Fehlerbehebung

Im Folgenden finden Sie einige Probleme und Lösungen für SD-WAN-Richtlinien:

Datenverkehr zwischen Netzwerken, die mit internen Ports verbunden sind, wird an die WAN-Schnittstelle weitergeleitet

Wenn der Datenverkehr zwischen direkt verbundenen Netzwerken wie Netzwerken oder Subnetzen, die mit den LAN- oder DMZ-Ports verbunden sind, über die WAN-Schnittstelle fließt, anstatt direkt an das interne Netzwerk weitergereicht zu werden, gehen Sie folgendermaßen vor:

  • Überprüfen Sie, ob bei einer SD-WAN-Richtlinienroute Zielnetzwerke auf Beliebig gesetzt ist.

    Ändern Sie die Einstellung von Beliebig zu einer enger gefassten Option (Beispiel: WAN) aus der Liste. Wenn Sie sie auf Beliebig setzen, wird XG Firewall gezwungen, den internen Datenverkehr auch an die WAN-Schnittstelle weiterzuleiten.

  • Wenn Sie die oben genannte allgemeine Richtlinienroute beibehalten wollen, erstellen Sie eine SD-WAN-Richtlinienroute mit einer enger gefassten Option für das Zielnetzwerk. Platzieren Sie diese Route über der Richtlinienroute Beliebig. Richtlinienrouten werden von oben nach unten umgesetzt.
  • Alternativ können Sie zu Routing > SD-WAN-Richtlinienrouting gehen und die Routenpriorisierung im Feld unter dem Menü anzeigen.

    Statische Routen umfassen direkt verbundene Netzwerke. Damit XG Firewall internen Netzwerkverkehr direkt weiterleiten kann, sollte die Routenpriorisierung statische Routen vor SD-WAN-Richtlinienrouten sein. Ändern Sie die Routenpriorisierung über die Kommandozeile:

    Beispiel: console> system route_precedence set static sdwan_policyroute vpn

Zugriff auf XG Firewall nach Erstellung einer SD-WAN-Richtlinienroute verloren

Wenn Sie den Zugriff auf die Web-Admin-Oberfläche und SSH-Konsole von XG Firewall verloren haben, überprüfen Sie, ob alle der folgenden Einstellungen zutreffen. Um wieder Zugriff zu erhalten, müssen Sie eine der Einstellungen ändern.

  • Die Routenpriorisierung ist auf SD-WAN-Richtlinienrouten vor statischen Routen festgelegt.

    Um die Routenpriorisierung anzuzeigen, gehen Sie zu Routing > SD-WAN-Richtlinienrouting, und sehen Sie sich das Feld unter dem Menü an. Die Routenpriorisierung sollte statische Routen vor der SD-WAN-Richtlinienrouten sein. Sie können die Routenpriorisierung über die Kommandozeile ändern:

    Beispiel: console> system route_precedence set static sdwan_policyroute vpn

  • Setzen Sie in der neu erstellten SD-WAN-Richtlinienroute für ein bestimmtes internes Subnetz Zielnetzwerke auf Beliebig. Sie können die Einstellung auf eine enger gefasste Option ändern.
  • SD-WAN-Richtlinienrouting ist für systemgenerierten Datenverkehr aktiviert.

    Gehen Sie zur Kommandozeile und verwenden Sie diesen Befehl: show routing sd-wan-policy-route system-generate-traffic

    Sie können SD-WAN-Richtlinienrouting für systemgenerierten Datenverkehr deaktivieren.

  • SD-WAN-Richtlinienrouting ist für Antwortpakete aktiviert.

    Gehen Sie zur Kommandozeile und verwenden Sie diesen Befehl: show souting sd-wan-policy-route reply-packet

    Sie können SD-WAN-Richtlinien-Routing für Antwortpakete deaktivieren.

Wenn alle diese Einstellungen zutreffen, setzt XG Firewall generische SD-WAN-Richtlinienroute vor statischen Routen um und setzt sie auch für systemgenerierten Datenverkehr und Antwortpakete ein. Der Zugriff auf die Web-Admin-Oberfläche und die SSH-Konsole geht aus dem internen Subnetz verloren, das in der Richtlinienroute angegeben ist. Der Zugriff ist jedoch über andere Subnetze möglich.

Eine SD-WAN-Richtlinienroute wird in der Richtlinienroutentabelle nicht angezeigt

Wenn eine migrierte SD-WAN-Richtlinienroute oder eine von Ihnen erstellte Route nicht mehr angezeigt wird, gehen Sie folgendermaßen vor:

  • Prüfen Sie, ob Sie das in der Route angegebene primäre Gateway gelöscht haben. Durch das Löschen des primären Gateways einer SD-WAN-Richtlinienroute wird die Route gelöscht.
  • Wenn es sich um eine migrierte Route handelt, überprüfen Sie, ob Sie die zugehörige Firewallregel gelöscht haben.

    Routing-Einstellungen in Firewallregeln werden als migrierte SD-WAN-Richtlinienrouten von 17.5 oder früher auf 18.0 migriert. Diese sind mit der ursprünglichen Firewallregel verknüpft. Wenn Sie die Firewallregel löschen, wird die zugehörige Route gelöscht.