Sophos Firewall mit AWS Site-to-Site VPN verbinden
Ein AWS Site-to-Site VPN verbindet ein lokales Netzwerk hinter der Sophos Firewall mit einer AWS VPC oder einem Transit Gateway. Technisch ist es ein IPsec-VPN, praktisch unterscheidet es sich aber deutlich von einem normalen Sophos-zu-Sophos-Tunnel: AWS erstellt pro VPN-Verbindung zwei Tunnel, arbeitet mit Customer Gateway und Ziel-Gateway, und das Routing hängt stark davon ab, ob statische Routen oder BGP verwendet werden.
Dieser Artikel erklärt den pragmatischen Aufbau mit Sophos Firewall und AWS. Er ergänzt die allgemeine Anleitung Sophos Firewall Site-to-Site IPsec VPN einrichten um die AWS-spezifischen Stolperfallen: zwei Tunnel, BGP-Nachbarschaften, Route Tables, Security Groups, NACLs und die Prüfung im AWS- und Sophos-Status. Wenn ein Tunnel bereits steht, aber kein Traffic fliesst, hilft zusätzlich Sophos Firewall IPsec VPN Troubleshooting.
Wann dieser Artikel passt
Der Artikel passt, wenn ein Standort, Rechenzentrum oder lokales Netzwerk über Sophos Firewall mit AWS verbunden werden soll. Gemeint ist AWS Site-to-Site VPN zu einer VPC, einem Virtual Private Gateway oder Transit Gateway. Nicht gemeint ist Sophos Firewall als virtuelle Appliance direkt in AWS.
Typische Szenarien:
- lokales Servernetz zu EC2-Instanzen in einer VPC
- Backup-, Monitoring- oder Management-Traffic zu AWS
- Hybrid-DNS, AD, Jump Hosts oder Administrationsnetze
- Migration von statischem VPN auf dynamisches BGP-Routing
- redundanter Tunnelbetrieb mit zwei AWS-Tunneln
AWS und Sophos verwenden unterschiedliche Begriffe. In AWS arbeitet man mit Customer Gateway, Virtual Private Gateway oder Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups und Network ACLs. Auf der Sophos Firewall arbeitet man mit Amazon VPC-Verbindungen, IPsec-Profilen, XFRM-Interfaces, BGP, Routen und Firewall-Regeln.
Vor der Konfiguration planen
AWS Site-to-Site VPN sollte man nicht nur aus einer heruntergeladenen Beispielkonfiguration importieren und danach als erledigt betrachten. Die AWS-Datei ist hilfreich, aber die produktive Abnahme hängt an Routing, Security Groups, NACLs, Firewall-Regeln und Tests mit echtem Traffic.
Netze und Ziel-Gateway festlegen
Zuerst muss klar sein, welche AWS-Seite verwendet wird:
- Virtual Private Gateway für eine klassische einzelne VPC.
- Transit Gateway für mehrere VPCs, mehrere Standorte oder ein grösseres Routing-Design.
- Cloud WAN oder andere Varianten nur, wenn die AWS-Architektur das bewusst vorgibt.
Vorher dokumentieren:
- AWS VPC CIDR, zum Beispiel
10.60.0.0/16 - relevante AWS Subnets und Route Tables
- lokale Netze hinter der Sophos Firewall, zum Beispiel
172.16.20.0/24 - öffentliche IP der Sophos Firewall oder des vorgelagerten Routers
- Routing-Modus: static oder dynamic BGP
- lokale und AWS-ASN, wenn BGP genutzt wird
- erwartete Testziele auf beiden Seiten
- geplante Tunnel-Optionen, IKE-Version, Preshared Keys und Lifetimes
Überlappende Netze sollten vor dem VPN-Design bereinigt werden. NAT über IPsec kann funktionieren, erschwert aber Route Tables, Security Groups, Logs und spätere Fehlersuche.
Zwei Tunnel ernst nehmen
AWS erstellt pro Site-to-Site-VPN-Verbindung zwei Tunnel mit unterschiedlichen AWS-Endpunkten. Beide Tunnel sollten auf der Sophos Firewall konfiguriert und geprüft werden. Nur einen Tunnel zu bauen ist für einen Labortest bequem, aber im produktiven Betrieb verschenkt man damit die AWS-Redundanz.
