Naar de inhoud
Avanet

Sophos Firewall met AWS Site-to-Site VPN verbinden

Een AWS Site-to-Site VPN verbindt een lokaal netwerk achter Sophos Firewall met een AWS VPC of een Transit Gateway. Technisch is het een IPsec-VPN, maar operationeel verschilt het duidelijk van een gewone Sophos-naar-Sophos-tunnel: AWS maakt twee tunnels per VPN-verbinding, gebruikt Customer Gateway en doelgateway-objecten, en routing hangt sterk af van statische routes of BGP.

Dit artikel beschrijft de praktische opbouw met Sophos Firewall en AWS. Het vult de algemene handleiding Sophos Firewall Site-to-Site IPsec VPN instellen aan met AWS-specifieke aandachtspunten: twee tunnels, BGP-neighbours, route tables, security groups, NACLs en statuscontrole in AWS en Sophos. Als een tunnel al up is maar verkeer niet loopt, past Sophos Firewall IPsec VPN troubleshooting beter.

Wanneer dit artikel past

Dit artikel past wanneer een locatie, datacenter of lokaal netwerk via Sophos Firewall met AWS moet worden verbonden. Het behandelt AWS Site-to-Site VPN naar een VPC, Virtual Private Gateway of Transit Gateway. Het behandelt niet Sophos Firewall als virtuele appliance in AWS.

Typische scenario’s:

  • lokaal servernetwerk naar EC2-instances in een VPC
  • backup-, monitoring- of managementverkeer naar AWS
  • hybride DNS, AD, jump hosts of beheernetwerken
  • migratie van statische VPN naar dynamische BGP-routing
  • redundante werking met twee AWS-tunnels

AWS en Sophos gebruiken verschillende termen. In AWS werkt men met Customer Gateway, Virtual Private Gateway of Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups en Network ACLs. Op Sophos Firewall gaat het om Amazon VPC-verbindingen, IPsec-profielen, XFRM-interfaces, BGP, routes en firewallregels.

Voor de configuratie plannen

AWS Site-to-Site VPN moet niet worden gezien als alleen het importeren van een gedownload voorbeeldbestand. Het AWS-bestand is nuttig, maar productieacceptatie hangt af van routing, security groups, NACLs, firewallregels en tests met echt verkeer.

Netwerken en doelgateway vastleggen

Eerst moet duidelijk zijn welke AWS-zijde wordt gebruikt:

  • Virtual Private Gateway voor een klassieke enkele VPC.
  • Transit Gateway voor meerdere VPC’s, meerdere locaties of een groter routingontwerp.
  • Cloud WAN of andere varianten alleen wanneer de AWS-architectuur dat bewust vereist.

Vooraf documenteren:

  • AWS VPC CIDR, bijvoorbeeld 10.60.0.0/16
  • relevante AWS subnets en route tables
  • lokale netwerken achter Sophos Firewall, bijvoorbeeld 172.16.20.0/24
  • openbaar IP-adres van Sophos Firewall of de upstream router
  • routingmodus: static of dynamic BGP
  • lokale en AWS-ASN als BGP wordt gebruikt
  • verwachte testdoelen aan beide kanten
  • geplande tunnel options, IKE-versie, preshared keys en lifetimes

Overlappende netwerken moeten vóór het VPN-ontwerp worden opgelost. NAT over IPsec kan werken, maar maakt route tables, security groups, logs en latere troubleshooting lastiger.

Beide tunnels serieus nemen

AWS maakt per Site-to-Site VPN connection twee tunnels met verschillende AWS-endpoints. Beide tunnels moeten op Sophos Firewall worden geconfigureerd en gecontroleerd. Slechts één tunnel bouwen is handig in een lab, maar in productie gaat AWS-redundantie verloren.

De verwachting moet kloppen: de terugweg vanuit AWS prefereert afhankelijk van routing en AWS-zijde één tunnel en kan bij problemen omschakelen. Dat betekent niet dat beide tunnels altijd gelijkmatig worden gebruikt. Belangrijk is dat beide tunnels up komen, dat BGP of statische routes correct zijn en dat failover is getest.

