Hoppa till innehållet
Avanet

Ändra routingprioritet i Sophos Firewall

Sophos Firewall

I den här guiden visar vi hur du kontrollerar och vid behov ändrar route precedence i Sophos Firewall. Inställningen anger i vilken ordning firewallen utvärderar statiska routes, SD-WAN Policy Routes och VPN-routes vid route lookup.

Förutsättningar

  • Sophos Firewall med SFOS 18.0 eller senare
  • Läge Gateway
  • Åtkomst till Device Console, till exempel via SSH
  • Servicefönster om produktionsdata kan påverkas

Om konsolåtkomst ännu inte är konfigurerad visar guiden Anslut till Sophos Firewall via SSH hur du ansluter och öppnar Device Console.

⚠️ Att ändra route precedence kan omedelbart påverka produktionstrafik. Dokumentera aktuell ordning före ändringen och kontrollera vilka statiska routes, SD-WAN Policy Routes och VPN-routes som kan påverkas.

Vad används route precedence till?

Route precedence avgör vilken routingtyp som utvärderas först när flera routes matchar samma destination. Detta är särskilt viktigt när statiska routes, SD-WAN Policy Routes och VPN-routes överlappar.

Ett vanligt scenario: ett internt nätverk ska bara nås via en IPsec-anslutning eller en statisk route, men firewallen väljer en SD-WAN Policy Route och skickar trafiken mot WAN. Då kan en ändring av route precedence hjälpa. Beroende på IPsec-designen kan en IPsec route också vara den renare lösningen.

Sophos dokumenterar kommandot här: route_precedence - Sophos Firewall.

Routingtyper

  • static: statiska routes. Enligt Sophos hör även SSL VPN-anslutningar till den här kategorin.
  • sdwan_policyroute: SD-WAN Policy Routes eller policybaserade routes.
  • vpn: VPN-routes.

Standardordningen är:

  1. Static
  2. SD-WAN
  3. VPN

Visa aktuell inställning

Följande kommandon körs i Device Console, inte i Advanced Shell.

system route_precedence show

Dokumentera utdata före ändringen. Om rollback behövs kan exakt samma ordning återställas.

Ändra ordningen

Det här exemplet sätter statiska routes före SD-WAN Policy Routes och VPN-routes:

system route_precedence set static sdwan_policyroute vpn

Om aktuell utdata redan visar static sdwan_policyroute vpn är route precedence troligen inte orsaken. Kontrollera då statiska routes, SD-WAN Policy Routes, VPN-konfiguration, firewallregler och NAT-regler.

Kontrollera ändringen

Visa den nya ordningen igen:

system route_precedence show

Testa sedan berörd trafik målmedvetet:

  • Testa anslutning till destinationsnätet, till exempel med ping eller traceroute
  • Kontrollera Log Viewer för tillåten eller blockerad trafik
  • Använd Packet Capture vid behov
  • Kontrollera om NAT- eller firewallregler också påverkar trafiken

Rollback

Om trafiken inte fungerar som förväntat efter ändringen återställer du den tidigare dokumenterade ordningen. Exempel:

system route_precedence set sdwan_policyroute static vpn

Den exakta ordningen måste matcha utdata som dokumenterades före ändringen.