Wichtig ist die Erwartung: Der Rückweg von AWS bevorzugt je nach Routing und AWS-Seite einen Tunnel und kann bei Fehlern umschalten. Das bedeutet nicht automatisch, dass beide Tunnel immer gleichmässig genutzt werden. Entscheidend ist, dass beide Tunnel hochkommen, BGP oder statische Routen korrekt sind und ein Failover getestet wurde.
Static Routing oder BGP
AWS Site-to-Site VPN unterstützt statische Routen und dynamisches Routing mit BGP. BGP ist meistens die bessere Wahl, wenn mehrere Präfixe, spätere Erweiterungen oder Transit Gateway im Spiel sind. Statische Routen sind einfacher, müssen aber bei jeder Netzänderung manuell gepflegt werden.
In der Praxis gilt:
- BGP braucht passende ASN-Werte auf beiden Seiten.
- Die Sophos Firewall muss die gewünschten lokalen Präfixe sauber annoncieren.
- AWS Route Tables müssen propagierte oder statische Routen wirklich verwenden.
- Security Groups und NACLs müssen den Traffic zusätzlich erlauben.
- Identische statische und BGP-Routen können zu unerwarteter Priorität führen.
AWS-Seite vorbereiten
Die folgenden Schritte beschreiben den üblichen Ablauf. Je nach AWS-Design unterscheiden sich Details zwischen Virtual Private Gateway und Transit Gateway, das Prinzip bleibt aber gleich.
Customer Gateway erstellen
Das Customer Gateway beschreibt die lokale Sophos-Seite in AWS.
Eintragen:
- Name Tag setzen, zum Beispiel
cgw-sophos-hq. - Routing auswählen: static oder dynamic.
- Öffentliche IP-Adresse der Sophos-Seite eintragen.
- Bei BGP die lokale Sophos-ASN eintragen.
- Ressource erstellen und Tagging konsistent halten.
Wenn die Sophos Firewall hinter einem Router oder Providergerät steht, muss klar sein, welche öffentliche IP AWS sieht und ob NAT-T sauber funktioniert. Die in AWS eingetragene IP muss zur realen Tunnel-Aushandlung passen.
Ziel-Gateway erstellen oder auswählen
Bei einer einzelnen VPC wird typischerweise ein Virtual Private Gateway erstellt und an die VPC angehängt. Bei grösseren AWS-Umgebungen wird häufig ein Transit Gateway verwendet.
Prüfen:
- Gateway ist mit der richtigen VPC oder dem richtigen Transit Gateway verbunden.
- ASN auf AWS-Seite kollidiert nicht mit der Sophos-ASN.
- Route Tables der VPC oder des Transit Gateway sind geplant.
- Subnetze, über die getestet wird, verwenden die richtige Route Table.
Site-to-Site VPN Connection erstellen
In AWS erstellt man danach die Site-to-Site VPN connection.
Wichtige Punkte:
- Target gateway type korrekt auswählen.
- Customer Gateway auswählen.
- Routing Options auf static oder dynamic setzen.
- Bei static routing lokale Präfixe eintragen.
- Tunnel Options bewusst prüfen, besonders IKE-Version, Encryption, Integrity, DH/PFS und DPD.
- Preshared Keys pro Tunnel dokumentieren oder bewusst automatisch erzeugen lassen.
Nach dem Erstellen sollte man die Konfigurationsdatei herunterladen. Als Vendor kann Sophos, Platform Sophos Firewall und eine passende Software-Version gewählt werden. Die Datei ist ein guter Startpunkt, ersetzt aber keine fachliche Prüfung der Tunnel-Optionen.
Route Tables, Security Groups und NACLs prüfen
Ein grüner VPN-Tunnel bedeutet in AWS noch nicht, dass eine EC2-Instanz erreichbar ist.
Für die Abnahme prüfen:
- VPC Route Table enthält Route zum lokalen Netz über Virtual Private Gateway oder Transit Gateway.
- Bei Virtual Private Gateway ist Route Propagation aktiviert oder die Route statisch gesetzt.
- Transit Gateway Route Tables enthalten passende Attachments und Propagations.
- Security Group der Zielinstanz erlaubt den gewünschten Traffic aus dem lokalen Netz.
- Network ACLs erlauben Hin- und Rückweg.
- Betriebssystem-Firewall der Instanz blockiert den Test nicht.
Dieser Teil wird oft übersehen, weil Sophos und AWS beide einen Tunnel als verbunden anzeigen können, obwohl die Instanz wegen Security Group oder Rückroute nicht antwortet.
Sophos Firewall konfigurieren
Sophos bietet für AWS zwei praktische Wege: Import über Site-to-site VPN > Amazon VPC oder manuelle Konfiguration als route-based IPsec-Verbindung. Für viele AWS-Setups ist der Import der sauberste Einstieg, danach sollten die automatisch erzeugten Objekte aber kontrolliert werden.
AWS-Konfiguration importieren
Mit der heruntergeladenen AWS-Konfigurationsdatei kann die Sophos Firewall die Amazon-VPC-Verbindung importieren.
Vorgehen:
- Sophos Firewall öffnen.
- Zu Site-to-site VPN > Amazon VPC gehen.
- Use VPC configuration file auswählen.
- AWS-Konfigurationsdatei hochladen.
- Import starten.
- Erstellte Verbindungen, IPsec-Profile, XFRM-Interfaces und BGP-Einstellungen prüfen.
Wenn die Firewall hinter einem NAT-Gerät steht, muss die Konfigurationsdatei oder die resultierende Sophos-Konfiguration besonders sorgfältig geprüft werden. Sophos weist darauf hin, dass die Datei pro Tunnel Werte enthält und beide Tunnel berücksichtigt werden müssen.
IPsec-Profil und Tunnel prüfen
Nach dem Import oder bei manueller Konfiguration sollte man nicht blind auf den Status vertrauen.
Prüfen:
- Beide AWS-Tunnel existieren.
- IKE-Version passt zur AWS-Konfiguration.
- Encryption, Authentication, DH Group, PFS und Lifetimes passen pro Tunnel.
- Preshared Key ist pro Tunnel korrekt.
- Gateway type und Remote Gateway zeigen auf die jeweiligen AWS-Tunnelendpunkte.
- XFRM-Interfaces sind vorhanden und sinnvoll benannt.
Wenn die AWS-Tunnel-Optionen nachträglich geändert werden, muss die Sophos-Seite dazu passen. Einseitige Änderungen führen oft zu Phase-1- oder Phase-2-Fehlern.
BGP oder statische Routen konfigurieren
Bei BGP prüft man unter Routing > BGP, ob lokale ASN, Neighbor, Remote ASN und annoncierte Netze stimmen. Unter Routing > Information > BGP sollten Neighbor, Summary und Routes erwartete Werte zeigen.
Bei statischem Routing müssen Routen zu AWS-Netzen über das passende XFRM-Interface gesetzt werden. Zusätzlich muss AWS die lokalen Präfixe kennen, entweder über statische VPN-Routen oder über die passende Route Table.
Für beide Varianten gilt: Routing muss in beide Richtungen stimmen. Ein Tunnel kann verbunden sein, während der Rückweg über Internet, NAT Gateway oder eine falsche Route Table läuft.
Firewall-Regeln erstellen
Route-based IPsec erstellt keine produktiven Firewall-Regeln automatisch, die fachlich sauber genug wären. Man sollte die Regeln bewusst erstellen und protokollieren.
Empfohlen:
- Regel von lokalem Netz zu AWS-Zielen erstellen.
- Gegenrichtung nur erlauben, wenn AWS aktiv lokale Systeme erreichen muss.
- Source, Destination und Services eng scopen.
- Logging für die Abnahme aktivieren.
- Regelposition vor allgemeinen Drop- oder Catch-all-Regeln prüfen.
Wenn die passende Regel nicht greift, hilft Sophos Firewall Regel greift nicht: So findet man die Ursache.
