Conectar Sophos Firewall con AWS Site-to-Site VPN
Una AWS Site-to-Site VPN conecta una red local detrás de Sophos Firewall con una VPC de AWS o con un Transit Gateway. Técnicamente es una VPN IPsec, pero en operación se diferencia bastante de un túnel Sophos a Sophos: AWS crea dos túneles por conexión VPN, usa objetos Customer Gateway y gateway de destino, y el routing depende mucho de si se usan rutas estáticas o BGP.
Este artículo explica la implementación práctica con Sophos Firewall y AWS. Complementa la guía general Configurar una VPN IPsec site-to-site en Sophos Firewall con los puntos específicos de AWS: dos túneles, vecinos BGP, route tables, security groups, NACLs y comprobaciones de estado en AWS y Sophos. Si el túnel ya está activo pero el tráfico no pasa, encaja mejor Troubleshooting de VPN IPsec en Sophos Firewall.
Cuándo encaja este artículo
Este artículo encaja cuando una sede, un datacenter o una red local debe conectarse a AWS mediante Sophos Firewall. Cubre AWS Site-to-Site VPN hacia una VPC, un Virtual Private Gateway o un Transit Gateway. No cubre Sophos Firewall como appliance virtual dentro de AWS.
Escenarios típicos:
- red de servidores local hacia instancias EC2 en una VPC
- tráfico de backup, monitorización o gestión hacia AWS
- DNS híbrido, AD, jump hosts o redes administrativas
- migración de VPN estática a routing dinámico con BGP
- operación redundante con dos túneles AWS
AWS y Sophos usan términos distintos. En AWS se trabaja con Customer Gateway, Virtual Private Gateway o Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups y Network ACLs. En Sophos Firewall se trabaja con conexiones Amazon VPC, perfiles IPsec, interfaces XFRM, BGP, rutas y reglas firewall.
Planificar antes de configurar
AWS Site-to-Site VPN no debería tratarse como un simple import de una configuración de ejemplo descargada. El archivo de AWS ayuda, pero la puesta en producción depende de routing, security groups, NACLs, reglas firewall y pruebas con tráfico real.
Definir redes y gateway de destino
Primero hay que decidir qué lado de AWS se va a usar:
- Virtual Private Gateway para una VPC única clásica.
- Transit Gateway para varias VPC, varias sedes o un diseño de routing más amplio.
- Cloud WAN u otras variantes solo si la arquitectura de AWS lo exige explícitamente.
Documentar antes:
- CIDR de la VPC de AWS, por ejemplo
10.60.0.0/16 - subredes AWS y route tables relevantes
- redes locales detrás de Sophos Firewall, por ejemplo
172.16.20.0/24 - IP pública de Sophos Firewall o del router upstream
- modo de routing: static o dynamic BGP
- ASN local y de AWS si se usa BGP
- destinos de prueba esperados en ambos lados
- opciones de túnel previstas, versión IKE, preshared keys y lifetimes
Las redes solapadas deberían corregirse antes de diseñar la VPN. NAT sobre IPsec puede funcionar, pero complica route tables, security groups, logs y troubleshooting.
Tomarse en serio los dos túneles
AWS crea dos túneles por cada Site-to-Site VPN connection, cada uno con un endpoint AWS distinto. Ambos túneles deberían configurarse y verificarse en Sophos Firewall. Crear solo un túnel puede ser cómodo en laboratorio, pero en producción desperdicia la redundancia de AWS.
La expectativa debe ser correcta: el retorno desde AWS prefiere un túnel según el routing y el lado AWS, y puede conmutar si hay fallo. Eso no significa que ambos túneles se usen siempre de forma equilibrada. Lo importante es que ambos suban, que BGP o las rutas estáticas sean correctos y que el failover se haya probado.
Routing estático o BGP
AWS Site-to-Site VPN admite rutas estáticas y routing dinámico con BGP. BGP suele ser mejor cuando hay varios prefijos, ampliaciones futuras o Transit Gateway. Las rutas estáticas son más simples, pero cada cambio de red debe mantenerse manualmente.
En la práctica:
- BGP necesita valores ASN coherentes en ambos lados.
- Sophos Firewall debe anunciar los prefijos locales previstos.
- Las route tables de AWS deben usar realmente las rutas propagadas o estáticas.
- Security groups y NACLs también deben permitir el tráfico.
- Rutas estáticas y BGP idénticas pueden crear prioridades inesperadas.
Preparar AWS
Los siguientes pasos describen el flujo habitual. Los detalles cambian entre Virtual Private Gateway y Transit Gateway, pero el principio es el mismo.
