Collegare Sophos Firewall ad Azure VPN Gateway
Un Azure VPN Gateway collega una rete locale a un Azure Virtual Network tramite Site-to-Site IPsec. Su Sophos Firewall di solito si usa un route-based IPsec VPN. Negli ambienti più grandi o dinamici si aggiunge spesso BGP.
L’articolo spiega il flusso pratico tra Sophos Firewall e Microsoft Azure: oggetti Azure necessari, configurazione Sophos, parametri IPsec/IKE da allineare e verifica del traffico reale dopo il salvataggio. Per le basi IPsec generali vedere configurare Sophos Firewall Site-to-Site IPsec VPN. Se un tunnel è verde ma non trasporta traffico, usare Sophos Firewall IPsec VPN Troubleshooting.
Quando questo articolo è adatto
L’articolo è adatto quando una rete locale dietro Sophos Firewall deve essere collegata a un Azure Virtual Network. Si tratta di un tunnel Site-to-Site tra Azure VPN Gateway e firewall locale, non di Point-to-Site VPN per singoli utenti e non di Sophos Firewall come appliance virtuale in Azure.
Scenari tipici:
- rete server locale verso Azure VMs
- sede principale o filiale verso Azure Virtual Network
- scenario ibrido con AD, DNS, backup, monitoring o management in Azure
- migrazione da design policy-based a route-based IPsec
- BGP opzionale per routing dinamico tra rete locale e Azure
Azure e Sophos non usano sempre gli stessi termini. In Azure si lavora con Virtual network, Gateway subnet, Virtual network gateway, Local network gateway e Connection. Su Sophos Firewall con connessione IPsec, interfaccia XFRM, rotte, regole firewall ed eventualmente BGP.
Pianificare prima della configurazione
Un tunnel Azure non dovrebbe essere trattato come un semplice wizard. La maggior parte degli errori deriva da reti sovrapposte, SKU gateway errata, parametri IPsec/IKE non compatibili, rotte mancanti o regole firewall senza logging.
Reti e address spaces
Le reti locali e gli address spaces Azure non devono sovrapporsi. Azure instrada i prefissi locali inseriti nel Local network gateway verso Sophos Firewall. Sophos Firewall instrada i prefissi Azure tramite interfaccia XFRM o BGP.
Documentare prima:
- Azure Virtual Network Address Space, ad esempio
10.50.0.0/16 - subnet Azure, soprattutto workload subnets
- rete locale dietro Sophos Firewall, ad esempio
172.16.10.0/24 - IP pubblico di Sophos Firewall o router upstream
- IP pubblico Azure del Virtual Network Gateway
- BGP sì o no
- Preshared Key condiviso
- sistemi di test su entrambi i lati
Se reti locali e Azure si sovrappongono, correggere prima il design. NAT over IPsec è possibile, ma complica molto esercizio e troubleshooting.
Route-based invece di policy-based
Per Azure, route-based IPsec è la scelta corretta nella maggior parte dei design attuali. Azure VPN Gateway è normalmente route-based, soprattutto con più prefissi, BGP, active-active o estensioni future.
Su Sophos Firewall significa:
- pianificare la connessione IPsec come tunnel interface route-based;
- verificare l’interfaccia XFRM dopo il salvataggio;
- impostare rotte o BGP per i prefissi Azure;
- creare regole firewall tra zone locali e zona VPN;
- verificare il traffico con Log Viewer e stato della connection Azure.
Uno stato tunnel verde è solo una parte della validazione. Il tunnel è davvero verificato solo quando un client definito raggiunge una destinazione Azure definita e su entrambi i lati si vedono log o contatori.
Non indovinare parametri IPsec/IKE
Azure VPN Gateway supporta parametri IPsec/IKE definiti e, con SKU adatte, custom IPsec/IKE policies. Microsoft indica che una policy personalizzata deve essere specificata completamente; valori parziali non bastano.
