Fehlerbehebung – SD-WAN
Beheben Sie Probleme mit der SD-WAN-Route.
Routing- und Verbindungsprobleme
Verkehr zwischen internen Netzwerken, der an die WAN-Schnittstelle weitergeleitet wird
Der Datenverkehr von einem internen Netzwerk zu einem anderen internen Netzwerk wird an eine WAN-Schnittstelle weitergeleitet, wenn die folgenden Bedingungen vorliegen:
- Zielnetzwerke in einer SD-WAN-Route ist eingestellt auf Beliebig.
- Bei der Routenpriorität gilt: SD-WAN-Route vor statischer Route.
Gehen Sie wie folgt vor:
-
Legen Sie die Zielnetzwerke wie folgt:
- IPv4-Routen: Wählen Sie die Standard Internet-IPv4-Gruppe oder die einzelnen Internet-IPv4-Bereiche.
- IPv6-Routen: Wählen Sie die spezifischen Ziel-IP-Hosts aus.
-
Wenn Sie behalten möchten Beliebig, erstellen Sie eine SD-WAN-Route mit bestimmten Ziel-IP-Hosts. Platzieren Sie diese Route über dem Beliebig Route. Routen werden in der angezeigten Reihenfolge erzwungen.
-
Siehe die Routenpriorität auf Routenplanung > SD-WAN-Routen.
Wenn die SD-WAN-Route vor der statischen Route festgelegt wird, wird eine entsprechende SD-WAN-Route auf den direkt verbundenen Netzwerkverkehr angewendet. Statische Routen umfassen direkt verbundene Netzwerke.
Ändern Sie die Routenpriorität, indem Sie auf der CLI die statische Route vor die SD-WAN-Route setzen.
Beispiel
console> system route_precedence set static sdwan_policyroute vpn
Nach dem Erstellen einer SD-WAN-Route habe ich den Zugriff auf die Sophos Firewall verloren
Wenn Sie keinen Zugriff mehr auf die Webadministrator- und SSH-Konsolen der Sophos Firewall haben, prüfen Sie, ob alle folgenden Einstellungen auf Ihr Szenario zutreffen. Um den Zugriff wiederherzustellen, müssen Sie eine der Einstellungen ändern.
-
Routenpriorität auf SD-WAN-Route vor statischer Route eingestellt.
Um die Routenpriorität anzuzeigen, gehen Sie zu Routenplanung > SD-WAN-Routen Klicken Sie auf das Feld unter dem Menü. Die Routenpriorität muss „statische Route“ und dann „SD-WAN-Route“ sein. Sie können die Routenpriorität über die Befehlszeilenkonsole ändern:
Beispiel
console> system route_precedence set static sdwan_policyroute vpn
-
Zielnetzwerke eingestellt auf Beliebig in der neu erstellten SD-WAN-Route für ein bestimmtes internes Subnetz. Sie können die Einstellung auf eine bestimmte Auswahl ändern.
-
SD-WAN-Routing für systemgenerierten Datenverkehr aktiviert.
Gehen Sie zur Befehlszeilenkonsole und verwenden Sie diesen Befehl:
show routing sd-wan-policy-route system-generate-traffic
Sie können das SD-WAN-Routing für systemgenerierten Datenverkehr deaktivieren.
-
SD-WAN-Routing für Antwortpakete aktiviert.
Gehen Sie zur Befehlszeilenkonsole und verwenden Sie diesen Befehl:
show routing sd-wan-policy-route reply-packet
Sie können das SD-WAN-Routing für Antwortpakete deaktivieren.
Wenn alle diese Szenarien eintreten, erzwingt die Sophos Firewall die generische SD-WAN-Route vor statischen Routen und implementiert sie für systemgenerierten Datenverkehr und Antwortpakete. Der Zugriff auf die Webadministrator- und SSH-Konsolen geht aus dem in der Route angegebenen internen Subnetz verloren. Der Zugriff ist jedoch aus anderen Subnetzen möglich.
Eine SD-WAN-Route wird nicht in der Routentabelle angezeigt
Wenn eine migrierte SD-WAN-Route oder eine von Ihnen erstellte Route nicht mehr angezeigt wird, gehen Sie wie folgt vor:
- Überprüfen Sie, ob Sie das in der Route angegebene primäre Gateway gelöscht haben. Durch das Löschen des primären Gateways einer SD-WAN-Route wird die Route gelöscht.
-
Wenn es sich um eine migrierte Route handelt, überprüfen Sie, ob Sie die zugehörige Firewall-Regel gelöscht haben.
Routing-Einstellungen in Firewall-Regeln werden von Version 17.5 oder früher als migrierte SD-WAN-Routen migriert. Diese Routen sind der ursprünglichen Firewall-Regel zugeordnet. Wenn Sie die Firewall-Regel löschen, wird auch die zugehörige Route gelöscht.
Dead Gateway-Erkennung in IPv6-Routen
Bei IPv6-SD-WAN-Routen überwacht die Dead Gateway Detection (DGD) keinen Netzwerkverkehr von Drittanbietern (Beispiel: SNMP).
Probleme mit dem Webproxy
Die SD-WAN-Route stimmt nicht mit dem direkten Webproxy-Verkehr überein
Wenn Sie den direkten Webproxymodus verwenden, wendet Sophos Firewall die SD-WAN-Route nicht an, um Folgendes abzugleichen:
- Web-Verkehr auf dem direkten Proxy-Port, wenn Sie Leistungen Zu HTTP (Port 80) und HTTPS (Port 443). Sie müssen Leistungen Zu Beliebig.
Alternativ können Sie wie folgt vorgehen:
- Check the direct proxy port on **Web** > **General settings**, under **Web proxy listening port**. - On **Routing** > **SD-WAN routes**, add a service for the direct proxy port.
- Ein Quellnetzwerk für Antwortpakete.
- Eine eingehende Schnittstelle für Antwortpakete.
Sie müssen mindestens eine WAN-Schnittstelle (Standard-Gateway) oder statische Route konfigurieren, um den Proxy-Verkehr im Antwortpfad für systemgenerierten Verkehr abzugleichen.
Berichterstattung
SD-WAN-Route zeigt nur entweder Anforderungs- oder Antwortverkehr an
SD-WAN-Routen zeigen nur die Verkehrsanzahl einer Route für den Verkehr an, der den Quell- und Zieleinstellungen der Route entspricht. Um die Anzahl des Anforderungs- und Antwortverkehrs anzuzeigen, stellen Sie sicher, dass die Quell- und Zieleinstellungen der Route mit dem Anforderungs- und Antwortverkehr übereinstimmen. Siehe Anfrage- und Antwortverkehr.