/4G
Em modelos SD-RED com failover 3G/4G ou módulo correspondente, podem ocorrer padrões adicionais.
| Sistema | Roteador | Internet | Túnel | Significado |
|---|---|---|---|---|
| 🔴 piscando | 🟢 piscando | ⚫ | ⚫ | Failover 3G/4G está ativo. |
| 🔴 piscando | 🟢 | 🟢 piscando | ⚫ | Gateway acessível, conexão com a Internet está sendo estabelecida. |
| 🔴 piscando | 🟢 | 🟢 | 🟢 piscando | Internet está estabelecida, túnel está sendo estabelecido. |
| 🔴 piscando | 🟢 piscando | 🟢 piscando | 🟢 piscando | Túnel está estabelecido através da conexão de failover. |
Controlar atualizações de firmware
Se os LEDs piscarem juntos, o RED pode estar instalando um firmware. Nesta fase, não se deve desligar o dispositivo nem desconectá-lo da Internet. Uma atualização pode levar alguns minutos.
Na Sophos Firewall, deve-se verificar adicionalmente:
Backup & firmware > Pattern updates
Lá, o padrão de firmware RED deve estar atualizado. Se um RED estiver em um loop ou não iniciar corretamente após uma atualização da firewall, um padrão de firmware RED desatualizado é um passo de verificação sensato.
Um desejo operacional relacionado está descrito em Solicitação de Recurso da Sophos Firewall 2024: Em atualizações de firmware de RED e Access Point, muitas vezes faltam notas de lançamento visíveis diretamente no backend. Para ambientes produtivos, as atualizações devem ser planejadas conscientemente e não instaladas de forma descoordenada durante horários críticos de operação.
Verificar interface RED, zona e regras
Após o estabelecimento bem-sucedido do túnel, o RED precisa de uma configuração de firewall limpa.
Pontos típicos de verificação:
- A interface RED está ativa em Network > Interfaces.
- A interface está na zona correta.
- O servidor DHCP ou o DHCP Relay está configurado corretamente.
- Os clientes recebem endereço IP, gateway e DNS.
- As regras de firewall permitem apenas os destinos necessários.
- O roteamento de retorno para a rede RED funciona.
- O NAT é usado apenas quando planejado conscientemente.
- A configuração VLAN corresponde ao modo RED e à porta do switch.
Para as bases das regras, consulte Entender e configurar corretamente as regras da Sophos Firewall. Se o túnel estiver estabelecido, mas o tráfego não fluir, deve-se combinar Log Viewer e Packet Capture.
Armadilhas de atualização e migração
Verificar RED site-to-site legado antes do SFOS 22
Antes de uma atualização para o SFOS 22 ou posterior, deve-se verificar se ainda existem configurações legadas de servidor/cliente RED na firewall. Essas configurações RED site-to-site legadas não são mais suportadas no SFOS 22.0 e versões posteriores.
Na prática, isso significa:
- Inventariar as configurações RED e VPN antes da atualização.
- Identificar configurações legadas de servidor/cliente RED.
- Planejar a migração para variantes RED site-to-site ou VPN suportadas.
- Após a migração, verificar regras de firewall, zonas, roteamento e DHCP.
- Realizar a atualização apenas quando as conexões do local forem testadas.
Para um planejamento de atualização maior, consulte também Planejar corretamente a atualização de firmware da Sophos Firewall.
Hosts do sistema RED após SFOS 21.5 MR1
Desde o SFOS 21.5 MR1, os objetos de host do sistema RED recebem a máscara de sub-rede /32 correta. Se tais objetos foram usados anteriormente como objetos de rede, as regras de firewall podem corresponder de forma diferente após a atualização.
Após uma atualização, deve-se verificar:
- Os hosts do sistema RED são usados em regras de firewall?
- Uma regra espera erroneamente uma rede em vez de um único host?
- Devem ser substituídos objetos IP Host ou Network Host?
- As correspondências de regras no Log Viewer ainda estão corretas?
RED e failover HA
Em ambientes HA, os sites RED devem ser testados conscientemente após um failover. A Sophos indica que os túneis RED nem sempre se reconectam imediatamente ao dispositivo auxiliary após um failover HA. A duração depende, entre outros fatores, do número de interfaces e da configuração.
