Configurar Sophos SD-RED e resolver problemas
Com uma Sophos SD-RED, é possível ligar filiais, escritórios remotos ou home offices a uma Sophos Firewall no site principal de forma relativamente simples. A RED cria um túnel encriptado para a firewall e estende a rede do site principal até ao local remoto.
A grande vantagem: no local remoto, normalmente não é necessária uma configuração VPN complexa. A RED é ligada à Internet, descarrega a configuração através do Sophos RED Provisioning Service e, em seguida, estabelece o túnel para a firewall.
Requisitos no site principal
- Sophos Firewall
- Licença Network Protection
- RED Service ativo na firewall
- endereço IP público acessível ou nome DNS/DynDNS
- ligações RED de entrada permitidas para a firewall
- regras de firewall adequadas para tráfego da rede RED para a rede de destino necessária
- servidor DHCP ou configuração de rede adequada para clientes atrás da RED
A Sophos indica TCP 3400, UDP 3410 e NTP 123 como requisitos de comunicação importantes. Estas ligações não podem ser bloqueadas por routers do provider, firewalls a montante ou security gateways.
Requisitos no site remoto
- Sophos SD-RED
- ligação à Internet
- DHCP no router do provider ou endereço estático corretamente configurado
- gateway predefinido acessível
- resolução DNS e de tempo funcional
- nenhuma bloqueio de TCP 3400, UDP 3410 e NTP 123
Para sites simples, uma ligação à Internet com pelo menos 5000/500 Kbit/s costuma ser suficiente. No entanto, a largura de banda não é o único fator. Estabilidade, latência, perda de pacotes e se o provider deixa passar corretamente as portas necessárias são igualmente importantes.
Ligar a Sophos SD-RED
- Liga-se a porta WAN da SD-RED ao router ou modem do provider no site remoto.
- Ligam-se as portas LAN da SD-RED a um cliente, switch ou à rede local no site remoto.
- Depois liga-se a SD-RED à alimentação elétrica.
- A RED arranca, obtém um endereço IP, verifica o router, verifica a ligação à Internet, descarrega a configuração e estabelece o túnel para a Sophos Firewall.
- Quando todos os LEDs relevantes ficam verdes e estáveis, a ligação à firewall está estabelecida.
No site principal, deve verificar-se se a interface RED na Sophos Firewall tem a zona correta, configuração IP, configuração DHCP e regras de firewall adequadas. O túnel por si só não significa que os clientes atrás da RED possam automaticamente aceder a tudo.
Compreender o estado dos LEDs no arranque
Os LEDs de estado são muito úteis no troubleshooting de RED, porque mostram em que ponto o processo de ligação fica bloqueado.
Legenda:
- ⚫ desligado
- 🟢 verde estável
- 🟢 verde intermitente
- 🔴 vermelho estável
- 🔴 vermelho intermitente
Os códigos LED oficiais distinguem sobretudo entre verde, vermelho, intermitente e desligado. Dependendo do ângulo de visão, da fotografia ou da luz ambiente, um LED pode parecer amarelado ou laranja. Para o diagnóstico, o essencial é perceber: que LED está aceso ou intermitente, e se está verde ou vermelho.
Processo normal de arranque
| System | Router | Internet | Tunnel | Significado |
|---|---|---|---|---|
| 🟢 intermitente | ⚫ | ⚫ | ⚫ | A RED está a arrancar. |
| 🟢 | ⚫ | ⚫ | ⚫ | O processo de arranque terminou. |
| 🟢 | 🟢 intermitente | ⚫ | ⚫ | A RED está a ligar-se ao gateway predefinido ou router. |
| 🟢 | 🟢 | ⚫ | ⚫ | O gateway predefinido está acessível. |
| 🟢 | 🟢 | 🟢 intermitente | ⚫ | A RED está a ligar-se à Internet. |
| 🟢 | 🟢 | 🟢 | ⚫ | A ligação à Internet está estabelecida. |
| 🟢 | 🟢 | 🟢 | 🟢 intermitente | A RED está a ligar-se à Sophos Firewall. |
| 🟢 | 🟢 | 🟢 | 🟢 | O túnel para a firewall está estabelecido. |
| 🟢 intermitente | 🟢 intermitente | 🟢 intermitente | 🟢 intermitente | A RED está a instalar novo firmware. Não desligar a RED. |
Quando os quatro LEDs estão verdes, a ligação RED técnica está estabelecida. Se depois disso o tráfego continuar sem fluir, o problema normalmente já não está no estabelecimento do túnel, mas sim em regras de firewall, routing, NAT, VLANs ou DHCP.
