Hoppa till innehållet
Avanet

Konfigurera och felsök Sophos SD-RED

Med en Sophos SD-RED kan man ansluta filialer, kontor eller mindre hemmakontor till en Sophos Firewall. RED skapar en krypterad tunnel till brandväggen och tillhandahåller ett nätverk på den avlägsna platsen som styrs centralt via brandväggen.

Den praktiska fördelen: På plats behövs normalt ingen komplex VPN-konfiguration. SD-RED ansluts till internet, laddar sin konfiguration via Sophos RED Provisioning Service och bygger sedan upp tunneln till Sophos Firewall. Tunneln ensam löser dock inte allt. Zoner, brandväggsregler, DHCP, VLAN, routing, DNS och firmwarestatus måste också stämma.

Klassificering: SD-RED, RED-tunnel och SFOS 22

Vid nya projekt bör man tydligt skilja mellan aktuella SD-RED-platser och gamla site-to-site RED-konfigurationer. Legacy RED server/client configurations stöds inte längre i SFOS 22.0 och senare. Sådana gamla konfigurationer bör granskas och migreras innan en uppgradering.

För aktuella SD-RED-enheter förblir RED ett relevant platsämne. Med SFOS 21.5 dokumenterades dessutom en högre skalbarhet för SD-RED och site-to-site RED-tunnlar. För administratörer innebär detta: Nya platser bör planeras noggrant med aktuell SD-RED-logik, medan gamla Legacy-RED-tunnlar medvetet måste granskas före SFOS-22-uppgraderingar.

Förutsättningar på huvudplatsen

Innan RED ansluts bör följande punkter vara klara på Sophos Firewall:

  • RED Service är aktiverad på brandväggen.
  • Offentlig IP-adress eller DNS-/DynDNS-namn för brandväggen är åtkomlig.
  • RED-anslutningar till brandväggen är tillåtna på WAN-sidan.
  • RED är tillåten under Administration > Device access för rätt WAN-zon eller specifikt tillåten via Local Service ACL.
  • RED-gränssnitt, zon och IP-konfiguration är planerade.
  • Brandväggsregler från RED-nätet till målnäten är förutsedda.
  • DHCP, DHCP Relay eller statisk adressering för klienter bakom RED är klarlagd.
  • RED Firmware Pattern på brandväggen är aktuell.
  • Backup och firmwarestatus för brandväggen är dokumenterade före större ändringar.

För RED-kommunikation är särskilt TCP 3400, UDP 3410 och NTP 123 relevanta. Dessa anslutningar får inte blockeras av leverantörsroutrar, förskjutna brandväggar eller säkerhetsgateways.

Förutsättningar på den avlägsna platsen

På den avlägsna platsen behöver SD-RED en stabil internetanslutning. Avgörande är inte bara bandbredd, utan framför allt stabilitet, latens, paketförlust och om leverantören tillåter de nödvändiga anslutningarna.

Man bör kontrollera:

  • Internetanslutningen är stabil.
  • WAN-porten på RED får en adress via DHCP eller har en korrekt statisk konfiguration.
  • Standardgateway är åtkomlig.
  • DNS fungerar.
  • NTP är åtkomlig.
  • TCP 3400, UDP 3410 och NTP 123 blockeras inte.
  • Leverantörsroutern eller förskjuten brandvägg gör ingen oväntad filtrering.
  • Vid VLAN är det klart vilken port som är taggad, otaggad eller hybrid.

För enkla platser räcker ofta en liten anslutning. I praktiken är dock paketförlust, instabila konsumentroutrar, CGNAT, DNS-problem eller restriktiva leverantörsbrandväggar oftare orsaken än ren bandbredd.

Sophos SD-RED 20 med status-LEDs på framsidan
LEDs på SD-RED visar startstatus, routeranslutning, internetanslutning och tunnelstatus.

Ansluta SD-RED

Typiskt förlopp:

  1. Anslut WAN-porten på SD-RED till leverantörsroutern eller modemet.
  2. Anslut LAN-porten till testklient, switch eller lokalt nätverk.
  3. Förse SD-RED med ström.
  4. Vänta tills RED startar, kontrollerar gateway och internet, laddar konfigurationen och bygger upp tunneln.
  5. Kontrollera på Sophos Firewall om RED-gränssnittet är aktivt.
  6. Anslut testklient bakom RED och kontrollera IP, DNS, gateway och målåtkomst.

När alla relevanta LEDs är gröna, är den tekniska tunneln upprättad. Därefter börjar den egentliga nätverkskontrollen: Zon, DHCP, brandväggsregler, återrouting, DNS och vid behov VLAN.

Manuell provisioning med USB-minne

Normalt provisioneras en SD-RED via Sophos RED Provisioning Service. Manuell provisioning med USB-minne är användbart när enheten står i ett privat eller starkt begränsat nät, behöver statisk WAN-konfiguration eller när den automatiska provisioningvägen inte är tillförlitlig.

Flödet är mer exakt än att bara kopiera en provisioningfil till USB:

  1. På firewallen under Administration > Time kontrolleras om firewallen lämpar sig som NTP-server för RED-scenariot. Vid manuell setup måste RED få giltig tid så att TLS-handshake med firewallen fungerar.
  2. Under Network > Zones skapas en egen zon för RED-platser eller en befintlig zon som VPN eller WiFi används. LAN-zonen bör undvikas för RED, så att LAN-regler inte oavsiktligt gäller för den fjärranslutna platsen.
  3. Under System services > RED aktiveras RED Provisioning Service.
  4. Under Network > Interfaces > Add interface > Add RED skapas RED-gränssnittet.
  5. Vid Device deployment väljs Manually via USB stick.
  6. RED ID, Unlock Code, uplink, RED network settings, zon, DHCP och VLAN anges så att de passar platsen.
  7. Den genererade provisioningfilen laddas ner från RED-gränssnittet.
  8. Filen kopieras till rotkatalogen på USB-minnet.
  9. RED stängs av, USB-minnet sätts i och RED startas igen.
  10. Efter start kontrolleras gränssnitt, LED, klient-IP, DNS, firewall-regel och åtkomst till mål.

Om RED:s WAN-sida använder DHCP måste en DHCP-server faktiskt svara på fjärrplatsen. Om RED inte får någon adress kan den hamna i en omstartsloop. Vid statisk WAN-konfiguration måste IP-adress, gateway, DNS och NTP kontrolleras extra noggrant.

Offline-RED behöver ändå giltig tid. Antingen får RED nå Sophos NTP-servrar, eller så planeras en riktad Local service ACL exception rule så att RED får kommunicera från WAN-zonen till firewallen. Som source används bara den kända RED-IP:n, destination är firewallens WAN-port, service i detta scenario HTTPS, action Accept. Undantaget ersätter inte att öppna RED brett via WAN.

Förstå LED-status

Status-LEDs är ofta den snabbaste ingången vid RED-felsökning, eftersom de visar vid vilken punkt startprocessen fastnar.

Legend:

  • ⚫ av
  • 🟢 lyser grönt
  • 🟢 blinkar grönt
  • 🔴 lyser rött
  • 🔴 blinkar rött

Beroende på synvinkel, foto eller omgivande ljus kan en LED verka gulaktig eller orange. För diagnosen är det viktigast vilken LED som lyser eller blinkar och om den är grön eller röd.

Normal startprocess

SystemRouterInternetTunnelBetydelse
🟢 blinkarSD-RED startar.
🟢Startprocessen avslutad.
🟢🟢 blinkarAnslutning till gateway eller router upprättas.
🟢🟢Standardgateway är åtkomlig.
🟢🟢🟢 blinkarInternetanslutning kontrolleras.
🟢🟢🟢Internetanslutning är upprättad.
🟢🟢🟢🟢 blinkarTunnel till Sophos Firewall upprättas.
🟢🟢🟢🟢Tunnel till Sophos Firewall är upprättad.
🟢 blinkar🟢 blinkar🟢 blinkar🟢 blinkarFirmware installeras. Stäng inte av enheten.

Om alla fyra LEDs lyser grönt men ingen trafik fungerar, ligger problemet oftast inte längre vid tunneluppbyggnaden. Då är brandväggsregler, DHCP, VLAN, DNS, NAT eller routing mer sannolika.

Felkoder

SystemRouterInternetTunnelBetydelseNästa kontroll
🔴DHCP eller statisk IP-konfiguration misslyckadesDHCP, WAN-kabel, statisk IP, gateway
🔴🟢Internet inte åtkomligtDNS, NTP, leverantör, förskjuten brandvägg
🔴🟢🟢Ingen anslutning till Sophos FirewallRED Service, TCP 3400, UDP 3410, FQDN, Unlock Code
🔴🟢🟢🟢Ingen konfiguration eller firmwareproblemProvisionering, RED Firmware Pattern, Unlock Code, supportärende

3G/4G-failover

Vid SD-RED-modeller med 3G/4G-failover eller motsvarande modul kan ytterligare mönster uppstå.

SystemRouterInternetTunnelBetydelse
🔴 blinkar🟢 blinkar3G/4G-failover är aktiv.
🔴 blinkar🟢🟢 blinkarGateway åtkomlig, internetanslutning upprättas.
🔴 blinkar🟢🟢🟢 blinkarInternet är upprättad, tunnel upprättas.
🔴 blinkar🟢 blinkar🟢 blinkar🟢 blinkarTunnel är upprättad via failover-anslutning.

Kontrollera firmware-uppdateringar

Om LEDs blinkar tillsammans kan RED just nu installera en firmware. Under denna fas bör man inte stänga av enheten eller koppla bort den från internet. En uppdatering kan ta några minuter.

På Sophos Firewall bör man dessutom kontrollera:

Backup & firmware > Pattern updates

Där måste RED Firmware Pattern vara aktuell. Om en RED fastnar i en loop eller inte startar korrekt efter en brandväggsuppdatering, är ett föråldrat RED Firmware Pattern ett vettigt kontrollsteg.

Ett relaterat driftsönskemål beskrivs i Sophos Firewall Feature Request 2024: Vid RED- och Access-Point-firmwareuppdateringar saknas ofta direkt synliga release notes i backend. För produktiva miljöer bör man därför planera uppdateringar medvetet och inte installera dem okoordinerat under kritiska driftstider.

Kontrollera RED-gränssnitt, zon och regler

Efter en lyckad tunneluppbyggnad behöver RED en korrekt brandväggskonfiguration.

Typiska kontrollpunkter:

  • RED-gränssnitt är aktivt under Network > Interfaces.
  • Gränssnittet ligger i rätt zon.
  • DHCP-server eller DHCP-relä är korrekt inställd.
  • Klienter får IP-adress, gateway och DNS.
  • Brandväggsregler tillåter endast de nödvändiga målen.
  • Återrouting till RED-nätet fungerar.
  • NAT används endast om det är medvetet planerat.
  • VLAN-konfiguration passar till RED-läge och switch-port.

För regelgrunder passar Förstå och konfigurera Sophos Firewall-regler korrekt. Om tunneln är upprättad men trafik inte flödar, bör man kombinera Log Viewer och Packet Capture.

Uppgraderings- och migrationsfällor

Legacy site-to-site RED före SFOS 22

Innan en uppgradering till SFOS 22 eller senare bör man kontrollera om det fortfarande finns Legacy firewall RED server/client configurations. Dessa Legacy-site-to-site-RED-konfigurationer stöds inte längre i SFOS 22.0 och senare.

Praktiskt innebär detta:

  • Inventera RED- och VPN-konfigurationer före uppgraderingen.
  • Identifiera Legacy RED server/client configurations.
  • Planera migration till stödda RED-site-to-site- eller VPN-varianter.
  • Efter migrationen kontrollera brandväggsregler, zoner, routing och DHCP.
  • Utför uppgraderingen först när platsanslutningarna har testats.

För större uppgraderingsplanering passar dessutom Planera Sophos Firewall Firmware Update korrekt.

RED system hosts efter SFOS 21.5 MR1

Sedan SFOS 21.5 MR1 får RED system host objects den korrekta /32-subnätmasken. Om sådana automatiskt genererade RED-systemobjekt tidigare användes i regler eller andra konfigurationer för mer än en värd-IP, kan trafiken matcha annorlunda efter uppdateringen.

Efter en uppgradering bör man därför kontrollera:

  • Används RED system hosts i brandväggsregler?
  • Förväntar en regel av misstag ett nätverk istället för en enskild värd?
  • Behöver IP Host eller Network Host-objekt ersättas?
  • Stämmer regelmatchningar fortfarande i Log Viewer?

RED och HA-failover

I HA-miljöer bör RED-platser testas medvetet efter en failover. Sophos påpekar att RED-tunnlar efter en HA-failover inte alltid omedelbart återansluter till auxiliary-enheten. Tiden beror bland annat på antal gränssnitt och konfiguration.

För kritiska platser bör man inte bara kontrollera firewallens HA-status, utan även:

  • RED-gränssnittets status efter failover
  • klientåtkomst bakom RED
  • relevanta firewall-regelträffar
  • DNS och DHCP bakom RED
  • monitoring-larm vid längre tunnelavbrott

Felsökning

RED får ingen IP-adress

Om RED fastnar vid routersteget eller felkoden pekar på DHCP eller gateway, ligger orsaken oftast på den avlägsna platsen.