Para sites críticos, não se deve verificar apenas o estado HA da firewall. Também verificar:
- estado da interface RED após failover
- acesso de clientes atrás do RED
- correspondências relevantes de regras de firewall
- DNS e DHCP atrás do RED
- alertas de monitoring para interrupções de túnel prolongadas
Solução de problemas
RED não recebe endereço IP
Se o RED ficar preso na etapa do roteador ou o código de erro indicar DHCP ou gateway, a causa geralmente está no local remoto.
Verificar:
- O roteador do provedor fornece um endereço IP por DHCP?
- O cabo de rede está corretamente conectado à porta WAN?
- O gateway padrão é acessível?
- Um endereço IP estático foi totalmente inserido?
- O endereço IP, máscara de sub-rede, gateway e DNS estão corretos?
- Um dispositivo intermediário está bloqueando o tráfego?
Se o DHCP no local remoto não funcionar, o RED pode entrar em um loop de reinicialização.
RED não alcança a Internet
Se o roteador ou gateway for acessível, mas o LED da Internet não ficar verde permanentemente, o problema geralmente está atrás do roteador local.
Verificar:
- A conexão de Internet funciona com um cliente normal?
- O DNS funciona?
- O NTP é acessível?
- TCP
3400, UDP3410ou NTP123estão bloqueados? - Existe um proxy ou firewall entre o RED e a Internet?
- A conexão do provedor é estável o suficiente?
Para o provisionamento RED, o RED deve alcançar o Sophos Provisioning Service. Em muitos ambientes, red.astaro.com em TCP 3400 é relevante.
RED não alcança a Sophos Firewall
Se a Internet for acessível, mas o túnel não for estabelecido, deve-se verificar o lado da firewall.
Verificar:
- O serviço RED está ativado na Sophos Firewall?
- O RED está corretamente configurado?
- A ID RED e o Código de Desbloqueio estão corretos?
- O IP público ou o FQDN da firewall é acessível?
- Administration > Device access para RED está permitido na zona WAN apropriada?
- Um Local Service ACL permite o acesso do local remoto?
- TCP
3400e UDP3410chegam à firewall? - A hora do RED está adequada para o TLS handshake no provisioning manual?
- Um RED offline alcança NTP ou a exceção Local Service ACL planeada?
Na Advanced Shell, pode-se verificar se o tráfego RED está chegando:
tcpdump -ni any port 3400 or port 3410
Se nada chegar, o problema geralmente está antes da firewall: roteador do provedor, NAT, firewall intermediária, IP público incorreto, FQDN ou bloqueio de porta.
RED reinicia continuamente
Um loop de reinicialização pode ter várias causas:
- fornecimento de energia instável
- fonte de alimentação defeituosa
- sem endereço IP por DHCP
- configuração IP estática incorreta
- portas bloqueadas
- padrão de firmware RED desatualizado
- Código de Desbloqueio incorreto
- configuração RED danificada ou incorreta
Primeiro, verifique o fornecimento de energia, cabos e DHCP. Depois, controle o padrão de firmware RED, a acessibilidade das portas e a configuração. Se o RED for recriado ou redefinido, a ID RED e o Código de Desbloqueio devem ser documentados previamente.
Túnel está verde, mas nenhum tráfego flui
Este caso é particularmente comum. O RED está conectado, mas os clientes não alcançam sistemas internos ou a Internet.
Possíveis causas:
- Falta de regra de firewall ou está muito baixa.
- Interface RED está na zona errada.
- DHCP distribui gateway ou servidores DNS incorretos.
- Falta de roteamento de retorno para a rede RED.
- NAT traduz o tráfego inesperadamente.
- Tagging VLAN não está correto.
- Recurso de segurança bloqueia o tráfego.
Ordem de verificação:
- Verificar IP do cliente, gateway e DNS.
- Filtrar no Log Viewer pelo IP de origem do cliente RED.
- Verificar correspondência da regra de firewall.
- Executar Packet Capture na interface RED e na interface de destino.
