Saltar para o conteudo
Avanet

Ligar Sophos Firewall ao Azure VPN Gateway

Um Azure VPN Gateway liga uma rede local a um Azure Virtual Network via Site-to-Site IPsec. No Sophos Firewall, isto é normalmente implementado como route-based IPsec VPN. Ambientes maiores ou mais dinâmicos usam frequentemente BGP.

Este artigo explica o fluxo prático entre Sophos Firewall e Microsoft Azure: que objetos Azure são necessários, como o lado Sophos é configurado, que parâmetros IPsec/IKE devem corresponder e como verificar depois de guardar se o tráfego realmente passa. Para bases gerais de IPsec, consultar primeiro configurar Sophos Firewall Site-to-Site IPsec VPN. Se um túnel existente está verde mas não transporta tráfego, usar Sophos Firewall IPsec VPN Troubleshooting.

Quando este artigo se aplica

Aplica-se quando uma rede local atrás de Sophos Firewall deve ser ligada a um Azure Virtual Network. Trata de um túnel Site-to-Site entre Azure VPN Gateway e firewall local, não de Point-to-Site VPN para utilizadores individuais nem de Sophos Firewall como appliance virtual em Azure.

Cenários típicos:

  • rede local de servidores para Azure VMs
  • filial ou sede para Azure Virtual Network
  • cenário híbrido com AD, DNS, backup, monitoring ou management em Azure
  • migração de designs policy-based para route-based IPsec
  • BGP opcional para routing dinâmico entre rede local e Azure

Azure e Sophos nem sempre usam os mesmos termos. Em Azure trabalha-se com Virtual network, Gateway subnet, Virtual network gateway, Local network gateway e Connection. No Sophos Firewall, com ligação IPsec, interface XFRM, rotas, regras firewall e opcionalmente BGP.

Planear antes da configuração

Um túnel Azure não deve ser tratado como um simples assistente. A maioria dos erros vem de redes sobrepostas, gateway SKU errada, parâmetros IPsec/IKE incompatíveis, rotas em falta ou regras firewall sem logging.

Redes e espaços de endereços

As redes locais e os Azure address spaces não podem sobrepor-se. Azure encaminha os prefixos locais definidos no Local network gateway para o Sophos Firewall. O Sophos Firewall encaminha prefixos Azure pela interface XFRM ou por BGP.

Documentar antes:

  • Azure Virtual Network Address Space, por exemplo 10.50.0.0/16
  • subnets Azure, especialmente workload subnets
  • rede local atrás do Sophos Firewall, por exemplo 172.16.10.0/24
  • IP público do Sophos Firewall ou router upstream
  • Azure Public IP do Virtual Network Gateway
  • BGP sim ou não
  • Preshared Key comum
  • sistemas de teste planeados nos dois lados

Se redes locais e Azure se sobrepõem, o design deve ser corrigido primeiro. NAT over IPsec é possível, mas torna operação e troubleshooting bastante mais difíceis.

Route-based em vez de policy-based

Para Azure, route-based IPsec é a escolha correta na maioria dos designs atuais. Azure VPN Gateway é normalmente route-based, sobretudo com vários prefixos, BGP, active-active ou expansões futuras.

No Sophos Firewall isto significa:

  • planear a ligação IPsec como route-based tunnel interface;
  • verificar a interface XFRM depois de guardar;
  • definir rotas ou BGP para prefixos Azure;
  • criar regras firewall entre zonas locais e zona VPN;
  • verificar tráfego com Log Viewer e estado da Azure Connection.

Um túnel verde é apenas parte da validação. O túnel só está realmente verificado quando um cliente definido atinge um destino Azure definido e ambos os lados mostram logs ou contadores.

Não adivinhar parâmetros IPsec/IKE

Azure VPN Gateway suporta parâmetros IPsec/IKE definidos e, com gateway SKUs adequadas, custom IPsec/IKE policies. A Microsoft indica que uma custom policy deve ser especificada por completo; valores parciais não chegam.

Para operação:

  • escolher conscientemente a versão IKE, normalmente IKEv2;
  • documentar encryption, integrity, DH group, PFS e lifetimes;
  • comparar Azure Custom Policy e Sophos IPsec Profile;
  • não transferir defaults Sophos-para-Sophos para Azure sem validação;
  • planear janela de manutenção e rollback para cada alteração de policy.

Sem Custom Policy, o perfil Sophos deve corresponder aos defaults Azure. Com Custom Policy, todos os valores devem ser mantidos corretamente nos dois lados.

