Saltar para o conteudo
Avanet

Verificar WAN Celular e Failover 4G/5G no Sophos Firewall

Sophos Firewall

O WAN Celular em um Sophos Firewall geralmente não é o acesso principal à internet, mas sim uma linha de fallback: quando a fibra ótica, DSL ou cabo falha, uma conexão 4G ou 5G deve manter serviços importantes acessíveis. Por isso, o WAN Celular não deve ser verificado apenas em caso de falha.

Na prática, o failover raramente falha por um único motivo. Mais frequentemente, estão envolvidos SIM/PIN, APN, má qualidade do sinal, um gateway não corretamente gerado, verificações de integridade SD-WAN incorretas ou uma lógica de fallback ausente. O artigo explica como planejar, testar e delimitar erros típicos do WAN Celular.

Para o trabalho básico com interfaces, zonas e gateways, consulte primeiro Configurar Zonas e Interfaces no Sophos Firewall. Quando se trata de roteamento de tráfego próprio da firewall, também ajuda Verificar Roteamento SD-WAN para Pacotes de Resposta e Tráfego do Sistema no Sophos Firewall.

Quando o WAN Celular é útil

O WAN Celular é adequado principalmente como componente operacional e de emergência. Não substitui uma linha principal bem dimensionada, mas pode tornar locais críticos mais estáveis.

Casos típicos de uso:

  • pequeno escritório com backup 4G/5G para acesso à internet
  • filial com failover SD-WAN em caso de falha do provedor
  • local temporário sem linha fixa
  • caminho de backup para monitoramento, acesso de suporte ou serviços centrais
  • fallback para VPN de local, se a largura de banda e o plano permitirem

Antes da implementação, deve estar claro quais serviços realmente precisam continuar funcionando no failover. Um link LTE ou 5G com volume de dados limitado geralmente não é destinado a suportar todo o tráfego normal do local de forma contínua.

Limitações e decisões importantes

O WAN Celular traz suas próprias restrições. Esses pontos devem ser esclarecidos antes da configuração:

TemaPor que é importante
Volume de dadosUm local não filtrado pode consumir rapidamente uma cota de dados móveis.
CGNATMuitos provedores móveis não fornecem um endereço IPv4 público diretamente acessível. Serviços de entrada e alguns cenários de VPN devem ser planejados de outra forma.
Qualidade do sinalUma rede visível não é suficiente. Valores de sinal fracos levam a perda de pacotes, picos de latência e testes de failover instáveis.
Firewall do provedorAlguns planos bloqueiam conexões de entrada ou determinados protocolos.
HAO WAN Celular deve estar desativado em ambientes HA do Sophos Firewall. Isso deve ser verificado antes de um design HA.
MonitoramentoO failover deve ser monitorado ativamente. Caso contrário, muitas vezes só se percebe em caso de falha que a linha de reserva não funciona.

Para ambientes HA, Variantes e Operação do Cluster HA do Sophos Firewall é relevante, pois o WAN Celular não pode ser tratado como uma interface sincronizada normal.

Pré-requisitos

Antes da configuração, devem estar disponíveis os seguintes pontos:

  • modem 4G/5G suportado ou módulo de celular integrado
  • cartão SIM ativo com plano de dados adequado
  • PIN, caso o SIM não seja operado sem PIN
  • APN do provedor
  • opcionalmente, nome de usuário e senha do provedor
  • informação se o provedor usa IP público, IP privado ou CGNAT
  • zona desejada da interface WAN Celular
  • lógica de failover SD-WAN ou de gateway planejada
  • janela de teste em que a linha principal pode ser desativada brevemente

Se a linha móvel for servir como fallback produtivo, deve-se também esclarecer quem é responsável pelo plano, volume de dados, bloqueio do SIM, hardware de substituição e testes regulares.

Configurar WAN Celular

A interface exata pode variar ligeiramente dependendo da versão do SFOS, modelo de hardware e modem. No entanto, o procedimento prático permanece o mesmo: reconhecer o modem, definir corretamente o SIM e o APN, verificar a interface e o gateway, e depois testar o caminho de failover.

1. Preparar modem e SIM

Primeiro, o modem ou módulo de celular deve ser preparado sem alterações apressadas na firewall.

Verificar:

  • SIM está ativo e não bloqueado.
  • PIN é conhecido ou desativado no SIM, se o modelo de operação assim o exigir.
  • APN corresponde ao plano empresarial, não a um perfil de consumidor ou IoT incorreto.
  • Antenas estão corretamente conectadas e posicionadas de forma sensata.
  • Local tem recepção suficiente para o provedor desejado.

Para antenas externas, não apenas a força do sinal, mas também o roteamento do cabo deve ser considerado. Cabos de antena longos ou de má qualidade podem anular a vantagem de uma melhor posição da antena.