Códigos de erro
| System | Router | Internet | Tunnel | Significado | Causa típica |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | Falha na configuração DHCP ou IP estática. | Sem DHCP, endereço estático incorreto, gateway inacessível. |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet inacessível. | Router acessível, mas DNS, routing, provider ou firewall a montante bloqueia o tráfego. |
| 🔴 | 🟢 | 🟢 | ⚫ | Sem ligação à Sophos Firewall. | Verificar RED Service, TCP 3400, UDP 3410, provisioning, acessibilidade da firewall ou Unlock Code. |
| 🔴 | 🟢 | 🟢 | 🟢 | Sem configuração disponível ou atualização de firmware falhou. | Verificar configuração de provisioning, Firmware Pattern, Unlock Code ou caso de suporte. |
Failover 3G/4G
Em modelos SD-RED com failover 3G/4G ou módulo correspondente, podem ocorrer padrões LED adicionais.
| System | Router | Internet | Tunnel | Significado |
|---|---|---|---|---|
| 🔴 intermitente | 🟢 intermitente | ⚫ | ⚫ | O failover 3G/4G está ativo. |
| 🔴 intermitente | 🟢 | 🟢 intermitente | ⚫ | O gateway predefinido está acessível e a ligação à Internet está a ser estabelecida. |
| 🔴 intermitente | 🟢 | 🟢 | 🟢 intermitente | A Internet está ativa e o túnel para a firewall está a ser estabelecido. |
| 🔴 intermitente | 🟢 intermitente | 🟢 intermitente | 🟢 intermitente | O túnel está ativo através da ligação de failover. Este padrão só é visível depois de o túnel estar estabelecido. |
Não interromper atualizações de firmware
Se os LEDs de estado piscarem em rotação ou todos em conjunto após o arranque, a RED pode estar a instalar firmware. Nesta fase, a RED não deve ser desligada nem separada da Internet. Uma atualização de firmware pode demorar alguns minutos.
Na Sophos Firewall, também se deve verificar em Backup & firmware > Pattern updates se o RED Firmware Pattern está atual. Se uma RED fica presa num ciclo de ligação ou reinicia continuamente, um RED Firmware Pattern desatualizado pode ser uma causa possível.
Obstáculos frequentes após uma ligação bem-sucedida
Um túnel verde significa apenas que a RED está ligada à firewall. Depois disso continua a ser necessária uma configuração de rede limpa.
Pontos típicos:
- A interface RED está na zona correta.
- DHCP para a rede RED está configurado ou o relay funciona.
- As regras de firewall permitem tráfego da rede RED para as redes de destino necessárias.
- O routing de retorno para a rede RED está correto.
- NAT só é usado onde é realmente necessário.
- DNS funciona para os clientes no site remoto.
- Em VLANs, o modo RED é adequado.
Se os clientes atrás da RED não recebem endereço IP, o problema costuma ser DHCP ou VLAN tagging. Se os clientes recebem endereço IP, mas não conseguem aceder a sistemas internos, as causas habituais são regras de firewall, routing ou DNS.
Troubleshooting: a RED não se liga
A RED não recebe endereço IP ou não alcança o gateway
Se a RED fica presa no passo do router ou o código de erro aponta para DHCP ou gateway, deve verificar-se primeiro o site remoto.
Deve verificar-se:
- O router do provider atribui um endereço IP por DHCP?
- O cabo de rede está corretamente ligado à porta WAN da RED?
- O gateway predefinido está acessível?
- Foi introduzido corretamente um endereço IP estático?
- Endereço IP, máscara de sub-rede, gateway e DNS estão consistentes?
- Um dispositivo a montante bloqueia o tráfego?
Se o DHCP não funcionar no site remoto, a RED pode entrar num ciclo de reinício porque não consegue criar uma ligação de rede utilizável.
A RED não alcança a Internet
Se o router/gateway está acessível, mas o LED Internet não fica verde estável, o problema costuma estar atrás do router local.
Deve verificar-se:
- A ligação à Internet no site remoto funciona com um cliente normal?
- DNS funciona?
- NTP está acessível?
- TCP 3400, UDP 3410 ou NTP 123 são bloqueados pelo provider?
- Existe uma firewall ou proxy entre a RED e a Internet?
Para RED provisioning, a RED tem de conseguir alcançar o Sophos Provisioning Service. A Sophos usa, entre outros, red.astaro.com em TCP 3400.
A RED não alcança a Sophos Firewall
Se a Internet está acessível, mas o túnel não é estabelecido, verifica-se o lado da firewall.
Deve verificar-se:
- O RED Service está ativo na Sophos Firewall?
- A interface RED foi criada corretamente?
- RED ID e Unlock Code coincidem?
- O endereço público da firewall ou o FQDN está acessível?
- Administration > Device access está permitido para RED na zona WAN correta?
- Uma Local Service ACL permite o endereço IP público do site remoto para RED Services, caso o acesso tenha sido restringido?
- TCP 3400 e UDP 3410 chegam à firewall?
Na firewall, pode usar-se a Advanced Shell com tcpdump para verificar se chega tráfego RED:
tcpdump -ni any port 3400 or port 3410
Se nada chega, o problema normalmente está antes da firewall: router do provider, NAT, firewall a montante, endereço IP público incorreto ou bloqueio de portas.
