Konfigurera och felsök Sophos SD-RED
Med en Sophos SD-RED kan man ansluta filialer, kontor eller mindre hemmakontor till en Sophos Firewall. RED skapar en krypterad tunnel till brandväggen och tillhandahåller ett nätverk på den avlägsna platsen som styrs centralt via brandväggen.
Den praktiska fördelen: På plats behövs normalt ingen komplex VPN-konfiguration. SD-RED ansluts till internet, laddar sin konfiguration via Sophos RED Provisioning Service och bygger sedan upp tunneln till Sophos Firewall. Tunneln ensam löser dock inte allt. Zoner, brandväggsregler, DHCP, VLAN, routing, DNS och firmwarestatus måste också stämma.
Klassificering: SD-RED, RED-tunnel och SFOS 22
Vid nya projekt bör man tydligt skilja mellan aktuella SD-RED-platser och gamla site-to-site RED-konfigurationer. Legacy RED server/client configurations stöds inte längre i SFOS 22.0 och senare. Sådana gamla konfigurationer bör granskas och migreras innan en uppgradering.
För aktuella SD-RED-enheter förblir RED ett relevant platsämne. Med SFOS 21.5 dokumenterades dessutom en högre skalbarhet för SD-RED och site-to-site RED-tunnlar. För administratörer innebär detta: Nya platser bör planeras noggrant med aktuell SD-RED-logik, medan gamla Legacy-RED-tunnlar medvetet måste granskas före SFOS-22-uppgraderingar.
Förutsättningar på huvudplatsen
Innan RED ansluts bör följande punkter vara klara på Sophos Firewall:
- RED Service är aktiverad på brandväggen.
- Offentlig IP-adress eller DNS-/DynDNS-namn för brandväggen är åtkomlig.
- RED-anslutningar till brandväggen är tillåtna på WAN-sidan.
REDär tillåten under Administration > Device access för rätt WAN-zon eller specifikt tillåten via Local Service ACL.- RED-gränssnitt, zon och IP-konfiguration är planerade.
- Brandväggsregler från RED-nätet till målnäten är förutsedda.
- DHCP, DHCP Relay eller statisk adressering för klienter bakom RED är klarlagd.
- RED Firmware Pattern på brandväggen är aktuell.
- Backup och firmwarestatus för brandväggen är dokumenterade före större ändringar.
För RED-kommunikation är särskilt TCP 3400, UDP 3410 och NTP 123 relevanta. Dessa anslutningar får inte blockeras av leverantörsroutrar, förskjutna brandväggar eller säkerhetsgateways.
Förutsättningar på den avlägsna platsen
På den avlägsna platsen behöver SD-RED en stabil internetanslutning. Avgörande är inte bara bandbredd, utan framför allt stabilitet, latens, paketförlust och om leverantören tillåter de nödvändiga anslutningarna.
Man bör kontrollera:
- Internetanslutningen är stabil.
- WAN-porten på RED får en adress via DHCP eller har en korrekt statisk konfiguration.
- Standardgateway är åtkomlig.
- DNS fungerar.
- NTP är åtkomlig.
- TCP
3400, UDP3410och NTP123blockeras inte. - Leverantörsroutern eller förskjuten brandvägg gör ingen oväntad filtrering.
- Vid VLAN är det klart vilken port som är taggad, otaggad eller hybrid.
För enkla platser räcker ofta en liten anslutning. I praktiken är dock paketförlust, instabila konsumentroutrar, CGNAT, DNS-problem eller restriktiva leverantörsbrandväggar oftare orsaken än ren bandbredd.

Ansluta SD-RED
Typiskt förlopp:
- Anslut WAN-porten på SD-RED till leverantörsroutern eller modemet.
- Anslut LAN-porten till testklient, switch eller lokalt nätverk.
- Förse SD-RED med ström.
- Vänta tills RED startar, kontrollerar gateway och internet, laddar konfigurationen och bygger upp tunneln.
- Kontrollera på Sophos Firewall om RED-gränssnittet är aktivt.
- Anslut testklient bakom RED och kontrollera IP, DNS, gateway och målåtkomst.
När alla relevanta LEDs är gröna, är den tekniska tunneln upprättad. Därefter börjar den egentliga nätverkskontrollen: Zon, DHCP, brandväggsregler, återrouting, DNS och vid behov VLAN.
Manuell provisioning med USB-minne
Normalt provisioneras en SD-RED via Sophos RED Provisioning Service. Manuell provisioning med USB-minne är användbart när enheten står i ett privat eller starkt begränsat nät, behöver statisk WAN-konfiguration eller när den automatiska provisioningvägen inte är tillförlitlig.
Flödet är mer exakt än att bara kopiera en provisioningfil till USB:
- På firewallen under Administration > Time kontrolleras om firewallen lämpar sig som NTP-server för RED-scenariot. Vid manuell setup måste RED få giltig tid så att TLS-handshake med firewallen fungerar.
- Under Network > Zones skapas en egen zon för RED-platser eller en befintlig zon som
VPNellerWiFianvänds.LAN-zonen bör undvikas för RED, så att LAN-regler inte oavsiktligt gäller för den fjärranslutna platsen. - Under System services > RED aktiveras RED Provisioning Service.
- Under Network > Interfaces > Add interface > Add RED skapas RED-gränssnittet.
- Vid Device deployment väljs Manually via USB stick.
- RED ID, Unlock Code, uplink, RED network settings, zon, DHCP och VLAN anges så att de passar platsen.
- Den genererade provisioningfilen laddas ner från RED-gränssnittet.
- Filen kopieras till rotkatalogen på USB-minnet.
- RED stängs av, USB-minnet sätts i och RED startas igen.
- Efter start kontrolleras gränssnitt, LED, klient-IP, DNS, firewall-regel och åtkomst till mål.
Om RED:s WAN-sida använder DHCP måste en DHCP-server faktiskt svara på fjärrplatsen. Om RED inte får någon adress kan den hamna i en omstartsloop. Vid statisk WAN-konfiguration måste IP-adress, gateway, DNS och NTP kontrolleras extra noggrant.
Offline-RED behöver ändå giltig tid. Antingen får RED nå Sophos NTP-servrar, eller så planeras en riktad Local service ACL exception rule så att RED får kommunicera från WAN-zonen till firewallen. Som source används bara den kända RED-IP:n, destination är firewallens WAN-port, service i detta scenario HTTPS, action Accept. Undantaget ersätter inte att öppna RED brett via WAN.
Förstå LED-status
Status-LEDs är ofta den snabbaste ingången vid RED-felsökning, eftersom de visar vid vilken punkt startprocessen fastnar.
Legend:
- ⚫ av
- 🟢 lyser grönt
- 🟢 blinkar grönt
- 🔴 lyser rött
- 🔴 blinkar rött
Beroende på synvinkel, foto eller omgivande ljus kan en LED verka gulaktig eller orange. För diagnosen är det viktigast vilken LED som lyser eller blinkar och om den är grön eller röd.
Normal startprocess
| System | Router | Internet | Tunnel | Betydelse |
|---|---|---|---|---|
| 🟢 blinkar | ⚫ | ⚫ | ⚫ | SD-RED startar. |
| 🟢 | ⚫ | ⚫ | ⚫ | Startprocessen avslutad. |
| 🟢 | 🟢 blinkar | ⚫ | ⚫ | Anslutning till gateway eller router upprättas. |
| 🟢 | 🟢 | ⚫ | ⚫ | Standardgateway är åtkomlig. |
| 🟢 | 🟢 | 🟢 blinkar | ⚫ | Internetanslutning kontrolleras. |
| 🟢 | 🟢 | 🟢 | ⚫ | Internetanslutning är upprättad. |
| 🟢 | 🟢 | 🟢 | 🟢 blinkar | Tunnel till Sophos Firewall upprättas. |
| 🟢 | 🟢 | 🟢 | 🟢 | Tunnel till Sophos Firewall är upprättad. |
| 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | Firmware installeras. Stäng inte av enheten. |
Om alla fyra LEDs lyser grönt men ingen trafik fungerar, ligger problemet oftast inte längre vid tunneluppbyggnaden. Då är brandväggsregler, DHCP, VLAN, DNS, NAT eller routing mer sannolika.
