Hoppa till innehållet
Avanet

Kontrollera Sophos Firewall Cellular WAN och 4G/5G-failover

Sophos Firewall

Cellular WAN är oftast inte den primära internetanslutningen på en Sophos Firewall, utan en reservlina: om fiber-, DSL- eller kabelanslutningen fallerar, ska en 4G- eller 5G-anslutning hålla viktiga tjänster tillgängliga. Därför bör man inte vänta med att kontrollera Cellular WAN tills ett avbrott inträffar.

I praktiken misslyckas failover sällan på grund av en enskild faktor. Oftare är SIM/PIN, APN, dålig signalstyrka, en felaktigt skapad gateway, felaktiga SD-WAN-hälsokontroller eller en saknad återfallslogik inblandade. Artikeln förklarar hur man planerar, testar och avgränsar vanliga fel med Cellular WAN.

För grundläggande arbete med gränssnitt, zoner och gateways, se först Konfigurera Sophos Firewall-zoner och gränssnitt. När det gäller routing av brandväggens egen trafik, se även Kontrollera Sophos Firewall SD-WAN-routing för svarspaket och systemtrafik.

När Cellular WAN är meningsfullt

Cellular WAN är särskilt lämpligt som en drifts- och nödfallskomponent. Det ersätter inte en väl dimensionerad huvudledning, men kan göra kritiska platser mer stabila.

Typiska användningsfall:

  • Litet kontor med 4G/5G-backup för internetanslutning
  • Filial med SD-WAN-failover vid leverantörsstörning
  • Tillfällig plats utan fast anslutning
  • Backup-väg för övervakning, supportåtkomst eller centrala tjänster
  • Återfall för plats-VPN, om bandbredd och tariff tillåter det

Innan utrullning bör det vara klart vilka tjänster som verkligen måste fortsätta vid failover. En LTE- eller 5G-länk med begränsad datavolym är oftast inte avsedd att bära hela den normala platsens trafik permanent.

Begränsningar och viktiga beslut

Cellular WAN har sina egna begränsningar. Dessa punkter bör klargöras innan konfiguration:

ÄmneVarför det är viktigt
DatavolymEn ofiltrerad plats kan snabbt förbruka en mobilkontingent.
CGNATMånga mobiloperatörer ger inte en direkt tillgänglig offentlig IPv4-adress. Inkommande tjänster och vissa VPN-scenarier måste då planeras annorlunda.
SignalstyrkaEtt synligt nätverk räcker inte. Svaga signalvärden leder till paketförlust, latensspikar och instabila failover-tester.
LeverantörsbrandväggVissa tariffer blockerar inkommande anslutningar eller vissa protokoll.
HACellular WAN måste vara inaktiverat i Sophos Firewall HA-miljöer. Detta bör kontrolleras innan en HA-design.
ÖvervakningFailover måste övervakas aktivt. Annars märker man ofta först vid ett avbrott att reservlinan inte fungerar.

För HA-miljöer är Sophos Firewall HA-kluster varianter och drift relevant, eftersom Cellular WAN där inte kan behandlas som ett normalt synkroniserat gränssnitt.

Förutsättningar

Innan installationen bör dessa punkter vara klara:

  • Stödd 4G/5G-modem eller integrerat mobilmodul
  • Aktivt SIM-kort med lämplig datatariff
  • PIN, om SIM-kortet inte används utan PIN
  • APN från leverantören
  • Valfritt användarnamn och lösenord från leverantören
  • Information om leverantören använder offentlig IP, privat IP eller CGNAT
  • Önskad zon för Cellular-WAN-gränssnittet
  • Planerad SD-WAN- eller gateway-failover-logik
  • Testtidsfönster där huvudlinan kort kan inaktiveras

Om mobilanslutningen ska fungera produktivt som fallback bör man också klargöra vem som ansvarar för tariff, datavolym, SIM-lås, reservhårdvara och regelbundna tester.

Ställa in Cellular WAN

Det exakta gränssnittet kan variera något beroende på SFOS-version, hårdvarumodell och modem. Den praktiska processen är dock densamma: identifiera modemet, ställ in SIM och APN korrekt, kontrollera gränssnitt och gateway, och testa sedan failover-vägen.

1. Förbered modem och SIM

Först bör modemet eller mobilmodulen förberedas utan hektiska brandväggsändringar.

Kontrollera:

  • SIM är aktivt och inte låst.
  • PIN är känd eller inaktiverad på SIM-kortet, om driftsmodellen tillåter det.
  • APN motsvarar affärstariffen, inte en felaktig konsument- eller IoT-profil.
  • Antenner är korrekt anslutna och placerade.
  • Platsen har tillräcklig mottagning för den önskade leverantören.

Vid utomhusantenner bör man inte bara beakta signalstyrkan utan även kabeldragningen. Långa eller dåliga antennkablar kan motverka fördelen med en bättre antennposition.