- Verificar o caminho de retorno do sistema ou rede de destino.
- Controlar NAT e roteamento.
Para correspondências de regras incertas, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.
Tráfego VLAN não funciona
No SD-RED 60, cenários VLAN são possíveis, mas o modo de porta, ID VLAN e modo RED devem corresponder.
Verificar:
- IDs VLAN estão corretas na firewall, RED e switch.
- Porta RED está configurada como Access, Hybrid ou Tagged Trunk adequadamente.
- Porta do switch no local remoto está corretamente tagged ou untagged.
- DHCP e DNS estão planejados por VLAN.
- Regras de firewall existem para as respectivas redes VLAN.
- O modo RED escolhido suporta o cenário VLAN desejado.
Para a solução de problemas, uma rede de teste untagged simples é útil. Se esta funcionar, a causa geralmente está na ID VLAN, tagging, modo de porta ou configuração do switch.
Pontos de Acesso RED permanecem inativos
Se os Pontos de Acesso RED ou funções Wi-Fi em cenários VLAN permanecerem inativos, a opção DHCP 234 pode ser relevante. Isso é especialmente relevante em casos onde a comunicação RED ou Access Point ocorre através de interfaces VLAN.
Esta opção deve ser configurada apenas se o cenário específico for adequado e estiver claro qual IP de interface da firewall os dispositivos devem alcançar. Para problemas gerais de conexão RED, a opção DHCP 234 não é o primeiro passo.
Provisionamento offline é sobrescrito
Se um RED foi provisionado online primeiro e depois provisionado offline via USB, uma configuração online antiga pode permanecer no Sophos Provisioning Server. Se o RED não alcançar a firewall, ele pode provisionar novamente online e sobrescrever a configuração USB.
Nesse caso, o RED deve ser provisionado offline novamente. Além disso, a configuração online antiga deve ser removida através do suporte da Sophos.
Pontos de diagnóstico na Sophos Firewall
Para problemas RED, estes locais são úteis:
- Network > Interfaces para interface RED e status
- Administration > Device access para liberações de serviço RED
- Rules and policies > Firewall rules para tráfego da rede RED
- Diagnostics > Packet capture para verificação de caminho
- Log viewer com eventos RED, de firewall e de sistema
- Backup & firmware > Pattern updates para padrão de firmware RED
- Advanced Shell com
tcpdump
Para arquivos de log e atribuição de serviços, consulte Solução de problemas da Sophos Firewall: Serviços e Logs.
Lista de verificação operacional
Antes do lançamento:
- ID RED e Código de Desbloqueio documentados.
- Endereço público da firewall ou FQDN verificado.
- TCP
3400, UDP3410e NTP123verificados. - Serviço RED e Device Access planejados na firewall.
- Zona, DHCP, roteamento e regras de firewall definidos.
- Modo VLAN testado antecipadamente, se necessário.
Após a conexão:
- LEDs indicam estabelecimento bem-sucedido do túnel.
- Interface RED está ativa.
- Cliente recebe IP, gateway e DNS.
- Log Viewer mostra a regra de firewall esperada.
- Sistemas de destino internos e caminho para a Internet funcionam conforme planejado.
- Padrão de firmware está atualizado.
Em operação:
- Verificar regularmente o padrão de firmware RED.
- Testar conexões do local após atualizações da firewall.
- Remover ou migrar RED site-to-site legado antes do SFOS 22.
- Verificar impactos
/32em hosts do sistema RED após SFOS 21.5 MR1. - Incluir locais RED em monitoramento, backup e planejamento de emergência.
FAQ
Quais portas o Sophos SD-RED precisa?
3400, UDP 3410 e NTP 123 são importantes. Dependendo da rede, DNS e outras conexões para provisionamento, tempo e operação podem ser relevantes.Por que o túnel RED está verde, mas os clientes não alcançam nada?
Quando um SD-RED precisa de provisioning manual por USB?
O que deve ser verificado no RED antes do SFOS 22?
Por que os hosts do sistema RED são relevantes após uma atualização?
/32 correta. Se tais objetos foram usados anteriormente como objetos de rede, as regras de firewall podem corresponder de forma diferente após a atualização.