Verkehrsfluss für direkt verbundene Netzwerke zulassen: Routenpriorität festlegen
Wenn bei SD-WAN-Routen das Zielnetzwerk auf „Beliebig“ eingestellt ist, werden direkt verbundene Netzwerke über die WAN-Schnittstelle geroutet. Legen Sie die Routenpriorität in der Befehlszeilenkonsole fest, um internen Datenverkehr zu ermöglichen.
Einführung
Die Sophos Firewall wendet SD-WAN-Routen auf den gesamten (externen und internen) Datenverkehr an, wenn beide Szenarien gleichzeitig auftreten:
- Routenpriorität: SD-WAN-Routen werden auf der Befehlszeilenkonsole vor statischen Routen festgelegt.
- SD-WAN-Routen: Zielnetzwerke sind in der Webadministrationskonsole auf „Beliebig“ eingestellt.
Warnung
Die Standardroutenpriorität ist auf statisch, SD-WAN-Routen und VPN eingestellt.
Wenn Sie von 17.5 auf 18.5 migrieren, behält Sophos Firewall die in der früheren Version festgelegte Routenpriorität bei.
Dies zwingt Ihre internen Quellen, das WAN-Gateway für interne Ziele zu verwenden, und kann den internen Datenverkehr unterbrechen.
Um den Datenverkehr zwischen direkt verbundenen Netzwerken zu ermöglichen, überprüfen Sie die Routenpriorität und legen Sie statische Routen vor SD-WAN-Routen fest.
Legen Sie die Routenpriorität fest, um den internen Verkehrsfluss zu ermöglichen
Zeigen Sie die aktuelle Routenpriorität an. Ändern Sie die Priorität bei Bedarf.
- Melden Sie sich per SSH bei der Befehlszeilenschnittstelle an. Alternativ können Sie in der Webadministrationskonsole auf Administrator > Konsole in der oberen rechten Ecke.
- Eingeben 4 für Gerätekonsole.
-
Verwenden Sie den folgenden Befehl:
console> system route_precedence show
-
Alternativ können Sie die Routenpriorität in der Webadministrationskonsole einsehen. Gehen Sie zu Routenplanung > SD-WAN-Routen und sehen Sie sich das Feld unter dem Menü an.
-
Um internen Quellen den direkten Zugriff auf interne Netzwerke zu ermöglichen (interne Hosts greifen auf interne Geräte und Server zu), legen Sie in der Befehlszeilenschnittstelle die Routing-Priorität mit statischem Routing vor SD-WAN-Routing fest.
Beispiel:
console> system route_precedence set static sdwan_policyroute vpn
-
Um die angepasste Routenpriorität zu überprüfen, verwenden Sie erneut den folgenden Befehl:
console> system route_precedence show
Sie müssen eine Firewall-Regel erstellen, um Datenverkehr zwischen internen Zonen zuzulassen, beispielsweise zwischen dem LAN und der DMZ.
Die Sophos Firewall wendet nun statische Routen an, bevor sie die richtlinienbasierten SD-WAN-Routen anwendet. Interner Datenverkehr wird direkt an das interne Ziel weitergeleitet.