Konfigurera Sophos SD-RED och felsöka problem
Med Sophos SD-RED kan filialer, externa kontor eller hemmakontor anslutas till en Sophos Firewall på huvudplatsen med relativt liten insats. RED bygger en krypterad tunnel till firewall och utökar huvudplatsens nätverk till den externa platsen.
Den stora fördelen: På plats behövs normalt ingen komplex VPN-konfiguration. RED ansluts till internet, hämtar sin konfiguration via Sophos RED Provisioning Service och etablerar därefter tunneln till firewall.
Krav på huvudplatsen
- Sophos Firewall
- Network Protection-licens
- aktiv RED Service på firewall
- nåbar publik IP-adress eller DNS-/DynDNS-namn
- inkommande RED-anslutningar till firewall tillåtna
- passande firewall rules för trafik från RED-nätet till önskat målnät
- DHCP-server eller lämplig nätverkskonfiguration för klienter bakom RED
Sophos anger TCP 3400, UDP 3410 och NTP 123 som viktiga kommunikationskrav. Dessa anslutningar får inte blockeras av operatörsroutrar, framförliggande firewalls eller security gateways.
Krav på den externa platsen
- Sophos SD-RED
- internetanslutning
- DHCP på operatörens router eller en korrekt konfigurerad statisk adress
- nåbar default gateway
- fungerande DNS- och tidsupplösning
- ingen blockering av TCP 3400, UDP 3410 och NTP 123
För enkla platser räcker ofta en internetanslutning med minst 5000/500 Kbit/s. Avgörande är dock inte bara bandbredden, utan även stabilitet, latens, paketförlust och om operatören släpper igenom de nödvändiga portarna korrekt.
Anslut Sophos SD-RED
- Anslut SD-RED:s WAN-port till operatörens router eller modem på den externa platsen.
- Anslut SD-RED:s LAN-portar till en klient, switch eller det lokala nätet på den externa platsen.
- Anslut därefter SD-RED till ström.
- RED startar, hämtar en IP-adress, kontrollerar routern, kontrollerar internetanslutningen, hämtar konfigurationen och etablerar tunneln till Sophos Firewall.
- När alla relevanta LED:er lyser grönt är anslutningen till firewall etablerad.
På huvudplatsen behöver man därefter kontrollera att RED-interfacet på Sophos Firewall har rätt zon, IP-konfiguration, DHCP-konfiguration och firewall rules. En tunnel i sig betyder inte att klienter bakom RED automatiskt får nå allt.
Förstå LED-status vid start
Status-LED:erna är mycket användbara vid RED-troubleshooting eftersom de visar var anslutningsprocessen fastnar.
Förklaring:
- ⚫ av
- 🟢 fast grönt
- 🟢 blinkande grönt
- 🔴 fast rött
- 🔴 blinkande rött
De officiella LED-koderna skiljer huvudsakligen mellan grönt, rött, blinkande och av. Beroende på betraktningsvinkel, foto eller omgivningsljus kan en LED se gulaktig eller orange ut. För diagnosen är det viktigaste: vilken LED lyser eller blinkar, och är den grön eller röd?
Normal bootprocess
| System | Router | Internet | Tunnel | Betydelse |
|---|---|---|---|---|
| 🟢 blinkar | ⚫ | ⚫ | ⚫ | RED startar. |
| 🟢 | ⚫ | ⚫ | ⚫ | Bootprocessen är klar. |
| 🟢 | 🟢 blinkar | ⚫ | ⚫ | RED ansluter till default gateway eller router. |
| 🟢 | 🟢 | ⚫ | ⚫ | Default gateway är nåbar. |
| 🟢 | 🟢 | 🟢 blinkar | ⚫ | RED ansluter till internet. |
| 🟢 | 🟢 | 🟢 | ⚫ | Internetanslutningen är etablerad. |
| 🟢 | 🟢 | 🟢 | 🟢 blinkar | RED ansluter till Sophos Firewall. |
| 🟢 | 🟢 | 🟢 | 🟢 | Tunneln till firewall är etablerad. |
| 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | RED installerar ny firmware. Stäng inte av RED. |
När alla fyra LED:er lyser grönt är den tekniska RED-anslutningen uppe. Om trafiken ändå inte fungerar efteråt ligger problemet oftast inte längre i tunneluppbyggnaden, utan i firewall rules, routing, NAT, VLAN eller DHCP.