Preparar o lado Azure

A configuração Azure consiste em vários objetos. Os nomes devem ser claros para facilitar troubleshooting posterior.

Virtual Network e Gateway subnet

O Azure Virtual Network precisa de um GatewaySubnet dedicado. Este subnet é usado pelo Azure VPN Gateway e não deve ser usado por VMs normais.

Verificar:

  1. Azure Virtual Network existe.
  2. Address Space não se sobrepõe às redes locais.
  3. GatewaySubnet existe e tem tamanho suficiente.
  4. Workload subnets e Network Security Groups permitem o tráfego pretendido.

Criar Virtual Network Gateway

O Virtual network gateway é o Azure VPN Gateway propriamente dito. Importante:

  • Gateway type: VPN
  • VPN type: Route-based
  • SKU adequada a largura de banda, SLA, Availability Zone e requisito BGP
  • Public IP para o gateway
  • Active-active só se o lado local estiver preparado
  • BGP só se ASN, peer IP e conceito de routing estiverem definidos

A criação do gateway em Azure demora frequentemente muito mais do que um diálogo normal no firewall.

Criar Local Network Gateway

O Local network gateway descreve o lado local do ponto de vista de Azure.

Inserir:

  1. Nome, por exemplo lng-sophos-hq.
  2. Endpoint como IP público ou FQDN do lado Sophos.
  3. Local Address spaces se trabalhar sem BGP.
  4. BGP settings se usar routing dinâmico.

Se Sophos Firewall estiver atrás de NAT, verificar exatamente que IP público Azure vê e como NAT-T, port forwarding e IDs são implementados localmente. O caminho simples padrão é Sophos Firewall com IP público próprio.

Criar Connection

A Connection liga Virtual Network Gateway e Local Network Gateway.

Valores importantes:

  • Connection type: Site-to-site (IPsec)
  • Shared key: idêntica à Sophos Preshared Key
  • IKE Protocol: compatível com a configuração Sophos
  • BGP: ativar apenas se ambos os lados usam BGP
  • Custom IPsec/IKE policy: definir apenas se os valores foram planeados

Depois de criar a Connection, Azure está pronto, mas não automaticamente produtivo. O lado Sophos deve conhecer o mesmo túnel, os mesmos parâmetros e o caminho de retorno.

Configurar Sophos Firewall

No Sophos Firewall, o túnel é criado em Site-to-site VPN > IPsec.

Preparar IPsec profile

Em Profiles > IPsec profiles, usar ou criar um perfil compatível com Azure. Os valores devem corresponder à Azure default policy ou à custom IPsec/IKE policy da Connection.

Documentar:

  • IKE version
  • Phase 1 encryption e authentication
  • DH group
  • Phase 2 encryption e authentication
  • PFS
  • Key lifetime

Se Azure usa Custom Policy, o nome do perfil deve refletir isso, por exemplo Azure_IKEv2_AES256_G14.

Criar ligação IPsec route-based

Caminho:

Site-to-site VPN > IPsec

Procedimento:

  1. Abrir Add.
  2. Escolher Route-based ou tunnel interface como tipo de ligação.
  3. Definir nome, por exemplo azure-vnet-prod.
  4. Definir Gateway type no lado Sophos normalmente como Initiate the connection.
  5. Inserir o Azure Public IP do Virtual Network Gateway como Remote Gateway.
  6. Definir Preshared Key idêntica à Azure Connection.
  7. Verificar Local ID e Remote ID, sobretudo com NAT ou vários túneis.
  8. Selecionar IPsec profile.
  9. Guardar e ativar a ligação.

Depois de guardar, verificar a interface XFRM em Network > Interfaces. Ela permanece atribuída à zona VPN. Dependendo do design, é usada com rota estática, SD-WAN route ou BGP.

Configurar rota ou BGP

Sem BGP, Sophos Firewall precisa de uma rota para os prefixos Azure. Normalmente é uma rota estática ou SD-WAN route pela interface XFRM.

Com BGP, ambos os lados devem estar bem planeados:

  • ASN local do Sophos Firewall
  • Azure ASN
  • BGP peer IPs
  • prefixos permitidos e anunciados
  • route advertisement em Azure
  • regras firewall para tráfego real

BGP não substitui regras firewall. Apenas distribui rotas. Se um servidor em Azure é alcançável continua a depender de routing, NSG, regras firewall e sistema de destino.

Criar regras firewall

O tráfego pelo túnel precisa de regras adequadas, geralmente entre zona interna e zona VPN.

