Routenplanung
Mithilfe von Routen kann die Sophos Firewall den Datenverkehr basierend auf den von Ihnen angegebenen Kriterien weiterleiten.
Sie können SD-WAN sowie statische und dynamische Routen konfigurieren. Die Sophos Firewall erstellt automatisch VPN-Routen für IPsec-Verkehr.
Routenpriorität
Das Routing folgt der Priorität, die Sie in der Befehlszeilenschnittstelle angeben. Die Standard-Routing-Priorität ist statisch, SD-WAN und dann VPN-Routen.
Um die Routenpriorität anzuzeigen, gehen Sie wie folgt vor:
-
CLI: Geben Sie ein 4 für Gerätekonsoleund geben Sie den folgenden Befehl ein:
system route_precedence show
-
Web-Admin-Konsole: Gehen Sie zu Routenplanung > SD-WAN-Routen.
Die Protokoll-, Netzwerk- und Routendetails sind in der folgenden Tabelle aufgeführt:
Routen | Routing-Priorität |
---|---|
Statische Routen:
SD-WAN-Routen VPN-Routen:
| Legen Sie die Routing-Priorität über die Befehlszeilenschnittstelle fest. Beispiel: |
WAN-Link-Manager (Standardroute) | Fallback-Route, wenn der Verkehr keiner konfigurierten Route entspricht. |
Siehe auch Routenpriorität in migrierten Routen.
Routenpriorität und VPN-Verkehr
SSL-VPN-Verkehr
SSL-VPN-Verkehr gehört zu statischen Routen. Angenommen, Sie haben eine SSL-VPN-Richtlinie und eine SD-WAN-Route konfiguriert, deren Ziel Ihr lokales Netzwerk ist. 10.1.1.0
.
Wenn die Routenpriorität auf SD-WAN-Routen, gefolgt von statischen Routen und VPN-Routen eingestellt ist, versucht die Firewall zunächst, die SD-WAN-Route abzugleichen. Wird eine passende Route gefunden, greifen Remotebenutzer über diese Route auf das Netzwerk zu. Wird keine passende SD-WAN-Route gefunden, implementiert die Firewall die SSL-VPN-Richtlinie.
Wenn Benutzer jedoch unabhängig von einer passenden SD-WAN-Route über SSL VPN auf das Ziel zugreifen sollen, müssen Sie vor der SD-WAN-Route eine statische Route festlegen. Geben Sie den folgenden Befehl ein:
system route_precedence set static sdwan_policyroute vpn
IPSec-VPN-Verkehr
Der system route_precedence
Der Befehl priorisiert VPN-Routen gegenüber statischen Routen nur für den Datenverkehr zur WAN-Zone. Wenn eine statische oder lokale Route Datenverkehr an eine andere Zone als das WAN sendet, leitet die Firewall den Datenverkehr über diese statische Route und nicht über das VPN um. Um diesen Datenverkehr an das VPN weiterzuleiten, verwenden Sie den ipsec_route
Befehl für richtlinienbasierte VPNs mit Verkehrsselektoren.
Hier ist ein Beispiel:
system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname <tunnelname>
Tipp
Drücken Sie die Tabulatortaste zweimal nach tunnelname
zeigt eine Liste der verfügbaren Tunnel an.
Erweiterte Routenkonfiguration
Die Webadministrationskonsole unterstützt nur die grundlegende Routenkonfiguration. Für erweiterte Routenkonfigurationen müssen Sie die CLI verwenden. Siehe Routenkonfiguration.