Beheben von RED-Problemen
Beheben Sie Probleme in Ihrem RED-Setup.
RED-Verbindungsprobleme
ROTES Gerät im Offline-Modus stellt keine Verbindung zur Firewall her
RED-Geräte müssen ihre Zeit aktualisieren, um den TLS-Handshake mit der Firewall abzuschließen, können dies jedoch in den folgenden Szenarien nicht:
- Sie können keine Verbindung mit dem Sophos NTP-Serverpool herstellen, wenn sie sich im Offlinemodus befinden.
- RED-Geräte versuchen dann, eine HTTPS-Verbindung zur Firewall über Port 4444 herzustellen, um sich mit der Zeit der Firewall zu synchronisieren. Die Verbindung wird nicht hergestellt, wenn die Web-Administrationskonsole Port 4444 verwendet und der Zugriff aus der WAN-Zone für HTTPS-Administrationsdienste deaktiviert ist. Verwaltung > Gerätezugriff.
Wenn die Zeitsynchronisierung fehlschlägt, kann es aufgrund einer ungültigen Zertifikatsdauer zu einem TLS-Handshake-Fehler kommen.
Abhilfe
Sie können eine der folgenden Aktionen ausführen:
-
Erlauben Sie dem RED den Internetzugriff, um eine Verbindung zum Sophos NTP-Serverpool herzustellen. Dies geschieht wie folgt:
- 0.sophos.pool.ntp.org
- 1.sophos.pool.ntp.org
- 2.sophos.pool.ntp.org
- 3.sophos.pool.ntp.org
-
Gehe zu Verwaltung > Gerätezugriff und fügen Sie ein Ausnahmeregel für die lokale Dienst-ACL wie folgt:
- Klicken Hinzufügen.
- Geben Sie einen Regelnamen ein.
- Satz Quellzone Zu VAN.
- Satz Quellnetzwerk oder -host zur IP-Adresse des RED-Geräts.
- Satz Zielhost zum WAN-Port der Firewall.
- Satz Leistungen Zu HTTPS.
- Satz Aktion Zu Akzeptieren.
- Klicken Speichern.
Sie können keine Verbindung zum RED-Bereitstellungsserver herstellen
Abhilfe
Prüfen Sie, ob Sie den RED-Dienst über Telnet erreichen können.
Geben Sie in der Befehlszeile Folgendes ein:
telnet red.astaro.com 3400
Wenn das Ergebnis zeigt Connected to red.astaro.com
, kann eine hohe Netzwerklast Ihre Registrierung beim Bereitstellungsserver verhindern. Versuchen Sie es später erneut.
Das ROTE Gerät kann keine Verbindung zur Firewall herstellen und startet dann neu
Gehe zu Backup und Firmware > Musteraktualisierungen und aktualisieren Sie das RED-Firmware-Muster. Siehe Manuelle Musteraktualisierung.
Das Herunterladen und Installieren der Firmware auf dem RED-Gerät dauert fünf bis zehn Minuten.
Andere Probleme
RED, das über Offline-Bereitstellung bereitgestellt wird, wechselt in den Online-Bereitstellungsmodus
Ursache
Sie haben die RED-Bereitstellung über die Online-Bereitstellung durchgeführt, indem Sie eine Verbindung zum Provisioning-Server hergestellt haben. Später haben Sie die Bereitstellung mithilfe eines USB-Sticks auf Offline-Bereitstellung umgestellt. Der Provisioning-Server behält die Online-Bereitstellungskonfiguration bei.
Wenn RED die Firewall nicht erreichen kann, greift es auf den Provisioning-Server zu. Die Offline-Provisioning-Konfiguration wird überschrieben. Anschließend wird RED über Online-Provisioning bereitgestellt.
Abhilfe
Sie müssen die Offline-Konfiguration erneut über den USB-Stick bereitstellen. Die Online-Konfiguration muss außerdem manuell vom Provisioning-Server gelöscht werden, um zu verhindern, dass die Offline-Konfiguration überschrieben wird, wenn der RED die Firewall nicht erreichen kann. Um die Konfiguration zu löschen, wenden Sie sich an Sophos Support.
Die Online-Konfiguration muss manuell vom Provisioning-Server gelöscht werden, um zu verhindern, dass die Offline-Konfiguration überschrieben wird, wenn der RED die Firewall nicht erreichen kann. Um die Konfiguration zu löschen, wenden Sie sich an Sophos Support.
Inaktive ROTE Zugangspunkte
Nach dem Neustart von ROTEN Access Points in einem VLAN zeigt die Sophos Firewall diese als Inaktiv.
Zustand
Sie können SD-RED 20 und SD-RED 60 als Access Points konfigurieren. Wenn sich ein RED Access Point in einem VLAN befindet und Sie ihn neu starten, wird er in der Sophos Firewall möglicherweise als InaktivNach 30 Versuchen erhält der RED eine LAN-IP-Adresse vom DHCP-Server. Der RED-Access-Point wird nun als Aktiv wieder.
Ursache
Die DHCP-Option 234 ist für die VLAN-Schnittstelle des RED nicht konfiguriert. Nach dem Neustart des RED erhält er keine IP-Adresse auf seiner VLAN-Schnittstelle.
Abhilfe
- Klicken Konsole in der Liste in der oberen rechten Ecke und geben Sie
4
für Gerätekonsole. -
Fügen Sie die DHCP-Option wie folgt hinzu:
system dhcp dhcp-options binding add dhcpname <dhcp server name> optionname dhcp_magic_ip(234) value <interface ip address>
Ersetzen
<dhcp server name>
durch den Namen Ihres DHCP-Servers im ROTEN Access Point VLAN. Ersetzen Sie<interface IP address>
mit der IP-Adresse, die Sie für die mit dem VLAN verbundene ROTE Zugriffspunktschnittstelle konfiguriert haben.Innerhalb kurzer Zeit erhält der RED Access Point eine IP-Adresse auf der VLAN-Schnittstelle.
-
Um Ihre Einstellungen zu überprüfen, verwenden Sie den folgenden Befehl:
system dhcp dhcp-options binding show dhcpname <dhcp server name>
Ersetzen
<dhcp server name>
mit dem Namen Ihres DHCP-Servers im ROTEN Access Point-VLAN.