2. Kontrollera Cellular-WAN-gränssnitt

Efter att modemet har satts in bör Sophos Firewall skapa ett motsvarande gränssnitt eller gateway eller erbjuda det för konfiguration.

Kontrollera:

Network > Interfaces

Viktigt är:

  • Gränssnittet är aktivt.
  • Zonen är medvetet satt, oftast WAN.
  • IP-adress tilldelas.
  • Gateway skapas.
  • DNS- eller leverantörsparametrar passar för den planerade driften.
  • Gränssnittet är inte av misstag medlem i en olämplig design som LAG eller HA.

Om gränssnittet inte visas bör modemet först identifieras. Därefter kontrolleras APN, PIN och gateway.

3. Planera gateway och SD-WAN-profil

En Cellular-WAN-gateway bör inte bara placeras bredvid huvudlinan utan att kontrolleras. Avgörande är när brandväggen betraktar länken som aktiv och vilken trafik som får gå över den vid failover.

Kontrollera:

Routing > Gateways
Routing > SD-WAN profiles
Routing > SD-WAN routes

För många miljöer är en tydlig First-Available- eller SLA-baserad design meningsfull:

  • Föredra huvudlinan.
  • Använd Cellular WAN endast vid avbrott eller dålig huvudlina.
  • Sätt hälsokontroll med lämpliga probemål.
  • Prioritera affärskritiska mål.
  • Begränsa bandbreddskrävande eller icke-kritiska tjänster vid failover.

Vid SD-WAN-hälsokontroller bör man inte bara använda en enda intern eller extern adress om det kan leda till falska avbrott. SD-WAN-profiler kan använda hälsokontroller med Ping eller TCP och upp till två probemål. I mobilmiljöer är TCP ofta ett realistiskt komplement när ICMP är opålitligt.

Kontrollera signalstyrka via CLI

Sedan SFOS 22.0 MR1 nämner Sophos i release notes CLI-kommandot:

system cellular_wan show

Detta kommando är användbart när gränssnittet bara grovt visar att Cellular WAN är anslutet, men man behöver kontrollera signal- eller modemdetaljer. Det bör användas och dokumenteras noggrant, särskilt på platser med instabil mobil täckning.

⚠️ CLI-åtkomst bör endast ske från betrodda admin-nätverk. Innan användning bör Anslut till Sophos Firewall via SSH och åtkomsthärdning via Device Access och Local Service ACL kontrolleras.

Praktiskt bör man inte bara läsa signalvärden en gång. Bättre är en kort mätserie:

  • Normal drift
  • Efter antennändring
  • Vid dåligt väder eller förväntad belastning
  • Under aktiv failover
  • Efter plats- eller leverantörsbyte

Om signalstyrkan varierar kraftigt är routing-konfigurationen inte den egentliga orsaken. Då bör först antennposition, leverantörstäckning, modul, SIM och plats kontrolleras.

Testa failover

Ett failover-test bör planeras och genomföras på ett spårbart sätt. Att bara dra huvudlinan och sedan öppna en webbläsare är inte tillräckligt.

Före testet:

  • Backup av brandväggskonfigurationen finns.
  • Förväntad primär- och backup-väg dokumenterad.
  • Berörda användare eller platsansvariga informerade.
  • Datavolym och tariffgränser kända.
  • Log Viewer och övervakning öppnade.

Testförlopp:

  1. Kontrollera utgångsläge: Huvudgateway aktiv, Cellular-WAN-gateway redo.
  2. Generera testtrafik, till exempel DNS, HTTPS, RDP, VPN eller en definierad affärsapplikation.
  3. Inaktivera huvudlinan kontrollerat eller låt gateway-hälsokontrollen medvetet misslyckas.
  4. Kontrollera om SD-WAN eller gateway-failover växlar till Cellular WAN.
  5. Kontrollera i Log Viewer vilka brandväggsregler och vägar som träffas.
  6. Testa tillgängligheten av de viktigaste målen.
  7. Återställ huvudlinan.
  8. Kontrollera om brandväggen växlar tillbaka korrekt eller medvetet stannar på backup-vägen.

För regel- och vägkontroller passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture. Om MTU- eller fragmenteringsproblem uppstår bör Kontrollera Sophos Firewall MTU och MSS vid VPN-problem inkluderas.

Loggar och diagnostik

Cellular-WAN-problem fördelas över flera loggkällor. En enskild logg bevisar sällan hela orsaken.