Per l’operatività:
- scegliere consapevolmente la versione IKE, di solito IKEv2;
- documentare encryption, integrity, DH group, PFS e lifetimes;
- confrontare Azure Custom Policy e Sophos IPsec Profile;
- non trasferire automaticamente default Sophos-to-Sophos su Azure;
- pianificare finestra di manutenzione e rollback per ogni cambio policy.
Se non si usa Custom Policy, il profilo Sophos deve corrispondere ai default Azure. Se si usa Custom Policy, tutti i valori devono essere mantenuti correttamente su entrambi i lati.
Preparare il lato Azure
La configurazione Azure contiene vari oggetti. I nomi devono essere chiari, perché il troubleshooting diventa rapidamente confuso.
Virtual Network e Gateway subnet
L’Azure Virtual Network richiede un GatewaySubnet dedicato. Questa subnet è usata da Azure VPN Gateway e non deve contenere normali VM.
Controllare:
- Azure Virtual Network esiste.
- Address Space non si sovrappone alle reti locali.
- GatewaySubnet esiste ed è dimensionata correttamente.
- Workload subnets e Network Security Groups permettono il traffico desiderato.
Creare Virtual Network Gateway
Il Virtual network gateway è il vero Azure VPN Gateway. Punti importanti:
- Gateway type: VPN
- VPN type: Route-based
- SKU adatta a banda, SLA, Availability Zone e requisito BGP
- Public IP per il gateway
- Active-active solo se il lato locale è progettato per questo
- BGP solo se ASN, peer IP e concetto di routing sono definiti
La creazione del gateway in Azure richiede spesso molto più tempo di una normale maschera firewall.
Creare Local Network Gateway
Il Local network gateway descrive il lato locale dal punto di vista di Azure.
Inserire:
- Nome, ad esempio
lng-sophos-hq. - Endpoint come IP pubblico o FQDN del lato Sophos.
- Local Address spaces se si lavora senza BGP.
- BGP settings se si usa routing dinamico.
Se Sophos Firewall è dietro NAT, verificare attentamente quale IP pubblico vede Azure e come sono implementati NAT-T, port forwarding e ID. Il percorso standard semplice è una Sophos Firewall con IP pubblico proprio.
Creare Connection
La Connection collega Virtual Network Gateway e Local Network Gateway.
Valori importanti:
- Connection type: Site-to-site (IPsec)
- Shared key: identico al Preshared Key Sophos
- IKE Protocol: coerente con la configurazione Sophos
- BGP: attivare solo se entrambi i lati usano BGP
- Custom IPsec/IKE policy: impostare solo se i valori sono pianificati
Dopo la creazione della Connection, Azure è pronto, ma non automaticamente produttivo. Il lato Sophos deve conoscere lo stesso tunnel, gli stessi parametri e il percorso di ritorno.
Configurare Sophos Firewall
Su Sophos Firewall il tunnel si crea in Site-to-site VPN > IPsec.
Preparare IPsec profile
In Profiles > IPsec profiles usare o creare un profilo compatibile con Azure. I valori devono corrispondere alla Azure default policy o alla custom IPsec/IKE policy della Connection.
Documentare:
- IKE version
- Phase 1 encryption e authentication
- DH group
- Phase 2 encryption e authentication
- PFS
- Key lifetime
Se Azure usa una Custom Policy, il nome del profilo dovrebbe indicarlo, ad esempio Azure_IKEv2_AES256_G14.
Creare connessione IPsec route-based
Percorso:
Site-to-site VPN > IPsec
Procedura:
- Aprire Add.
- Scegliere Route-based o tunnel interface come tipo di connessione.
- Impostare un nome, ad esempio
azure-vnet-prod. - Impostare Gateway type lato Sophos normalmente su Initiate the connection.
- Inserire l’IP pubblico Azure del Virtual Network Gateway come Remote Gateway.
- Impostare il Preshared Key identico alla Connection Azure.
- Verificare Local ID e Remote ID, soprattutto con NAT o più tunnel.
- Selezionare IPsec profile.
- Salvare e attivare la connessione.
Dopo il salvataggio, verificare l’interfaccia XFRM in Network > Interfaces. Rimane assegnata alla zona VPN. A seconda del design si usa con rotta statica, SD-WAN route o BGP.
Configurare route o BGP
Senza BGP, Sophos Firewall ha bisogno di una route verso i prefissi Azure. Di solito è una rotta statica o SD-WAN route tramite interfaccia XFRM.
Con BGP entrambi i lati devono essere pianificati:
- ASN locale di Sophos Firewall
- Azure ASN
- BGP peer IPs
- prefissi consentiti e annunciati
- route advertisement in Azure
- regole firewall per il traffico reale
BGP non sostituisce le regole firewall. Distribuisce solo rotte. La raggiungibilità di un server in Azure dipende ancora da routing, NSG, regole firewall e sistema di destinazione.
Creare regole firewall
Il traffico nel tunnel richiede regole adatte, tipicamente tra zona interna e zona VPN.
Raccomandazioni per il rollout:
- usare reti o host concreti come source e destination;
- scegliere servizi specifici per il primo test, ad esempio ICMP, RDP, HTTPS o DNS;
- attivare Log firewall traffic;
- non lasciare regole su
Anydopo il primo test; - controllare separatamente la direzione opposta se Azure deve raggiungere sistemi locali.
Se la regola non corrisponde, usare Sophos Firewall: verificare perché una regola non corrisponde.
Verificare la connessione
La validazione deve controllare sempre due livelli: stato del tunnel e traffico reale.
Verificare Azure
In Azure:
- Aprire la Connection del VPN Gateway.
- Verificare lo stato della connessione.
- Osservare i contatori dati.
- Verificare le effective routes della Azure VM interessata.
- Controllare il Network Security Group delle subnet di destinazione.
Lo stato Azure da solo non basta. Una VM può restare irraggiungibile nonostante Connection attiva per NSG, Windows Firewall locale, rotta errata o ritorno mancante.
Verificare Sophos Firewall
Su Sophos Firewall:
- Controllare stato in Site-to-site VPN > IPsec.
- Verificare interfaccia XFRM in Network > Interfaces.
- Verificare route verso prefissi Azure.
- Filtrare Log Viewer per il traffico di test.
- Usare Packet Capture o
strongswan.logse necessario.
Per log IPsec e analisi CLI usare Sophos Firewall IPsec VPN Troubleshooting.
Usare traffico di test realistico
ICMP è un buon inizio, ma non è un test completo. Poi testare il servizio produttivo:
- DNS verso un server DNS o domain controller Azure
- RDP o SSH verso una VM di test
- HTTPS verso un’applicazione interna
- traffico backup, monitoring o management
La source è importante. Un ping direttamente dal firewall non prova la stessa cosa di un test da un client dietro il firewall.
Errori tipici
Il tunnel resta down
Di solito gateway IP, versione IKE, Preshared Key, ID o parametri IPsec/IKE non corrispondono. Su Sophos Firewall controllare prima strongswan.log e confrontare Azure Connection Settings con Sophos IPsec Profile.
Il tunnel è connesso, ma non passa traffico
Spesso mancano rotte, regole firewall, regole Azure NSG o ritorno. Lato Sophos controllare Log Viewer e route. Lato Azure controllare Effective Routes e NSG.
Funziona solo una direzione
Spesso indica routing asimmetrico, NSG, host firewall o regola inversa mancante. Testare entrambe le direzioni separatamente e documentare la source del traffico di test.
BGP non apprende rotte
Controllare ASN, peer IP, attivazione BGP, indirizzo XFRM e configurazione Azure BGP. Poi verificare quali prefissi sono realmente annunciati e appresi. Un tunnel IPsec attivo non significa automaticamente che BGP instradi correttamente.
Il tunnel non sale dopo una modifica policy
Le Custom IPsec/IKE Policies devono essere complete e compatibili. Se Azure e Sophos interpretano diversamente anche un solo valore, la connessione può fallire. Prima delle modifiche documentare profilo attuale, Azure Policy e stato funzionante.