Visão Geral

Este artigo da base de conhecimento fornece detalhes sobre os access points da Sophos e como solucionar problemas como falha ao se registrar no Sophos XG Firewall. Isso também se aplica à série APX.

As seguintes seções são cobertas:

• Portas para abrir
• Registro de access points?
• Problemas comuns
• Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Portas para abrir

Para que o access point se comunique com os servidores no Sophos Central, as seguintes portas precisam ser abertas no seu firewall:

• 443 (HTTPS)
• 80 (HTTP)
• 123 (NTP)

Registro de access points?

1. Depois de ser ligado, o access points inicializa e leva cerca de 45 segundos para ser concluído.
2. Após a inicialização, o access points se conecta ao servidor DHCP e obtém um endereço IP.
3. O access point se conecta ao Magic IP  1.2.3.4 na porta 2712.
   
   • O tráfego é enviado para o gateway padrão dos access points.
   • Se não houver resposta do Firewall, o access point será reinicializado e o processo será reiniciado.
4. O access point aparece na GUI do Sophos XG Firewall na lista Pending.
    
   • O access point será reiniciado até que seja aceito pelo administrador. 
5. O administrador aceita manualmente os access points e atribui redes.
6. O access point é movido para a lista Inactive.
    
   • Se o firmware do access point do firewall for posterior ao firmware do access point, ele envia um novo firmware. O access point instala um novo firmware e depois reinicia. 
7. As definições de configuração são transferidas do firewall para o access point.
8. O access point passa para a lista Active.

Access Point pendente

Access Point inativo

Fluxo de dados no registro do access point

Problemas comuns

O access point não aparece na lista Pending

• Wireless Protection não ativada
• O registro de Wireless Protection da zona do access point não é permitido.
• O access point não pode obter um endereço IP do DHCP.
• O Sophos XG Firewall não é o gateway padrão dos APs.
• O tráfego entre o access point e o firewall é bloqueado ou filtrado.
• A atualização do firmware do access point falhou ou outros problemas de hardware.

Verifique se a Wireless Protection está ativada

Verifique se a Wireless Protection está ativada globalmente em Wireless > Wireless Settings clicando em Wireless Protection e defina a posição LIGADA .

Verifique se as zonas corretas estão no painel Allowed Zone na mesma tela. O Sophos XG Firewall só ouvirá essas zonas para conexões de access point de entrada.

Mesmo se a alternância global estiver ativada, a Zona deve ter a diretiva Wireless Protection ativada. Vá para Administration > Device Access e certifique-se de que a Wireless Protection esteja ativada para a zona.

Verifique se o access point pode obter um IP

O Sophos XG Firewall é o servidor DHCP

1. Verifique se o servidor DHCP está configurado corretamente.
2. Verifique o log do sistema.
3. Verifique a tabela de concessão de DHCP.
4. Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o firewall.

O Sophos XG Firewall não é o servidor DHCP

1. Verifique a tabela de alocação.
2. Verifique os logs para ver se a solicitação DHCP chega ao servidor.
3. Faça uma captura de pacote para ver se a solicitação DHCP está atingindo o servidor.

Se o access point não está enviando a solicitação DHCP DISCOVER, o access point deve ser atualizado novamente

Como capturar o tráfego DHCP

• Use tcpdump ou ferramenta de captura em Diagnostics > Packet Capture.
• Capture as solicitações de DHCP na porta 67 e 68 para a interface que o access point conecta.
• Certifique-se de que o access point possa se comunicar com o Sophos XG Firewall na porta 2712.

O Sophos XG Firewall não é o gateway do access point

Por padrão, os APs enviam a solicitação de registro para seu gateway padrão usando o Magic IP – 1.2.3.4, na porta 2712. O gateway deve rotear o tráfego dos APs enviados para 1.2.3.4 para o Sophos XG Firewall, ou o servidor DHCP deve usar a opção 234 para mude o IP mágico para o endereço do Firewall Sophos.

Opção 234 de DHCP para alterar o Magic IP

Permite que o access point se registre diretamente via IP do Firewall Sophos em vez de 1.2.3.4

Exemplo usando o Windows Server 2008

1. Faça logon no Windows Server 2008 e abra a configuração DHCP.
2. Selecione o servidor DHCP na árvore e clique em Opções predefinidas.
3. Agora clique em Adicionar.
4. Providencie a seguinte informação:
5. Nome: <escolher o nome>
6. Tipo de dados: endereço IP
7. Código: 234
8. Clique OK.
9. Selecione a opção recém-adicionada na lista acima e adicione o endereço IP da interface do Firewall ao qual o access point se conecta.
10. Clique com o botão direito em Opções do servidor  e selecione Configurar opções .
11. Marque a opção 234 e clique em Aplicar para iniciar a opção para o seu servidor.

O tráfego entre o access point e o Firewall Sophos está bloqueado

• É necessária comunicação na porta 2712 entre o access point e o Firewall
• NAT Traversal compatível, mas não recomendado
• Se estiver usando redes de zona separada, a porta 8472 também é necessária para comunicação de zona separada.

Problemas de atualização de firmware do access point

• Certifique-se de que o access point permaneça conectado à rede e possa receber um IP
• Verifique a comunicação na porta 2712 usando o utilitário Packet Capture.
• Certifique-se de que o access point não esteja em processo de atualização do firmware.
• Verifique os logs do sistema (comp: Wireless Protection)

Para modelos de access point mais antigos (AP10 / 30 / 50), você pode usar o KBA  Como recuperar um dispositivo Sophos RED / Access Point Sophos.
Para a série APX, consulte  Como redefinir um Access Point Sophos da série APX.

Informação relacionada

• XG Firewall Sophos: Como configurar uma rede sem fio
• XG Firewall Sophos: Como fazer a ponte da placa sem fio interna para LAN
• XG Firewall Sophos: Configurando um access point Sophos atrás de um dispositivo VERMELHO que usa o modo dividido
• XG Firewall Sophos: Como configurar uma rede Mesh
• XG Firewall Sophos: firmware do access point sem fio APX atualizado para a imagem de firmware mais recente antes do registro
• Sophos Central Wireless: FAQ
• Sophos Central Wireless: como redefinir um access point Sophos da série APX
• Sophos Central Wireless: Modos operacionais APX e suporte MIMO multiusuário (MU)
• Sophos Central: Requisitos de rede Sophos Wireless
• Perguntas frequentes sobre a interface APX 530 / APX 740 ETH1
• Instruções de operação APX 320/530/740
• Domínios e portas Sophos Central

Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.

do original em: https://support.sophos.com/support/s/article/KB-000036133?language=en_US&c__displayLanguage=en_US