2. Verificar interface WAN Celular

Após a inserção do modem, o Sophos Firewall deve gerar ou oferecer para configuração uma interface ou gateway correspondente.

Verificar:

Network > Interfaces

Os pontos importantes são:

  • Interface está ativa.
  • Zona está definida conscientemente, geralmente WAN.
  • Endereço IP é obtido.
  • Gateway é criado.
  • Parâmetros de DNS ou do provedor são adequados para a operação planejada.
  • Interface não é acidentalmente membro de um design inadequado como LAG ou HA.

Se a interface não aparecer, o modem deve ser reconhecido primeiro. Só então verificar APN, PIN e Gateway.

3. Planejar gateway e perfil SD-WAN

Um gateway WAN Celular não deve ser simplesmente colocado ao lado da linha principal sem verificação. O decisivo é quando a firewall considera o link ativo e qual tráfego pode passar por ele no failover.

Verificar:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

Para muitos ambientes, um design claro baseado em First-Available ou SLA é sensato:

  • Preferir a linha principal.
  • Usar WAN Celular apenas em caso de falha ou linha principal ruim.
  • Definir Health Check com alvos de teste sensatos.
  • Priorizar objetivos críticos para o negócio.
  • Limitar serviços intensivos em largura de banda ou não críticos no failover.

Em verificações de integridade SD-WAN, não se deve usar apenas um único endereço interno ou externo, se isso puder causar falhas falsas. Perfis SD-WAN podem usar verificações de integridade com Ping ou TCP e até dois alvos de teste. Em ambientes móveis, o TCP é frequentemente uma adição realista quando o ICMP é pouco confiável.

Verificar força do sinal via CLI

Desde o SFOS 22.0 MR1, a Sophos menciona nas notas de lançamento o comando CLI:

system cellular_wan show

Este comando é útil quando a interface só mostra de forma geral que o WAN Celular está conectado, mas é necessário verificar detalhes do sinal ou do modem. Deve ser usado e documentado de forma direcionada, especialmente em locais com cobertura móvel instável.

⚠️ Acesso CLI deve ser feito apenas a partir de redes de administração confiáveis. Antes de usar, deve-se verificar Conectar ao Sophos Firewall via SSH e o endurecimento do acesso através de Device Access e Local Service ACL.

Na prática, os valores de sinal não devem ser lidos apenas uma vez. É melhor uma série curta de medições:

  • operação normal
  • após alteração de antena
  • em mau tempo ou carga esperada
  • durante failover ativo
  • após mudança de local ou provedor

Se a qualidade do sinal variar muito, a configuração de roteamento não é a causa real. Primeiro deve-se verificar a posição da antena, cobertura do provedor, módulo, SIM e local.

Testar failover

Um teste de failover deve ser planejado e realizado de forma compreensível. Simplesmente desconectar a linha principal e depois abrir apenas um navegador é insuficiente.

Antes do teste:

  • Backup da configuração da firewall disponível.
  • Caminho primário e de backup esperado documentado.
  • Usuários afetados ou responsáveis pelo local informados.
  • Volume de dados e limites do plano conhecidos.
  • Log Viewer e monitoramento abertos.

Procedimento de teste:

  1. Verificar estado inicial: gateway principal ativo, gateway WAN Celular pronto.
  2. Gerar tráfego de teste, por exemplo, DNS, HTTPS, RDP, VPN ou uma aplicação de negócios definida.
  3. Desativar a linha principal de forma controlada ou fazer o Health Check do gateway falhar intencionalmente.
  4. Verificar se o SD-WAN ou o failover do gateway muda para o WAN Celular.
  5. No Log Viewer, verificar quais regras de firewall e caminhos são atingidos.
  6. Testar a acessibilidade dos principais objetivos.
  7. Restaurar a linha principal.
  8. Verificar se a firewall retorna corretamente ou permanece no caminho de backup.

Para verificações de regras e caminhos, consulte Testar Regras de Firewall com Log Viewer, Teste de Política e Captura de Pacotes. Se ocorrerem problemas de MTU ou fragmentação, deve-se incluir Verificar MTU e MSS no Sophos Firewall em Problemas de VPN.

Logs e diagnóstico

Problemas de WAN Celular se distribuem por várias fontes de log. Um único log raramente prova toda a causa.

QuestãoVerificação típica
O modem é reconhecido?mdev.log, syslog.log
Uma interface é gerada?networkd.log
Um gateway está ativo?Status do gateway, dgd.log, Log Viewer
A rota correta é usada?Rota SD-WAN, tabela de roteamento, Log Viewer
O tráfego é bloqueado?Regra de firewall, NAT, filtro web, Application Control
Há perda de pacotes ou fragmentação?Captura de Pacotes, iPerf, verificação MTU/MSS

Os logs mais importantes estão organizados no artigo Atribuir Corretamente Logs de Serviço do Sophos Firewall.