Statische routing of BGP

AWS Site-to-Site VPN ondersteunt statische routes en dynamische routing met BGP. BGP is meestal beter bij meerdere prefixes, latere uitbreidingen of Transit Gateway. Statische routes zijn eenvoudiger, maar elke netwerkverandering moet handmatig worden bijgehouden.

In de praktijk:

  • BGP heeft passende ASN-waarden aan beide kanten nodig.
  • Sophos Firewall moet de gewenste lokale prefixes adverteren.
  • AWS route tables moeten propagated of statische routes echt gebruiken.
  • Security groups en NACLs moeten het verkeer ook toestaan.
  • Identieke statische en BGP-routes kunnen onverwachte prioriteit veroorzaken.

AWS voorbereiden

De volgende stappen beschrijven de gebruikelijke flow. Details verschillen tussen Virtual Private Gateway en Transit Gateway, maar het principe blijft hetzelfde.

Customer Gateway maken

De Customer Gateway beschrijft de lokale Sophos-zijde in AWS.

Invullen:

  1. Name tag zetten, bijvoorbeeld cgw-sophos-hq.
  2. Routing kiezen: static of dynamic.
  3. Openbaar IP-adres van de Sophos-zijde invoeren.
  4. Bij BGP de lokale Sophos-ASN invoeren.
  5. Resource maken en tagging consistent houden.

Als Sophos Firewall achter een router of providerapparaat staat, moet duidelijk zijn welk openbaar IP AWS ziet en of NAT-T correct werkt. Het in AWS ingevoerde IP moet passen bij de echte tunnelonderhandeling.

Doelgateway maken of selecteren

Bij één VPC wordt meestal een Virtual Private Gateway gemaakt en aan de VPC gekoppeld. Grotere AWS-omgevingen gebruiken vaak een Transit Gateway.

Controleren:

  • De gateway is gekoppeld aan de juiste VPC of Transit Gateway.
  • De AWS-side ASN botst niet met de Sophos-ASN.
  • Route tables van VPC of Transit Gateway zijn gepland.
  • Subnets voor tests gebruiken de juiste route table.

Site-to-Site VPN connection maken

Daarna maakt men in AWS de Site-to-Site VPN connection.

Belangrijke punten:

  • Correct target gateway type kiezen.
  • Customer Gateway selecteren.
  • Routing Options op static of dynamic zetten.
  • Bij static routing lokale prefixes invoeren.
  • Tunnel Options bewust controleren, vooral IKE version, encryption, integrity, DH/PFS en DPD.
  • Preshared keys per tunnel documenteren of bewust door AWS laten genereren.

Na het maken moet het configuratiebestand worden gedownload. Als Vendor kan Sophos worden gekozen, als Platform Sophos Firewall en een passende softwareversie. Het bestand is een goed startpunt, maar vervangt geen technische controle van de tunnel options.

Route tables, security groups en NACLs controleren

Een groene VPN-tunnel in AWS betekent nog niet dat een EC2-instance bereikbaar is.

Voor acceptatie controleren:

  • De VPC route table bevat een route naar het lokale netwerk via Virtual Private Gateway of Transit Gateway.
  • Bij Virtual Private Gateway is route propagation actief of is de route statisch gezet.
  • Transit Gateway route tables bevatten de juiste attachments en propagations.
  • De security group van de doelinstance staat het gewenste verkeer uit het lokale netwerk toe.
  • Network ACLs staan heen- en terugweg toe.
  • De OS-firewall van de instance blokkeert de test niet.

Dit wordt vaak vergeten, omdat Sophos en AWS allebei een verbonden tunnel kunnen tonen terwijl de instance door security group of terugroute niet antwoordt.

Sophos Firewall configureren

Sophos biedt voor AWS twee praktische routes: import via Site-to-site VPN > Amazon VPC of handmatige configuratie als route-based IPsec-verbinding. Voor veel AWS-setups is import het schoonste begin, maar de automatisch gemaakte objecten moeten daarna gecontroleerd worden.

