Konfigurera och testa SD-WAN-rutter i Sophos Firewall
SD-WAN-rutter på Sophos Firewall styr vilken rutt viss trafik ska ta. Detta är användbart för flera WAN-linjer, MPLS, ruttbaserade IPsec VPN, VoIP, molntjänster eller applikationer som måste köras via en specifik leverantör.
I praktiken uppstår SD-WAN-problem sällan från själva knappen. Kriterierna är vanligtvis för breda, gateways är felaktigt utvärderade, NAT-regler är inte lämpliga, ruttföreträde är oväntat eller tester är för oprecisa. Artikeln tar därför inte bara upp klickvägen, utan även planering, acceptans och typisk felsökning.
Videoguide
Kort svar
Du skapar en SD-WAN-rutt under Routing > SD-WAN-rutter. Det bör vara klart i förväg:
- vilken trafik som ska styras
- vilken källa, destination, tjänster och användare som berörs
- vilken gateway eller vilken SD-WAN-profil som används
- om statiska rutter, VPN-rutter eller ruttföreträde konkurrerar
- om NAT matchar rutten
- hur man kontrollerar sökvägen i loggvisaren och paketfångst
En bra SD-WAN-rutt är tillräckligt exakt för att bara styra önskad trafik. En för bred rutt med Any kan annars plötsligt påverka interna nät, administrationsåtkomst eller VPN-trafik.
När SD-WAN-rutter är vettiga
SD-WAN-rutter är policyrouting. De används när den normala routingtabellen ensam inte uttrycker vilken trafik som ska gå över vilken väg.
Typiska fall:
| Situation | Använda en SD-WAN-rutt |
|---|---|
| två eller flera internetlinjer | Skicka specifika applikationer över föredragen linje eller failover |
| VoIP eller Teams | Prioritera linjer med låg latens eller låg jitter |
| Molntjänster | Mål Microsoft 365, ERP eller backup-trafik |
| ruttbaserad IPsec VPN | Styr trafik via XFRM-gränssnitt eller gatewayprofil |
| MPLS eller webbplatslinje | Nå interna målnätverk via dedikerad väg |
| Leverantör med käll-IP-bindning | Skicka trafik över exakt WAN-anslutningen som matchar den tillåtna publika IP-adressen |
Om bara ett statiskt destinationsnätverk behöver nås via ett tydligt nästa hopp, kan en statisk rutt vara enklare och mer robust. SD-WAN är värt besväret när kriterier, gatewayval, failover eller prestandautvärdering behövs.
Planera i förväg
Innan du skapar bör det önskade dataflödet beskrivas specifikt. En mening som “Teams should work over WAN2” är för oprecis. En liten matris är bättre:
| fält | Exempel |
|---|---|
| Källzon | LAN |
| Källnätverk | Client_Net_10.20.0.0_24 |
| Destination | Microsoft 365-målgrupp, FQDN-grupp eller specifikt nätverk |
| Tjänster | HTTPS, UDP 3478-3481 eller definierade tjänster |
| Användare/grupp | valfritt, endast om användarmatchning fungerar stabilt |
| Primär gateway | WAN2 |
| Fallback | WAN1 |
| NAT | MASQ eller fast SNAT IP som matchar gatewayen |
| testa | Klient-IP, Destination, Förväntad Gateway, Förväntad loggpost |
Ju tydligare matrisen är, desto mindre behöver man gissa senare. Särskilt med VoIP, VPN, molntjänster och flera platser bör man inte börja med Any bara för att det går snabbare att konfigurera.
Krav
- Sophos Firewall i gateway-läge.
- Minst en konfigurerad gateway under Nätverk > WAN-länkhanterare eller en lämplig VPN/XFRM-sökväg.
- Kända käll- och destinationsnätverk.
- Lämpliga brandväggsregler för trafik.
- Lämpliga NAT-regler om trafik behöver översättas.
- Logga in på relevanta brandväggsregler.
- Tillgång till Loggvisare och Diagnostik > Paketinsamling.
Lämplig för zoner, gränssnitt och gateways Konfigurera Sophos Firewall-zoner och gränssnitt. Om SD-WAN-rutten inbegriper en ruttbaserad IPsec VPN, dessutom Skapa IPsec-rutt på Sophos Firewall bli läst.
Skapa SD-WAN-rutt
Menysökväg:
Routing > SD-WAN routes
```Fortsätta:
1. Öppna **Lägg till**.
