Saltar para o conteudo
Avanet

Criar rota IPsec na Sophos Firewall

Sophos Firewall

Normalmente, a Sophos Firewall reconhece por si mesma através de que túnel IPsec uma rede de destino é alcançável. Num túnel IPsec policy-based clássico, a rede remota já está definida na configuração do túnel. Em algumas situações, porém, pode ser necessário criar manualmente uma rota IPsec.

Casos típicos são seleção de rota incorreta, rotas sobrepostas ou uma rede de destino que não passa pelo túnel IPsec esperado, mas é enviada para a WAN ou por outra rota.

Requisitos

  • Acesso à Device Console, por exemplo via SSH
  • Nome do túnel IPsec
  • Host ou rede de destino que deve ser alcançado através do túnel
  • Ligação IPsec ativa ou corretamente configurada
  • Regras de firewall adequadas para o tráfego entre a rede local e a remota

Se o acesso à consola ainda não estiver configurado, o guia Ligar à Sophos Firewall por SSH explica como estabelecer a ligação e abrir a Device Console.

⚠️ Uma rota IPsec incorreta pode enviar tráfego para o túnel errado ou perturbar ligações existentes. Antes da alteração, confirme o nome do túnel, a rede de destino e as rotas existentes.

VPN policy-based ou route-based?

As rotas IPsec são úteis sobretudo em cenários IPsec policy-based quando o tráfego não é associado corretamente ao túnel. Em VPNs route-based, usa-se normalmente rotas estáticas, rotas SD-WAN ou routing dinâmico para a interface do túnel.

A Sophos explica os conceitos IPsec na documentação oficial: IPsec connections - Sophos Firewall.

Mostrar rotas IPsec existentes

Os comandos seguintes são executados na Device Console, não na Advanced Shell.

system ipsec_route show

Documente a saída antes de fazer alterações. Assim poderá confirmar depois se uma rota foi adicionada ou se deve ser removida novamente.

Criar uma rota IPsec para um host

Se apenas um host deve ser alcançado através de um túnel específico, use host.

Sintaxe:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Exemplo:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Criar uma rota IPsec para uma rede

Se uma rede completa deve ser alcançada através do túnel, use net.

Sintaxe:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Exemplo:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

A Sophos documenta estes comandos aqui: ipsec_route - Sophos Firewall.

Remover uma rota IPsec

Se a rota já não for necessária ou tiver sido configurada incorretamente, pode ser removida.

Remover uma rota de host:

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Remover uma rota de rede:

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Depois, verifique novamente a lista:

system ipsec_route show

Testar a alteração

Depois de criar ou remover uma rota IPsec, teste o tráfego afetado de forma direcionada:

  • Verificar a acessibilidade do host ou da rede de destino com ping ou traceroute
  • Verificar o Log Viewer para tráfego permitido ou bloqueado
  • Usar Packet Capture se necessário
  • Confirmar se as regras de firewall e NAT correspondem ao tráfego pretendido
  • Se várias rotas corresponderem, verificar a prioridade de routing da Sophos Firewall

Nota sobre NAT

Uma rota IPsec define o caminho para o túnel. Não substitui regras de firewall ou NAT. Se NAT for usado no cenário IPsec, a configuração NAT também deve ser verificada. A Sophos explica routing e NAT para túneis IPsec na documentação oficial: Routing and NAT for IPsec tunnels.