AWS-configuratie importeren

Met het gedownloade AWS-configuratiebestand kan Sophos Firewall de Amazon VPC-verbinding importeren.

Stappen:

  1. Sophos Firewall openen.
  2. Naar Site-to-site VPN > Amazon VPC gaan.
  3. Use VPC configuration file selecteren.
  4. AWS-configuratiebestand uploaden.
  5. Import starten.
  6. Gemaakte verbindingen, IPsec-profielen, XFRM-interfaces en BGP-instellingen controleren.

Als de firewall achter een NAT-apparaat staat, moet het configuratiebestand of de resulterende Sophos-configuratie extra zorgvuldig gecontroleerd worden. Sophos wijst erop dat het bestand waarden per tunnel bevat en dat beide tunnels moeten worden meegenomen.

IPsec-profiel en tunnels controleren

Na import of bij handmatige configuratie mag men niet blind op de status vertrouwen.

Controleren:

  • Beide AWS-tunnels bestaan.
  • IKE-versie past bij de AWS-configuratie.
  • Encryption, authentication, DH group, PFS en lifetimes passen per tunnel.
  • Preshared key is per tunnel correct.
  • Gateway type en remote gateway wijzen naar de betreffende AWS-tunnelendpoints.
  • XFRM-interfaces bestaan en hebben duidelijke namen.

Als AWS tunnel options later veranderen, moet de Sophos-zijde aansluiten. Eenzijdige wijzigingen leiden vaak tot phase 1- of phase 2-fouten.

BGP of statische routes configureren

Bij BGP controleert men onder Routing > BGP of lokale ASN, neighbour, remote ASN en geadverteerde netwerken kloppen. Onder Routing > Information > BGP moeten Neighbors, Summary en Routes de verwachte waarden tonen.

Bij statische routing moeten routes naar AWS-netwerken via de juiste XFRM-interface lopen. AWS moet de lokale prefixes ook kennen, via statische VPN-routes of via de juiste route table.

Voor beide varianten geldt: routing moet in beide richtingen kloppen. Een tunnel kan verbonden zijn terwijl de terugweg via internet, NAT Gateway of een verkeerde route table loopt.

Firewallregels maken

Route-based IPsec maakt niet automatisch firewallregels die voor productie precies genoeg zijn. Maak en log de regels bewust.

Aanbevolen:

  1. Regel van lokaal netwerk naar AWS-doelen maken.
  2. Tegenrichting alleen toestaan als AWS lokale systemen actief moet bereiken.
  3. Source, destination en services strak beperken.
  4. Logging voor acceptatie activeren.
  5. Regelpositie vóór brede drop- of catch-all-regels controleren.

Als de verwachte regel niet matcht, helpt Sophos Firewall-regel matcht niet: zo vindt men de oorzaak.

Verbinding controleren

Acceptatie moet altijd beide platformen en echt applicatieverkeer meenemen. Alleen een groene tunnelstatus is te weinig.

AWS controleren

In AWS controleren:

  • VPC > Site-to-Site VPN Connections > Tunnel Details toont beide tunnels.
  • Tunnelstatus is UP.
  • Bij BGP zijn routes zichtbaar.
  • De VPC- of Transit Gateway-route table bevat verwachte routes.
  • Security groups en NACLs staan de test toe.
  • CloudWatch metrics of VPN logs tonen geen herhaalde IKE- of DPD-problemen.

Sophos Firewall controleren

Op Sophos Firewall controleren:

  • Site-to-site VPN > Amazon VPC of Site-to-site VPN > IPsec toont actieve tunnels.
  • Routing > Information > BGP toont neighbours en geleerde routes als BGP wordt gebruikt.
  • Network > Interfaces toont XFRM-interfaces.
  • Log Viewer toont de verwachte firewallregel.
  • Packet Capture bevestigt ingress- en egressinterface als logs niet genoeg zijn.

