Naar de inhoud
Avanet

Sophos Firewall met Azure VPN Gateway verbinden

Een Azure VPN Gateway verbindt een lokaal netwerk via Site-to-Site IPsec met een Azure Virtual Network. Op Sophos Firewall wordt dit meestal als route-based IPsec VPN gebouwd. Grotere of dynamische omgevingen gebruiken vaak aanvullend BGP.

Dit artikel legt de praktische flow tussen Sophos Firewall en Microsoft Azure uit: welke Azure-objecten nodig zijn, hoe de Sophos-kant wordt opgebouwd, welke IPsec/IKE-parameters bewust moeten matchen en hoe na het opslaan wordt gecontroleerd of verkeer echt loopt. Voor algemene IPsec-basis past eerst Sophos Firewall Site-to-Site IPsec VPN configureren. Als een bestaande tunnel groen is maar geen verkeer transporteert, past Sophos Firewall IPsec VPN Troubleshooting.

Wanneer dit artikel past

Dit artikel past wanneer een lokaal netwerk achter Sophos Firewall met een Azure Virtual Network moet worden verbonden. Het gaat om een Site-to-Site-tunnel tussen Azure VPN Gateway en lokale firewall, niet om Point-to-Site VPN voor individuele gebruikers en niet om Sophos Firewall als virtuele appliance in Azure.

Typische scenario’s:

  • lokaal servernetwerk naar Azure VMs
  • filiaal of hoofdlocatie naar Azure Virtual Network
  • hybride scenario met AD, DNS, backup, monitoring of management in Azure
  • migratie van policy-based designs naar route-based IPsec
  • optioneel BGP voor dynamische routing tussen lokaal netwerk en Azure

Azure en Sophos gebruiken niet altijd dezelfde termen. In Azure werkt men met Virtual network, Gateway subnet, Virtual network gateway, Local network gateway en Connection. Op Sophos Firewall met IPsec-verbinding, XFRM-interface, routes, firewallregels en eventueel BGP.

Voor de configuratie plannen

Een Azure-tunnel is geen pure klik-wizard. De meeste fouten ontstaan door overlappende netwerken, verkeerde gateway-SKU’s, niet passende IPsec/IKE-parameters, ontbrekende routes of firewallregels zonder logging.

Netwerken en adresruimten

Lokale netwerken en Azure address spaces mogen niet overlappen. Azure routeert de lokale prefixen uit Local network gateway naar Sophos Firewall. Sophos Firewall routeert Azure-prefixen via de XFRM-interface of via BGP.

Vooraf documenteren:

  • Azure Virtual Network Address Space, bijvoorbeeld 10.50.0.0/16
  • Azure-subnets, vooral workload subnets
  • lokaal netwerk achter Sophos Firewall, bijvoorbeeld 172.16.10.0/24
  • publiek IP van Sophos Firewall of upstream router
  • Azure public IP van de Virtual Network Gateway
  • BGP ja of nee
  • gedeelde Preshared Key
  • geplande testsystemen aan beide kanten

Als lokale en Azure-netwerken overlappen, moet het design eerst worden gecorrigeerd. NAT over IPsec is mogelijk, maar maakt beheer en troubleshooting veel moeilijker.

Route-based in plaats van policy-based

Voor Azure is route-based IPsec in de meeste actuele designs de juiste keuze. Azure VPN Gateway werkt typisch route-based, vooral bij meerdere prefixen, BGP, active-active of latere uitbreidingen.

Op Sophos Firewall betekent dit:

  • IPsec-verbinding als route-based tunnel interface plannen.
  • XFRM-interface na opslaan controleren.
  • Routes of BGP voor Azure-prefixen zetten.
  • Firewallregels tussen lokale zones en VPN-zone maken.
  • Verkeer met Log Viewer en Azure connection status controleren.

Een groene tunnelstatus is slechts een deel van de acceptatie. Pas wanneer een gedefinieerde client een gedefinieerd Azure-doel bereikt en beide kanten logs of tellers tonen, is de tunnel echt getest.

IPsec/IKE-parameters niet gokken

Azure VPN Gateway ondersteunt gedefinieerde IPsec/IKE-parameters en, met geschikte gateway-SKU’s, custom IPsec/IKE policies. Microsoft geeft aan dat een custom policy volledig moet worden gespecificeerd; gedeeltelijke waarden zijn niet genoeg.

Voor beheer betekent dit:

  • IKE-versie bewust kiezen, meestal IKEv2.
  • Encryption, integrity, DH group, PFS en lifetimes documenteren.
  • Azure Custom Policy en Sophos IPsec Profile spiegelen.
  • Geen Sophos-naar-Sophos-defaults ongecontroleerd op Azure toepassen.
  • Na elke policywijziging onderhoudsvenster en rollbackpunt plannen.

