コンテンツにスキップ

トラブルシューティング- SD-WAN

SD-WAN ルートの問題をトラブルシューティングします。

ルーティングと接続の問題

WAN インターフェースにルーティングされる内部ネットワーク間のトラフィック

内部ネットワークから別の内部ネットワークへのトラフィックは、次の条件が発生すると WAN インターフェースにルーティングされます。

  • SD-WAN ルート内の宛先ネットワークは、「任意」に設定されています。
  • SD-WAN ルートのほうが静的ルートよりも優先順位が高くなっています。

次の手順を実行します。

  • 宛先ネットワーク」を次のように設定します。

    • IPv4 ルート: デフォルトの「インターネットIPv4グループ」または個々のインターネット IPv4 範囲を選択します。
    • IPv6 ルート: 特定の宛先 IP ホストを選択します。

    宛先ネットワークは「任意」に設定されています。

  • 任意」を維持したい場合には、特定の宛先 IP ホストを使用して SD-WAN ルートを作成します。このルートを、宛先を「任意」に設定したルートよりも上に配置してください。ルートは、表示されている順に適用されます。

  • ルーティング > SD-WAN ルート」でルートの優先順位を確認します。

    ルートの優先順位。

    SD-WAN ルートがスタティックルートの前に設定されている場合、一致する SD-WAN ルートが直接接続されたネットワークトラフィックに適用されます。スタティックルートには、直接接続されたネットワークが含まれます

    CLI で SD-WAN ルートの前にスタティックルートを配置するルート優先順位を変更します。

    console> system route_precedence set static sdwan_policyroute vpn

SD-WAN ルートの作成後、Sophos Firewall にアクセスできなくなった

Sophos Firewall の Web 管理コンソールや SSH コンソールにアクセスできなくなった場合は、以下の設定をすべて確認してください。アクセスを回復するには、いずれかの設定を変更する必要があります。

  • SD-WAN ルートのほうがスタティックルートよりも優先順位が高くなっている。

    ルートの優先順位を調べるには、「ルーティング > SD-WAN ルート」に移動し、メニューの下のボックスを確認します。スタティックルートのほうが、SD-WAN ルートよりも優先順位が高くなっている必要があります。ルートの優先順位は、コマンドラインコンソールから変更できます。

    console> system route_precedence set static sdwan_policyroute vpn

  • 特定の内部サブネットに対して新しく作成した SD-WAN ルートの「宛先ネットワーク」が「任意」に設定されている。設定を特定の選択肢に変更できます。

  • システム生成トラフィックに対して SD-WAN ルーティングが有効になっている。

    コマンドラインコンソールに移動し、以下のコマンドを実行します: show routing sd-wan-policy-route system-generate-traffic

    システム生成トラフィックの SD-WAN ルーティングをオフにすることができます。

  • 応答パケットに対して SD-WAN ポリシールーティングが有効になっている。

    コマンドラインコンソールに移動し、以下のコマンドを実行します: show routing sd-wan-policy-route reply-packet

    応答パケットの SD-WAN ルーティングをオフにすることができます。

上記のすべての条件に一致した場合、スタティックルートよりも先に汎用 SD-WAN ルートが適用され、システム生成トラフィックおよび応答パケットにこのルートが適用されます。この場合、SD-WAN ルートに指定した内部サブネットから、Web 管理コンソールや SSH コンソールにアクセスできなくなります。ただし、他のサブネットからアクセスできます。

SD-WAN ルートがルートテーブルに表示されない

移行後の SD-WAN ルートや、作成したルートがルートテーブルに表示されなくなった場合は、以下の手順に従います。

  • ルートで指定されたプライマリゲートウェイを削除したかどうかを確認します。SD-WAN ルートのプライマリゲートウェイを削除すると、ルートが削除されます。
  • 移行されたルートの場合は、関連付けられたファイアウォールルールを削除したかどうかを確認します。

    バージョン 17.5 以前から移行した場合、ファイアウォールルールのルーティング設定は、SD-WAN ルートに移行されます。これらのルートは、元のファイアウォールルールに関連付けられています。ファイアウォールルールを削除すると、関連付けられたルートも削除されます。

IPv6 ルートでのデッドゲートウェイ検出

IPv6 SD-WAN ルートの場合、デッドゲートウェイ検出 (DGD) はサードパーティのネットワークトラフィック (例: SNMP など) を監視しません。

Web プロキシの問題

SD-WANルートが Web 直接プロキシトラフィックと一致しない

直接 Web プロキシモードを使用すると、Sophos Firewall は以下に一致する SD-WAN ルートを適用しません。

  • サービス」を「HTTP (ポート 80)」および「HTTPS (ポート 443)」に設定した場合の、直接プロキシポート上の Web トラフィックです。「サービス」を「任意」に設定する必要があります。

それ以外の場合は、次の手順を実行します。

-   直接プロキシのポートが**Web プロキシのリスニングポート**下で、「**Web** > **全般設定** 」になっていることを確認します。
-   「**ルーティング** >** SD-WANルート**」で、直接プロキシポートのサービスを追加します。
  • 応答パケットの送信元ネットワーク。
  • 応答パケットの受信インターフェース。

システム生成トラフィックの応答パスに少なくとも 1つの WAN インターフェース (デフォルトゲートウェイ) またはスタティックルートを設定して、プロキシトラフィックと一致させる必要があります。