Sophos Firewall met AWS Site-to-Site VPN verbinden
Een AWS Site-to-Site VPN verbindt een lokaal netwerk achter Sophos Firewall met een AWS VPC of een Transit Gateway. Technisch is het een IPsec-VPN, maar operationeel verschilt het duidelijk van een gewone Sophos-naar-Sophos-tunnel: AWS maakt twee tunnels per VPN-verbinding, gebruikt Customer Gateway en doelgateway-objecten, en routing hangt sterk af van statische routes of BGP.
Dit artikel beschrijft de praktische opbouw met Sophos Firewall en AWS. Het vult de algemene handleiding Sophos Firewall Site-to-Site IPsec VPN instellen aan met AWS-specifieke aandachtspunten: twee tunnels, BGP-neighbours, route tables, security groups, NACLs en statuscontrole in AWS en Sophos. Als een tunnel al up is maar verkeer niet loopt, past Sophos Firewall IPsec VPN troubleshooting beter.
Wanneer dit artikel past
Dit artikel past wanneer een locatie, datacenter of lokaal netwerk via Sophos Firewall met AWS moet worden verbonden. Het behandelt AWS Site-to-Site VPN naar een VPC, Virtual Private Gateway of Transit Gateway. Het behandelt niet Sophos Firewall als virtuele appliance in AWS.
Typische scenario’s:
- lokaal servernetwerk naar EC2-instances in een VPC
- backup-, monitoring- of managementverkeer naar AWS
- hybride DNS, AD, jump hosts of beheernetwerken
- migratie van statische VPN naar dynamische BGP-routing
- redundante werking met twee AWS-tunnels
AWS en Sophos gebruiken verschillende termen. In AWS werkt men met Customer Gateway, Virtual Private Gateway of Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups en Network ACLs. Op Sophos Firewall gaat het om Amazon VPC-verbindingen, IPsec-profielen, XFRM-interfaces, BGP, routes en firewallregels.
Voor de configuratie plannen
AWS Site-to-Site VPN moet niet worden gezien als alleen het importeren van een gedownload voorbeeldbestand. Het AWS-bestand is nuttig, maar productieacceptatie hangt af van routing, security groups, NACLs, firewallregels en tests met echt verkeer.
Netwerken en doelgateway vastleggen
Eerst moet duidelijk zijn welke AWS-zijde wordt gebruikt:
- Virtual Private Gateway voor een klassieke enkele VPC.
- Transit Gateway voor meerdere VPC’s, meerdere locaties of een groter routingontwerp.
- Cloud WAN of andere varianten alleen wanneer de AWS-architectuur dat bewust vereist.
Vooraf documenteren:
- AWS VPC CIDR, bijvoorbeeld
10.60.0.0/16 - relevante AWS subnets en route tables
- lokale netwerken achter Sophos Firewall, bijvoorbeeld
172.16.20.0/24 - openbaar IP-adres van Sophos Firewall of de upstream router
- routingmodus: static of dynamic BGP
- lokale en AWS-ASN als BGP wordt gebruikt
- verwachte testdoelen aan beide kanten
- geplande tunnel options, IKE-versie, preshared keys en lifetimes
Overlappende netwerken moeten vóór het VPN-ontwerp worden opgelost. NAT over IPsec kan werken, maar maakt route tables, security groups, logs en latere troubleshooting lastiger.
Beide tunnels serieus nemen
AWS maakt per Site-to-Site VPN connection twee tunnels met verschillende AWS-endpoints. Beide tunnels moeten op Sophos Firewall worden geconfigureerd en gecontroleerd. Slechts één tunnel bouwen is handig in een lab, maar in productie gaat AWS-redundantie verloren.
De verwachting moet kloppen: de terugweg vanuit AWS prefereert afhankelijk van routing en AWS-zijde één tunnel en kan bij problemen omschakelen. Dat betekent niet dat beide tunnels altijd gelijkmatig worden gebruikt. Belangrijk is dat beide tunnels up komen, dat BGP of statische routes correct zijn en dat failover is getest.
Statische routing of BGP
AWS Site-to-Site VPN ondersteunt statische routes en dynamische routing met BGP. BGP is meestal beter bij meerdere prefixes, latere uitbreidingen of Transit Gateway. Statische routes zijn eenvoudiger, maar elke netwerkverandering moet handmatig worden bijgehouden.
In de praktijk:
- BGP heeft passende ASN-waarden aan beide kanten nodig.
- Sophos Firewall moet de gewenste lokale prefixes adverteren.
- AWS route tables moeten propagated of statische routes echt gebruiken.
- Security groups en NACLs moeten het verkeer ook toestaan.
- Identieke statische en BGP-routes kunnen onverwachte prioriteit veroorzaken.
AWS voorbereiden
De volgende stappen beschrijven de gebruikelijke flow. Details verschillen tussen Virtual Private Gateway en Transit Gateway, maar het principe blijft hetzelfde.
Customer Gateway maken
De Customer Gateway beschrijft de lokale Sophos-zijde in AWS.
Invullen:
- Name tag zetten, bijvoorbeeld
cgw-sophos-hq. - Routing kiezen: static of dynamic.
- Openbaar IP-adres van de Sophos-zijde invoeren.
- Bij BGP de lokale Sophos-ASN invoeren.
- Resource maken en tagging consistent houden.
Als Sophos Firewall achter een router of providerapparaat staat, moet duidelijk zijn welk openbaar IP AWS ziet en of NAT-T correct werkt. Het in AWS ingevoerde IP moet passen bij de echte tunnelonderhandeling.
Doelgateway maken of selecteren
Bij één VPC wordt meestal een Virtual Private Gateway gemaakt en aan de VPC gekoppeld. Grotere AWS-omgevingen gebruiken vaak een Transit Gateway.
Controleren:
- De gateway is gekoppeld aan de juiste VPC of Transit Gateway.
- De AWS-side ASN botst niet met de Sophos-ASN.
- Route tables van VPC of Transit Gateway zijn gepland.
- Subnets voor tests gebruiken de juiste route table.
Site-to-Site VPN connection maken
Daarna maakt men in AWS de Site-to-Site VPN connection.
Belangrijke punten:
- Correct target gateway type kiezen.
- Customer Gateway selecteren.
- Routing Options op static of dynamic zetten.
- Bij static routing lokale prefixes invoeren.
- Tunnel Options bewust controleren, vooral IKE version, encryption, integrity, DH/PFS en DPD.
- Preshared keys per tunnel documenteren of bewust door AWS laten genereren.
Na het maken moet het configuratiebestand worden gedownload. Als Vendor kan Sophos worden gekozen, als Platform Sophos Firewall en een passende softwareversie. Het bestand is een goed startpunt, maar vervangt geen technische controle van de tunnel options.
Route tables, security groups en NACLs controleren
Een groene VPN-tunnel in AWS betekent nog niet dat een EC2-instance bereikbaar is.
Voor acceptatie controleren:
- De VPC route table bevat een route naar het lokale netwerk via Virtual Private Gateway of Transit Gateway.
- Bij Virtual Private Gateway is route propagation actief of is de route statisch gezet.
- Transit Gateway route tables bevatten de juiste attachments en propagations.
- De security group van de doelinstance staat het gewenste verkeer uit het lokale netwerk toe.
- Network ACLs staan heen- en terugweg toe.
- De OS-firewall van de instance blokkeert de test niet.
Dit wordt vaak vergeten, omdat Sophos en AWS allebei een verbonden tunnel kunnen tonen terwijl de instance door security group of terugroute niet antwoordt.
Sophos Firewall configureren
Sophos biedt voor AWS twee praktische routes: import via Site-to-site VPN > Amazon VPC of handmatige configuratie als route-based IPsec-verbinding. Voor veel AWS-setups is import het schoonste begin, maar de automatisch gemaakte objecten moeten daarna gecontroleerd worden.
AWS-configuratie importeren
Met het gedownloade AWS-configuratiebestand kan Sophos Firewall de Amazon VPC-verbinding importeren.
Stappen:
- Sophos Firewall openen.
- Naar Site-to-site VPN > Amazon VPC gaan.
- Use VPC configuration file selecteren.
- AWS-configuratiebestand uploaden.
- Import starten.
- Gemaakte verbindingen, IPsec-profielen, XFRM-interfaces en BGP-instellingen controleren.
Als de firewall achter een NAT-apparaat staat, moet het configuratiebestand of de resulterende Sophos-configuratie extra zorgvuldig gecontroleerd worden. Sophos wijst erop dat het bestand waarden per tunnel bevat en dat beide tunnels moeten worden meegenomen.
IPsec-profiel en tunnels controleren
Na import of bij handmatige configuratie mag men niet blind op de status vertrouwen.
Controleren:
- Beide AWS-tunnels bestaan.
- IKE-versie past bij de AWS-configuratie.
- Encryption, authentication, DH group, PFS en lifetimes passen per tunnel.
- Preshared key is per tunnel correct.
- Gateway type en remote gateway wijzen naar de betreffende AWS-tunnelendpoints.
- XFRM-interfaces bestaan en hebben duidelijke namen.
Als AWS tunnel options later veranderen, moet de Sophos-zijde aansluiten. Eenzijdige wijzigingen leiden vaak tot phase 1- of phase 2-fouten.
BGP of statische routes configureren
Bij BGP controleert men onder Routing > BGP of lokale ASN, neighbour, remote ASN en geadverteerde netwerken kloppen. Onder Routing > Information > BGP moeten Neighbors, Summary en Routes de verwachte waarden tonen.
Bij statische routing moeten routes naar AWS-netwerken via de juiste XFRM-interface lopen. AWS moet de lokale prefixes ook kennen, via statische VPN-routes of via de juiste route table.
Voor beide varianten geldt: routing moet in beide richtingen kloppen. Een tunnel kan verbonden zijn terwijl de terugweg via internet, NAT Gateway of een verkeerde route table loopt.
Firewallregels maken
Route-based IPsec maakt niet automatisch firewallregels die voor productie precies genoeg zijn. Maak en log de regels bewust.
Aanbevolen:
- Regel van lokaal netwerk naar AWS-doelen maken.
- Tegenrichting alleen toestaan als AWS lokale systemen actief moet bereiken.
- Source, destination en services strak beperken.
- Logging voor acceptatie activeren.
- Regelpositie vóór brede drop- of catch-all-regels controleren.
Als de verwachte regel niet matcht, helpt Sophos Firewall-regel matcht niet: zo vindt men de oorzaak.
Verbinding controleren
Acceptatie moet altijd beide platformen en echt applicatieverkeer meenemen. Alleen een groene tunnelstatus is te weinig.
AWS controleren
In AWS controleren:
- VPC > Site-to-Site VPN Connections > Tunnel Details toont beide tunnels.
- Tunnelstatus is
UP. - Bij BGP zijn routes zichtbaar.
- De VPC- of Transit Gateway-route table bevat verwachte routes.
- Security groups en NACLs staan de test toe.
- CloudWatch metrics of VPN logs tonen geen herhaalde IKE- of DPD-problemen.
Sophos Firewall controleren
Op Sophos Firewall controleren:
- Site-to-site VPN > Amazon VPC of Site-to-site VPN > IPsec toont actieve tunnels.
- Routing > Information > BGP toont neighbours en geleerde routes als BGP wordt gebruikt.
- Network > Interfaces toont XFRM-interfaces.
- Log Viewer toont de verwachte firewallregel.
- Packet Capture bevestigt ingress- en egressinterface als logs niet genoeg zijn.
Testverkeer goed kiezen
Een test moet een concrete source host, target host en service gebruiken, bijvoorbeeld ICMP, RDP, SSH, HTTPS of DNS. Als ICMP geblokkeerd is, zegt ping weinig. Beter is testen met de service die later echt gebruikt wordt.
Typische fouten
AWS-VPN-fouten lijken vaak IPsec-problemen, terwijl routing of AWS-security-controls de oorzaak zijn. De volgende gevallen komen vaak voor.
Slechts één tunnel is actief
Eén tunnel is genoeg voor een eerste test, maar niet voor goede productie. Beide AWS-tunnels hebben eigen endpoints en parameters. Controleer per tunnel preshared key, IKE/IPsec-parameters, XFRM-interface, BGP-neighbour en AWS-status.
BGP komt niet op
Als de tunnel verbonden is maar BGP niet peert, controleer eerst ASN, neighbour-IP, lokale advertenties en inside tunnel-adressen. Sophos documenteert ook situaties waarin BGP-peering niet automatisch ontstaat, ook al is de AWS VPC-tunnel verbonden.
Tunnel groen, instance niet bereikbaar
De oorzaak ligt vaak buiten IPsec: verkeerde AWS route table, ontbrekende route propagation, security group, NACL, OS-firewall, verkeerd sourcenetwerk of ontbrekende Sophos-firewallregel.
Terugweg loopt verkeerd
AWS moet de terugweg naar het lokale netwerk via VPN kennen. Lokaal moet de terugweg naar de AWS VPC via XFRM of BGP lopen. Asymmetrische routing kan in tunnelstatus normaal lijken, maar echte sessies breken.
MTU of fragmentatie stoort applicaties
AWS Site-to-Site VPN en IPsec-overhead kunnen MTU-problemen zichtbaar maken. Als kleine tests werken maar grotere transfers of bepaalde applicaties hangen, controleer MSS/MTU, fragmentatie en packet captures.
Beheer en review
Na ingebruikname hoort de tunnel in het normale beheerproces. Dat omvat een owner, een gedocumenteerd preshared-key-proces, een change window voor IPsec-parameters, tunnelmonitoring, regelmatige failover-tests en een duidelijke procedure bij AWS- of ISP-wijzigingen.
Bij elke wijziging aan VPC-CIDR, Transit Gateway-routing, route tables, security groups, lokale netwerken of BGP-advertenties moet de VPN-acceptatie worden herhaald. Cloud VPN is geen eenmalige klik, maar onderdeel van de netwerkarchitectuur.