Zonder Custom Policy moet het Sophos-profiel bij de Azure-defaults passen. Met Custom Policy moeten alle waarden op beide kanten correct worden onderhouden.

Azure-kant voorbereiden

De Azure-configuratie bestaat uit meerdere objecten. Namen moeten duidelijk zijn, omdat troubleshooting anders snel rommelig wordt.

Virtual Network en Gateway subnet

Het Azure Virtual Network heeft een dedicated GatewaySubnet nodig. Dit subnet wordt door Azure VPN Gateway gebruikt en mag niet voor gewone VMs worden gebruikt.

Controleren:

  1. Azure Virtual Network bestaat.
  2. Address Space overlapt niet met lokale netwerken.
  3. GatewaySubnet bestaat en is groot genoeg gepland.
  4. Workload subnets en Network Security Groups laten gewenst verkeer toe.

Virtual Network Gateway maken

De Virtual network gateway is de eigenlijke Azure VPN Gateway. Belangrijk:

  • Gateway type: VPN
  • VPN type: Route-based
  • SKU passend bij bandbreedte, SLA, Availability Zone en BGP-behoefte
  • Public IP voor de gateway
  • Active-active alleen als de lokale kant daarvoor ontworpen is
  • BGP alleen als ASN, peer IP en routingconcept vaststaan

De gateway-aanmaak in Azure duurt vaak veel langer dan een normale firewall-dialoog.

Local Network Gateway maken

De Local network gateway beschrijft de lokale kant vanuit Azure.

Invullen:

  1. Naam, bijvoorbeeld lng-sophos-hq.
  2. Endpoint als publiek IP-adres of FQDN van de Sophos-kant.
  3. Local Address spaces als zonder BGP wordt gewerkt.
  4. BGP settings als dynamische routing wordt gebruikt.

Als Sophos Firewall achter NAT staat, moet exact worden gecontroleerd welk publiek IP Azure ziet en hoe NAT-T, port forwarding en IDs lokaal worden uitgevoerd. Het eenvoudige standaardpad is Sophos Firewall met eigen publiek IP.

Connection maken

De Connection verbindt Virtual Network Gateway en Local Network Gateway.

Belangrijke waarden:

  • Connection type: Site-to-site (IPsec)
  • Shared key: identiek aan Sophos Preshared Key
  • IKE Protocol: passend bij Sophos-configuratie
  • BGP: alleen activeren als beide kanten BGP gebruiken
  • Custom IPsec/IKE policy: alleen zetten als de waarden bewust gepland zijn

Na het maken van de Connection is Azure klaar, maar nog niet automatisch productief. De Sophos-kant moet dezelfde tunnel, dezelfde parameters en het retourpad kennen.

Sophos Firewall configureren

Op Sophos Firewall wordt de tunnel onder Site-to-site VPN > IPsec gemaakt.

IPsec-profiel voorbereiden

Onder Profiles > IPsec profiles een profiel gebruiken of maken dat bij Azure past. De waarden moeten passen bij Azure default policy of custom IPsec/IKE policy van de Connection.

Documenteren:

  • IKE version
  • Phase 1 encryption en authentication
  • DH group
  • Phase 2 encryption en authentication
  • PFS
  • Key lifetime

Als Azure een Custom Policy gebruikt, moet de profielnaam dit tonen, bijvoorbeeld Azure_IKEv2_AES256_G14.

Route-based IPsec-verbinding maken

Menupad:

Site-to-site VPN > IPsec

Procedure:

  1. Add openen.
  2. Route-based of tunnel interface als verbindingstype kiezen.
  3. Naam zetten, bijvoorbeeld azure-vnet-prod.
  4. Gateway type op Sophos meestal op Initiate the connection zetten.
  5. Azure Public IP van de Virtual Network Gateway als Remote Gateway invullen.
  6. Preshared Key identiek aan Azure Connection zetten.
  7. Local ID en Remote ID controleren, vooral bij NAT of meerdere tunnels.
  8. IPsec-profiel kiezen.
  9. Verbinding opslaan en activeren.

Na opslaan de XFRM-interface onder Network > Interfaces controleren. Ze blijft toegewezen aan de VPN-zone. Afhankelijk van het design wordt ze gebruikt met statische route, SD-WAN route of BGP.

Route of BGP configureren

Zonder BGP heeft Sophos Firewall een route naar Azure-prefixen nodig. Meestal is dat een statische route of SD-WAN route via de XFRM-interface.

Met BGP moeten beide kanten netjes gepland zijn:

  • lokaal ASN van Sophos Firewall
  • Azure ASN
  • BGP peer IPs
  • toegestane en geadverteerde prefixen
  • route advertisement in Azure
  • firewallregels voor werkelijk verkeer

BGP vervangt geen firewallregels. Het verdeelt alleen routes. Of een server in Azure bereikbaar is, hangt daarna nog steeds af van routing, NSG, firewallregels en doelsysteem.

Firewallregels maken

Verkeer door de tunnel heeft passende regels nodig, meestal tussen interne zone en VPN-zone.

Aanbevolen bij introductie:

  • bron en doel als concrete netwerken of hosts zetten;
  • diensten voor de eerste test bewust kiezen, bijvoorbeeld ICMP, RDP, HTTPS of DNS;
  • Log firewall traffic activeren;
  • regels na eerste test niet op Any laten staan;
  • tegenrichting apart controleren als Azure ook lokale systemen moet bereiken.

Als de regel niet matcht, helpt Sophos Firewall: controleren waarom een regel niet matcht.

Verbinding controleren

Acceptatie moet altijd twee niveaus controleren: tunnelstatus en echt verkeer.

Azure controleren

In Azure:

  1. Naar de Connection van de VPN Gateway gaan.
  2. Verbindingsstatus controleren.
  3. Datatellers bekijken.
  4. Effective routes van de betrokken Azure VM controleren.
  5. Network Security Group van de doel-subnets controleren.

Azure-status alleen is niet genoeg. Een VM kan ondanks actieve Connection onbereikbaar zijn door NSG, lokale Windows Firewall, verkeerde route of ontbrekend retourpad.

Sophos Firewall controleren

Op Sophos Firewall:

  1. Status onder Site-to-site VPN > IPsec controleren.
  2. XFRM-interface onder Network > Interfaces controleren.
  3. Route naar Azure-prefixen controleren.
  4. Log Viewer op testverkeer filteren.
  5. Indien nodig Packet Capture of strongswan.log gebruiken.

Voor IPsec-logs en CLI-analyse past Sophos Firewall IPsec VPN Troubleshooting.

Realistisch testverkeer gebruiken

ICMP is een goede start, maar geen volledige test. Daarna de productieve dienst testen:

  • DNS naar een Azure-DNS- of domain controller
  • RDP of SSH naar een test-VM
  • HTTPS naar een interne applicatie
  • backup-, monitoring- of managementverkeer

De bron is belangrijk. Een ping direct vanaf de firewall bewijst niet hetzelfde als een test vanaf een client achter de firewall.

Typische fouten

Tunnel blijft down

Meestal passen gateway-IP, IKE-versie, Preshared Key, IDs of IPsec/IKE-parameters niet. Op Sophos Firewall eerst strongswan.log controleren en Azure Connection Settings met Sophos IPsec Profile vergelijken.

Tunnel is verbonden, maar er loopt geen verkeer

Vaak ontbreken routes, firewallregels, Azure NSG-regels of retourpad. Aan Sophos-kant Log Viewer en route controleren. Aan Azure-kant Effective Routes en NSG.

Slechts één richting werkt

Dit wijst vaak op asymmetrische routing, NSG, host firewall of ontbrekende tegenregel. Beide richtingen apart testen en de bron van testverkeer documenteren.

BGP leert geen routes

ASN, peer IP, BGP-activering, XFRM-adres en Azure-BGP-configuratie controleren. Daarna controleren welke prefixen echt geadverteerd en geleerd worden. Een actieve IPsec-tunnel betekent niet automatisch dat BGP correct routeert.

Na policywijziging komt de tunnel niet op

Custom IPsec/IKE Policies moeten volledig en compatibel zijn. Als Azure en Sophos één waarde anders interpreteren, kan de verbinding falen. Voor wijzigingen altijd huidig profiel, Azure Policy en werkende toestand documenteren.

FAQ

Moet Sophos Firewall naar Azure policy-based of route-based verbinden?

Voor Azure is route-based IPsec meestal de betere keuze, vooral bij meerdere netwerken, BGP of latere uitbreidingen. Policy-based designs zijn voor Azure meestal minder flexibel.

Heeft Azure VPN Gateway BGP nodig?

Nee. Voor eenvoudige verbindingen zijn statische routes of Address Spaces in Local Network Gateway genoeg. BGP loont als prefixen dynamisch geleerd moeten worden of meerdere paden gepland zijn.

Waarom is de Azure-tunnel groen, maar de VM onbereikbaar?

IPsec is waarschijnlijk opgebouwd, maar routing, firewallregel, Azure NSG, lokale Windows Firewall of retourpad klopt niet. Daarom moeten tunnelstatus en echt applicatieverkeer apart worden getest.

Kan Sophos Firewall achter NAT staan?

Het kan werken, maar is niet het eenvoudige standaardgeval. Publiek IP, NAT-T, port forwarding, Local ID, Remote ID en Azure Local Network Gateway moeten dan zeer zorgvuldig gepland en getest worden.

Moeten Azure-IPsec-parameters expliciet worden gezet?

Niet altijd. Zonder Custom IPsec/IKE Policy moet het Sophos-profiel bij de Azure-defaults passen. Met Custom Policy moeten alle parameters volledig en compatibel op beide kanten worden gezet.