A RED reinicia continuamente
Um ciclo de reinício pode ter várias causas:
- alimentação elétrica instável
- hardware defeituoso ou problema na fonte de alimentação
- sem endereço IP por DHCP
- configuração incorreta ou corrompida
- RED Firmware Pattern desatualizado
- portas TCP 3400 ou UDP 3410 bloqueadas
- Unlock Code incorreto
Primeiro verificam-se alimentação elétrica, ligação de rede e DHCP. Depois deve atualizar-se o RED Firmware Pattern na firewall e verificar se TCP 3400 e UDP 3410 são visíveis na firewall.
Se a configuração parecer suspeita, a RED pode ser recriada ou reposta para as definições de fábrica. Antes disso, deve garantir-se que RED ID e Unlock Code estão corretamente documentados.
O túnel está verde, mas não há tráfego
Este caso é muito frequente: os LEDs da RED parecem corretos, mas os clientes não conseguem aceder a sistemas internos ou à Internet.
Causas possíveis:
- Falta uma regra de firewall ou está posicionada incorretamente.
- A interface RED está na zona errada.
- Falta a rota de retorno para a rede RED.
- NAT traduz o tráfego de forma inesperada.
- DHCP distribui o gateway errado ou servidores DNS errados.
- UDP 3410 é filtrado ou bloqueado de forma instável ao longo do caminho.
Verifica-se no Log viewer se o tráfego da rede RED é visível. Depois ajudam Diagnostics > Packet capture e, se necessário, tcpdump -ni any port 3410. Para problemas de regras, o artigo Compreender e configurar corretamente regras da Sophos Firewall é útil.
Sem tráfego VLAN através da RED
Com SD-RED 60, cenários VLAN são possíveis, mas o modo é decisivo. A Sophos indica que o tráfego VLAN só é processado num modo RED adequado. Para VLAN trunks, é especialmente importante saber se a porta está configurada como Access, Hybrid ou Tagged Trunk.
Deve verificar-se:
- Os VLAN IDs estão corretos na firewall e na RED?
- A porta LAN da RED está no modo correto?
- A porta do switch no site remoto está corretamente tagged ou untagged?
- Existem regras de firewall para as redes VLAN?
- O modo operativo RED usado é adequado para tráfego VLAN?
- DHCP e DNS estão corretos para as VLANs?
Se as VLANs não funcionam, deve testar-se primeiro com uma rede simples untagged. Se esta funcionar, o erro está muito provavelmente no VLAN ID, tagging ou modo da porta.
RED Access Points permanecem inativos
Se uma RED com módulo Wi-Fi ou um RED Access Point reinicia numa VLAN, pode aparecer como Inactive. A Sophos descreve como causa possível uma DHCP Option 234 em falta na interface VLAN.
Neste caso, a RED ou o Access Point tem de saber através de que IP de interface da firewall deve comunicar. A DHCP Option 234 pode ser configurada na Device Console. Este é um caso especial e só deve ser implementado quando o cenário corresponde realmente.
Offline Provisioning volta a ser substituído
Se uma RED foi primeiro provisionada online e mais tarde provisionada offline por USB, a configuração online antiga pode permanecer no Sophos Provisioning Server. Se a RED não conseguir alcançar a firewall, pode voltar a provisionar online e substituir a configuração USB.
Neste caso, a RED tem de ser provisionada offline novamente. Além disso, a configuração online antiga no RED Provisioning Server deve ser removida. Para isso, é necessário contactar o Sophos Support.
A interface RED não pode ser criada ou editada
Se uma interface RED não pode ser criada ou guardada, normalmente estas são as causas prováveis:
- permissões de admin em falta
- configuração RED contraditória
- Unlock Code incorreto
- a firewall não consegue alcançar o RED Provisioning Server
- configuração RED já existente ou em conflito
A partir da Sophos Firewall, pode testar-se a ligação ao Provisioning Server:
telnet red.astaro.com 3400
Se o DNS não resolver ou se não for possível estabelecer ligação, a ligação de Internet e DNS da firewall deve ser verificada primeiro.
Logs e pontos de diagnóstico importantes
Para problemas RED, estes pontos são especialmente úteis:
- Log viewer com eventos RED, firewall e sistema
- Diagnostics > Packet capture
- Advanced Shell com
tcpdump - estado da interface RED em Network > Interfaces
- regras de firewall para a zona RED e zonas de destino
- Device Access para RED Services
- RED Firmware Pattern em Backup & firmware > Pattern updates
Para ficheiros de log gerais e nomes de serviços, o artigo Compreender serviços e ficheiros de log da Sophos Firewall é útil.
Informação adicional
Mais detalhes estão disponíveis nos documentos oficiais da Sophos:
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Com uma Sophos RED, é muito simples ligar uma filial ou um home office à rede da empresa. No entanto, nesses locais existem muitas vezes dispositivos que não estão permanentemente sob controlo direto da IT. Por isso, os endpoints em redes RED também devem ser protegidos, por exemplo com Sophos Central Intercept X Essentials ou Sophos Central Intercept X Advanced.