Sophos Firewall met Azure VPN Gateway verbinden
Een Azure VPN Gateway verbindt een lokaal netwerk via Site-to-Site IPsec met een Azure Virtual Network. Op Sophos Firewall wordt dit meestal als route-based IPsec VPN gebouwd. Grotere of dynamische omgevingen gebruiken vaak aanvullend BGP.
Dit artikel legt de praktische flow tussen Sophos Firewall en Microsoft Azure uit: welke Azure-objecten nodig zijn, hoe de Sophos-kant wordt opgebouwd, welke IPsec/IKE-parameters bewust moeten matchen en hoe na het opslaan wordt gecontroleerd of verkeer echt loopt. Voor algemene IPsec-basis past eerst Sophos Firewall Site-to-Site IPsec VPN configureren. Als een bestaande tunnel groen is maar geen verkeer transporteert, past Sophos Firewall IPsec VPN Troubleshooting.
Wanneer dit artikel past
Dit artikel past wanneer een lokaal netwerk achter Sophos Firewall met een Azure Virtual Network moet worden verbonden. Het gaat om een Site-to-Site-tunnel tussen Azure VPN Gateway en lokale firewall, niet om Point-to-Site VPN voor individuele gebruikers en niet om Sophos Firewall als virtuele appliance in Azure.
Typische scenario’s:
- lokaal servernetwerk naar Azure VMs
- filiaal of hoofdlocatie naar Azure Virtual Network
- hybride scenario met AD, DNS, backup, monitoring of management in Azure
- migratie van policy-based designs naar route-based IPsec
- optioneel BGP voor dynamische routing tussen lokaal netwerk en Azure
Azure en Sophos gebruiken niet altijd dezelfde termen. In Azure werkt men met Virtual network, Gateway subnet, Virtual network gateway, Local network gateway en Connection. Op Sophos Firewall met IPsec-verbinding, XFRM-interface, routes, firewallregels en eventueel BGP.
Voor de configuratie plannen
Een Azure-tunnel is geen pure klik-wizard. De meeste fouten ontstaan door overlappende netwerken, verkeerde gateway-SKU’s, niet passende IPsec/IKE-parameters, ontbrekende routes of firewallregels zonder logging.
Netwerken en adresruimten
Lokale netwerken en Azure address spaces mogen niet overlappen. Azure routeert de lokale prefixen uit Local network gateway naar Sophos Firewall. Sophos Firewall routeert Azure-prefixen via de XFRM-interface of via BGP.
Vooraf documenteren:
- Azure Virtual Network Address Space, bijvoorbeeld
10.50.0.0/16 - Azure-subnets, vooral workload subnets
- lokaal netwerk achter Sophos Firewall, bijvoorbeeld
172.16.10.0/24 - publiek IP van Sophos Firewall of upstream router
- Azure public IP van de Virtual Network Gateway
- BGP ja of nee
- gedeelde Preshared Key
- geplande testsystemen aan beide kanten
Als lokale en Azure-netwerken overlappen, moet het design eerst worden gecorrigeerd. NAT over IPsec is mogelijk, maar maakt beheer en troubleshooting veel moeilijker.
Route-based in plaats van policy-based
Voor Azure is route-based IPsec in de meeste actuele designs de juiste keuze. Azure VPN Gateway werkt typisch route-based, vooral bij meerdere prefixen, BGP, active-active of latere uitbreidingen.
Op Sophos Firewall betekent dit:
- IPsec-verbinding als route-based tunnel interface plannen.
- XFRM-interface na opslaan controleren.
- Routes of BGP voor Azure-prefixen zetten.
- Firewallregels tussen lokale zones en VPN-zone maken.
- Verkeer met Log Viewer en Azure connection status controleren.
Een groene tunnelstatus is slechts een deel van de acceptatie. Pas wanneer een gedefinieerde client een gedefinieerd Azure-doel bereikt en beide kanten logs of tellers tonen, is de tunnel echt getest.
IPsec/IKE-parameters niet gokken
Azure VPN Gateway ondersteunt gedefinieerde IPsec/IKE-parameters en, met geschikte gateway-SKU’s, custom IPsec/IKE policies. Microsoft geeft aan dat een custom policy volledig moet worden gespecificeerd; gedeeltelijke waarden zijn niet genoeg.
Voor beheer betekent dit:
- IKE-versie bewust kiezen, meestal IKEv2.
- Encryption, integrity, DH group, PFS en lifetimes documenteren.
- Azure Custom Policy en Sophos IPsec Profile spiegelen.
- Geen Sophos-naar-Sophos-defaults ongecontroleerd op Azure toepassen.
- Na elke policywijziging onderhoudsvenster en rollbackpunt plannen.
Zonder Custom Policy moet het Sophos-profiel bij de Azure-defaults passen. Met Custom Policy moeten alle waarden op beide kanten correct worden onderhouden.
Azure-kant voorbereiden
De Azure-configuratie bestaat uit meerdere objecten. Namen moeten duidelijk zijn, omdat troubleshooting anders snel rommelig wordt.
Virtual Network en Gateway subnet
Het Azure Virtual Network heeft een dedicated GatewaySubnet nodig. Dit subnet wordt door Azure VPN Gateway gebruikt en mag niet voor gewone VMs worden gebruikt.
Controleren:
- Azure Virtual Network bestaat.
- Address Space overlapt niet met lokale netwerken.
- GatewaySubnet bestaat en is groot genoeg gepland.
- Workload subnets en Network Security Groups laten gewenst verkeer toe.
Virtual Network Gateway maken
De Virtual network gateway is de eigenlijke Azure VPN Gateway. Belangrijk:
- Gateway type: VPN
- VPN type: Route-based
- SKU passend bij bandbreedte, SLA, Availability Zone en BGP-behoefte
- Public IP voor de gateway
- Active-active alleen als de lokale kant daarvoor ontworpen is
- BGP alleen als ASN, peer IP en routingconcept vaststaan
De gateway-aanmaak in Azure duurt vaak veel langer dan een normale firewall-dialoog.
Local Network Gateway maken
De Local network gateway beschrijft de lokale kant vanuit Azure.
Invullen:
- Naam, bijvoorbeeld
lng-sophos-hq. - Endpoint als publiek IP-adres of FQDN van de Sophos-kant.
- Local Address spaces als zonder BGP wordt gewerkt.
- BGP settings als dynamische routing wordt gebruikt.
Als Sophos Firewall achter NAT staat, moet exact worden gecontroleerd welk publiek IP Azure ziet en hoe NAT-T, port forwarding en IDs lokaal worden uitgevoerd. Het eenvoudige standaardpad is Sophos Firewall met eigen publiek IP.
Connection maken
De Connection verbindt Virtual Network Gateway en Local Network Gateway.
Belangrijke waarden:
- Connection type: Site-to-site (IPsec)
- Shared key: identiek aan Sophos Preshared Key
- IKE Protocol: passend bij Sophos-configuratie
- BGP: alleen activeren als beide kanten BGP gebruiken
- Custom IPsec/IKE policy: alleen zetten als de waarden bewust gepland zijn
Na het maken van de Connection is Azure klaar, maar nog niet automatisch productief. De Sophos-kant moet dezelfde tunnel, dezelfde parameters en het retourpad kennen.
Sophos Firewall configureren
Op Sophos Firewall wordt de tunnel onder Site-to-site VPN > IPsec gemaakt.
IPsec-profiel voorbereiden
Onder Profiles > IPsec profiles een profiel gebruiken of maken dat bij Azure past. De waarden moeten passen bij Azure default policy of custom IPsec/IKE policy van de Connection.
Documenteren:
- IKE version
- Phase 1 encryption en authentication
- DH group
- Phase 2 encryption en authentication
- PFS
- Key lifetime
Als Azure een Custom Policy gebruikt, moet de profielnaam dit tonen, bijvoorbeeld Azure_IKEv2_AES256_G14.
Route-based IPsec-verbinding maken
Menupad:
Site-to-site VPN > IPsec
Procedure:
- Add openen.
- Route-based of tunnel interface als verbindingstype kiezen.
- Naam zetten, bijvoorbeeld
azure-vnet-prod. - Gateway type op Sophos meestal op Initiate the connection zetten.
- Azure Public IP van de Virtual Network Gateway als Remote Gateway invullen.
- Preshared Key identiek aan Azure Connection zetten.
- Local ID en Remote ID controleren, vooral bij NAT of meerdere tunnels.
- IPsec-profiel kiezen.
