Ligar Sophos Firewall ao Azure VPN Gateway
Um Azure VPN Gateway liga uma rede local a um Azure Virtual Network via Site-to-Site IPsec. No Sophos Firewall, isto é normalmente implementado como route-based IPsec VPN. Ambientes maiores ou mais dinâmicos usam frequentemente BGP.
Este artigo explica o fluxo prático entre Sophos Firewall e Microsoft Azure: que objetos Azure são necessários, como o lado Sophos é configurado, que parâmetros IPsec/IKE devem corresponder e como verificar depois de guardar se o tráfego realmente passa. Para bases gerais de IPsec, consultar primeiro configurar Sophos Firewall Site-to-Site IPsec VPN. Se um túnel existente está verde mas não transporta tráfego, usar Sophos Firewall IPsec VPN Troubleshooting.
Quando este artigo se aplica
Aplica-se quando uma rede local atrás de Sophos Firewall deve ser ligada a um Azure Virtual Network. Trata de um túnel Site-to-Site entre Azure VPN Gateway e firewall local, não de Point-to-Site VPN para utilizadores individuais nem de Sophos Firewall como appliance virtual em Azure.
Cenários típicos:
- rede local de servidores para Azure VMs
- filial ou sede para Azure Virtual Network
- cenário híbrido com AD, DNS, backup, monitoring ou management em Azure
- migração de designs policy-based para route-based IPsec
- BGP opcional para routing dinâmico entre rede local e Azure
Azure e Sophos nem sempre usam os mesmos termos. Em Azure trabalha-se com Virtual network, Gateway subnet, Virtual network gateway, Local network gateway e Connection. No Sophos Firewall, com ligação IPsec, interface XFRM, rotas, regras firewall e opcionalmente BGP.
Planear antes da configuração
Um túnel Azure não deve ser tratado como um simples assistente. A maioria dos erros vem de redes sobrepostas, gateway SKU errada, parâmetros IPsec/IKE incompatíveis, rotas em falta ou regras firewall sem logging.
Redes e espaços de endereços
As redes locais e os Azure address spaces não podem sobrepor-se. Azure encaminha os prefixos locais definidos no Local network gateway para o Sophos Firewall. O Sophos Firewall encaminha prefixos Azure pela interface XFRM ou por BGP.
Documentar antes:
- Azure Virtual Network Address Space, por exemplo
10.50.0.0/16 - subnets Azure, especialmente workload subnets
- rede local atrás do Sophos Firewall, por exemplo
172.16.10.0/24 - IP público do Sophos Firewall ou router upstream
- Azure Public IP do Virtual Network Gateway
- BGP sim ou não
- Preshared Key comum
- sistemas de teste planeados nos dois lados
Se redes locais e Azure se sobrepõem, o design deve ser corrigido primeiro. NAT over IPsec é possível, mas torna operação e troubleshooting bastante mais difíceis.
Route-based em vez de policy-based
Para Azure, route-based IPsec é a escolha correta na maioria dos designs atuais. Azure VPN Gateway é normalmente route-based, sobretudo com vários prefixos, BGP, active-active ou expansões futuras.
No Sophos Firewall isto significa:
- planear a ligação IPsec como route-based tunnel interface;
- verificar a interface XFRM depois de guardar;
- definir rotas ou BGP para prefixos Azure;
- criar regras firewall entre zonas locais e zona VPN;
- verificar tráfego com Log Viewer e estado da Azure Connection.
Um túnel verde é apenas parte da validação. O túnel só está realmente verificado quando um cliente definido atinge um destino Azure definido e ambos os lados mostram logs ou contadores.
Não adivinhar parâmetros IPsec/IKE
Azure VPN Gateway suporta parâmetros IPsec/IKE definidos e, com gateway SKUs adequadas, custom IPsec/IKE policies. A Microsoft indica que uma custom policy deve ser especificada por completo; valores parciais não chegam.