Erros típicos

Modem não é reconhecido

Primeiro, verifique pontos físicos: módulo, porta USB, alimentação, antenas, hardware suportado e versão de firmware. Depois, verifique mdev.log e syslog.log. Se o modem não for reconhecido, APN ou SD-WAN ainda não são relevantes.

SIM está ativo, mas nenhuma conexão é estabelecida

Então, geralmente estão envolvidos PIN, APN, perfil do provedor ou recepção. Também é possível um SIM bloqueado após várias tentativas de PIN incorretas. Para planos empresariais, o APN não deve ser adivinhado, mas verificado com o provedor.

Gateway está ativo, mas nenhum tráfego passa pelo WAN Celular

Então, a causa geralmente está na rota SD-WAN, prioridade do gateway, regra de firewall, NAT ou falta de caminho de retorno. No Log Viewer, deve ser visível se o tráfego de teste realmente usa o caminho de backup.

Failover funciona, mas aplicações são instáveis

A rede móvel tem maior latência e variações mais fortes do que uma linha fixa. Aplicações com sessões sensíveis, VoIP, grandes transferências de arquivos, VPN-over-VPN ou RDP podem reagir de forma diferente. Além disso, MTU/MSS e perda de pacotes podem desempenhar um papel.

VPN funciona pela linha principal, mas não pelo WAN Celular

Em redes móveis, CGNAT, filtros do provedor, endereços IP variáveis e restrições de protocolo são causas comuns. Para VPN de local, deve-se verificar se o caminho móvel funciona como iniciador, se o ponto remoto aceita IPs dinâmicos e se a rota de retorno está correta.

Recomendações de operação

O WAN Celular deve ser operado como um caminho de emergência, não como uma opção esquecida na interface.

Regras operacionais sensatas:

  • Testar failover pelo menos trimestralmente.
  • Monitorar volume de dados e custos.
  • Documentar SIM, APN e contrato com o provedor.
  • Registrar posição da antena e valores de sinal.
  • Limitar tráfego não crítico no failover.
  • Incluir status de gateway e SD-WAN no monitoramento.
  • Planejar um breve teste de failover após atualizações de firmware.
  • Excluir o WAN Celular cedo no planejamento HA ou ajustar o design.

Se um local depende do WAN Celular, o caminho de retorno também deve ser documentado: quem recebe uma notificação de falha, quem pode desativar a linha principal, quem verifica o provedor móvel e quando o funcionamento normal é retomado?

Lista de verificação

  • Modem ou módulo de celular é reconhecido.
  • SIM está ativo e não bloqueado.
  • PIN e APN estão corretos.
  • Interface WAN Celular está na zona correta.
  • Gateway é criado e monitorado.
  • Perfil SD-WAN usa verificações de integridade sensatas.
  • Failover foi testado com tráfego de teste real.
  • Regras de firewall e NAT são adequadas também no caminho de backup.
  • Volume de dados e custos são conhecidos.
  • Valores de sinal foram documentados.
  • Restrições HA foram consideradas.
  • Fontes de log e processo de suporte são conhecidos.

FAQ

O WAN Celular pode ser usado como linha principal?

Tecnicamente, isso pode funcionar dependendo do local. Para a maioria das empresas, o WAN Celular é mais um caminho de backup. Volume de dados, latência, CGNAT, qualidade de sinal variável e condições do provedor devem ser verificados antes de uma operação contínua produtiva.

Por que o gateway está ativo, mas o local ainda não tem internet?

Um gateway ativo significa apenas que a firewall vê o caminho em princípio. Depois disso, rota SD-WAN, regra de firewall, NAT, DNS, caminho de retorno e recursos de segurança devem estar corretos. Portanto, o tráfego de teste específico deve ser verificado no Log Viewer.

Um ping bem-sucedido é suficiente como teste de failover?

Não. O ping é uma primeira indicação, mas não uma prova de acessibilidade produtiva. Além disso, devem ser testados DNS, HTTPS, aplicações centrais, VPN, RDP ou outros serviços realmente necessários.

O WAN Celular funciona em um cluster HA do Sophos Firewall?

Para HA, o WAN Celular deve estar desativado. Se failover móvel e HA forem exigidos simultaneamente, é necessário um design separado, por exemplo, através de um dispositivo móvel pré-configurado ou outra arquitetura WAN.

Qual comando CLI mostra detalhes do WAN Celular?

A partir do SFOS 22.0 MR1, o comando system cellular_wan show está disponível para verificar informações do WAN Celular, como valores de sinal, via CLI.