Zur Startseite gehen
0,00 €*

Fehlerbehebung – SD-WAN

Beheben Sie Probleme mit der SD-WAN-Route.

Routing- und Verbindungsprobleme

Verkehr zwischen internen Netzwerken, der an die WAN-Schnittstelle weitergeleitet wird

Der Datenverkehr von einem internen Netzwerk zu einem anderen internen Netzwerk wird an eine WAN-Schnittstelle weitergeleitet, wenn die folgenden Bedingungen vorliegen:

  • Zielnetzwerke in einer SD-WAN-Route ist eingestellt auf Beliebig.
  • Bei der Routenpriorität gilt: SD-WAN-Route vor statischer Route.

Gehen Sie wie folgt vor:

  • Legen Sie die Zielnetzwerke wie folgt:

    • IPv4-Routen: Wählen Sie die Standard Internet-IPv4-Gruppe oder die einzelnen Internet-IPv4-Bereiche.
    • IPv6-Routen: Wählen Sie die spezifischen Ziel-IP-Hosts aus.

    Destination network set to Any.

  • Wenn Sie behalten möchten Beliebig, erstellen Sie eine SD-WAN-Route mit bestimmten Ziel-IP-Hosts. Platzieren Sie diese Route über dem Beliebig Route. Routen werden in der angezeigten Reihenfolge erzwungen.

  • Siehe die Routenpriorität auf Routenplanung > SD-WAN-Routen.

    Route precedence.

    Wenn die SD-WAN-Route vor der statischen Route festgelegt wird, wird eine entsprechende SD-WAN-Route auf den direkt verbundenen Netzwerkverkehr angewendet. Statische Routen umfassen direkt verbundene Netzwerke.

    Ändern Sie die Routenpriorität, indem Sie auf der CLI die statische Route vor die SD-WAN-Route setzen.

    Beispiel

    console> system route_precedence set static sdwan_policyroute vpn

Nach dem Erstellen einer SD-WAN-Route habe ich den Zugriff auf die Sophos Firewall verloren

Wenn Sie keinen Zugriff mehr auf die Webadministrator- und SSH-Konsolen der Sophos Firewall haben, prüfen Sie, ob alle folgenden Einstellungen auf Ihr Szenario zutreffen. Um den Zugriff wiederherzustellen, müssen Sie eine der Einstellungen ändern.

  • Routenpriorität auf SD-WAN-Route vor statischer Route eingestellt.

    Um die Routenpriorität anzuzeigen, gehen Sie zu Routenplanung > SD-WAN-Routen Klicken Sie auf das Feld unter dem Menü. Die Routenpriorität muss „statische Route“ und dann „SD-WAN-Route“ sein. Sie können die Routenpriorität über die Befehlszeilenkonsole ändern:

    Beispiel

    console> system route_precedence set static sdwan_policyroute vpn

  • Zielnetzwerke eingestellt auf Beliebig in der neu erstellten SD-WAN-Route für ein bestimmtes internes Subnetz. Sie können die Einstellung auf eine bestimmte Auswahl ändern.

  • SD-WAN-Routing für systemgenerierten Datenverkehr aktiviert.

    Gehen Sie zur Befehlszeilenkonsole und verwenden Sie diesen Befehl: show routing sd-wan-policy-route system-generate-traffic

    Sie können das SD-WAN-Routing für systemgenerierten Datenverkehr deaktivieren.

  • SD-WAN-Routing für Antwortpakete aktiviert.

    Gehen Sie zur Befehlszeilenkonsole und verwenden Sie diesen Befehl: show routing sd-wan-policy-route reply-packet

    Sie können das SD-WAN-Routing für Antwortpakete deaktivieren.

Wenn alle diese Szenarien eintreten, erzwingt die Sophos Firewall die generische SD-WAN-Route vor statischen Routen und implementiert sie für systemgenerierten Datenverkehr und Antwortpakete. Der Zugriff auf die Webadministrator- und SSH-Konsolen geht aus dem in der Route angegebenen internen Subnetz verloren. Der Zugriff ist jedoch aus anderen Subnetzen möglich.

Eine SD-WAN-Route wird nicht in der Routentabelle angezeigt

Wenn eine migrierte SD-WAN-Route oder eine von Ihnen erstellte Route nicht mehr angezeigt wird, gehen Sie wie folgt vor:

  • Überprüfen Sie, ob Sie das in der Route angegebene primäre Gateway gelöscht haben. Durch das Löschen des primären Gateways einer SD-WAN-Route wird die Route gelöscht.

  • Wenn es sich um eine migrierte Route handelt, überprüfen Sie, ob Sie die zugehörige Firewall-Regel gelöscht haben.

    Routing-Einstellungen in Firewall-Regeln werden von Version 17.5 oder früher als migrierte SD-WAN-Routen migriert. Diese Routen sind der ursprünglichen Firewall-Regel zugeordnet. Wenn Sie die Firewall-Regel löschen, wird auch die zugehörige Route gelöscht.

Dead Gateway-Erkennung in IPv6-Routen

Bei IPv6-SD-WAN-Routen überwacht die Dead Gateway Detection (DGD) keinen Netzwerkverkehr von Drittanbietern (Beispiel: SNMP).

Probleme mit dem Webproxy

Die SD-WAN-Route stimmt nicht mit dem direkten Webproxy-Verkehr überein

Wenn Sie den direkten Webproxymodus verwenden, wendet Sophos Firewall die SD-WAN-Route nicht an, um Folgendes abzugleichen:

  • Web-Verkehr auf dem direkten Proxy-Port, wenn Sie Leistungen Zu HTTP (Port 80) und HTTPS (Port 443). Sie müssen Leistungen Zu Beliebig.

Alternativ können Sie wie folgt vorgehen:

- Check the direct proxy port on **Web** > **General settings**, under **Web proxy listening port**. - On **Routing** > **SD-WAN routes**, add a service for the direct proxy port.
  • Ein Quellnetzwerk für Antwortpakete.
  • Eine eingehende Schnittstelle für Antwortpakete.

Sie müssen mindestens eine WAN-Schnittstelle (Standard-Gateway) oder statische Route konfigurieren, um den Proxy-Verkehr im Antwortpfad für systemgenerierten Verkehr abzugleichen.

Berichterstattung

SD-WAN-Route zeigt nur entweder Anforderungs- oder Antwortverkehr an

SD-WAN-Routen zeigen nur die Verkehrsanzahl einer Route für den Verkehr an, der den Quell- und Zieleinstellungen der Route entspricht. Um die Anzahl des Anforderungs- und Antwortverkehrs anzuzeigen, stellen Sie sicher, dass die Quell- und Zieleinstellungen der Route mit dem Anforderungs- und Antwortverkehr übereinstimmen. Siehe Anfrage- und Antwortverkehr.

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung