Guten Abend, nach so viel positivem Marketing wollte ich mit endlich mal die Arbeit erleichtern und die Funktion Central SD-WAN Verbindungsgruppen einsetzen. Ich habe also 3 Firewalls installiert, die ich mittels SD-WAN über Central vernetzen wollte. Also Firewall A,B und C frisch installiert und in Central in einer Gruppe zusammengefasst. Hier mal meine Zusammenfassung, die ich gerne ausgiebiger ausführe, wenn daran jemand Interesse hat (vielleicht ja SOPHOS?;-) Die Funktion erledigt ziemlich zuverlässig das oft recht lästige und zeitintensive Einrichten der Routingtunnel. Bei mehr als 2 Firewalls sicher eine große Arbeitserleichterung Ebenso zuverlässig erzeugt das Tool die entsprechenden xfrm Interfaces und weist diesen automatisch die jeweilige Transportnetzadresse zu. Auch die Netze, die per VPN verbunden werden sollen, können hier bereits vorgegeben werden. Mindestens ein Netz muß man bereitstellen, beachtet aber den Hinweis weiter unten. Ich bin immer vorsichtig mit automatischen Firewall Rules, aber habe das mal ausprobiert. Sophos typisch ist bei automatischen Rules das Logging abgeschaltet, das lernen die nie…. Und leider können diese Rules dann auch noch nicht mal über Central gesteuert werden (IPS, Scanning, etc. alles ist aus!) Das ist aber bis hierhin wirklich toll und erleichtert die Arbeit ganz wesentlich! Funktioniert das dann anschließend reibungslos? Leider NEIN! Nur mit ganz wesentlichen manuellen Eingriffen. Ja, die Verbindung klappt auf Anhieb, aber nach den Marketing Aussagen versprach ich mir ein automatischen Failover wenn eine Tunnelverbindung abricht. Leider Fehlanzeige. Bei so einer Mesh VPN Vernetzung geht eigentlich jeder davon aus, daß immer die kürzeste Verbindung gewählt wird . Leider ist das hier nicht so. In meinem Fall wurde Firewall C immer den Tunnel zur Firewall B angesprochen (auch nach mehreren Versuchen). Das macht keinen Sinn. Könnte man damit noch leben, kommen wir jetzt zum Thema Failover. Das klappt leider nicht und scheitert an zwei Dingen. Bei der Einrichtung der Ressourcen (ganz oben) muß darauf geachtet werden, daß auf jeder Firewall alle Netzwerke als Ressource hinzugefügt werden. Macht Sinn, aber ein Hinweis wäre nicht schlecht. 2. Die Failover Zeit bei den automatisch erzeugten SD-WAN Gateways ist auf 60 Sekunden eingestellt. Entsprechend ist die Verbindung dann eine Minute weg. Ich habe nicht gefunden, wie diese Failover Zeit in Central verändert werden kann, also muß das manuell geschehen. Meine Empfehlung: Löscht die ganzen SD-Wan Rules weg und erstellt Routen mit unterschiedlichen Metriken, dann klappt das Failover fast ohne Ping Verlust! Aber aufpassen, wenn Ihr in Central Änderungen an der SD-Wan Gruppe macht, funkt Euch wieder das SD-WAN Routing dazwischen (evtl. Routing Precedence verändern!) DIe Firewall Rules erstellt ihr besser gleich mit Central, dann könnt Ihr die wenigstens ändern, ohne jede einzelne Firewall anfassen zu müssen. Fazit: Gut, aber für eine kostenpflichtige Lizenzerweiterung nicht gut genug umgesetzt….. Gruß Gerd

This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Central SD-WAN Connection Groups

Guten Abend,

nach so viel positivem Marketing wollte ich mit endlich mal die Arbeit erleichtern und die Funktion Central SD-WAN Verbindungsgruppen einsetzen.

Ich habe also 3 Firewalls installiert, die ich mittels SD-WAN über Central vernetzen wollte.

Also Firewall A,B und C frisch installiert und in Central in einer Gruppe zusammengefasst.

Hier mal meine Zusammenfassung, die ich gerne ausgiebiger ausführe, wenn daran jemand Interesse hat (vielleicht ja SOPHOS?;-)

Die Funktion erledigt ziemlich zuverlässig das oft recht lästige und zeitintensive Einrichten der Routingtunnel. Bei mehr als 2 Firewalls sicher eine große Arbeitserleichterung
Ebenso zuverlässig erzeugt das Tool die entsprechenden xfrm Interfaces und weist diesen automatisch die jeweilige Transportnetzadresse zu.
Auch die Netze, die per VPN verbunden werden sollen, können hier bereits vorgegeben werden. Mindestens ein Netz muß man bereitstellen, beachtet aber den Hinweis weiter unten.
Ich bin immer vorsichtig mit automatischen Firewall Rules, aber habe das mal ausprobiert.
Sophos typisch ist bei automatischen Rules das Logging abgeschaltet, das lernen die nie….
Und leider können diese Rules dann auch noch nicht mal über Central gesteuert werden (IPS, Scanning, etc. alles ist aus!)

Das ist aber bis hierhin wirklich toll und erleichtert die Arbeit ganz wesentlich!
Funktioniert das dann anschließend reibungslos?
Leider NEIN! Nur mit ganz wesentlichen manuellen Eingriffen.
Ja, die Verbindung klappt auf Anhieb, aber nach den Marketing Aussagen versprach ich mir ein automatischen Failover wenn eine Tunnelverbindung abricht. Leider Fehlanzeige.
Bei so einer Mesh VPN Vernetzung geht eigentlich jeder davon aus, daß immer die kürzeste Verbindung gewählt wird. Leider ist das hier nicht so. In meinem Fall wurde Firewall C immer den Tunnel zur Firewall B angesprochen (auch nach mehreren Versuchen). Das macht keinen Sinn.
Könnte man damit noch leben, kommen wir jetzt zum Thema Failover.
Das klappt leider nicht und scheitert an zwei Dingen.
Bei der Einrichtung der Ressourcen (ganz oben) muß darauf geachtet werden, daß auf jeder Firewall alle Netzwerke als Ressource hinzugefügt werden. Macht Sinn, aber ein Hinweis wäre nicht schlecht.
2. Die Failover Zeit bei den automatisch erzeugten SD-WAN Gateways ist auf 60 Sekunden eingestellt. Entsprechend ist die Verbindung dann eine Minute weg.
Ich habe nicht gefunden, wie diese Failover Zeit in Central verändert werden kann, also muß das manuell geschehen.

Meine Empfehlung:

Löscht die ganzen SD-Wan Rules weg und erstellt Routen mit unterschiedlichen Metriken, dann klappt das Failover fast ohne Ping Verlust!
Aber aufpassen, wenn Ihr in Central Änderungen an der SD-Wan Gruppe macht, funkt Euch wieder das SD-WAN Routing dazwischen (evtl. Routing Precedence verändern!)

DIe Firewall Rules erstellt ihr besser gleich mit Central, dann könnt Ihr die wenigstens ändern, ohne jede einzelne Firewall anfassen zu müssen.

Fazit: Gut, aber für eine kostenpflichtige Lizenzerweiterung nicht gut genug umgesetzt…..

Gruß Gerd

This thread was automatically locked due to age.