Saltar para o conteudo
Avanet

Criar Rota IPsec no Sophos Firewall

Normalmente, o Sophos Firewall reconhece automaticamente através de qual túnel IPsec uma rede de destino é acessível. Em um túnel IPsec baseado em políticas clássico, as redes locais e remotas fazem parte da configuração do túnel. Em IPsec baseado em rotas, o tráfego é direcionado para o túnel através de interfaces XFRM, rotas estáticas, rotas SD-WAN ou roteamento dinâmico.

Uma rota IPsec manual não é, portanto, padrão para todos os túneis. Trata-se de uma ferramenta para cenários específicos baseados em políticas, especialmente quando o tráfego encaminhado precisa trabalhar com NAT ou uma atribuição especial ao túnel. Se uma rota desse tipo for configurada incorretamente, o tráfego pode ser direcionado para o túnel errado ou uma conexão existente pode se tornar mais difícil de rastrear.

Para novos túneis de site, primeiro configure Configurar VPN IPsec Site-to-Site no Sophos Firewall. Para solução de problemas geral de IPsec, consulte Solução de Problemas de VPN IPsec no Sophos Firewall. Quando se trata de VPNs baseadas em rotas, XFRM e planejamento de interfaces, consulte Configurar Zonas e Interfaces no Sophos Firewall.

Quando uma Rota IPsec é útil

Uma rota IPsec é especialmente relevante quando um túnel IPsec baseado em políticas existe, mas o tráfego esperado não é corretamente atribuído ao túnel.

Casos típicos:

  • Um host ou rede deve ser direcionado especificamente através de um determinado túnel baseado em políticas.
  • Existem vários túneis, redes de destino sobrepostas ou configurações de VPN historicamente desenvolvidas.
  • O tráfego é traduzido por DNAT ou SNAT e deve ser atribuído a um túnel IPsec existente.
  • Após uma atualização para o SFOS 22, deve-se verificar se casos especiais antigos baseados em políticas ainda funcionam como esperado.
  • A pesquisa de rotas, o Log Viewer ou o Packet Capture mostram que o tráfego está indo em direção ao WAN ou caminho errado.

Nem todos esses casos são resolvidos por ipsec_route. Primeiro, devem ser verificadas as regras de firewall, regras de NAT, precedência de rotas, gateways locais e rotas de retorno.

Baseado em políticas, baseado em rotas e SFOS 22

A principal diferença:

  • IPsec baseado em políticas: Sophos Firewall realiza pesquisas IPsec em segundo plano redes locais/remotas na conexão IPsec, regras de firewall, se necessário ipsec_route
  • IPsec baseado em rotas: O tráfego é roteado para a interface do túnel. O controle ocorre por meio da interface XFRM, de uma rota estática, de uma rota SD-WAN ou de roteamento dinâmico.

Para novas ou maiores conexões de site, o IPsec baseado em rotas é frequentemente mais claro, pois as alterações de roteamento não alteram os seletores de túnel a cada vez. Para conexões simples site-a-site ou ambientes existentes, o IPsec baseado em políticas continua relevante.

O SFOS 22 trabalhou em vários aspectos do comportamento do IPsec. As notas de lançamento do SFOS-22.0-MR1 documentam vários problemas resolvidos em torno do IPsec baseado em políticas, ipsec_route, SD-WAN, SNAT e pesquisa de rotas. Para os administradores, isso significa: após uma atualização, casos especiais baseados em políticas devem ser testados especificamente, especialmente se NAT, MPLS, SD-WAN ou rotas IPsec manuais estiverem envolvidos.

Pré-requisitos

Antes de uma alteração, os seguintes pontos devem estar claros:

  • Acesso ao Device Console, por exemplo, via SSH.
  • Nome do túnel IPsec.
  • Host de destino ou rede de destino que deve ser alcançada através do túnel.
  • Conexão IPsec ativa ou corretamente configurada.
  • Regras de firewall adequadas para a direção esperada.
  • Clareza sobre se o NAT está envolvido.
  • O estado atual das rotas IPsec existentes está documentado.

Se o acesso ao console ainda não estiver configurado, Conectar ao Sophos Firewall via SSH explica como estabelecer uma conexão SSH com o firewall e abrir o Device Console.

⚠️ Uma rota IPsec incorreta pode interromper o tráfego produtivo. Antes da alteração, o nome do túnel, a rede de destino, o NAT, o caminho de retorno e as rotas existentes devem ser documentados.