Crear el Customer Gateway
El Customer Gateway describe el lado Sophos local en AWS.
Introducir:
- Definir un Name tag, por ejemplo
cgw-sophos-hq. - Seleccionar routing: estático o dinámico.
- Introducir la dirección IP pública del lado Sophos.
- Con BGP, introducir el ASN local de Sophos.
- Crear el recurso y mantener un etiquetado coherente.
Si Sophos Firewall está detrás de un router o equipo del proveedor, debe estar claro qué IP pública ve AWS y si NAT-T funciona correctamente. La IP introducida en AWS debe coincidir con la negociación real del túnel.
Crear o seleccionar el gateway de destino
Para una sola VPC normalmente se crea un Virtual Private Gateway y se adjunta a la VPC. En entornos AWS mayores se usa a menudo un Transit Gateway.
Comprobar:
- El gateway está adjunto a la VPC o Transit Gateway correcto.
- El ASN del lado AWS no colisiona con el ASN de Sophos.
- Las route tables de la VPC o del Transit Gateway están planificadas.
- Las subredes usadas para pruebas utilizan la route table correcta.
Crear la Site-to-Site VPN connection
Después se crea la Site-to-Site VPN connection en AWS.
Puntos importantes:
- Seleccionar el target gateway type correcto.
- Seleccionar el Customer Gateway.
- Configurar Routing Options como static o dynamic.
- En routing estático, introducir los prefijos locales.
- Revisar deliberadamente Tunnel Options, especialmente IKE version, encryption, integrity, DH/PFS y DPD.
- Documentar las preshared keys por túnel o dejar que AWS las genere de forma consciente.
Después de crearla, descargar el archivo de configuración. Como Vendor se puede elegir Sophos, Platform Sophos Firewall y una versión de software adecuada. El archivo es un buen punto de partida, pero no sustituye una revisión técnica de las opciones de túnel.
Comprobar route tables, security groups y NACLs
Un túnel VPN en verde en AWS todavía no significa que una instancia EC2 sea alcanzable.
Para la validación, comprobar:
- La route table de la VPC tiene una ruta hacia la red local vía Virtual Private Gateway o Transit Gateway.
- Con Virtual Private Gateway, route propagation está activada o la ruta está configurada de forma estática.
- Las route tables del Transit Gateway contienen attachments y propagations correctos.
- El security group de la instancia destino permite el tráfico requerido desde la red local.
- Las Network ACLs permiten ida y vuelta.
- El firewall del sistema operativo de la instancia no bloquea la prueba.
Esta parte se olvida a menudo porque Sophos y AWS pueden mostrar un túnel conectado aunque la instancia no responda por security group o ruta de retorno.
Configurar Sophos Firewall
Sophos ofrece dos caminos prácticos para AWS: import mediante Site-to-site VPN > Amazon VPC o configuración manual como conexión IPsec route-based. En muchos despliegues AWS, el import es el punto de partida más limpio, pero los objetos creados automáticamente deben revisarse.
Importar la configuración AWS
Sophos Firewall puede importar la conexión Amazon VPC desde el archivo de configuración AWS descargado.
Pasos:
- Abrir Sophos Firewall.
- Ir a Site-to-site VPN > Amazon VPC.
- Seleccionar Use VPC configuration file.
- Subir el archivo de configuración AWS.
- Iniciar el import.
- Comprobar conexiones, perfiles IPsec, interfaces XFRM y ajustes BGP creados.
Si el firewall está detrás de un dispositivo NAT, hay que revisar con especial cuidado el archivo de configuración o la configuración Sophos resultante. Sophos indica que el archivo contiene valores por túnel y que ambos túneles deben tenerse en cuenta.
Comprobar perfil IPsec y túneles
Después del import, o en configuración manual, no hay que confiar solo en el estado.
Comprobar:
- Existen los dos túneles AWS.
- La versión IKE coincide con la configuración AWS.
- Encryption, authentication, DH group, PFS y lifetimes coinciden por túnel.
- La preshared key es correcta por túnel.
- Gateway type y remote gateway apuntan a los endpoints AWS correspondientes.
- Las interfaces XFRM existen y tienen nombres claros.
Si las opciones de túnel AWS se cambian después, el lado Sophos debe coincidir. Cambios unilaterales suelen causar errores de phase 1 o phase 2.
Configurar BGP o rutas estáticas
Con BGP, en Routing > BGP se comprueba que ASN local, neighbor, ASN remoto y redes anunciadas sean correctos. En Routing > Information > BGP, Neighbors, Summary y Routes deberían mostrar los valores esperados.
Con routing estático, las rutas hacia redes AWS deben apuntar a la interfaz XFRM correcta. AWS también debe conocer los prefijos locales, ya sea mediante rutas VPN estáticas o mediante la route table correspondiente.
En ambas variantes, el routing debe ser correcto en ambos sentidos. Un túnel puede estar conectado mientras el retorno sale por Internet, por un NAT Gateway o por una route table equivocada.
Crear reglas firewall
Route-based IPsec no crea automáticamente reglas firewall de producción suficientemente limpias. Conviene crearlas y registrarlas de forma consciente.
Recomendado:
- Crear una regla desde la red local hacia destinos AWS.
- Permitir el sentido inverso solo si AWS debe alcanzar activamente sistemas locales.
- Limitar source, destination y services de forma estricta.
- Activar logging para la validación.
- Comprobar la posición de la regla antes de reglas drop o catch-all amplias.
Si la regla esperada no coincide, usar Regla de Sophos Firewall no coincide: cómo encontrar la causa.
Validar la conexión
La validación debe incluir siempre ambas plataformas y tráfico de aplicación real. Un estado de túnel verde no basta.
Comprobar AWS
En AWS, comprobar:
- VPC > Site-to-Site VPN Connections > Tunnel Details muestra ambos túneles.
- El estado del túnel es
UP. - Con BGP, las rutas son visibles.
- La route table de la VPC o Transit Gateway contiene las rutas esperadas.
- Security groups y NACLs permiten la prueba.
- Métricas CloudWatch o VPN logs no muestran problemas IKE o DPD repetidos.
Comprobar Sophos Firewall
En Sophos Firewall, comprobar:
- Site-to-site VPN > Amazon VPC o Site-to-site VPN > IPsec muestra túneles activos.
- Routing > Information > BGP muestra vecinos y rutas aprendidas si se usa BGP.
- Network > Interfaces muestra interfaces XFRM.
- Log Viewer muestra la regla firewall esperada.
- Packet Capture confirma interfaz de entrada y salida si los logs no bastan.
Elegir bien el tráfico de prueba
Una prueba debe usar un host origen, host destino y servicio concretos, por ejemplo ICMP, RDP, SSH, HTTPS o DNS. Si ICMP está bloqueado, un ping no es significativo. Es mejor probar el servicio que se usará realmente.
Errores típicos
Los errores de AWS VPN a menudo parecen problemas IPsec aunque la causa sea routing o controles de seguridad AWS. Estos casos son especialmente frecuentes.
Solo un túnel está activo
Un túnel basta para una primera prueba, pero no para una operación correcta. Ambos túneles AWS tienen endpoints y parámetros propios. Comprobar por túnel preshared key, parámetros IKE/IPsec, interfaz XFRM, vecino BGP y estado AWS.
BGP no levanta
Si el túnel está conectado pero BGP no forma peering, comprobar primero ASN, IP del vecino, anuncios locales y direcciones inside tunnel. Sophos también documenta casos en los que el peering BGP no se forma automáticamente aunque el túnel AWS VPC esté conectado.
Túnel verde, instancia no alcanzable
La causa suele estar fuera de IPsec: route table AWS incorrecta, route propagation ausente, security group, NACL, firewall del sistema operativo, red origen incorrecta o regla Sophos ausente.
El retorno va por el camino equivocado
AWS debe conocer el retorno hacia la red local por VPN. Localmente, el retorno hacia la VPC AWS debe ir por XFRM o BGP. El routing asimétrico puede parecer normal en el estado del túnel, pero romper sesiones reales.
MTU o fragmentación afectan aplicaciones
AWS Site-to-Site VPN y la sobrecarga IPsec pueden hacer visibles problemas de MTU. Si pruebas pequeñas funcionan pero transferencias grandes o ciertas aplicaciones se quedan colgadas, comprobar MSS/MTU, fragmentación y capturas de paquetes.
Operación y revisión
Después del go-live, el túnel debe pasar al proceso operativo normal. Esto incluye owner, proceso documentado para preshared keys, ventana de cambio para parámetros IPsec, monitorización de túneles, pruebas regulares de failover y un procedimiento claro para cambios de AWS o ISP.
Cada cambio en CIDR de VPC, routing de Transit Gateway, route tables, security groups, redes locales o anuncios BGP debe repetir la validación VPN. Cloud VPN no es un clic único, sino parte de la arquitectura de red.