- Verbinding opslaan en activeren.
Na opslaan de XFRM-interface onder Network > Interfaces controleren. Ze blijft toegewezen aan de VPN-zone. Afhankelijk van het design wordt ze gebruikt met statische route, SD-WAN route of BGP.
Route of BGP configureren
Zonder BGP heeft Sophos Firewall een route naar Azure-prefixen nodig. Meestal is dat een statische route of SD-WAN route via de XFRM-interface.
Met BGP moeten beide kanten netjes gepland zijn:
- lokaal ASN van Sophos Firewall
- Azure ASN
- BGP peer IPs
- toegestane en geadverteerde prefixen
- route advertisement in Azure
- firewallregels voor werkelijk verkeer
BGP vervangt geen firewallregels. Het verdeelt alleen routes. Of een server in Azure bereikbaar is, hangt daarna nog steeds af van routing, NSG, firewallregels en doelsysteem.
Firewallregels maken
Verkeer door de tunnel heeft passende regels nodig, meestal tussen interne zone en VPN-zone.
Aanbevolen bij introductie:
- bron en doel als concrete netwerken of hosts zetten;
- diensten voor de eerste test bewust kiezen, bijvoorbeeld ICMP, RDP, HTTPS of DNS;
- Log firewall traffic activeren;
- regels na eerste test niet op
Anylaten staan; - tegenrichting apart controleren als Azure ook lokale systemen moet bereiken.
Als de regel niet matcht, helpt Sophos Firewall: controleren waarom een regel niet matcht.
Verbinding controleren
Acceptatie moet altijd twee niveaus controleren: tunnelstatus en echt verkeer.
Azure controleren
In Azure:
- Naar de Connection van de VPN Gateway gaan.
- Verbindingsstatus controleren.
- Datatellers bekijken.
- Effective routes van de betrokken Azure VM controleren.
- Network Security Group van de doel-subnets controleren.
Azure-status alleen is niet genoeg. Een VM kan ondanks actieve Connection onbereikbaar zijn door NSG, lokale Windows Firewall, verkeerde route of ontbrekend retourpad.
Sophos Firewall controleren
Op Sophos Firewall:
- Status onder Site-to-site VPN > IPsec controleren.
- XFRM-interface onder Network > Interfaces controleren.
- Route naar Azure-prefixen controleren.
- Log Viewer op testverkeer filteren.
- Indien nodig Packet Capture of
strongswan.loggebruiken.
Voor IPsec-logs en CLI-analyse past Sophos Firewall IPsec VPN Troubleshooting.
Realistisch testverkeer gebruiken
ICMP is een goede start, maar geen volledige test. Daarna de productieve dienst testen:
- DNS naar een Azure-DNS- of domain controller
- RDP of SSH naar een test-VM
- HTTPS naar een interne applicatie
- backup-, monitoring- of managementverkeer
De bron is belangrijk. Een ping direct vanaf de firewall bewijst niet hetzelfde als een test vanaf een client achter de firewall.
Typische fouten
Tunnel blijft down
Meestal passen gateway-IP, IKE-versie, Preshared Key, IDs of IPsec/IKE-parameters niet. Op Sophos Firewall eerst strongswan.log controleren en Azure Connection Settings met Sophos IPsec Profile vergelijken.
Tunnel is verbonden, maar er loopt geen verkeer
Vaak ontbreken routes, firewallregels, Azure NSG-regels of retourpad. Aan Sophos-kant Log Viewer en route controleren. Aan Azure-kant Effective Routes en NSG.
Slechts één richting werkt
Dit wijst vaak op asymmetrische routing, NSG, host firewall of ontbrekende tegenregel. Beide richtingen apart testen en de bron van testverkeer documenteren.
BGP leert geen routes
ASN, peer IP, BGP-activering, XFRM-adres en Azure-BGP-configuratie controleren. Daarna controleren welke prefixen echt geadverteerd en geleerd worden. Een actieve IPsec-tunnel betekent niet automatisch dat BGP correct routeert.
Na policywijziging komt de tunnel niet op
Custom IPsec/IKE Policies moeten volledig en compatibel zijn. Als Azure en Sophos één waarde anders interpreteren, kan de verbinding falen. Voor wijzigingen altijd huidig profiel, Azure Policy en werkende toestand documenteren.