Verbindung prüfen
Die Abnahme sollte immer beide Plattformen und echten Anwendungstraffic einbeziehen. Nur ein grüner Tunnelstatus ist zu wenig.
AWS prüfen
In AWS prüfen:
- VPC > Site-to-Site VPN Connections > Tunnel Details zeigt beide Tunnel.
- Tunnelstatus ist
UP. - Bei BGP sind Routen sichtbar.
- VPC- oder Transit-Gateway-Route-Table enthält erwartete Routen.
- Security Groups und NACLs erlauben den Test.
- CloudWatch-Metriken oder VPN-Logs zeigen keine wiederholten IKE-/DPD-Probleme.
Sophos Firewall prüfen
Auf der Sophos Firewall prüfen:
- Site-to-site VPN > Amazon VPC oder Site-to-site VPN > IPsec zeigt aktive Tunnel.
- Routing > Information > BGP zeigt Neighbor und gelernte Routen, falls BGP genutzt wird.
- Network > Interfaces zeigt XFRM-Interfaces.
- Log Viewer zeigt die erwartete Firewall-Regel.
- Packet Capture bestätigt Ein- und Ausgangsinterface, wenn Logs nicht reichen.
Testtraffic sauber wählen
Ein Test sollte mit einem konkreten Quellhost, Zielhost und Service geplant werden, zum Beispiel ICMP, RDP, SSH, HTTPS oder DNS. Wenn ICMP blockiert ist, ist ein Ping-Test nicht aussagekräftig. Besser ist ein Test mit dem Service, der später wirklich verwendet wird.
Typische Fehler
AWS-VPN-Fehler wirken oft wie IPsec-Probleme, obwohl Routing oder AWS-Security-Controls die Ursache sind. Die folgenden Fälle sind besonders häufig.
Nur ein Tunnel ist aktiv
Ein Tunnel reicht für einen ersten Test, aber nicht für sauberen Betrieb. Beide AWS-Tunnel haben eigene Endpunkte und eigene Parameter. Man prüft pro Tunnel Preshared Key, IKE/IPsec-Parameter, XFRM-Interface, BGP-Neighbor und Status in AWS.
BGP kommt nicht hoch
Wenn der Tunnel verbunden ist, aber BGP nicht peert, zuerst ASN, Neighbor-IP, lokale Annoncen und die Inside-Tunnel-Adressen prüfen. Sophos dokumentiert zusätzlich Fälle, in denen BGP-Peering nicht automatisch entsteht, obwohl der AWS-VPC-Tunnel verbunden ist.
Tunnel grün, Instanz nicht erreichbar
Dann liegt die Ursache oft ausserhalb von IPsec: falsche AWS Route Table, fehlende Route Propagation, Security Group, NACL, Betriebssystem-Firewall, falsches Quellnetz oder fehlende Sophos-Firewall-Regel.
Rückweg läuft falsch
AWS muss den Rückweg zum lokalen Netz über VPN kennen. Lokal muss der Rückweg zur AWS-VPC über XFRM oder BGP laufen. Asymmetrisches Routing sieht im Tunnelstatus oft unauffällig aus, bricht aber reale Sessions.
MTU oder Fragmentierung stören Anwendungen
AWS Site-to-Site VPN und IPsec-Overhead können MTU-Probleme sichtbar machen. Wenn kleine Tests funktionieren, grössere Transfers oder bestimmte Anwendungen aber hängen, sollte man MSS/MTU, Fragmentierung und Paketmitschnitte prüfen.
Betrieb und Review
Nach der Inbetriebnahme sollte der Tunnel in einen normalen Betriebsprozess überführt werden. Dazu gehören ein Owner, ein dokumentierter Preshared-Key-Prozess, ein Änderungsfenster für IPsec-Parameter, Monitoring der Tunnel, regelmässige Failover-Tests und ein klarer Ablauf bei AWS- oder ISP-Änderungen.
Bei jeder Änderung an VPC-CIDR, Transit-Gateway-Routing, Route Tables, Security Groups, lokalen Netzen oder BGP-Announcements sollte man die VPN-Abnahme wiederholen. Cloud-VPN ist kein einmaliger Klick, sondern Teil der Netzarchitektur.