2. Ange ett entydigt namn, till exempel `Clients_M365_WAN2`.
3. Välj **Inkommande gränssnitt** eller källkontext för att matcha designen.
4. Källnätverk eller användare ställs bara in så brett som nödvändigt.
5. Välj destinationsnätverk, FQDN-värdar eller Internettjänster medvetet.
6. Begränsa tjänster till de protokoll som krävs.
7. Välj gateway- eller SD-WAN-profiler.
8. Kontrollera failover eller säkerhetskopieringsväg.
9. Spara regeln och placera den på rätt sätt i ordningen.
10. Genomför ett test med en definierad kund.
Det exakta gränssnittet kan variera något beroende på SFOS-versionen. Det avgörande är dock att sträckan måste matcha det önskade flödet och inte av misstag fånga upp mer trafik än planerat.
## Välj gateway- och SD-WAN-profiler
SD-WAN-rutter kan peka direkt till gateways eller arbeta med SD-WAN-profiler. Vilket tillvägagångssätt som är rätt beror på målet.
| tillvägagångssätt | Är vettigt om |
| --- | --- |
| fast gateway | Trafiken ska medvetet flyta över en linje |
| Gateway med backup | en rad är att föredra, men failover bör vara möjlig |
| SD-WAN-profiler | flera gateways kan utvärderas enligt vikt, SLA eller prioritet |
| XFRM-gränssnitt eller VPN-sökväg | ruttbaserad IPsec ingår i routingen |
Om du har flera WAN-linjer bör du också kontrollera om gatewayövervakning, failover-kriterier och leverantörsdirigering är realistiska. En gateway kan vara tekniskt "upp" även om en specifik målapplikation inte fungerar korrekt via denna leverantör.
## Kontrollera ordning och ruttföreträde
SD-WAN-rutter står inte ensamma. Beroende på deras design konkurrerar de med direktanslutna nätverk, statiska rutter, VPN-rutter och global ruttföreträde.
Viktiga frågor:
- Finns det en mer specifik statisk väg till destinationen?
- Passar en bredare SD-WAN-rutt längre upp?
- Bör SD-WAN utvärderas före eller efter Static?
- Är en policybaserad eller ruttbaserad IPsec VPN inblandad?
- Påverkar rutten endast vidarebefordrad klienttrafik eller även svarspaket och systemgenererad trafik?
Den globala ordningen är inne [Ändra Sophos Firewall-ruttprioritet på ett säkert sätt](/sv/kb/andra-routingprioritet-i-sophos-firewall/) förklarade. Lämplig för specialfallen **Svarspaket** och **Systemtrafik** [Sophos Firewall Kontrollera SD-WAN-routing för svarspaket och systemtrafik](/sv/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).
## Glöm inte NAT
Routing avgör vart ett paket går. NAT avgör om källan eller destinationsadressen ändras. Båda måste passa ihop.
Typiska exempel:
- Internettrafik över WAN2 kan behöva MASQ eller en fast SNAT IP på WAN2.
- Leverantörer eller molntjänster tillåter endast en viss offentlig IP.
- För interna nätverk eller VPN är NAT ofta felaktig eftersom den verkliga käll-IP:n bör bevaras.
- Efter failover kan den offentliga källans IP-adress ändras och fjärrplatser kan avbryta sessioner.
Om en SD-WAN-rutt fungerar korrekt men applikationen fortfarande misslyckas, bör NAT kontrolleras tidigt. Grunderna finns i [Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT](/sv/kb/sophos-firewall-nat-basics/).
## Testning och validering
En grön gateway-status bevisar inte att SD-WAN-rutten träffar den förväntade trafiken. Testet måste kontrollera ett verkligt flöde.
Meningsfull process:
1. Använd testklient med känd IP.
2. Ange mål och tjänst exakt.
3. Aktivera loggning av brandväggsregel.
4. Starta anslutning.
5. I **Loggvisaren** kontrollera Källa, Destination, Service, Regel-ID, NAT-ID och Gateway.
6. Kontrollera användningsräknaren för SD-WAN-rutten.
7. Om det är oklart, använd **Diagnostik > Packet capture** med ett smalt filter.
8. Testa fel på den primära gatewayen vid validering av failover.
9. Efter failback, kontrollera om sessioner och nya anslutningar körs som förväntat.
Lämplig för paketflödesanalys [Sophos Firewall-regeltestning med Log Viewer, Policy Test och Packet Capture](/sv/kb/testa-sophos-firewall-regler/). Viktigt: Policytestaren ersätter inte ett riktigt paketflödestest för SD-WAN.
