Visão Geral

Este artigo da base de conhecimento fornece detalhes sobre os access points da Sophos e como solucionar problemas como falha ao se registrar no Sophos XG Firewall. Isso também se aplica à série APX.

As seguintes seções são cobertas:

Portas para abrir
Registro de access points?
Problemas comuns
Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Portas para abrir

Para que o access point se comunique com os servidores no Sophos Central, as seguintes portas precisam ser abertas no seu firewall:

443 (HTTPS)
80 (HTTP)
123 (NTP)

Registro de access points?

Depois de ser ligado, o access points inicializa e leva cerca de 45 segundos para ser concluído.
Após a inicialização, o access points se conecta ao servidor DHCP e obtém um endereço IP.
O access point se conecta ao Magic IP 1.2.3.4 na porta 2712.
- O tráfego é enviado para o gateway padrão dos access points.
- Se não houver resposta do Firewall, o access point será reinicializado e o processo será reiniciado.
O access point aparece na GUI do Sophos XG Firewall na lista Pending.
- O access point será reiniciado até que seja aceito pelo administrador.
O administrador aceita manualmente os access points e atribui redes.
O access point é movido para a lista Inactive.
- Se o firmware do access point do firewall for posterior ao firmware do access point, ele envia um novo firmware. O access point instala um novo firmware e depois reinicia.
As definições de configuração são transferidas do firewall para o access point.
O access point passa para a lista Active.

Access Point pendente

Access Point inativo

Fluxo de dados no registro do access point

Problemas comuns

O access point não aparece na lista Pending

Wireless Protection não ativada
O registro de Wireless Protection da zona do access point não é permitido.
O access point não pode obter um endereço IP do DHCP.
O Sophos XG Firewall não é o gateway padrão dos APs.
O tráfego entre o access point e o firewall é bloqueado ou filtrado.
A atualização do firmware do access point falhou ou outros problemas de hardware.

Verifique se a Wireless Protection está ativada

Verifique se a Wireless Protection está ativada globalmente em Wireless > Wireless Settings clicando em Wireless Protection e defina a posição LIGADA .

Verifique se as zonas corretas estão no painel Allowed Zone na mesma tela. O Sophos XG Firewall só ouvirá essas zonas para conexões de access point de entrada.

Mesmo se a alternância global estiver ativada, a Zona deve ter a diretiva Wireless Protection ativada. Vá para Administration > Device Access e certifique-se de que a Wireless Protection esteja ativada para a zona.

Verifique se o access point pode obter um IP

O Sophos XG Firewall é o servidor DHCP

Verifique se o servidor DHCP está configurado corretamente.
Verifique o log do sistema.
Verifique a tabela de concessão de DHCP.
Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o firewall.

O Sophos XG Firewall não é o servidor DHCP

Verifique a tabela de alocação.
Verifique os logs para ver se a solicitação DHCP chega ao servidor.
Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o servidor.

Se o access point não está enviando a solicitação DHCP DISCOVER, o access point deve ser atualizado novamente

Como capturar o tráfego DHCP

Use tcpdump ou ferramenta de captura em Diagnostics > Packet Capture.
Capture as solicitações de DHCP na porta 67 e 68 para a interface que o access point conecta.
Certifique-se de que o access point possa se comunicar com o Sophos XG Firewall na porta 2712.

O Sophos XG Firewall não é o gateway do access point

Por padrão, os APs enviam a solicitação de registro para seu gateway padrão usando o Magic IP – 1.2.3.4, na porta 2712. O gateway deve rotear o tráfego dos APs enviados para 1.2.3.4 para o Sophos XG Firewall, ou o servidor DHCP deve usar a opção 234 para mude o IP mágico para o endereço do Firewall Sophos.

Opção 234 de DHCP para alterar o Magic IP

Permite que o access point se registre diretamente via IP do Firewall Sophos em vez de 1.2.3.4

Exemplo usando o Windows Server 2008

Faça logon no Windows Server 2008 e abra a configuração DHCP.
Selecione o servidor DHCP na árvore e clique em Opções predefinidas.
Agora clique em Adicionar.
Providencie a seguinte informação:
Nome: <escolher o nome>
Tipo de dados: endereço IP
Código: 234
Clique OK.
Selecione a opção recém-adicionada na lista acima e adicione o endereço IP da interface do Firewall ao qual o access point se conecta.
Clique com o botão direito em Opções do servidor e selecione Configurar opções .
Marque a opção 234 e clique em Aplicar para iniciar a opção para o seu servidor.

O tráfego entre o access point e o Firewall Sophos está bloqueado

É necessária comunicação na porta 2712 entre o access point e o Firewall
NAT Traversal compatível, mas não recomendado
Se estiver usando redes de zona separada, a porta 8472 também é necessária para comunicação de zona separada.

Problemas de atualização de firmware do access point

Certifique-se de que o access point permaneça conectado à rede e possa receber um IP
Verifique a comunicação na porta 2712 usando o utilitário Packet Capture.
Certifique-se de que o access point não esteja em processo de atualização do firmware.
Verifique os logs do sistema (comp: Wireless Protection)

Para modelos de access point mais antigos (AP10 / 30 / 50), você pode usar o KBA Como recuperar um dispositivo Sophos RED / Access Point Sophos.
Para a série APX, consulte Como redefinir um Access Point Sophos da série APX.

Informação relacionada

Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.

do original em: https://support.sophos.com/support/s/article/KB-000036133?language=en_US&c__displayLanguage=en_US

KB 124397 – Sophos Firewall: Como solucionar problemas nos Access Points Sophos