Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=routing-SD-WAN-routes-troubleshooting

Fehlerbehebung – SD-WAN

Behebung von SD-WAN-Routingproblemen.

Routing- und Verbindungsprobleme

Der Datenverkehr zwischen internen Netzwerken wird zur WAN-Schnittstelle geleitet.

Der Datenverkehr von einem internen Netzwerk zu einem anderen internen Netzwerk wird über eine WAN-Schnittstelle geleitet, wenn folgende Bedingungen erfüllt sind:

  • Zielnetzwerke in einer SD-WAN-Route ist festgelegt auf Beliebig.
  • Die Routenpriorität hat SD-WAN-Routen vor statischen Routen.

Gehen Sie wie folgt vor:

  • Stellen Sie die Zielnetzwerke wie folgt:

    • IPv4-Routen: Standardrouten auswählen Internet IPv4-Gruppe oder die einzelnen Internet-IPv4-Adressbereiche.
    • IPv6-Routen: Wählen Sie die spezifischen Ziel-IP-Hosts aus.

    Destination network set to Any.

  • Wenn Sie behalten möchten Beliebig: Erstellen Sie eine SD-WAN-Route mit spezifischen Ziel-IP-Hosts. Platzieren Sie diese Route über der Beliebig Route. Die Routen werden in der angezeigten Reihenfolge durchgesetzt.

  • Siehe die Routenpriorität auf Routing > SD-WAN-Routen.

    Route precedence.

    Wird eine SD-WAN-Route vor einer statischen Route festgelegt, wird eine entsprechende SD-WAN-Route auf den direkt verbundenen Netzwerkverkehr angewendet. Statische Routen umfassen auch direkt verbundene Netzwerke.

    Ändern Sie die Routenpriorität, indem Sie die statische Route vor die SD-WAN-Route in der CLI setzen.

    Beispiel

    console> system route_precedence set static sdwan_policyroute vpn

Nach dem Erstellen einer SD-WAN-Route ging der Zugriff auf die Sophos-Firewall verloren.

Wenn Sie den Zugriff auf die Web-Administrations- und SSH-Konsolen der Sophos Firewall verloren haben, prüfen Sie, ob alle folgenden Einstellungen auf Ihr Szenario zutreffen. Um den Zugriff wiederherzustellen, müssen Sie eine der Einstellungen ändern.

  • Die Routenpriorität ist auf SD-WAN-Route vor statischer Route eingestellt.

    Die Routenpriorität finden Sie unter Routing > SD-WAN-Routen Beachten Sie das Feld unterhalb des Menüs. Die Routenpriorität muss „Statische Route“ und anschließend „SD-WAN-Route“ lauten. Sie können die Routenpriorität über die Befehlszeilenkonsole ändern.

    Beispiel

    console> system route_precedence set static sdwan_policyroute vpn

  • Zielnetzwerke eingestellt auf Beliebig in der neu erstellten SD-WAN-Route für ein bestimmtes internes Subnetz. Sie können die Einstellung auf eine bestimmte Option ändern.

  • SD-WAN-Routing für systemgenerierten Datenverkehr aktiviert.

    Öffnen Sie die Kommandozeilenkonsole und verwenden Sie folgenden Befehl: show routing sd-wan-policy-route system-generate-traffic

    Sie können das SD-WAN-Routing für systemgenerierten Datenverkehr deaktivieren.

  • SD-WAN-Routing für Antwortpakete aktiviert.

    Öffnen Sie die Kommandozeilenkonsole und verwenden Sie folgenden Befehl: show routing sd-wan-policy-route reply-packet

    Sie können das SD-WAN-Routing für Antwortpakete deaktivieren.

Wenn all diese Szenarien eintreten, erzwingt die Sophos Firewall die generische SD-WAN-Route vor statischen Routen und wendet sie auf systemgenerierten Datenverkehr und Antwortpakete an. Der Zugriff auf die Web-Administrations- und SSH-Konsolen ist aus dem in der Route angegebenen internen Subnetz nicht mehr möglich. Aus anderen Subnetzen ist der Zugriff jedoch weiterhin möglich.

Eine SD-WAN-Route wird in der Routingtabelle nicht angezeigt.

Falls eine migrierte SD-WAN-Route oder eine von Ihnen erstellte Route nicht mehr angezeigt wird, gehen Sie wie folgt vor:

  • Prüfen Sie, ob Sie das im Routing angegebene primäre Gateway gelöscht haben. Durch das Löschen des primären Gateways eines SD-WAN-Routings wird das Routing gelöscht.

  • Falls es sich um eine migrierte Route handelt, prüfen Sie, ob Sie die zugehörige Firewall-Regel gelöscht haben.

    Routing-Einstellungen in Firewall-Regeln werden aus Version 17.5 oder früheren Versionen als migrierte SD-WAN-Routen übernommen. Diese Routen sind der ursprünglichen Firewall-Regel zugeordnet. Wenn Sie die Firewall-Regel löschen, wird auch die zugehörige Route gelöscht.

Erkennung toter Gateways in IPv6-Routen

Bei IPv6 SD-WAN-Routen überwacht die Dead Gateway Detection (DGD) keinen Netzwerkverkehr von Drittanbietern (z. B. SNMP).

Web-Proxy-Probleme

Die SD-WAN-Route stimmt nicht mit dem direkten Webproxy-Verkehr überein.

Wenn Sie den direkten Webproxy-Modus verwenden, wendet die Sophos Firewall die SD-WAN-Route nicht entsprechend an:

  • Webverkehr auf dem direkten Proxy-Port, falls Sie diesen konfiguriert haben Dienstleistungen Zu HTTP (Port 80) und HTTPS (Port 443). Sie müssen einstellen Dienstleistungen Zu Beliebig.

Alternativ können Sie wie folgt vorgehen:

- Check the direct proxy port on **Web** > **General settings**, under **Web proxy listening port**. - On **Routing** > **SD-WAN routes**, add a service for the direct proxy port.
  • Ein Quellnetzwerk für Antwortpakete.
  • Eine eingehende Schnittstelle für Antwortpakete.

Sie müssen mindestens eine WAN-Schnittstelle (Standardgateway) oder eine statische Route konfigurieren, um den Proxy-Datenverkehr im Antwortpfad für systemgenerierten Datenverkehr abzugleichen.

Berichterstattung

Die SD-WAN-Route zeigt entweder nur Anfrage- oder nur Antwortverkehr an.

SD-WAN-Routen zeigen die Verkehrszählung nur für Datenverkehr an, der den Quell- und Zieleinstellungen der Route entspricht. Um die Anzahl des Anfrage- und Antwortverkehrs anzuzeigen, stellen Sie sicher, dass die Quell- und Zieleinstellungen der Route mit dem Anfrage- und Antwortverkehr übereinstimmen. Siehe Anfrage- und Antwortverkehr.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen