Saltar para o conteudo
Avanet

Ligar Sophos Firewall à AWS Site-to-Site VPN

Uma AWS Site-to-Site VPN liga uma rede local atrás da Sophos Firewall a uma AWS VPC ou a um Transit Gateway. Tecnicamente é uma VPN IPsec, mas na operação difere de um túnel Sophos-para-Sophos normal: a AWS cria dois túneis por ligação VPN, usa objetos Customer Gateway e gateway de destino, e o routing depende muito da escolha entre rotas estáticas e BGP.

Este artigo explica a configuração prática com Sophos Firewall e AWS. Complementa o guia geral Configurar uma VPN IPsec site-to-site na Sophos Firewall com os pontos específicos da AWS: dois túneis, vizinhos BGP, route tables, security groups, NACLs e verificações de estado na AWS e na Sophos. Se o túnel já estiver ativo mas o tráfego não passar, consultar Troubleshooting de VPN IPsec na Sophos Firewall.

Quando este artigo se aplica

Este artigo aplica-se quando uma filial, datacenter ou rede local deve ser ligada à AWS através da Sophos Firewall. Abrange AWS Site-to-Site VPN para uma VPC, Virtual Private Gateway ou Transit Gateway. Não aborda a Sophos Firewall como appliance virtual dentro da AWS.

Cenários típicos:

  • rede local de servidores para instâncias EC2 numa VPC
  • tráfego de backup, monitorização ou gestão para a AWS
  • DNS híbrido, AD, jump hosts ou redes administrativas
  • migração de VPN estática para routing dinâmico com BGP
  • operação redundante com dois túneis AWS

A AWS e a Sophos usam termos diferentes. Na AWS usa-se Customer Gateway, Virtual Private Gateway ou Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups e Network ACLs. Na Sophos Firewall entram ligações Amazon VPC, perfis IPsec, interfaces XFRM, BGP, rotas e regras firewall.

Planear antes da configuração

A AWS Site-to-Site VPN não deve ser tratada como simples importação de um ficheiro de exemplo descarregado. O ficheiro AWS é útil, mas a validação em produção depende de routing, security groups, NACLs, regras firewall e testes com tráfego real.

Definir redes e gateway de destino

Primeiro é necessário decidir que lado AWS será usado:

  • Virtual Private Gateway para uma única VPC clássica.
  • Transit Gateway para várias VPC, vários locais ou um desenho de routing maior.
  • Cloud WAN ou outras variantes apenas quando a arquitetura AWS o exige explicitamente.

Documentar antes:

  • CIDR da AWS VPC, por exemplo 10.60.0.0/16
  • subnets AWS e route tables relevantes
  • redes locais atrás da Sophos Firewall, por exemplo 172.16.20.0/24
  • IP público da Sophos Firewall ou do router upstream
  • modo de routing: static ou dynamic BGP
  • ASN local e AWS se BGP for usado
  • destinos de teste esperados nos dois lados
  • opções de túnel planeadas, versão IKE, preshared keys e lifetimes

Redes sobrepostas devem ser corrigidas antes do desenho VPN. NAT sobre IPsec pode funcionar, mas dificulta route tables, security groups, logs e troubleshooting posterior.

Levar os dois túneis a sério

A AWS cria dois túneis por Site-to-Site VPN connection, cada um com um endpoint AWS diferente. Ambos devem ser configurados e verificados na Sophos Firewall. Criar apenas um túnel pode ser cómodo num laboratório, mas em produção desperdiça a redundância AWS.

A expectativa deve ser correta: o caminho de retorno da AWS prefere um túnel conforme o routing e o lado AWS, e pode mudar em caso de falha. Isto não significa que ambos os túneis sejam sempre usados de forma equilibrada. O essencial é que ambos fiquem ativos, que BGP ou rotas estáticas estejam corretos e que o failover seja testado.

Routing estático ou BGP

A AWS Site-to-Site VPN suporta rotas estáticas e routing dinâmico com BGP. BGP é normalmente melhor quando há vários prefixos, crescimento futuro ou Transit Gateway. Rotas estáticas são mais simples, mas cada alteração de rede deve ser mantida manualmente.

Na prática:

  • BGP exige valores ASN corretos nos dois lados.
  • A Sophos Firewall deve anunciar os prefixos locais pretendidos.
  • As route tables AWS devem usar realmente rotas propagadas ou estáticas.
  • Security groups e NACLs também devem permitir o tráfego.
  • Rotas estáticas e BGP idênticas podem criar prioridades inesperadas.

Preparar a AWS

Os passos seguintes descrevem o fluxo habitual. Os detalhes diferem entre Virtual Private Gateway e Transit Gateway, mas o princípio é o mesmo.

Criar o Customer Gateway

O Customer Gateway descreve o lado Sophos local na AWS.

Preencher:

  1. Definir um Name tag, por exemplo cgw-sophos-hq.
  2. Escolher routing: estático ou dinâmico.
  3. Inserir o endereço IP público do lado Sophos.
  4. Com BGP, inserir o ASN local da Sophos.
  5. Criar o recurso e manter tagging consistente.

Se a Sophos Firewall estiver atrás de um router ou equipamento do operador, deve estar claro que IP público a AWS vê e se NAT-T funciona corretamente. O IP configurado na AWS deve corresponder à negociação real do túnel.

Criar ou selecionar o gateway de destino

Para uma VPC única, normalmente cria-se um Virtual Private Gateway e associa-se à VPC. Ambientes AWS maiores usam frequentemente um Transit Gateway.

Verificar:

  • O gateway está associado à VPC ou Transit Gateway correto.
  • O ASN do lado AWS não colide com o ASN Sophos.
  • As route tables da VPC ou Transit Gateway estão planeadas.
  • As subnets usadas para testes usam a route table correta.

Criar a Site-to-Site VPN connection

Depois cria-se a Site-to-Site VPN connection na AWS.

Pontos importantes:

  • Selecionar o target gateway type correto.
  • Selecionar o Customer Gateway.
  • Definir Routing Options como static ou dynamic.
  • Em routing estático, inserir os prefixos locais.
  • Rever Tunnel Options de forma consciente, sobretudo IKE version, encryption, integrity, DH/PFS e DPD.
  • Documentar preshared keys por túnel ou deixar a AWS gerá-las deliberadamente.

Depois da criação, descarregar o ficheiro de configuração. Como Vendor pode escolher Sophos, Platform Sophos Firewall e uma versão de software adequada. O ficheiro é um bom ponto de partida, mas não substitui a revisão técnica das opções de túnel.

Verificar route tables, security groups e NACLs

Um túnel VPN verde na AWS ainda não significa que uma instância EC2 esteja acessível.

Para validação, verificar:

  • A VPC route table tem uma rota para a rede local via Virtual Private Gateway ou Transit Gateway.
  • Com Virtual Private Gateway, route propagation está ativa ou a rota está definida estaticamente.
  • As route tables do Transit Gateway contêm attachments e propagations corretos.
  • O security group da instância de destino permite o tráfego necessário a partir da rede local.
  • As Network ACLs permitem ida e volta.
  • A firewall do sistema operativo da instância não bloqueia o teste.

Esta parte é frequentemente esquecida, porque Sophos e AWS podem mostrar o túnel ligado embora a instância não responda por causa de security group ou rota de retorno.

Configurar Sophos Firewall

A Sophos oferece dois caminhos práticos para AWS: importação via Site-to-site VPN > Amazon VPC ou configuração manual como ligação IPsec route-based. Em muitos cenários AWS, a importação é o início mais limpo, mas os objetos criados automaticamente devem ser revistos.

Importar a configuração AWS

Com o ficheiro AWS descarregado, a Sophos Firewall pode importar a ligação Amazon VPC.

Passos:

  1. Abrir Sophos Firewall.
  2. Ir para Site-to-site VPN > Amazon VPC.
  3. Selecionar Use VPC configuration file.
  4. Carregar o ficheiro de configuração AWS.
  5. Iniciar a importação.
  6. Verificar ligações, perfis IPsec, interfaces XFRM e definições BGP criadas.

Se a firewall estiver atrás de um equipamento NAT, o ficheiro de configuração ou a configuração Sophos resultante deve ser verificado com especial cuidado. A Sophos indica que o ficheiro contém valores por túnel e que ambos os túneis devem ser considerados.

Verificar perfil IPsec e túneis

Após a importação, ou numa configuração manual, não se deve confiar apenas no estado.

Verificar:

  • Existem os dois túneis AWS.
  • A versão IKE corresponde à configuração AWS.
  • Encryption, authentication, DH group, PFS e lifetimes correspondem por túnel.
  • A preshared key está correta por túnel.
  • Gateway type e remote gateway apontam para os endpoints AWS corretos.
  • As interfaces XFRM existem e têm nomes claros.

Se as opções de túnel AWS forem alteradas mais tarde, o lado Sophos deve corresponder. Alterações unilaterais causam frequentemente erros de phase 1 ou phase 2.

Configurar BGP ou rotas estáticas

Com BGP, verificar em Routing > BGP se ASN local, neighbor, ASN remoto e redes anunciadas estão corretos. Em Routing > Information > BGP, Neighbors, Summary e Routes devem mostrar os valores esperados.

Com routing estático, as rotas para redes AWS devem apontar para a interface XFRM correta. A AWS também deve conhecer os prefixos locais, por rotas VPN estáticas ou pela route table adequada.

Nas duas variantes, o routing deve estar correto nos dois sentidos. Um túnel pode estar ligado enquanto o retorno passa pela internet, por um NAT Gateway ou por uma route table errada.

Criar regras firewall

Route-based IPsec não cria automaticamente regras firewall de produção suficientemente precisas. As regras devem ser criadas e registadas de forma consciente.