Felkoder
| System | Router | Internet | Tunnel | Betydelse | Typisk orsak |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP eller statisk IP-konfiguration misslyckades. | Ingen DHCP, fel statisk adress, gateway inte nåbar. |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet inte nåbart. | Router nåbar, men DNS, routing, operatör eller framförliggande firewall blockerar trafik. |
| 🔴 | 🟢 | 🟢 | ⚫ | Ingen anslutning till Sophos Firewall. | Kontrollera RED Service, TCP 3400, UDP 3410, provisioning, firewall-nåbarhet eller Unlock Code. |
| 🔴 | 🟢 | 🟢 | 🟢 | Ingen konfiguration tillgänglig eller firmwareuppdatering misslyckades. | Kontrollera provisioning-konfiguration, Firmware Pattern, Unlock Code eller supportärende. |
3G/4G-failover
På SD-RED-modeller med 3G/4G-failover eller motsvarande modul kan ytterligare LED-mönster förekomma.
| System | Router | Internet | Tunnel | Betydelse |
|---|---|---|---|---|
| 🔴 blinkar | 🟢 blinkar | ⚫ | ⚫ | 3G/4G-failover är aktivt. |
| 🔴 blinkar | 🟢 | 🟢 blinkar | ⚫ | Default gateway är nåbar och internetanslutningen etableras. |
| 🔴 blinkar | 🟢 | 🟢 | 🟢 blinkar | Internet är uppe och tunneln till firewall etableras. |
| 🔴 blinkar | 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | Tunneln är uppe via failover-anslutningen. Detta mönster syns först när tunneln har etablerats. |
Avbryt inte firmwareuppdateringar
Om status-LED:erna blinkar roterande eller tillsammans efter start kan RED hålla på att installera firmware. I den här fasen bör RED inte stängas av och inte heller kopplas bort från internet. En firmwareuppdatering kan ta flera minuter.
På Sophos Firewall bör man dessutom kontrollera under Backup & firmware > Pattern updates om RED Firmware Pattern är aktuellt. Om en RED fastnar i en anslutningsloop eller startar om upprepade gånger kan ett föråldrat RED Firmware Pattern vara en möjlig orsak.
Vanliga fallgropar efter lyckad anslutning
En grön tunnel betyder bara att RED är ansluten till firewall. Därefter krävs fortfarande en ren nätverkskonfiguration.
Typiska punkter:
- RED-interfacet ligger i rätt zon.
- DHCP för RED-nätet är konfigurerat eller relay fungerar.
- Firewall rules tillåter trafik från RED-nätet till de önskade målnäten.
- Returrouting till RED-nätet är korrekt.
- NAT används bara där det verkligen behövs.
- DNS fungerar för klienter på den externa platsen.
- Vid VLAN är RED-läget lämpligt.
Om klienter bakom RED inte får en IP-adress är problemet oftast DHCP eller VLAN-tagging. Om klienter får en IP-adress men inte når interna system är orsaken oftast firewall rules, routing eller DNS.
Troubleshooting: RED ansluter inte
RED får ingen IP-adress eller når inte gateway
Om RED fastnar vid routersteget eller felkoden pekar på DHCP eller gateway bör den externa platsen kontrolleras först.
Kontrollera:
- Delar operatörens router ut en IP-adress via DHCP?
- Är nätverkskabeln korrekt ansluten till RED:s WAN-port?
- Är default gateway nåbar?
- Har en statisk IP-adress angetts korrekt?
- Är IP-adress, subnet mask, gateway och DNS konsekventa?
- Blockerar en framförliggande enhet trafiken?
Om DHCP på den externa platsen inte fungerar kan RED hamna i en omstartsloop eftersom den inte kan etablera en användbar nätverksanslutning.
RED når inte internet
Om router/gateway är nåbar men Internet-LED inte blir fast grön ligger problemet oftast bakom den lokala routern.
Kontrollera:
- Fungerar internetanslutningen på den externa platsen med en vanlig klient?
- Fungerar DNS?
- Är NTP nåbart?
- Blockeras TCP 3400, UDP 3410 eller NTP 123 av operatören?
- Finns det en firewall eller proxy mellan RED och internet?
För RED provisioning måste RED kunna nå Sophos Provisioning Service. Sophos använder bland annat red.astaro.com på TCP 3400.
RED når inte Sophos Firewall
Om internet är nåbart men tunneln inte etableras kontrolleras firewall-sidan.
Kontrollera:
- Är RED Service aktiverad på Sophos Firewall?
- Har RED-interfacet skapats korrekt?
- Stämmer RED ID och Unlock Code?
- Är firewallens publika adress eller FQDN nåbar?
- Är Administration > Device access tillåtet för RED på rätt WAN-zon?
- Tillåter en Local Service ACL den publika IP-adressen från den externa platsen för RED Services om åtkomsten har begränsats?
- Kommer TCP 3400 och UDP 3410 fram till firewall?
På firewall kan Advanced Shell användas med tcpdump för att kontrollera om RED-trafik kommer fram:
tcpdump -ni any port 3400 or port 3410
Om ingenting kommer fram ligger problemet oftast framför firewall: operatörsrouter, NAT, framförliggande firewall, fel publik IP-adress eller portblockering.