Verificar antes da alteração

Não se deve definir uma rota IPsec como primeiro passo. Esta ordem é sensata:

  1. Verificar o status do túnel: A conexão IPsec está ativa e as redes esperadas foram negociadas.
  2. Verificar as regras de firewall: Zona de origem, zona de destino, origem, destino, serviço e registro estão corretos.
  3. Verificar o NAT: Está claro se os endereços IP originais ou traduzidos devem passar pelo túnel.
  4. Verificar a precedência de rotas: Rotas estáticas, SD-WAN e VPN são avaliadas na ordem esperada. Se vários tipos de roteamento competirem, Alterar com segurança a precedência de rotas no Sophos Firewall pode ajudar.
  5. Verificar o ponto remoto: O ponto remoto conhece o caminho de retorno e o endereço de origem esperado.
  6. Usar o Packet Capture: Comprovar se o tráfego chega, para onde é encaminhado e se as respostas retornam.

Para a verificação geral de regras, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture. Para fundamentos de NAT, consulte Entender NAT no Sophos Firewall.

Exibir rotas IPsec existentes

Os comandos são executados no Device Console, não no Advanced Shell.

system ipsec_route show

A saída deve ser documentada antes de qualquer alteração. Assim, pode-se ver mais tarde se uma rota foi adicionada e se precisa ser removida novamente.

Além disso, a tabela de roteamento IPsec pode ser relevante para análise:

ip route show table 220

Esta verificação é realizada no Advanced Shell e é mais voltada para solução de problemas. Para alterações normais em ipsec_route, o Device Console é o local correto.

Criar Rota IPsec para um Host

Se apenas um único host deve ser acessível através de um determinado túnel, usa-se host.

Sintaxe:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Exemplo:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Depois, deve-se testar não apenas o ping, mas também o tráfego real da aplicação. Um teste ICMP pode funcionar, enquanto TCP, NAT ou caminho de retorno ainda estão incorretos.

Criar Rota IPsec para uma Rede

Se uma rede completa deve ser acessível através do túnel, usa-se net.

Sintaxe:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Exemplo:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Para rotas de rede, é necessário ter cuidado especial. Uma rede muito grande pode direcionar mais tráfego para o túnel do que o planejado. Em redes sobrepostas, deve-se saber de antemão qual lado vê quais endereços e se o NAT é usado.

Remover Rota IPsec

Se a rota não for mais necessária ou foi configurada incorretamente, ela pode ser removida.

Remover rota de host:

system ipsec_route del host <host-ip>

Remover rota de rede:

system ipsec_route del net <network>/<netmask>

Depois, verifique novamente a lista:

system ipsec_route show

Se a rota influenciou o tráfego produtivo, a conexão afetada deve ser testada novamente após a remoção e as entradas do Log Viewer comparadas.

NAT e IPsec baseado em políticas

O NAT não é fundamentalmente errado no IPsec. No entanto, deve ser planejado cuidadosamente, pois o NAT altera o endereço que o ponto remoto vê.

A Sophos distingue, entre outros, os seguintes casos no IPsec:

  • NAT diretamente na configuração IPsec, por exemplo, em redes sobrepostas.
  • Regras de NAT independentes em Rules and policies > NAT rules.
  • ipsec_route para tráfego encaminhado, quando o tráfego traduzido deve ser atribuído a um túnel baseado em políticas.
  • sys-traffic-nat para tráfego gerado pelo sistema do próprio firewall.

Uma regra NAT não altera automaticamente a decisão de roteamento do firewall. Se um túnel policy-based existente for usado com DNAT/SNAT para hosts adicionais, ainda é necessária uma IPsec Route correspondente para a rede remota. Em regras SNAT reflexivas, o endereço de origem traduzido deve existir como objeto IP host; não é possível simplesmente traduzir diretamente para uma interface.

Importante é a direção: Se o tráfego IPsec baseado em políticas deve ser traduzido por SNAT, a regra SNAT apropriada deve operar com Outbound interface em Any. Se a regra estiver, em vez disso, apontando para interfaces WAN específicas, ela não será aplicada ao tráfego IPsec baseado em políticas. Detalhes como esses levam, na prática, a túneis que estão verdes, mas não transportam o tráfego esperado.

Tráfego gerado pelo sistema é um caso especial

ipsec_route não resolve sozinho todos os problemas de tráfego. Para tráfego encaminhado de clientes ou servidores, o comando pode ser diretamente relevante. O tráfego gerado pelo próprio firewall, como solicitações de autenticação ou casos relacionados ao DHCP, também precisa da lógica correta de source NAT e roteamento.

Sem uma configuração direcionada, o tráfego gerado pelo sistema normalmente usa um gateway de Network > WAN link manager. Por isso, um túnel IPsec verde não é suficiente para enviar automaticamente as solicitações próprias do firewall para o túnel. DHCP Relay também deve ser avaliado separadamente: em IPsec baseado em políticas, o DHCP Relay precisa ativar especificamente a opção Relay through IPsec. Em VPNs route-based essa opção não é necessária; nesse caso, o tráfego DHCP é roteado como tráfego normal por meio de rotas estáticas, SD-WAN ou dinâmicas até o outro lado, desde que as sub-redes locais e remotas estejam definidas como Any e existam rotas correspondentes em ambos os lados.