Kontrollera:

  • Ger leverantörsroutern ut en IP-adress via DHCP?
  • Är nätverkskabeln korrekt ansluten till WAN-porten?
  • Är standardgateway åtkomlig?
  • Har en statisk IP-adress angetts fullständigt?
  • Stämmer IP-adress, subnätmask, gateway och DNS?
  • Blockerar en förskjuten enhet trafiken?

Om DHCP inte fungerar på den avlägsna platsen kan RED hamna i en omstartsloop.

RED når inte internet

Om router eller gateway är åtkomlig men internet-LED inte blir permanent grön, ligger problemet oftast bakom den lokala routern.

Kontrollera:

  • Fungerar internetanslutningen med en vanlig klient?
  • Fungerar DNS?
  • Är NTP åtkomlig?
  • Blockeras TCP 3400, UDP 3410 eller NTP 123?
  • Finns det en proxy eller brandvägg mellan RED och internet?
  • Är leverantörsanslutningen tillräckligt stabil?

För RED-provisionering måste RED nå Sophos Provisioning Service. I många miljöer är red.astaro.com på TCP 3400 relevant.

RED når inte Sophos Firewall

Om internet är åtkomligt men tunneln inte byggs upp, kontrollerar man brandväggssidan.

Kontrollera:

  • Är RED Service aktiverad på Sophos Firewall?
  • Är RED korrekt skapad?
  • Stämmer RED-ID och Unlock Code?
  • Är den offentliga IP:n eller FQDN för brandväggen åtkomlig?
  • Är Administration > Device access för RED tillåten i rätt WAN-zon?
  • Tillåter en Local Service ACL åtkomst från den avlägsna platsen?
  • Kommer TCP 3400 och UDP 3410 fram till brandväggen?

I Advanced Shell kan man kontrollera om RED-trafik kommer fram:

tcpdump -ni any port 3400 or port 3410

Om inget kommer fram ligger problemet oftast före brandväggen: leverantörsrouter, NAT, förskjuten brandvägg, felaktig offentlig IP, FQDN eller portblockering.

RED startar om hela tiden

En omstartsloop kan ha flera orsaker:

  • instabil strömförsörjning
  • defekt nätadapter
  • ingen IP-adress via DHCP
  • felaktig statisk IP-konfiguration
  • blockerade portar
  • föråldrat RED Firmware Pattern
  • felaktig Unlock Code
  • skadad eller felaktig RED-konfiguration

Först kontrollera strömförsörjning, kablar och DHCP. Därefter kontrollera RED Firmware Pattern, portåtkomst och konfiguration. Om RED skapas om eller återställs måste RED-ID och Unlock Code dokumenteras i förväg.

Tunnel är grön, men ingen trafik flödar

Detta fall är särskilt vanligt. RED är ansluten, men klienter når inga interna system eller inget internet.

Möjliga orsaker:

  • Brandväggsregel saknas eller ligger för långt ner.
  • RED-gränssnitt ligger i fel zon.
  • DHCP distribuerar fel gateway eller fel DNS-servrar.
  • Återrouting till RED-nätet saknas.
  • NAT översätter trafik oväntat.
  • VLAN-tagging passar inte.
  • Säkerhetsfunktion blockerar trafiken.

Kontrollordning:

  1. Kontrollera klient-IP, gateway och DNS.
  2. Filtrera Log Viewer på käll-IP för RED-klienten.
  3. Kontrollera brandväggsregelmatchning.
  4. Utför Packet Capture på RED-gränssnitt och målgränssnitt.
  5. Kontrollera återvägen från målsystemet eller mål-nätverket.
  6. Kontrollera NAT och routing.

Vid oklara regelmatchningar hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

VLAN-trafik fungerar inte

Vid SD-RED 60 är VLAN-scenarier möjliga, men portläge, VLAN-ID och RED-läge måste passa ihop.

Kontrollera:

  • VLAN-ID stämmer på brandvägg, RED och switch.
  • RED-port är korrekt konfigurerad som Access, Hybrid eller Tagged Trunk.
  • Switch-port på den avlägsna platsen är korrekt taggad eller otaggad.
  • DHCP och DNS är planerade per VLAN.
  • Brandväggsregler finns för respektive VLAN-nät.
  • Det valda RED-läget stöder det önskade VLAN-scenariot.

För felsökning är ett enkelt otaggat testnätverk användbart. Om detta fungerar ligger orsaken oftast vid VLAN-ID, tagging, portläge eller switch-konfiguration.