FrågeställningTypisk kontroll
Känns modemet igen?mdev.log, syslog.log
Skapas ett gränssnitt?networkd.log
Blir en gateway aktiv?Gateway-status, dgd.log, Log Viewer
Används rätt rutt?SD-WAN-rutt, routing-tabell, Log Viewer
Blockeras trafik?Brandväggsregel, NAT, webbfiltret, Application Control
Finns paketförlust eller fragmentering?Packet Capture, iPerf, MTU/MSS-kontroll

De viktigaste loggfilerna är listade i artikeln Tilldela Sophos Firewall Service Logs korrekt.

Vanliga felbilder

Modemet känns inte igen

Kontrollera först fysiska punkter: modul, USB-port, strömförsörjning, antenner, stödd hårdvara och firmwareversion. Kontrollera sedan mdev.log och syslog.log. Om modemet inte känns igen är APN eller SD-WAN ännu inte relevanta.

SIM är aktivt, men ingen anslutning skapas

Då är oftast PIN, APN, leverantörsprofil eller mottagning inblandade. Även en låst SIM efter flera felaktiga PIN-försök är möjligt. För affärstariffer bör APN inte gissas utan kontrolleras med leverantören.

Gateway är aktiv, men ingen trafik går över Cellular WAN

Då ligger orsaken ofta i SD-WAN-rutt, gateway-prioritet, brandväggsregel, NAT eller saknad återväg. I Log Viewer bör det synas om testtrafiken verkligen använder backup-vägen.

Failover fungerar, men applikationer är instabila

Mobilnät har högre latens och större variationer än en fast anslutning. Applikationer med känsliga sessioner, VoIP, stora filöverföringar, VPN-over-VPN eller RDP kan därför reagera annorlunda. Dessutom kan MTU/MSS och paketförlust spela en roll.

VPN fungerar över huvudlinan, men inte över Cellular WAN

Vid mobilnät är CGNAT, leverantörsfilter, växlande IP-adresser och protokollbegränsningar vanliga orsaker. För plats-VPN bör det kontrolleras om mobilvägen fungerar som initiator, om motparten accepterar dynamiska IP-adresser och om återvägen är korrekt.

Driftrekommendation

Cellular WAN bör drivas som en nödfallsväg, inte som en bortglömd kryssruta i gränssnittet.

Meningsfulla driftsregler:

  • Testa failover minst kvartalsvis.
  • Övervaka datavolym och kostnader.
  • Dokumentera SIM, APN och leverantörsavtal.
  • Registrera antennposition och signalvärden.
  • Begränsa icke-kritisk trafik vid failover.
  • Inkludera gateway- och SD-WAN-status i övervakningen.
  • Planera en kort failover-test efter firmwareuppdateringar.
  • Vid HA-planering, uteslut Cellular WAN tidigt eller anpassa designen.

Om en plats är beroende av Cellular WAN bör även återvägen dokumenteras: Vem får ett felmeddelande, vem får inaktivera huvudlinan, vem kontrollerar mobiloperatören, och när återgår man till normal drift?

Checklista

  • Modem eller mobilmodul känns igen.
  • SIM är aktivt och inte låst.
  • PIN och APN är korrekta.
  • Cellular-WAN-gränssnittet har rätt zon.
  • Gateway skapas och övervakas.
  • SD-WAN-profil använder lämpliga hälsokontroller.
  • Failover har testats med verklig testtrafik.
  • Brandväggsregler och NAT passar även i backup-vägen.
  • Datavolym och kostnader är kända.
  • Signalvärden har dokumenterats.
  • HA-begränsningar har beaktats.
  • Loggkällor och supportprocess är kända.

FAQ

Kan Cellular WAN användas som huvudledning?

Tekniskt kan det fungera beroende på plats. För de flesta företag är Cellular WAN dock snarare en backup-väg. Datavolym, latens, CGNAT, varierande signalstyrka och leverantörsvillkor måste kontrolleras innan en produktiv kontinuerlig drift.

Varför är gatewayen aktiv, men platsen har ändå inget internet?

En aktiv gateway betyder bara att brandväggen i princip ser vägen. Därefter måste SD-WAN-rutt, brandväggsregel, NAT, DNS, återväg och säkerhetsfunktioner passa. Därför bör man kontrollera den specifika testtrafiken i Log Viewer.

Räcker en lyckad ping som failover-test?

Nej. Ping är en första indikation, men inget bevis för produktiv tillgänglighet. Dessutom bör DNS, HTTPS, centrala applikationer, VPN, RDP eller andra verkligen nödvändiga tjänster testas.

Fungerar Cellular WAN i ett Sophos Firewall HA-kluster?

För HA måste Cellular WAN vara inaktiverat. Om mobil-failover och HA krävs samtidigt behövs en separat design, till exempel via en föransluten mobil enhet eller en annan WAN-arkitektur.

Vilket CLI-kommando visar Cellular-WAN-detaljer?

Från och med SFOS 22.0 MR1 finns kommandot system cellular_wan show tillgängligt för att kontrollera Cellular-WAN-information som signalvärden via CLI.