Na prática, isso significa:

  • O tráfego de cliente ou servidor através do firewall pode ser um tema de ipsec_route.
  • Com IPsec baseado em políticas, solicitações próprias do firewall podem exigir uma combinação de ipsec_route, sys-traffic-nat e sub-redes locais ou remotas adequadas.
  • Com IPsec baseado em rotas, esses casos passam mais frequentemente por rotas SD-WAN para a interface XFRM e sys-traffic-nat.
  • Não se deve tentar resolver cada problema de tráfego do sistema de forma geral com ipsec_route.

Para tráfego gerado pelo sistema e contexto SD-WAN, consulte Roteamento SD-WAN para Pacotes de Resposta e Tráfego do Sistema.

Testar a alteração

Após criar ou remover uma rota IPsec, o tráfego afetado deve ser testado especificamente.

Procedimento prático:

  1. Definir caso de teste: Origem, Destino, Serviço, Direção e túnel esperado.
  2. Ativar o registro de regras de firewall para a regra afetada.
  3. Documentar system ipsec_route show.
  4. Gerar tráfego de teste exatamente uma vez.
  5. Filtrar Log Viewer por Origem, Destino e Regra de Firewall.
  6. Executar Packet Capture com filtro restrito.
  7. Verificar se os bytes em ipsec statusall aumentam em ambas as direções.
  8. Verificar o ponto remoto quanto à rota de retorno, NAT e firewall local.

Se transferências maiores ficarem pendentes, embora o roteamento e o NAT pareçam corretos, deve-se verificar adicionalmente MTU e MSS em problemas de VPN.

Erros típicos

  • Túnel verde, sem tráfego: muitas vezes falta regra, NAT, rota de retorno ou atribuição IPsec. Verificar Log Viewer, Packet Capture e ipsec statusall.
  • Tráfego vai em direção ao WAN: precedência de rota ou atribuição IPsec não está correta. Verificar Route Lookup, rotas SD-WAN e ipsec_route show.
  • SNAT não se aplica no IPsec baseado em políticas: a regra SNAT provavelmente tem a interface de saída incorreta. Verificar a regra SNAT com Any.
  • Um host funciona, uma rede não: máscara de rede, objeto ou seletor de tráfego não está correto. Comparar redes locais e remotas.
  • Comportamento diferente após atualização para SFOS 22: pode haver um caso especial antigo com IPsec baseado em políticas, NAT ou SD-WAN. Verificar release notes, caso de teste e peer.
  • Tráfego próprio do firewall não passa pelo túnel: tráfego do sistema é roteado de forma diferente. Verificar SD-WAN, precedência de rota e sys-traffic-nat.

Lista de Verificação

Antes da alteração:

  • Nome do túnel e ponto remoto documentados.
  • Host de destino ou rede de destino claramente definidos.
  • Regras de firewall e regras de NAT verificadas.
  • Precedência de rota e contexto SD-WAN verificados.
  • Rotas IPsec existentes salvas.
  • Janela de manutenção ou horário de teste controlado planejado.

Após a alteração:

  • system ipsec_route show verificado novamente.
  • Log Viewer mostra a regra esperada.
  • Packet Capture mostra o caminho esperado.
  • Ponto remoto vê o endereço de origem esperado.
  • Caminho de retorno funciona.
  • Alteração e justificativa documentadas.

FAQ

Cada conexão IPsec baseada em políticas precisa de uma rota IPsec?

Não. Em conexões normais site-a-site baseadas em políticas, a configuração IPsec com redes locais e remotas adequadas é suficiente. Uma rota IPsec manual é uma ferramenta para casos especiais.

Deve-se usar IPsec baseado em rotas em vez de baseado em políticas para novos VPNs?

Para conexões de site maiores, em crescimento ou roteadas dinamicamente, o IPsec baseado em rotas é frequentemente mais claro. Túneis simples existentes baseados em políticas podem continuar sendo úteis se forem estáveis e bem documentados.

Por que a interface de saída Any é importante no SNAT?

No IPsec baseado em políticas, o tráfego não passa como tráfego normal da Internet por uma interface WAN específica. Se uma regra SNAT estiver restrita a uma interface WAN específica, ela não se aplicará ao tráfego IPsec baseado em políticas.

ipsec_route ajuda no tráfego próprio do firewall?

Não sozinho. Para tráfego encaminhado, ipsec_route pode ser diretamente relevante. Para tráfego próprio do firewall, também devem ser verificados sys-traffic-nat, SD-WAN ou as sub-redes IPsec baseadas em políticas.

É necessário redefinir todas as rotas IPsec após o SFOS 22?

Não. Mas casos especiais de IPsec baseado em políticas com NAT, SD-WAN, MPLS ou rotas IPsec manuais devem ser testados especificamente após uma atualização.