KB 124397 – Sophos Firewall: Como solucionar problemas nos Access Points Sophos

Visão Geral

Este artigo da base de conhecimento fornece detalhes sobre os access points da Sophos e como solucionar problemas como falha ao se registrar no Sophos XG Firewall. Isso também se aplica à série APX.

As seguintes seções são cobertas:

  • Portas para abrir
  • Registro de access points?
  • Problemas comuns
  • Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Portas para abrir

Para que o access point se comunique com os servidores no Sophos Central, as seguintes portas precisam ser abertas no seu firewall:

  • 443 (HTTPS)
  • 80 (HTTP)
  • 123 (NTP)

Registro de access points?

  1. Depois de ser ligado, o access points inicializa e leva cerca de 45 segundos para ser concluído.
  2. Após a inicialização, o access points se conecta ao servidor DHCP e obtém um endereço IP.
  3. O access point se conecta ao Magic IP  1.2.3.4 na porta 2712.
    • O tráfego é enviado para o gateway padrão dos access points.
    • Se não houver resposta do Firewall, o access point será reinicializado e o processo será reiniciado.
  4. O access point aparece na GUI do Sophos XG Firewall na lista Pending.
     
    • O access point será reiniciado até que seja aceito pelo administrador. 
  5. O administrador aceita manualmente os access points e atribui redes.
  6. O access point é movido para a lista Inactive.
     
    • Se o firmware do access point do firewall for posterior ao firmware do access point, ele envia um novo firmware. O access point instala um novo firmware e depois reinicia. 
  7. As definições de configuração são transferidas do firewall para o access point.
  8. O access point passa para a lista Active.

Access Point pendente

tidy_fix_alt

Access Point inativo

tidy_fix_alt

Fluxo de dados no registro do access point

tidy_fix_alt

Problemas comuns

O access point não aparece na lista Pending

  • Wireless Protection não ativada
  • O registro de Wireless Protection da zona do access point não é permitido.
  • O access point não pode obter um endereço IP do DHCP.
  • O Sophos XG Firewall não é o gateway padrão dos APs.
  • O tráfego entre o access point e o firewall é bloqueado ou filtrado.
  • A atualização do firmware do access point falhou ou outros problemas de hardware.

Verifique se a Wireless Protection está ativada

Verifique se a Wireless Protection está ativada globalmente em Wireless > Wireless Settings clicando em Wireless Protection e defina a posição LIGADA .

Verifique se as zonas corretas estão no painel Allowed Zone na mesma tela. O Sophos XG Firewall só ouvirá essas zonas para conexões de access point de entrada.

tidy_fix_alt

Mesmo se a alternância global estiver ativada, a Zona deve ter a diretiva Wireless Protection ativada. Vá para Administration > Device Access e certifique-se de que a Wireless Protection esteja ativada para a zona.

tidy_fix_alt

Verifique se o access point pode obter um IP

O Sophos XG Firewall é o servidor DHCP

  1. Verifique se o servidor DHCP está configurado corretamente.
  2. Verifique o log do sistema.
  3. Verifique a tabela de concessão de DHCP.
  4. Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o firewall.

O Sophos XG Firewall não é o servidor DHCP

  1. Verifique a tabela de alocação.
  2. Verifique os logs para ver se a solicitação DHCP chega ao servidor.
  3. Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o servidor.

Se o access point não está enviando a solicitação DHCP DISCOVER, o access point deve ser atualizado novamente

tidy_fix_alt

Como capturar o tráfego DHCP

  • Use tcpdump ou ferramenta de captura em Diagnostics > Packet Capture.
  • Capture as solicitações de DHCP na porta 67 e 68 para a interface que o access point conecta.
  • Certifique-se de que o access point possa se comunicar com o Sophos XG Firewall na porta 2712.

O Sophos XG Firewall não é o gateway do access point

Por padrão, os APs enviam a solicitação de registro para seu gateway padrão usando o Magic IP – 1.2.3.4, na porta 2712. O gateway deve rotear o tráfego dos APs enviados para 1.2.3.4 para o Sophos XG Firewall, ou o servidor DHCP deve usar a opção 234 para mude o IP mágico para o endereço do Firewall Sophos.

Opção 234 de DHCP para alterar o Magic IP

Permite que o access point se registre diretamente via IP do Firewall Sophos em vez de 1.2.3.4

Exemplo usando o Windows Server 2008

  1. Faça logon no Windows Server 2008 e abra a configuração DHCP.
  2. Selecione o servidor DHCP na árvore e clique em Opções predefinidas.
  3. Agora clique em Adicionar.
  4. Providencie a seguinte informação:
  5. Nome: <escolher o nome>
  6. Tipo de dados: endereço IP
  7. Código: 234
  8. Clique OK.
  9. Selecione a opção recém-adicionada na lista acima e adicione o endereço IP da interface do Firewall ao qual o access point se conecta.
  10. Clique com o botão direito em Opções do servidor  e selecione Configurar opções .
  11. Marque a opção 234 e clique em Aplicar para iniciar a opção para o seu servidor.

O tráfego entre o access point e o Firewall Sophos está bloqueado

  • É necessária comunicação na porta 2712 entre o access point e o Firewall
  • NAT Traversal compatível, mas não recomendado
  • Se estiver usando redes de zona separada, a porta 8472 também é necessária para comunicação de zona separada.

Problemas de atualização de firmware do access point

  • Certifique-se de que o access point permaneça conectado à rede e possa receber um IP
  • Verifique a comunicação na porta 2712 usando o utilitário Packet Capture.
  • Certifique-se de que o access point não esteja em processo de atualização do firmware.
  • Verifique os logs do sistema (comp: Wireless Protection)

Para modelos de access point mais antigos (AP10 / 30 / 50), você pode usar o KBA  Como recuperar um dispositivo Sophos RED / Access Point Sophos.
Para a série APX, consulte  Como redefinir um Access Point Sophos da série APX.

Informação relacionada

Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.

do original em: https://support.sophos.com/support/s/article/KB-000036133?language=en_US&c__displayLanguage=en_US

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta

Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124