Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=routing

Routing

Routen ermöglichen es der Sophos Firewall, den Datenverkehr anhand der von Ihnen festgelegten Kriterien weiterzuleiten.

Sie können SD-WAN, statische und dynamische Routen konfigurieren. Die Sophos Firewall erstellt automatisch VPN-Routen für IPsec-Datenverkehr.

Routenpriorität

Das Routing richtet sich nach der Priorität, die Sie in der Befehlszeilenschnittstelle festlegen. Die Standard-Routing-Priorität ist: statische Routen, SD-WAN-Routen und dann VPN-Routen.

Um die Routenpriorität anzuzeigen, gehen Sie wie folgt vor:

  • CLI: Eingabe 4 für Gerätekonsole: und geben Sie folgenden Befehl ein:

    system route_precedence show

  • Web-Administrationskonsole: Gehen Sie zu Routing > SD-WAN-Routen.

    Route precedence.

Die Protokoll-, Netzwerk- und Routendetails sind in der folgenden Tabelle aufgeführt:

Routen Routing-Priorität

Statische Routen:

  • Direkt verbundene Netzwerke
  • Routen, die mithilfe der ipsec_route Befehl in der Befehlszeile.
  • Unicast-Routen
  • Dynamische Routen
  • SSL-VPN-Verbindungen

SD-WAN-Routen

VPN-Routen:

  • Wird automatisch im Backend für richtlinienbasierte IPsec-VPNs erstellt.

Die Routing-Priorität wird über die Befehlszeilenschnittstelle festgelegt.

Beispiel: system route_precedence set static sdwan_policyroute vpn
WAN-Verbindungsmanager (Standardroute) Ausweichroute, falls der Datenverkehr keiner konfigurierten Route entspricht.

Routenpriorität und VPN-Verkehr

SSL-VPN-Verkehr

Der SSL-VPN-Datenverkehr gehört zu statischen Routen. Angenommen, Sie haben eine SSL-VPN-Richtlinie und eine SD-WAN-Route konfiguriert, deren Ziel auf Ihr lokales Netzwerk festgelegt ist. 10.1.1.0.

Wenn die Routenpriorität auf SD-WAN-Routen, gefolgt von statischen Routen und VPN-Routen, eingestellt ist, versucht die Firewall zunächst, eine passende SD-WAN-Route zu finden. Wird eine passende Route gefunden, greifen Remote-Benutzer über diese Route auf das Netzwerk zu. Findet die Firewall keine passende SD-WAN-Route, wendet sie die SSL-VPN-Richtlinie an.

Sollen Benutzer jedoch unabhängig von einer entsprechenden SD-WAN-Route über SSL-VPN auf das Ziel zugreifen können, müssen Sie vor der SD-WAN-Route eine statische Route einrichten. Geben Sie dazu folgenden Befehl ein:

system route_precedence set static sdwan_policyroute vpn

IPSec-VPN-Verkehr

Der system route_precedence Der Befehl priorisiert VPN-Routen gegenüber statischen Routen für den Datenverkehr zur WAN-Zone. Wenn eine statische oder lokale Route Datenverkehr in eine andere Zone als die WAN-Zone leitet, verwendet die Firewall diese statische Route und nicht das VPN. Um diesen Datenverkehr über das VPN zu leiten, verwenden Sie die entsprechende Option. ipsec_route Befehl für richtlinienbasierte VPNs mit Verkehrsselektoren.

Hier ein Beispiel:

system ipsec_route add net 192.168.1.0/255.255.255.0 tunnelname <tunnelname>

Tipp

Zweimaliges Drücken der Tabulatortaste nach tunnelname wird eine Liste der verfügbaren Tunnel anzeigen.

Erweiterte Routenkonfiguration

Die Web-Administrationskonsole unterstützt nur die grundlegende Routenkonfiguration. Für erweiterte Routenkonfigurationen müssen Sie die Befehlszeilenschnittstelle (CLI) verwenden. Siehe Routenkonfiguration.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen