Vai al contenuto
Avanet

Collegare Sophos Firewall ad Azure VPN Gateway

Un Azure VPN Gateway collega una rete locale a un Azure Virtual Network tramite Site-to-Site IPsec. Su Sophos Firewall di solito si usa un route-based IPsec VPN. Negli ambienti più grandi o dinamici si aggiunge spesso BGP.

L’articolo spiega il flusso pratico tra Sophos Firewall e Microsoft Azure: oggetti Azure necessari, configurazione Sophos, parametri IPsec/IKE da allineare e verifica del traffico reale dopo il salvataggio. Per le basi IPsec generali vedere configurare Sophos Firewall Site-to-Site IPsec VPN. Se un tunnel è verde ma non trasporta traffico, usare Sophos Firewall IPsec VPN Troubleshooting.

Quando questo articolo è adatto

L’articolo è adatto quando una rete locale dietro Sophos Firewall deve essere collegata a un Azure Virtual Network. Si tratta di un tunnel Site-to-Site tra Azure VPN Gateway e firewall locale, non di Point-to-Site VPN per singoli utenti e non di Sophos Firewall come appliance virtuale in Azure.

Scenari tipici:

  • rete server locale verso Azure VMs
  • sede principale o filiale verso Azure Virtual Network
  • scenario ibrido con AD, DNS, backup, monitoring o management in Azure
  • migrazione da design policy-based a route-based IPsec
  • BGP opzionale per routing dinamico tra rete locale e Azure

Azure e Sophos non usano sempre gli stessi termini. In Azure si lavora con Virtual network, Gateway subnet, Virtual network gateway, Local network gateway e Connection. Su Sophos Firewall con connessione IPsec, interfaccia XFRM, rotte, regole firewall ed eventualmente BGP.

Pianificare prima della configurazione

Un tunnel Azure non dovrebbe essere trattato come un semplice wizard. La maggior parte degli errori deriva da reti sovrapposte, SKU gateway errata, parametri IPsec/IKE non compatibili, rotte mancanti o regole firewall senza logging.

Reti e address spaces

Le reti locali e gli address spaces Azure non devono sovrapporsi. Azure instrada i prefissi locali inseriti nel Local network gateway verso Sophos Firewall. Sophos Firewall instrada i prefissi Azure tramite interfaccia XFRM o BGP.

Documentare prima:

  • Azure Virtual Network Address Space, ad esempio 10.50.0.0/16
  • subnet Azure, soprattutto workload subnets
  • rete locale dietro Sophos Firewall, ad esempio 172.16.10.0/24
  • IP pubblico di Sophos Firewall o router upstream
  • IP pubblico Azure del Virtual Network Gateway
  • BGP sì o no
  • Preshared Key condiviso
  • sistemi di test su entrambi i lati

Se reti locali e Azure si sovrappongono, correggere prima il design. NAT over IPsec è possibile, ma complica molto esercizio e troubleshooting.

Route-based invece di policy-based

Per Azure, route-based IPsec è la scelta corretta nella maggior parte dei design attuali. Azure VPN Gateway è normalmente route-based, soprattutto con più prefissi, BGP, active-active o estensioni future.

Su Sophos Firewall significa:

  • pianificare la connessione IPsec come tunnel interface route-based;
  • verificare l’interfaccia XFRM dopo il salvataggio;
  • impostare rotte o BGP per i prefissi Azure;
  • creare regole firewall tra zone locali e zona VPN;
  • verificare il traffico con Log Viewer e stato della connection Azure.

Uno stato tunnel verde è solo una parte della validazione. Il tunnel è davvero verificato solo quando un client definito raggiunge una destinazione Azure definita e su entrambi i lati si vedono log o contatori.

Non indovinare parametri IPsec/IKE

Azure VPN Gateway supporta parametri IPsec/IKE definiti e, con SKU adatte, custom IPsec/IKE policies. Microsoft indica che una policy personalizzata deve essere specificata completamente; valori parziali non bastano.

Per l’operatività:

  • scegliere consapevolmente la versione IKE, di solito IKEv2;
  • documentare encryption, integrity, DH group, PFS e lifetimes;
  • confrontare Azure Custom Policy e Sophos IPsec Profile;
  • non trasferire automaticamente default Sophos-to-Sophos su Azure;
  • pianificare finestra di manutenzione e rollback per ogni cambio policy.

Se non si usa Custom Policy, il profilo Sophos deve corrispondere ai default Azure. Se si usa Custom Policy, tutti i valori devono essere mantenuti correttamente su entrambi i lati.

Preparare il lato Azure

La configurazione Azure contiene vari oggetti. I nomi devono essere chiari, perché il troubleshooting diventa rapidamente confuso.

Virtual Network e Gateway subnet

L’Azure Virtual Network richiede un GatewaySubnet dedicato. Questa subnet è usata da Azure VPN Gateway e non deve contenere normali VM.

Controllare:

  1. Azure Virtual Network esiste.
  2. Address Space non si sovrappone alle reti locali.
  3. GatewaySubnet esiste ed è dimensionata correttamente.
  4. Workload subnets e Network Security Groups permettono il traffico desiderato.

Creare Virtual Network Gateway

Il Virtual network gateway è il vero Azure VPN Gateway. Punti importanti:

  • Gateway type: VPN
  • VPN type: Route-based
  • SKU adatta a banda, SLA, Availability Zone e requisito BGP
  • Public IP per il gateway
  • Active-active solo se il lato locale è progettato per questo
  • BGP solo se ASN, peer IP e concetto di routing sono definiti

La creazione del gateway in Azure richiede spesso molto più tempo di una normale maschera firewall.

Creare Local Network Gateway

Il Local network gateway descrive il lato locale dal punto di vista di Azure.

Inserire:

  1. Nome, ad esempio lng-sophos-hq.
  2. Endpoint come IP pubblico o FQDN del lato Sophos.
  3. Local Address spaces se si lavora senza BGP.
  4. BGP settings se si usa routing dinamico.

Se Sophos Firewall è dietro NAT, verificare attentamente quale IP pubblico vede Azure e come sono implementati NAT-T, port forwarding e ID. Il percorso standard semplice è una Sophos Firewall con IP pubblico proprio.

Creare Connection

La Connection collega Virtual Network Gateway e Local Network Gateway.

Valori importanti:

  • Connection type: Site-to-site (IPsec)
  • Shared key: identico al Preshared Key Sophos
  • IKE Protocol: coerente con la configurazione Sophos
  • BGP: attivare solo se entrambi i lati usano BGP
  • Custom IPsec/IKE policy: impostare solo se i valori sono pianificati

Dopo la creazione della Connection, Azure è pronto, ma non automaticamente produttivo. Il lato Sophos deve conoscere lo stesso tunnel, gli stessi parametri e il percorso di ritorno.

Configurare Sophos Firewall

Su Sophos Firewall il tunnel si crea in Site-to-site VPN > IPsec.

Preparare IPsec profile

In Profiles > IPsec profiles usare o creare un profilo compatibile con Azure. I valori devono corrispondere alla Azure default policy o alla custom IPsec/IKE policy della Connection.

Documentare:

  • IKE version
  • Phase 1 encryption e authentication
  • DH group
  • Phase 2 encryption e authentication
  • PFS
  • Key lifetime

Se Azure usa una Custom Policy, il nome del profilo dovrebbe indicarlo, ad esempio Azure_IKEv2_AES256_G14.

Creare connessione IPsec route-based

Percorso:

Site-to-site VPN > IPsec

Procedura:

  1. Aprire Add.
  2. Scegliere Route-based o tunnel interface come tipo di connessione.
  3. Impostare un nome, ad esempio azure-vnet-prod.
  4. Impostare Gateway type lato Sophos normalmente su Initiate the connection.
  5. Inserire l’IP pubblico Azure del Virtual Network Gateway come Remote Gateway.
  6. Impostare il Preshared Key identico alla Connection Azure.
  7. Verificare Local ID e Remote ID, soprattutto con NAT o più tunnel.
  8. Selezionare IPsec profile.
  9. Salvare e attivare la connessione.

Dopo il salvataggio, verificare l’interfaccia XFRM in Network > Interfaces. Rimane assegnata alla zona VPN. A seconda del design si usa con rotta statica, SD-WAN route o BGP.

Configurare route o BGP

Senza BGP, Sophos Firewall ha bisogno di una route verso i prefissi Azure. Di solito è una rotta statica o SD-WAN route tramite interfaccia XFRM.

Con BGP entrambi i lati devono essere pianificati:

  • ASN locale di Sophos Firewall
  • Azure ASN
  • BGP peer IPs
  • prefissi consentiti e annunciati
  • route advertisement in Azure
  • regole firewall per il traffico reale

BGP non sostituisce le regole firewall. Distribuisce solo rotte. La raggiungibilità di un server in Azure dipende ancora da routing, NSG, regole firewall e sistema di destinazione.

Creare regole firewall

Il traffico nel tunnel richiede regole adatte, tipicamente tra zona interna e zona VPN.

