トラブルシューティング- SD-WAN
SD-WAN ルートの問題をトラブルシューティングします。
ルーティングと接続の問題
WAN インターフェースにルーティングされる内部ネットワーク間のトラフィック
内部ネットワークから別の内部ネットワークへのトラフィックは、次の条件が発生すると WAN インターフェースにルーティングされます。
- SD-WAN ルート内の宛先ネットワークは、「任意」に設定されています。
- SD-WAN ルートのほうが静的ルートよりも優先順位が高くなっています。
次の手順を実行します。
-
「宛先ネットワーク」を次のように設定します。
- IPv4 ルート: デフォルトの「インターネットIPv4グループ」または個々のインターネット IPv4 範囲を選択します。
- IPv6 ルート: 特定の宛先 IP ホストを選択します。
-
「任意」を維持したい場合には、特定の宛先 IP ホストを使用して SD-WAN ルートを作成します。このルートを、宛先を「任意」に設定したルートよりも上に配置してください。ルートは、表示されている順に適用されます。
-
「ルーティング > SD-WAN ルート」でルートの優先順位を確認します。
SD-WAN ルートがスタティックルートの前に設定されている場合、一致する SD-WAN ルートが直接接続されたネットワークトラフィックに適用されます。スタティックルートには、直接接続されたネットワークが含まれます
CLI で SD-WAN ルートの前にスタティックルートを配置するルート優先順位を変更します。
例
console> system route_precedence set static sdwan_policyroute vpn
SD-WAN ルートの作成後、Sophos Firewall にアクセスできなくなった
Sophos Firewall の Web 管理コンソールや SSH コンソールにアクセスできなくなった場合は、以下の設定をすべて確認してください。アクセスを回復するには、いずれかの設定を変更する必要があります。
-
SD-WAN ルートのほうがスタティックルートよりも優先順位が高くなっている。
ルートの優先順位を調べるには、「ルーティング > SD-WAN ルート」に移動し、メニューの下のボックスを確認します。スタティックルートのほうが、SD-WAN ルートよりも優先順位が高くなっている必要があります。ルートの優先順位は、コマンドラインコンソールから変更できます。
例
console> system route_precedence set static sdwan_policyroute vpn
-
特定の内部サブネットに対して新しく作成した SD-WAN ルートの「宛先ネットワーク」が「任意」に設定されている。設定を特定の選択肢に変更できます。
-
システム生成トラフィックに対して SD-WAN ルーティングが有効になっている。
コマンドラインコンソールに移動し、以下のコマンドを実行します:
show routing sd-wan-policy-route system-generate-traffic
システム生成トラフィックの SD-WAN ルーティングをオフにすることができます。
-
応答パケットに対して SD-WAN ポリシールーティングが有効になっている。
コマンドラインコンソールに移動し、以下のコマンドを実行します:
show routing sd-wan-policy-route reply-packet
応答パケットの SD-WAN ルーティングをオフにすることができます。
上記のすべての条件に一致した場合、スタティックルートよりも先に汎用 SD-WAN ルートが適用され、システム生成トラフィックおよび応答パケットにこのルートが適用されます。この場合、SD-WAN ルートに指定した内部サブネットから、Web 管理コンソールや SSH コンソールにアクセスできなくなります。ただし、他のサブネットからアクセスできます。
SD-WAN ルートがルートテーブルに表示されない
移行後の SD-WAN ルートや、作成したルートがルートテーブルに表示されなくなった場合は、以下の手順に従います。
- ルートで指定されたプライマリゲートウェイを削除したかどうかを確認します。SD-WAN ルートのプライマリゲートウェイを削除すると、ルートが削除されます。
-
移行されたルートの場合は、関連付けられたファイアウォールルールを削除したかどうかを確認します。
バージョン 17.5 以前から移行した場合、ファイアウォールルールのルーティング設定は、SD-WAN ルートに移行されます。これらのルートは、元のファイアウォールルールに関連付けられています。ファイアウォールルールを削除すると、関連付けられたルートも削除されます。
IPv6 ルートでのデッドゲートウェイ検出
IPv6 SD-WAN ルートの場合、デッドゲートウェイ検出 (DGD) はサードパーティのネットワークトラフィック (例: SNMP など) を監視しません。
Web プロキシの問題
SD-WANルートが Web 直接プロキシトラフィックと一致しない
直接 Web プロキシモードを使用すると、Sophos Firewall は以下に一致する SD-WAN ルートを適用しません。
- 「サービス」を「HTTP (ポート 80)」および「HTTPS (ポート 443)」に設定した場合の、直接プロキシポート上の Web トラフィックです。「サービス」を「任意」に設定する必要があります。
それ以外の場合は、次の手順を実行します。
- 直接プロキシのポートが**Web プロキシのリスニングポート**下で、「**Web** > **全般設定** 」になっていることを確認します。
- 「**ルーティング** >** SD-WANルート**」で、直接プロキシポートのサービスを追加します。
- 応答パケットの送信元ネットワーク。
- 応答パケットの受信インターフェース。
システム生成トラフィックの応答パスに少なくとも 1つの WAN インターフェース (デフォルトゲートウェイ) またはスタティックルートを設定して、プロキシトラフィックと一致させる必要があります。