Recomendado:

  1. Criar uma regra da rede local para os destinos AWS.
  2. Permitir o sentido inverso apenas se a AWS tiver de alcançar sistemas locais.
  3. Limitar source, destination e services de forma rigorosa.
  4. Ativar logging para a validação.
  5. Verificar a posição da regra antes de regras drop ou catch-all gerais.

Se a regra esperada não corresponder, consultar Regra Sophos Firewall não corresponde: como encontrar a causa.

Validar a ligação

A validação deve incluir sempre ambas as plataformas e tráfego real da aplicação. Um estado de túnel verde não chega.

Verificar AWS

Na AWS, verificar:

  • VPC > Site-to-Site VPN Connections > Tunnel Details mostra ambos os túneis.
  • O estado do túnel é UP.
  • Com BGP, as rotas são visíveis.
  • A route table da VPC ou Transit Gateway contém as rotas esperadas.
  • Security groups e NACLs permitem o teste.
  • Métricas CloudWatch ou VPN logs não mostram problemas IKE ou DPD repetidos.

Verificar Sophos Firewall

Na Sophos Firewall, verificar:

  • Site-to-site VPN > Amazon VPC ou Site-to-site VPN > IPsec mostra túneis ativos.
  • Routing > Information > BGP mostra vizinhos e rotas aprendidas quando BGP é usado.
  • Network > Interfaces mostra interfaces XFRM.
  • Log Viewer mostra a regra firewall esperada.
  • Packet Capture confirma interface de entrada e saída quando os logs não chegam.

Escolher bem o tráfego de teste

Um teste deve usar host de origem, host de destino e serviço concretos, por exemplo ICMP, RDP, SSH, HTTPS ou DNS. Se ICMP estiver bloqueado, ping não é significativo. É melhor testar o serviço que será realmente usado.

Erros típicos

Erros de AWS VPN parecem muitas vezes problemas IPsec, mesmo quando a causa é routing ou controlos de segurança AWS. Os seguintes casos são especialmente comuns.

Só um túnel está ativo

Um túnel basta para um primeiro teste, mas não para operação correta. Os dois túneis AWS têm endpoints e parâmetros próprios. Verificar por túnel preshared key, parâmetros IKE/IPsec, interface XFRM, neighbor BGP e estado AWS.

BGP não estabelece

Se o túnel está ligado mas BGP não faz peering, verificar primeiro ASN, IP do neighbor, anúncios locais e endereços inside tunnel. A Sophos também documenta casos em que o peering BGP não se forma automaticamente embora o túnel AWS VPC esteja ligado.

Túnel verde, instância inacessível

A causa está muitas vezes fora de IPsec: route table AWS errada, route propagation em falta, security group, NACL, firewall do sistema operativo, rede de origem errada ou regra Sophos em falta.

O retorno segue o caminho errado

A AWS deve conhecer o retorno para a rede local via VPN. Localmente, o retorno para a AWS VPC deve passar por XFRM ou BGP. Routing assimétrico pode parecer normal no estado do túnel, mas quebrar sessões reais.

MTU ou fragmentação afetam aplicações

AWS Site-to-Site VPN e overhead IPsec podem expor problemas de MTU. Se testes pequenos funcionam, mas transferências maiores ou certas aplicações ficam bloqueadas, verificar MSS/MTU, fragmentação e packet captures.

Operação e revisão

Após a entrada em produção, o túnel deve passar para o processo operacional normal. Isto inclui owner, processo documentado para preshared keys, janela de alteração para parâmetros IPsec, monitorização dos túneis, testes regulares de failover e procedimento claro para alterações AWS ou ISP.

Sempre que CIDR da VPC, routing do Transit Gateway, route tables, security groups, redes locais ou anúncios BGP mudarem, a validação VPN deve ser repetida. Cloud VPN não é um clique único, mas parte da arquitetura de rede.

FAQ

AWS Site-to-Site VPN com Sophos Firewall deve usar BGP ou routing estático?

BGP é normalmente melhor para ambientes dinâmicos ou em crescimento. Rotas estáticas são mais simples, mas cada alteração de rede deve ser mantida manualmente na AWS e na Sophos Firewall.

É necessário configurar os dois túneis AWS na Sophos Firewall?

Sim, em produção os dois túneis devem ser configurados e testados. A AWS cria dois túneis para redundância. Usar apenas um reduz a disponibilidade.

Porque é que o túnel AWS está verde, mas a instância EC2 não está acessível?

Normalmente não falta IPsec, mas routing ou permissões na AWS. Verificar route tables, route propagation, security groups, NACLs e a firewall do sistema operativo da instância.

A Sophos Firewall pode estar atrás de NAT?

Pode funcionar se NAT-T e o endereço público forem tratados corretamente. Com ficheiros AWS importados, verificar que endereço de túnel está no ficheiro e que endereço a AWS vê realmente.

O download da configuração AWS é suficiente?

Não. O ficheiro de configuração é um bom ponto de partida, mas opções de túnel, BGP, interfaces XFRM, route tables, security groups, regras firewall e testes continuam a ter de ser verificados.