Raccomandazioni per il rollout:

  • usare reti o host concreti come source e destination;
  • scegliere servizi specifici per il primo test, ad esempio ICMP, RDP, HTTPS o DNS;
  • attivare Log firewall traffic;
  • non lasciare regole su Any dopo il primo test;
  • controllare separatamente la direzione opposta se Azure deve raggiungere sistemi locali.

Se la regola non corrisponde, usare Sophos Firewall: verificare perché una regola non corrisponde.

Verificare la connessione

La validazione deve controllare sempre due livelli: stato del tunnel e traffico reale.

Verificare Azure

In Azure:

  1. Aprire la Connection del VPN Gateway.
  2. Verificare lo stato della connessione.
  3. Osservare i contatori dati.
  4. Verificare le effective routes della Azure VM interessata.
  5. Controllare il Network Security Group delle subnet di destinazione.

Lo stato Azure da solo non basta. Una VM può restare irraggiungibile nonostante Connection attiva per NSG, Windows Firewall locale, rotta errata o ritorno mancante.

Verificare Sophos Firewall

Su Sophos Firewall:

  1. Controllare stato in Site-to-site VPN > IPsec.
  2. Verificare interfaccia XFRM in Network > Interfaces.
  3. Verificare route verso prefissi Azure.
  4. Filtrare Log Viewer per il traffico di test.
  5. Usare Packet Capture o strongswan.log se necessario.

Per log IPsec e analisi CLI usare Sophos Firewall IPsec VPN Troubleshooting.

Usare traffico di test realistico

ICMP è un buon inizio, ma non è un test completo. Poi testare il servizio produttivo:

  • DNS verso un server DNS o domain controller Azure
  • RDP o SSH verso una VM di test
  • HTTPS verso un’applicazione interna
  • traffico backup, monitoring o management

La source è importante. Un ping direttamente dal firewall non prova la stessa cosa di un test da un client dietro il firewall.

Errori tipici

Il tunnel resta down

Di solito gateway IP, versione IKE, Preshared Key, ID o parametri IPsec/IKE non corrispondono. Su Sophos Firewall controllare prima strongswan.log e confrontare Azure Connection Settings con Sophos IPsec Profile.

Il tunnel è connesso, ma non passa traffico

Spesso mancano rotte, regole firewall, regole Azure NSG o ritorno. Lato Sophos controllare Log Viewer e route. Lato Azure controllare Effective Routes e NSG.

Funziona solo una direzione

Spesso indica routing asimmetrico, NSG, host firewall o regola inversa mancante. Testare entrambe le direzioni separatamente e documentare la source del traffico di test.

BGP non apprende rotte

Controllare ASN, peer IP, attivazione BGP, indirizzo XFRM e configurazione Azure BGP. Poi verificare quali prefissi sono realmente annunciati e appresi. Un tunnel IPsec attivo non significa automaticamente che BGP instradi correttamente.

Il tunnel non sale dopo una modifica policy

Le Custom IPsec/IKE Policies devono essere complete e compatibili. Se Azure e Sophos interpretano diversamente anche un solo valore, la connessione può fallire. Prima delle modifiche documentare profilo attuale, Azure Policy e stato funzionante.

FAQ

Sophos Firewall verso Azure deve essere policy-based o route-based?

Per Azure, route-based IPsec è di solito la scelta migliore, soprattutto con più reti, BGP o future estensioni. I design policy-based sono generalmente meno flessibili per Azure.

Azure VPN Gateway richiede BGP?

No. Per connessioni semplici bastano rotte statiche o Address Spaces nel Local Network Gateway. BGP conviene se i prefissi devono essere appresi dinamicamente o se sono previsti più percorsi.

Perché il tunnel Azure è verde, ma la VM non è raggiungibile?

IPsec probabilmente è attivo, ma routing, regola firewall, Azure NSG, Windows Firewall locale o percorso di ritorno non corrispondono. Stato tunnel e traffico applicativo reale vanno testati separatamente.

Sophos Firewall può stare dietro NAT?

Può funzionare, ma non è il caso standard semplice. IP pubblico, NAT-T, port forwarding, Local ID, Remote ID e Azure Local Network Gateway devono essere pianificati e testati con particolare cura.

I parametri IPsec Azure devono essere impostati esplicitamente?

Non sempre. Senza Custom IPsec/IKE Policy, il profilo Sophos deve corrispondere ai default Azure. Con Custom Policy, tutti i parametri devono essere impostati in modo completo e compatibile su entrambi i lati.