Felkoder
| System | Router | Internet | Tunnel | Betydelse | Nästa kontroll |
|---|---|---|---|---|---|
| 🔴 | ⚫ | ⚫ | ⚫ | DHCP eller statisk IP-konfiguration misslyckades | DHCP, WAN-kabel, statisk IP, gateway |
| 🔴 | 🟢 | ⚫ | ⚫ | Internet inte åtkomligt | DNS, NTP, leverantör, förskjuten brandvägg |
| 🔴 | 🟢 | 🟢 | ⚫ | Ingen anslutning till Sophos Firewall | RED Service, TCP 3400, UDP 3410, FQDN, Unlock Code |
| 🔴 | 🟢 | 🟢 | 🟢 | Ingen konfiguration eller firmwareproblem | Provisionering, RED Firmware Pattern, Unlock Code, supportärende |
3G/4G-failover
Vid SD-RED-modeller med 3G/4G-failover eller motsvarande modul kan ytterligare mönster uppstå.
| System | Router | Internet | Tunnel | Betydelse |
|---|---|---|---|---|
| 🔴 blinkar | 🟢 blinkar | ⚫ | ⚫ | 3G/4G-failover är aktiv. |
| 🔴 blinkar | 🟢 | 🟢 blinkar | ⚫ | Gateway åtkomlig, internetanslutning upprättas. |
| 🔴 blinkar | 🟢 | 🟢 | 🟢 blinkar | Internet är upprättad, tunnel upprättas. |
| 🔴 blinkar | 🟢 blinkar | 🟢 blinkar | 🟢 blinkar | Tunnel är upprättad via failover-anslutning. |
Kontrollera firmware-uppdateringar
Om LEDs blinkar tillsammans kan RED just nu installera en firmware. Under denna fas bör man inte stänga av enheten eller koppla bort den från internet. En uppdatering kan ta några minuter.
På Sophos Firewall bör man dessutom kontrollera:
Backup & firmware > Pattern updates
Där måste RED Firmware Pattern vara aktuell. Om en RED fastnar i en loop eller inte startar korrekt efter en brandväggsuppdatering, är ett föråldrat RED Firmware Pattern ett vettigt kontrollsteg.
Ett relaterat driftsönskemål beskrivs i Sophos Firewall Feature Request 2024: Vid RED- och Access-Point-firmwareuppdateringar saknas ofta direkt synliga release notes i backend. För produktiva miljöer bör man därför planera uppdateringar medvetet och inte installera dem okoordinerat under kritiska driftstider.
Kontrollera RED-gränssnitt, zon och regler
Efter en lyckad tunneluppbyggnad behöver RED en korrekt brandväggskonfiguration.
Typiska kontrollpunkter:
- RED-gränssnitt är aktivt under Network > Interfaces.
- Gränssnittet ligger i rätt zon.
- DHCP-server eller DHCP-relä är korrekt inställd.
- Klienter får IP-adress, gateway och DNS.
- Brandväggsregler tillåter endast de nödvändiga målen.
- Återrouting till RED-nätet fungerar.
- NAT används endast om det är medvetet planerat.
- VLAN-konfiguration passar till RED-läge och switch-port.
För regelgrunder passar Förstå och konfigurera Sophos Firewall-regler korrekt. Om tunneln är upprättad men trafik inte flödar, bör man kombinera Log Viewer och Packet Capture.
Uppgraderings- och migrationsfällor
Legacy site-to-site RED före SFOS 22
Innan en uppgradering till SFOS 22 eller senare bör man kontrollera om det fortfarande finns Legacy firewall RED server/client configurations. Dessa Legacy-site-to-site-RED-konfigurationer stöds inte längre i SFOS 22.0 och senare.
Praktiskt innebär detta:
- Inventera RED- och VPN-konfigurationer före uppgraderingen.
- Identifiera Legacy RED server/client configurations.
- Planera migration till stödda RED-site-to-site- eller VPN-varianter.
- Efter migrationen kontrollera brandväggsregler, zoner, routing och DHCP.
- Utför uppgraderingen först när platsanslutningarna har testats.
För större uppgraderingsplanering passar dessutom Planera Sophos Firewall Firmware Update korrekt.
RED system hosts efter SFOS 21.5 MR1
Sedan SFOS 21.5 MR1 får RED system host objects den korrekta /32-subnätmasken. Om sådana automatiskt genererade RED-systemobjekt tidigare användes i regler eller andra konfigurationer för mer än en värd-IP, kan trafiken matcha annorlunda efter uppdateringen.
Efter en uppgradering bör man därför kontrollera:
- Används RED system hosts i brandväggsregler?
- Förväntar en regel av misstag ett nätverk istället för en enskild värd?
- Behöver IP Host eller Network Host-objekt ersättas?
- Stämmer regelmatchningar fortfarande i Log Viewer?
RED och HA-failover
I HA-miljöer bör RED-platser testas medvetet efter en failover. Sophos påpekar att RED-tunnlar efter en HA-failover inte alltid omedelbart återansluter till auxiliary-enheten. Tiden beror bland annat på antal gränssnitt och konfiguration.
För kritiska platser bör man inte bara kontrollera firewallens HA-status, utan även:
- RED-gränssnittets status efter failover
- klientåtkomst bakom RED
- relevanta firewall-regelträffar
- DNS och DHCP bakom RED
- monitoring-larm vid längre tunnelavbrott
Felsökning
RED får ingen IP-adress
Om RED fastnar vid routersteget eller felkoden pekar på DHCP eller gateway, ligger orsaken oftast på den avlägsna platsen.
Kontrollera:
- Ger leverantörsroutern ut en IP-adress via DHCP?
- Är nätverkskabeln korrekt ansluten till WAN-porten?
- Är standardgateway åtkomlig?
- Har en statisk IP-adress angetts fullständigt?
- Stämmer IP-adress, subnätmask, gateway och DNS?
- Blockerar en förskjuten enhet trafiken?
Om DHCP inte fungerar på den avlägsna platsen kan RED hamna i en omstartsloop.
RED når inte internet
Om router eller gateway är åtkomlig men internet-LED inte blir permanent grön, ligger problemet oftast bakom den lokala routern.
Kontrollera:
- Fungerar internetanslutningen med en vanlig klient?
- Fungerar DNS?
- Är NTP åtkomlig?
- Blockeras TCP
3400, UDP3410eller NTP123? - Finns det en proxy eller brandvägg mellan RED och internet?
- Är leverantörsanslutningen tillräckligt stabil?
För RED-provisionering måste RED nå Sophos Provisioning Service. I många miljöer är red.astaro.com på TCP 3400 relevant.
RED når inte Sophos Firewall
Om internet är åtkomligt men tunneln inte byggs upp, kontrollerar man brandväggssidan.
Kontrollera:
- Är RED Service aktiverad på Sophos Firewall?
- Är RED korrekt skapad?
- Stämmer RED-ID och Unlock Code?
- Är den offentliga IP:n eller FQDN för brandväggen åtkomlig?
- Är Administration > Device access för RED tillåten i rätt WAN-zon?
- Tillåter en Local Service ACL åtkomst från den avlägsna platsen?
- Kommer TCP
3400och UDP3410fram till brandväggen?
I Advanced Shell kan man kontrollera om RED-trafik kommer fram:
tcpdump -ni any port 3400 or port 3410
Om inget kommer fram ligger problemet oftast före brandväggen: leverantörsrouter, NAT, förskjuten brandvägg, felaktig offentlig IP, FQDN eller portblockering.
RED startar om hela tiden
En omstartsloop kan ha flera orsaker:
- instabil strömförsörjning
- defekt nätadapter
- ingen IP-adress via DHCP
- felaktig statisk IP-konfiguration
- blockerade portar
- föråldrat RED Firmware Pattern
- felaktig Unlock Code
- skadad eller felaktig RED-konfiguration
Först kontrollera strömförsörjning, kablar och DHCP. Därefter kontrollera RED Firmware Pattern, portåtkomst och konfiguration. Om RED skapas om eller återställs måste RED-ID och Unlock Code dokumenteras i förväg.
Tunnel är grön, men ingen trafik flödar
Detta fall är särskilt vanligt. RED är ansluten, men klienter når inga interna system eller inget internet.
Möjliga orsaker:
- Brandväggsregel saknas eller ligger för långt ner.
- RED-gränssnitt ligger i fel zon.
- DHCP distribuerar fel gateway eller fel DNS-servrar.
- Återrouting till RED-nätet saknas.
- NAT översätter trafik oväntat.
- VLAN-tagging passar inte.
- Säkerhetsfunktion blockerar trafiken.
Kontrollordning:
- Kontrollera klient-IP, gateway och DNS.
- Filtrera Log Viewer på käll-IP för RED-klienten.