## Vanliga misstag
| Fel | Effekt | Bättre tillvägagångssätt |
| --- | --- | --- |
| Destination `Any` för bekvämlighet | för mycket trafik fångas upp av SD-WAN | Välj målnätverk, FQDN-värdar eller Internettjänster mer snävt |
| SD-WAN-rutten är för hög | mer specifik applikation eller rutt åsidosätts | Kontrollera ordning och träffa räknare |
| NAT matchar inte gatewayen | Applikationen ser felaktig käll-IP eller retursökvägsbrytningar | Kontrollera NAT-regeln och MASQ/SNAT |
| Gatewayövervakningen är för grov | Gateway är aktiv även om målapplikationen inte kan nås | Välj SLA/övervakningsmål som matchar tjänsten |
| Ruttprioritet ignoreras | Statisk rutt eller VPN-rutt fungerar annorlunda än förväntat | Dokumentera och testa ruttföreträde |
| Svar trafik felklassificerad | Svar går inte via förväntad väg | Kontrollera alternativ för paketfångning och svarspaket |
| flera ändringar samtidigt | Orsaken är fortfarande oklar en förändring, ett test, gå sedan vidare |
## Felsökning
Om SD-WAN-rutten inte fungerar som förväntat bör du inte omedelbart "lösa" felet med bredare regler. En tydlig avgränsning är bättre.
Kontrollera:
1. När paketet ens brandväggen?
2. Uppfyller den den förväntade brandväggsregeln?
3. Stämmer SD-WAN-rutten enligt mätaren?
4. Är en annan SD-WAN-rutt högre upp mer specifik eller bredare?
5. Passar tjänsten verkligen, till exempel TCP/UDP och port?
6. Används NAT och är det önskvärt?
7. Lämnar paketet brandväggen via den förväntade gatewayen?
8. Kommer svaret tillbaka?
9. Finns det en statisk rutt, VPN-rutt eller ruttföreträde som påverkar sökvägen?
Om Packet Capture inte ser ett paket alls, är problemet i brandväggen: klientgateway, VLAN, switch, lokal routing eller felaktigt test. Om paketet anländer men går över fel väg, är SD-WAN-kriterier, ordning, NAT och ruttföreträde nästa kontrollpunkter.
## Driftskontroll
SD-WAN-rutter bör dokumenteras och regelbundet kontrolleras efter introduktion. Detta är särskilt viktigt vid byte av leverantör, nya VPN, ytterligare WAN-linjer eller ändringar av molntjänster.
Du bör dokumentera:
- Syftet med rutten
- Käll- och destinationskriterier
- Tjänster
- Gateway- eller SD-WAN-profiler
- NAT-förväntningar
- Failover beteende
- Testa klient och testmål
- Ägare och recensionsdatum
För verksamhetskritiska applikationer bör det också framgå vilka som ska reagera vid leverantörsstörningar, failover-problem eller ändrade publika IP:er.
## Checklista
- Trafikdestination och sökintention för rutten beskrivs tydligt.
- Källa, destination och tjänster är inte onödigt brett inställda.
- Gateway- eller SD-WAN-profiler har medvetet valts.
- Brandväggsregel och NAT-regel matchar rutten.
- Ruttens prioritet kontrolleras.
- Svarspaket och systemgenererad trafik ingår endast vid behov.
- Log Viewer och Packet Capture används för acceptans.
- Failover och failback testade när en del av designen.
- Rutten dokumenterad och tillhandahålls med ägare.
## Vanliga frågor
När behöver du en SD-WAN-rutt på Sophos Firewall?
En SD-WAN-rutt är vettig när viss trafik ska flyta över en specifik väg beroende på källa, destination, tjänst, användare eller gateway. För ett enkelt målnätverk kan en statisk rutt ofta räcka.
Varför fungerar inte min SD-WAN-rutt?
Ofta stämmer inte källan, destinationen, tjänsten, beställningen eller ruttens företräde. Dessutom kan en brandväggsregel, NAT-regel eller statisk rutt påverka det faktiska paketflödet.
Kan du använda SD-WAN med ruttbaserad IPsec?
Ja, ruttbaserad IPsec kan integreras i SD-WAN-designer med XFRM-gränssnitt och lämpliga rutter. Sedan bör IPsec-status, SD-WAN-rutt, ruttföreträde, NAT och brandväggsregler kontrolleras tillsammans.
Ska du alltid ställa in Destination på Alla?
Nej. Any är bara rimligt om rutten verkligen ska styra all destinationstrafik från den här källan. För molntjänster, VoIP, interna nät eller VPN är smalare mål oftast säkrare och enklare att underhålla.
Är policytestaren tillräcklig för SD-WAN-testning?
Nej. Policytestaren hjälper till med policylogik, men ersätter inte ett riktigt paketflödestest. För SD-WAN bör du använda log viewer, hit counter och packet capture.