RED Access Points förblir inaktiva

Om RED Access Points eller Wi-Fi-funktioner i VLAN-scenarier förblir inaktiva kan DHCP Option 234 vara relevant. Detta gäller särskilt fall där RED- eller Access-Point-kommunikation sker över VLAN-gränssnitt.

Denna option bör endast sättas om det specifika scenariot passar och det är klart vilken brandväggsgränssnitts-IP enheterna ska nå. Vid allmänna RED-anslutningsproblem är DHCP Option 234 inte det första steget.

Offline-provisionering skrivs över

Om en RED först provisionerades online och senare provisioneras offline via USB, kan en gammal online-konfiguration finnas kvar på Sophos Provisioning Server. Om RED inte når brandväggen kan den provisionera online igen och skriva över USB-konfigurationen.

Då måste RED provisioneras offline igen. Dessutom bör den gamla online-konfigurationen tas bort via Sophos Support.

Diagnospunkter på Sophos Firewall

För RED-problem är dessa punkter användbara:

  • Network > Interfaces för RED-gränssnitt och status
  • Administration > Device access för RED-service-tillstånd
  • Rules and policies > Firewall rules för trafik från RED-nätet
  • Diagnostics > Packet capture för vägkontroll
  • Log viewer med RED-, brandväggs- och systemhändelser
  • Backup & firmware > Pattern updates för RED Firmware Pattern
  • Advanced Shell med tcpdump

För loggfiler och tjänstetilldelning passar Sophos Firewall Troubleshooting: Services och Logs.

Driftschecklista

Före utrullning:

  • RED-ID och Unlock Code dokumenterade.
  • Offentlig brandväggsadress eller FQDN kontrollerad.
  • TCP 3400, UDP 3410 och NTP 123 kontrollerade.
  • RED Service och Device Access planerade på brandväggen.
  • Zon, DHCP, routing och brandväggsregler definierade.
  • VLAN-läge vid behov testat i förväg.

Efter anslutning:

  • LEDs visar lyckad tunneluppbyggnad.
  • RED-gränssnitt är aktivt.
  • Klient får IP, gateway och DNS.
  • Log Viewer visar förväntad brandväggsregel.
  • Interna målsystem och internetväg fungerar som planerat.
  • Firmware Pattern är aktuellt.

I drift:

  • Kontrollera RED-firmwaremönster regelbundet.
  • Testa platsanslutningar efter brandväggsuppgraderingar.
  • Ta bort eller migrera Legacy site-to-site RED före SFOS 22.
  • Kontrollera RED system hosts efter SFOS 21.5 MR1 för /32-effekter.
  • Inkludera RED-platser i övervakning, backup och nödfallsplanering.

FAQ

Vilka portar behöver Sophos SD-RED?

För RED-kommunikation är särskilt TCP 3400, UDP 3410 och NTP 123 viktiga. Beroende på nätverk kan dessutom DNS och andra anslutningar för provisionering, tid och drift vara relevanta.

Varför är RED-tunneln grön, men klienter når inget?

Då är tunneln upprättad, men nätverkskonfigurationen bakom den passar förmodligen inte. Ofta saknas brandväggsregler, DHCP är felaktigt, RED-gränssnittet ligger i fel zon, routing eller NAT är felaktigt eller VLAN-tagging passar inte.

När behöver en SD-RED manuell provisioning via USB?

Manuell provisioning är användbar när RED står i ett privat eller starkt begränsat nät, behöver statisk WAN-konfiguration eller automatisk provisioning inte fungerar tillförlitligt. NTP, provisioningfil, zon, Device Access och firewall-regler måste då planeras extra noggrant.

Vad måste kontrolleras före SFOS 22 för RED?

Före SFOS 22 måste man kontrollera om det fortfarande finns Legacy firewall RED server/client configurations. Dessa Legacy-site-to-site-RED-konfigurationer stöds inte längre i SFOS 22.0 och senare.

Varför är RED system hosts relevanta efter en uppgradering?

Sedan SFOS 21.5 MR1 får RED system host objects den korrekta /32-subnätmasken. Om sådana objekt tidigare användes som nätverksobjekt kan brandväggsregler matcha annorlunda efter uppdateringen.

Ska man stänga av en SD-RED under en firmwareuppdatering?

Nej. Om LEDs indikerar en firmwareuppdatering bör SD-RED inte stängas av och inte kopplas bort från internet. Därefter bör man kontrollera om RED Firmware Pattern på brandväggen är aktuellt.