- Kontrollera brandväggsregelmatchning.
- Utför Packet Capture på RED-gränssnitt och målgränssnitt.
- Kontrollera återvägen från målsystemet eller mål-nätverket.
- Kontrollera NAT och routing.
Vid oklara regelmatchningar hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.
VLAN-trafik fungerar inte
Vid SD-RED 60 är VLAN-scenarier möjliga, men portläge, VLAN-ID och RED-läge måste passa ihop.
Kontrollera:
- VLAN-ID stämmer på brandvägg, RED och switch.
- RED-port är korrekt konfigurerad som Access, Hybrid eller Tagged Trunk.
- Switch-port på den avlägsna platsen är korrekt taggad eller otaggad.
- DHCP och DNS är planerade per VLAN.
- Brandväggsregler finns för respektive VLAN-nät.
- Det valda RED-läget stöder det önskade VLAN-scenariot.
För felsökning är ett enkelt otaggat testnätverk användbart. Om detta fungerar ligger orsaken oftast vid VLAN-ID, tagging, portläge eller switch-konfiguration.
RED Access Points förblir inaktiva
Om RED Access Points eller Wi-Fi-funktioner i VLAN-scenarier förblir inaktiva kan DHCP Option 234 vara relevant. Detta gäller särskilt fall där RED- eller Access-Point-kommunikation sker över VLAN-gränssnitt.
Denna option bör endast sättas om det specifika scenariot passar och det är klart vilken brandväggsgränssnitts-IP enheterna ska nå. Vid allmänna RED-anslutningsproblem är DHCP Option 234 inte det första steget.
Offline-provisionering skrivs över
Om en RED först provisionerades online och senare provisioneras offline via USB, kan en gammal online-konfiguration finnas kvar på Sophos Provisioning Server. Om RED inte når brandväggen kan den provisionera online igen och skriva över USB-konfigurationen.
Då måste RED provisioneras offline igen. Dessutom bör den gamla online-konfigurationen tas bort via Sophos Support.
Diagnospunkter på Sophos Firewall
För RED-problem är dessa punkter användbara:
- Network > Interfaces för RED-gränssnitt och status
- Administration > Device access för RED-service-tillstånd
- Rules and policies > Firewall rules för trafik från RED-nätet
- Diagnostics > Packet capture för vägkontroll
- Log viewer med RED-, brandväggs- och systemhändelser
- Backup & firmware > Pattern updates för RED Firmware Pattern
- Advanced Shell med
tcpdump
För loggfiler och tjänstetilldelning passar Sophos Firewall Troubleshooting: Services och Logs.
Driftschecklista
Före utrullning:
- RED-ID och Unlock Code dokumenterade.
- Offentlig brandväggsadress eller FQDN kontrollerad.
- TCP
3400, UDP3410och NTP123kontrollerade. - RED Service och Device Access planerade på brandväggen.
- Zon, DHCP, routing och brandväggsregler definierade.
- VLAN-läge vid behov testat i förväg.
Efter anslutning:
- LEDs visar lyckad tunneluppbyggnad.
- RED-gränssnitt är aktivt.
- Klient får IP, gateway och DNS.
- Log Viewer visar förväntad brandväggsregel.
- Interna målsystem och internetväg fungerar som planerat.
- Firmware Pattern är aktuellt.
I drift:
- Kontrollera RED-firmwaremönster regelbundet.
- Testa platsanslutningar efter brandväggsuppgraderingar.
- Ta bort eller migrera Legacy site-to-site RED före SFOS 22.
- Kontrollera RED system hosts efter SFOS 21.5 MR1 för
/32-effekter. - Inkludera RED-platser i övervakning, backup och nödfallsplanering.
FAQ
Vilka portar behöver Sophos SD-RED?
3400, UDP 3410 och NTP 123 viktiga. Beroende på nätverk kan dessutom DNS och andra anslutningar för provisionering, tid och drift vara relevanta.Varför är RED-tunneln grön, men klienter når inget?
När behöver en SD-RED manuell provisioning via USB?
Vad måste kontrolleras före SFOS 22 för RED?
Varför är RED system hosts relevanta efter en uppgradering?
/32-subnätmasken. Om sådana objekt tidigare användes som nätverksobjekt kan brandväggsregler matcha annorlunda efter uppdateringen.