Recomendações para implementação:

  • usar redes ou hosts concretos como source e destination;
  • escolher serviços para o primeiro teste, por exemplo ICMP, RDP, HTTPS ou DNS;
  • ativar Log firewall traffic;
  • não deixar regras em Any depois do primeiro teste;
  • verificar a direção inversa separadamente se Azure também deve alcançar sistemas locais.

Se a regra não corresponder, usar Sophos Firewall: verificar porque uma regra não corresponde.

Verificar a ligação

A validação deve verificar sempre dois níveis: estado do túnel e tráfego real.

Verificar Azure

Em Azure:

  1. Abrir a Connection do VPN Gateway.
  2. Verificar estado da ligação.
  3. Observar contadores de dados.
  4. Verificar effective routes da Azure VM afetada.
  5. Verificar Network Security Group dos subnets de destino.

O estado Azure sozinho não chega. Uma VM pode estar inacessível apesar de uma Connection ativa por causa de NSG, Windows Firewall local, rota errada ou falta de caminho de retorno.

Verificar Sophos Firewall

No Sophos Firewall:

  1. Verificar estado em Site-to-site VPN > IPsec.
  2. Controlar a interface XFRM em Network > Interfaces.
  3. Verificar rota para prefixos Azure.
  4. Filtrar Log Viewer por tráfego de teste.
  5. Usar Packet Capture ou strongswan.log se necessário.

Para logs IPsec e análise CLI, usar Sophos Firewall IPsec VPN Troubleshooting.

Usar tráfego de teste realista

ICMP é um bom início, mas não um teste completo. Depois testar o serviço produtivo:

  • DNS para servidor DNS ou domain controller em Azure
  • RDP ou SSH para VM de teste
  • HTTPS para aplicação interna
  • tráfego de backup, monitoring ou management

A source é importante. Um ping diretamente do firewall não prova o mesmo que um teste a partir de um cliente atrás do firewall.

Erros típicos

O túnel fica down

Normalmente IP de gateway, versão IKE, Preshared Key, IDs ou parâmetros IPsec/IKE não correspondem. No Sophos Firewall, verificar primeiro strongswan.log e comparar Azure Connection Settings com Sophos IPsec Profile.

O túnel está ligado, mas não passa tráfego

Frequentemente faltam rotas, regras firewall, regras Azure NSG ou caminho de retorno. No lado Sophos, verificar Log Viewer e rota. No lado Azure, Effective Routes e NSG.

Só uma direção funciona

Isto aponta frequentemente para routing assimétrico, NSG, host firewall ou regra inversa em falta. Testar ambos os sentidos separadamente e documentar a source do tráfego de teste.

BGP não aprende rotas

Verificar ASN, peer IP, ativação BGP, endereço XFRM e configuração Azure BGP. Depois controlar que prefixos são realmente anunciados e aprendidos. Um túnel IPsec estabelecido não significa automaticamente que BGP encaminha corretamente.

O túnel não volta após mudança de policy

Custom IPsec/IKE Policies devem ser completas e compatíveis. Se Azure e Sophos interpretam apenas um valor de forma diferente, a ligação pode falhar. Antes de alterações, documentar perfil atual, Azure Policy e estado funcional.

FAQ

Sophos Firewall para Azure deve ser policy-based ou route-based?

Para Azure, route-based IPsec é normalmente a melhor escolha, sobretudo com várias redes, BGP ou expansões futuras. Designs policy-based são geralmente menos flexíveis para Azure.

Azure VPN Gateway precisa de BGP?

Não. Para ligações simples, rotas estáticas ou Address Spaces no Local Network Gateway chegam. BGP é útil quando prefixos devem ser aprendidos dinamicamente ou há vários caminhos planeados.

Porque o túnel Azure está verde, mas a VM não responde?

IPsec provavelmente está estabelecido, mas routing, regra firewall, Azure NSG, Windows Firewall local ou caminho de retorno não correspondem. Por isso estado do túnel e tráfego aplicacional real devem ser testados separadamente.

Sophos Firewall pode estar atrás de NAT?

Pode funcionar, mas não é o caso simples padrão. IP público, NAT-T, port forwarding, Local ID, Remote ID e Azure Local Network Gateway devem ser planeados e testados com especial cuidado.

Os parâmetros IPsec Azure têm de ser definidos explicitamente?

Nem sempre. Sem Custom IPsec/IKE Policy, o perfil Sophos deve corresponder aos defaults Azure. Com Custom Policy, todos os parâmetros devem ser definidos completa e compativelmente nos dois lados.