Testverkeer goed kiezen

Een test moet een concrete source host, target host en service gebruiken, bijvoorbeeld ICMP, RDP, SSH, HTTPS of DNS. Als ICMP geblokkeerd is, zegt ping weinig. Beter is testen met de service die later echt gebruikt wordt.

Typische fouten

AWS-VPN-fouten lijken vaak IPsec-problemen, terwijl routing of AWS-security-controls de oorzaak zijn. De volgende gevallen komen vaak voor.

Slechts één tunnel is actief

Eén tunnel is genoeg voor een eerste test, maar niet voor goede productie. Beide AWS-tunnels hebben eigen endpoints en parameters. Controleer per tunnel preshared key, IKE/IPsec-parameters, XFRM-interface, BGP-neighbour en AWS-status.

BGP komt niet op

Als de tunnel verbonden is maar BGP niet peert, controleer eerst ASN, neighbour-IP, lokale advertenties en inside tunnel-adressen. Sophos documenteert ook situaties waarin BGP-peering niet automatisch ontstaat, ook al is de AWS VPC-tunnel verbonden.

Tunnel groen, instance niet bereikbaar

De oorzaak ligt vaak buiten IPsec: verkeerde AWS route table, ontbrekende route propagation, security group, NACL, OS-firewall, verkeerd sourcenetwerk of ontbrekende Sophos-firewallregel.

Terugweg loopt verkeerd

AWS moet de terugweg naar het lokale netwerk via VPN kennen. Lokaal moet de terugweg naar de AWS VPC via XFRM of BGP lopen. Asymmetrische routing kan in tunnelstatus normaal lijken, maar echte sessies breken.

MTU of fragmentatie stoort applicaties

AWS Site-to-Site VPN en IPsec-overhead kunnen MTU-problemen zichtbaar maken. Als kleine tests werken maar grotere transfers of bepaalde applicaties hangen, controleer MSS/MTU, fragmentatie en packet captures.

Beheer en review

Na ingebruikname hoort de tunnel in het normale beheerproces. Dat omvat een owner, een gedocumenteerd preshared-key-proces, een change window voor IPsec-parameters, tunnelmonitoring, regelmatige failover-tests en een duidelijke procedure bij AWS- of ISP-wijzigingen.

Bij elke wijziging aan VPC-CIDR, Transit Gateway-routing, route tables, security groups, lokale netwerken of BGP-advertenties moet de VPN-acceptatie worden herhaald. Cloud VPN is geen eenmalige klik, maar onderdeel van de netwerkarchitectuur.

FAQ

Moet AWS Site-to-Site VPN met Sophos Firewall BGP of statische routing gebruiken?

BGP is meestal beter voor dynamische of groeiende omgevingen. Statische routes zijn eenvoudiger, maar elke netwerkverandering moet handmatig in AWS en op Sophos Firewall worden bijgehouden.

Moeten beide AWS-tunnels op Sophos Firewall worden geconfigureerd?

Ja, voor productie moeten beide tunnels worden geconfigureerd en getest. AWS maakt twee tunnels voor redundantie. Slechts één tunnel gebruiken verlaagt de beschikbaarheid.

Waarom is de AWS-tunnel groen, maar de EC2-instance niet bereikbaar?

Meestal ontbreekt niet IPsec, maar routing of vrijgave in AWS. Controleer route tables, route propagation, security groups, NACLs en de OS-firewall van de instance.

Kan Sophos Firewall achter NAT staan?

Dat kan werken als NAT-T en het openbare adres correct zijn verwerkt. Bij geïmporteerde AWS-configuratiebestanden moet men controleren welk tunneladres in het bestand staat en welk adres AWS echt ziet.

Is de AWS-configuratiedownload voldoende?

Nee. Het configuratiebestand is een goed startpunt, maar tunnel options, BGP, XFRM-interfaces, route tables, security groups, firewallregels en tests moeten nog steeds gecontroleerd worden.