Para operação:
- escolher conscientemente a versão IKE, normalmente IKEv2;
- documentar encryption, integrity, DH group, PFS e lifetimes;
- comparar Azure Custom Policy e Sophos IPsec Profile;
- não transferir defaults Sophos-para-Sophos para Azure sem validação;
- planear janela de manutenção e rollback para cada alteração de policy.
Sem Custom Policy, o perfil Sophos deve corresponder aos defaults Azure. Com Custom Policy, todos os valores devem ser mantidos corretamente nos dois lados.
Preparar o lado Azure
A configuração Azure consiste em vários objetos. Os nomes devem ser claros para facilitar troubleshooting posterior.
Virtual Network e Gateway subnet
O Azure Virtual Network precisa de um GatewaySubnet dedicado. Este subnet é usado pelo Azure VPN Gateway e não deve ser usado por VMs normais.
Verificar:
- Azure Virtual Network existe.
- Address Space não se sobrepõe às redes locais.
- GatewaySubnet existe e tem tamanho suficiente.
- Workload subnets e Network Security Groups permitem o tráfego pretendido.
Criar Virtual Network Gateway
O Virtual network gateway é o Azure VPN Gateway propriamente dito. Importante:
- Gateway type: VPN
- VPN type: Route-based
- SKU adequada a largura de banda, SLA, Availability Zone e requisito BGP
- Public IP para o gateway
- Active-active só se o lado local estiver preparado
- BGP só se ASN, peer IP e conceito de routing estiverem definidos
A criação do gateway em Azure demora frequentemente muito mais do que um diálogo normal no firewall.
Criar Local Network Gateway
O Local network gateway descreve o lado local do ponto de vista de Azure.
Inserir:
- Nome, por exemplo
lng-sophos-hq. - Endpoint como IP público ou FQDN do lado Sophos.
- Local Address spaces se trabalhar sem BGP.
- BGP settings se usar routing dinâmico.
Se Sophos Firewall estiver atrás de NAT, verificar exatamente que IP público Azure vê e como NAT-T, port forwarding e IDs são implementados localmente. O caminho simples padrão é Sophos Firewall com IP público próprio.
Criar Connection
A Connection liga Virtual Network Gateway e Local Network Gateway.
Valores importantes:
- Connection type: Site-to-site (IPsec)
- Shared key: idêntica à Sophos Preshared Key
- IKE Protocol: compatível com a configuração Sophos
- BGP: ativar apenas se ambos os lados usam BGP
- Custom IPsec/IKE policy: definir apenas se os valores foram planeados
Depois de criar a Connection, Azure está pronto, mas não automaticamente produtivo. O lado Sophos deve conhecer o mesmo túnel, os mesmos parâmetros e o caminho de retorno.
Configurar Sophos Firewall
No Sophos Firewall, o túnel é criado em Site-to-site VPN > IPsec.
Preparar IPsec profile
Em Profiles > IPsec profiles, usar ou criar um perfil compatível com Azure. Os valores devem corresponder à Azure default policy ou à custom IPsec/IKE policy da Connection.
Documentar:
- IKE version
- Phase 1 encryption e authentication
- DH group
- Phase 2 encryption e authentication
- PFS
- Key lifetime
Se Azure usa Custom Policy, o nome do perfil deve refletir isso, por exemplo Azure_IKEv2_AES256_G14.
Criar ligação IPsec route-based
Caminho:
Site-to-site VPN > IPsec
Procedimento:
- Abrir Add.
- Escolher Route-based ou tunnel interface como tipo de ligação.
- Definir nome, por exemplo
azure-vnet-prod. - Definir Gateway type no lado Sophos normalmente como Initiate the connection.
- Inserir o Azure Public IP do Virtual Network Gateway como Remote Gateway.
- Definir Preshared Key idêntica à Azure Connection.
- Verificar Local ID e Remote ID, sobretudo com NAT ou vários túneis.
- Selecionar IPsec profile.
- Guardar e ativar a ligação.
