FAILOVER – SOPHOS XG

INFO

Versão do firewall Sophos XG: SFOS 17.0.6 MR-6

CONFIGURANDO FAILOVER

1. VERIFICANDO ZONAS EXISTENTES

As interface são geralmente associadas a uma zona. Precisamos inicialmente definir uma zona para as interfaces de internet, no meu caso defini a zona com nome WAN, ela será configurada em cada interface que seja WAN (por default essa zona já deveria existir).

Caso ainda não tenha ou deseja criar outra especifica adicione uma nova seguindo os passos abaixo:

  1. Clique em Network no painel lateral esquerdo;
  2. Depois aba Zones;
  3. Em seguida clique em Add para adicionar;

Preencha os campos de acordo com sua necessidade, a maioria dos campos são opcionais. Não vou entrar em detalhes pois vou usar a já existente por padrão.

2. PREPARANDO INTERFACES

Para configurar as interfaces, siga os passos abaixo:

  1. Clique em Network no painel lateral esquerdo;
  2. Depois aba Interfaces;
  3. Em seguida clique no nome da porta para edita-la, no meu caso Port3;

Na janela seguinte preencha os campos informados abaixo:

  1. Network Zone: defina a zona, neste caso WAN;
  2. IP Assigment: especifique se será static, PPPoE ou DHCP;
    1. Se definir static preencha os campos: IPv4 e Netmask;
    1. Caso defina PPPoE surgirão os campos login e senha, preencha;
    2. Caso defina DHCP, não será necessário ajustar mais nada, apenas o campo Gateway Name;
  3. Gateway Name: defina um nome para o gateway;
  4. Gateway IP: Se escolheu static defina neste campo o IP do seu roteador de saída da rede(gateway);

Faça isso para as duas interfaces que serão usadas como links de internet.

3. AJUSTANDO GATEWAYS

  • CONFIGURANDO LINK PRINCIPAL

Considerando o gateway de nome GW1 meu link1 e o GW2 o link2 que será de Backup, caso o Link1 fique indisponível o Link2 assuma. Siga os passos abaixo para alterar o GW1:

  1. Clique em Routing no painel lateral esquerdo;
  2. Depois aba Gateways;
  3. Clique no nome para editar seu gateway, meu caso GW_1;

Na janela seguinte na sessão Gateway Detail, altere o campo Type para Active e clique em Save.

Ainda na janela de edição do Gateway GW1, mais abaixo na janela terá a sessão Failover Rules, clique em ADD para adicionarmos condições de troca de link caso este Link1 venha a ficar indisponível. Como abaixo:

Nesse campo está as condições de troca de Links, em resumo se definir como coloque abaixo ele ficará “pingando” para o host 8.8.8.8 E também o 208.67.222.222, caso os dois fiquem disponíveis é porque provavelmente o link ficou offline de fato, logo ele trocará para o Link2 de backup(se existir outro gateway no caso, ainda não configuramos Link2).

Obs.: Perceba que a condição AND é importante aqui, você pode colocar OR, mas acredito que AND se encaixa melhor. Se for OR basta um dos hosts informados no campo acima ficar indisponível ele irá trocar para o Link2.

Teste outras opções, pode usar além de PING também o TCP.

Aplicado e salvado esses ajustes o GW1 está pronto para trabalhar como principal.

  • CONFIGURANDO LINK SECUNDÁRIO

Para alterar o GW2 para trabalhar como secundário basta editar da mesma forma como o GW acima, definindo apenas o campo Type para Backup.

FONTES

https://community.sophos.com/kb/en-us/126185

Marcado com , ,