Hoppa till innehållet
Avanet

Skapa IPsec-route på Sophos Firewall

Sophos Firewall

Normalt känner Sophos Firewall själv igen via vilken IPsec-tunnel ett destinationsnät kan nås. I en klassisk policy-based IPsec-tunnel anges remote-nätverket redan i tunnelkonfigurationen. I vissa situationer kan det ändå vara nödvändigt att skapa en IPsec-route manuellt.

Typiska fall är felaktigt routeval, överlappande routes eller ett destinationsnät som inte går via den förväntade IPsec-tunneln utan skickas mot WAN eller via en annan route.

Förutsättningar

  • Åtkomst till Device Console, till exempel via SSH
  • Namn på IPsec-tunneln
  • Destinationshost eller destinationsnät som ska nås via tunneln
  • Aktiv eller korrekt konfigurerad IPsec-anslutning
  • Passande firewallregler för trafiken mellan lokalt och remote nät

Om konsolåtkomst ännu inte är konfigurerad visar guiden Anslut till Sophos Firewall via SSH hur du ansluter och öppnar Device Console.

⚠️ En felaktig IPsec-route kan skicka trafik till fel tunnel eller störa befintliga anslutningar. Kontrollera tunnelnamn, destinationsnät och befintliga routes före ändringen.

Policy-based eller route-based VPN?

IPsec-routes är framför allt användbara i policy-based IPsec-scenarier när trafik inte kopplas korrekt till tunneln. Med route-based VPN använder man vanligtvis statiska routes, SD-WAN-routes eller dynamisk routing till tunnelinterfacet.

Sophos förklarar IPsec-koncepten i den officiella dokumentationen: IPsec connections - Sophos Firewall.

Visa befintliga IPsec-routes

Följande kommandon körs i Device Console, inte i Advanced Shell.

system ipsec_route show

Dokumentera utdata innan ändringar görs. Då går det senare att kontrollera om en route har lagts till eller behöver tas bort igen.

Skapa IPsec-route för en host

Om endast en enskild host ska nås via en specifik tunnel använder du host.

Syntax:

system ipsec_route add host <host-ip> tunnelname <tunnelname>

Exempel:

system ipsec_route add host 10.33.46.69 tunnelname Azure_CH

Skapa IPsec-route för ett nätverk

Om ett helt nätverk ska nås via tunneln använder du net.

Syntax:

system ipsec_route add net <network>/<netmask> tunnelname <tunnelname>

Exempel:

system ipsec_route add net 10.33.46.0/255.255.255.0 tunnelname Azure_CH

Sophos dokumenterar kommandona här: ipsec_route - Sophos Firewall.

Ta bort en IPsec-route

Om routen inte längre behövs eller har satts fel kan den tas bort igen.

Ta bort host-route:

system ipsec_route del host <host-ip> tunnelname <tunnelname>

Ta bort nätverksroute:

system ipsec_route del net <network>/<netmask> tunnelname <tunnelname>

Kontrollera sedan listan igen:

system ipsec_route show

Testa ändringen

Efter att en IPsec-route har skapats eller tagits bort bör berörd trafik testas målmedvetet:

  • Kontrollera nåbarhet till destinationshost eller destinationsnät med ping eller traceroute
  • Kontrollera Log Viewer för tillåten eller blockerad trafik
  • Använd Packet Capture vid behov
  • Kontrollera att firewall- och NAT-regler passar den avsedda trafiken
  • Om flera routes matchar, kontrollera routingprioriteten i Sophos Firewall

NAT-notis

En IPsec-route definierar vägen in i tunneln. Den ersätter inte firewall- eller NAT-regler. Om NAT används i IPsec-scenariot behöver NAT-konfigurationen också kontrolleras. Sophos beskriver routing och NAT för IPsec-tunnlar i den officiella dokumentationen: Routing and NAT for IPsec tunnels.