RED startar om hela tiden
En omstartsloop kan ha flera orsaker:
- instabil strömförsörjning
- defekt hardware eller problem med nätaggregat
- ingen IP-adress via DHCP
- felaktig eller skadad konfiguration
- föråldrat RED Firmware Pattern
- blockerade portar TCP 3400 eller UDP 3410
- fel Unlock Code
Först kontrolleras strömförsörjning, nätverksanslutning och DHCP. Därefter bör RED Firmware Pattern uppdateras på firewall och man kontrollerar om TCP 3400 och UDP 3410 syns på firewall.
Om konfigurationen verkar misstänkt kan RED skapas på nytt eller återställas till fabriksinställningar. Innan dess bör man säkerställa att RED ID och Unlock Code är korrekt dokumenterade.
Tunneln är grön men ingen trafik fungerar
Det här är ett mycket vanligt fall: RED-LED:erna ser bra ut, men klienter når inga interna system eller internet.
Möjliga orsaker:
- Firewall rule saknas eller ligger fel.
- RED-interfacet ligger i fel zon.
- Returroute till RED-nätet saknas.
- NAT översätter trafik oväntat.
- DHCP delar ut fel gateway eller fel DNS-servrar.
- UDP 3410 filtreras eller blockeras instabilt längs vägen.
Kontrollera i Log viewer om trafik från RED-nätet syns. Därefter hjälper Diagnostics > Packet capture och vid behov tcpdump -ni any port 3410. Vid regelproblem är artikeln Förstå och konfigurera Sophos Firewall rules korrekt användbar.
Ingen VLAN-trafik via RED
Med SD-RED 60 är VLAN-scenarier möjliga, men läget är avgörande. Sophos påpekar att VLAN-trafik bara behandlas i ett lämpligt RED-läge. För VLAN trunks är det särskilt viktigt om porten är konfigurerad som Access, Hybrid eller Tagged Trunk.
Kontrollera:
- Är VLAN-ID:n korrekta på firewall och RED?
- Är RED LAN-porten i rätt läge?
- Är switchporten på den externa platsen korrekt tagged eller untagged?
- Finns firewall rules för VLAN-näten?
- Är det använda RED-driftläget lämpligt för VLAN-trafik?
- Är DHCP och DNS korrekta för VLAN:en?
Om VLAN inte fungerar bör man först testa med ett enkelt untagged nät. Fungerar det ligger felet mycket sannolikt i VLAN-ID, tagging eller portläge.
RED Access Points förblir inaktiva
Om en RED med Wi-Fi-modul eller RED Access Point startar om i ett VLAN kan den visas som Inactive. Sophos beskriver en saknad DHCP Option 234 på VLAN-interfacet som en möjlig orsak.
I detta fall måste RED eller Access Point veta via vilken firewall-interface-IP den ska kommunicera. DHCP Option 234 kan sättas i Device Console. Detta är ett specialfall och bör bara användas om scenariot verkligen passar.
Offline Provisioning skrivs över igen
Om en RED först provisionerades online och senare provisioneras offline via USB kan den gamla online-konfigurationen finnas kvar på Sophos Provisioning Server. Om RED inte når firewall kan den provisionera online igen och skriva över USB-konfigurationen.
I detta fall måste RED provisioneras offline igen. Dessutom bör den gamla online-konfigurationen på RED Provisioning Server tas bort. För detta måste Sophos Support kontaktas.
RED-interface kan inte skapas eller redigeras
Om ett RED-interface inte kan skapas eller sparas är detta oftast troliga orsaker:
- admin-behörighet saknas
- motstridig RED-konfiguration
- fel Unlock Code
- firewall kan inte nå RED Provisioning Server
- redan befintlig eller kolliderande RED-konfiguration
Från Sophos Firewall kan anslutningen till Provisioning Server testas:
telnet red.astaro.com 3400
Om DNS inte slår upp eller om ingen anslutning är möjlig måste firewallens internet- och DNS-anslutning kontrolleras först.
Viktiga loggar och diagnospunkter
För RED-problem är dessa platser särskilt användbara:
- Log viewer med RED-, firewall- och systemhändelser
- Diagnostics > Packet capture
- Advanced Shell med
tcpdump - RED-interface-status under Network > Interfaces
- Firewall rules för RED-zon och målzoner
- Device Access för RED Services
- RED Firmware Pattern under Backup & firmware > Pattern updates
För allmänna loggfiler och servicenamn är artikeln Förstå Sophos Firewall services och loggfiler användbar.
Ytterligare information
Mer information finns i Sophos officiella dokument:
- Sophos SD-RED 20/60 Operating Instructions
- Sophos Firewall - Troubleshoot RED issues
- Sophos Firewall - RED device requirements and traffic behavior
Sophos Central Intercept X Advanced
Med Sophos RED kan en filial eller ett hemmakontor mycket enkelt anslutas till företagsnätverket. Där finns dock ofta enheter som inte permanent står under direkt IT-kontroll. Därför bör endpoints i RED-nät också skyddas, till exempel med Sophos Central Intercept X Essentials eller Sophos Central Intercept X Advanced.