Depois de guardar, verificar a interface XFRM em Network > Interfaces. Ela permanece atribuída à zona VPN. Dependendo do design, é usada com rota estática, SD-WAN route ou BGP.
Configurar rota ou BGP
Sem BGP, Sophos Firewall precisa de uma rota para os prefixos Azure. Normalmente é uma rota estática ou SD-WAN route pela interface XFRM.
Com BGP, ambos os lados devem estar bem planeados:
- ASN local do Sophos Firewall
- Azure ASN
- BGP peer IPs
- prefixos permitidos e anunciados
- route advertisement em Azure
- regras firewall para tráfego real
BGP não substitui regras firewall. Apenas distribui rotas. Se um servidor em Azure é alcançável continua a depender de routing, NSG, regras firewall e sistema de destino.
Criar regras firewall
O tráfego pelo túnel precisa de regras adequadas, geralmente entre zona interna e zona VPN.
Recomendações para implementação:
- usar redes ou hosts concretos como source e destination;
- escolher serviços para o primeiro teste, por exemplo ICMP, RDP, HTTPS ou DNS;
- ativar Log firewall traffic;
- não deixar regras em
Anydepois do primeiro teste; - verificar a direção inversa separadamente se Azure também deve alcançar sistemas locais.
Se a regra não corresponder, usar Sophos Firewall: verificar porque uma regra não corresponde.
Verificar a ligação
A validação deve verificar sempre dois níveis: estado do túnel e tráfego real.
Verificar Azure
Em Azure:
- Abrir a Connection do VPN Gateway.
- Verificar estado da ligação.
- Observar contadores de dados.
- Verificar effective routes da Azure VM afetada.
- Verificar Network Security Group dos subnets de destino.
O estado Azure sozinho não chega. Uma VM pode estar inacessível apesar de uma Connection ativa por causa de NSG, Windows Firewall local, rota errada ou falta de caminho de retorno.
Verificar Sophos Firewall
No Sophos Firewall:
- Verificar estado em Site-to-site VPN > IPsec.
- Controlar a interface XFRM em Network > Interfaces.
- Verificar rota para prefixos Azure.
- Filtrar Log Viewer por tráfego de teste.
- Usar Packet Capture ou
strongswan.logse necessário.
Para logs IPsec e análise CLI, usar Sophos Firewall IPsec VPN Troubleshooting.
Usar tráfego de teste realista
ICMP é um bom início, mas não um teste completo. Depois testar o serviço produtivo:
- DNS para servidor DNS ou domain controller em Azure
- RDP ou SSH para VM de teste
- HTTPS para aplicação interna
- tráfego de backup, monitoring ou management
A source é importante. Um ping diretamente do firewall não prova o mesmo que um teste a partir de um cliente atrás do firewall.
Erros típicos
O túnel fica down
Normalmente IP de gateway, versão IKE, Preshared Key, IDs ou parâmetros IPsec/IKE não correspondem. No Sophos Firewall, verificar primeiro strongswan.log e comparar Azure Connection Settings com Sophos IPsec Profile.
O túnel está ligado, mas não passa tráfego
Frequentemente faltam rotas, regras firewall, regras Azure NSG ou caminho de retorno. No lado Sophos, verificar Log Viewer e rota. No lado Azure, Effective Routes e NSG.
Só uma direção funciona
Isto aponta frequentemente para routing assimétrico, NSG, host firewall ou regra inversa em falta. Testar ambos os sentidos separadamente e documentar a source do tráfego de teste.
BGP não aprende rotas
Verificar ASN, peer IP, ativação BGP, endereço XFRM e configuração Azure BGP. Depois controlar que prefixos são realmente anunciados e aprendidos. Um túnel IPsec estabelecido não significa automaticamente que BGP encaminha corretamente.
O túnel não volta após mudança de policy
Custom IPsec/IKE Policies devem ser completas e compatíveis. Se Azure e Sophos interpretam apenas um valor de forma diferente, a ligação pode falhar. Antes de alterações, documentar perfil atual, Azure Policy e estado funcional.