Anslut Sophos Firewall till AWS Site-to-Site VPN
En AWS Site-to-Site VPN ansluter ett lokalt nät bakom Sophos Firewall till en AWS VPC eller Transit Gateway. Tekniskt är det en IPsec-VPN, men operativt skiljer den sig från en vanlig Sophos-till-Sophos-tunnel: AWS skapar två tunnlar per VPN-anslutning, använder Customer Gateway och målgateway-objekt, och routing beror starkt på om statiska routes eller BGP används.
Den här artikeln beskriver den praktiska uppsättningen med Sophos Firewall och AWS. Den kompletterar den allmänna guiden Konfigurera Sophos Firewall Site-to-Site IPsec VPN med AWS-specifika fallgropar: två tunnlar, BGP-neighbours, route tables, security groups, NACLs och statuskontroller i AWS och Sophos. Om tunneln redan är uppe men trafiken inte går igenom passar Sophos Firewall IPsec VPN troubleshooting bättre.
När artikeln passar
Artikeln passar när ett kontor, datacenter eller lokalt nät ska anslutas till AWS via Sophos Firewall. Den täcker AWS Site-to-Site VPN till en VPC, Virtual Private Gateway eller Transit Gateway. Den täcker inte Sophos Firewall som virtuell appliance direkt i AWS.
Typiska scenarier:
- lokalt servernät till EC2-instanser i en VPC
- backup-, övervaknings- eller managementtrafik till AWS
- hybrid-DNS, AD, jump hosts eller administrationsnät
- migrering från statisk VPN till dynamisk BGP-routing
- redundant drift med två AWS-tunnlar
AWS och Sophos använder olika termer. I AWS arbetar man med Customer Gateway, Virtual Private Gateway eller Transit Gateway, Site-to-Site VPN connection, Tunnel Details, Route Tables, Security Groups och Network ACLs. På Sophos Firewall handlar det om Amazon VPC-anslutningar, IPsec-profiler, XFRM-interfaces, BGP, routes och firewallregler.
Planera före konfigurering
AWS Site-to-Site VPN bör inte behandlas som bara import av en nedladdad exempelkonfiguration. AWS-filen är användbar, men produktionsgodkännande beror på routing, security groups, NACLs, firewallregler och tester med verklig trafik.
Definiera nät och målgateway
Först måste det vara klart vilken AWS-sida som ska användas:
- Virtual Private Gateway för en klassisk enskild VPC.
- Transit Gateway för flera VPC:er, flera platser eller en större routingdesign.
- Cloud WAN eller andra varianter endast när AWS-arkitekturen uttryckligen kräver det.
Dokumentera i förväg:
- AWS VPC CIDR, till exempel
10.60.0.0/16 - relevanta AWS subnets och route tables
- lokala nät bakom Sophos Firewall, till exempel
172.16.20.0/24 - publik IP för Sophos Firewall eller upstream-router
- routingläge: static eller dynamic BGP
- lokal och AWS-ASN om BGP används
- förväntade testmål på båda sidor
- planerade tunnel options, IKE-version, preshared keys och lifetimes
Överlappande nät bör rensas upp innan VPN-designen byggs. NAT över IPsec kan fungera, men gör route tables, security groups, loggar och senare felsökning svårare.
Ta båda tunnlarna på allvar
AWS skapar två tunnlar per Site-to-Site VPN connection, var och en med en egen AWS-endpoint. Båda tunnlarna bör konfigureras och kontrolleras på Sophos Firewall. Att bara bygga en tunnel är bekvämt i labb, men i produktion går AWS-redundansen förlorad.
Förväntan måste vara rätt: returvägen från AWS föredrar en tunnel beroende på routing och AWS-sida, och kan växla vid fel. Det betyder inte att båda tunnlarna alltid används jämnt. Det viktiga är att båda tunnlarna kommer upp, att BGP eller statiska routes är korrekta och att failover har testats.
Statisk routing eller BGP
AWS Site-to-Site VPN stöder statiska routes och dynamisk routing med BGP. BGP är oftast bättre när flera prefix, framtida utbyggnad eller Transit Gateway ingår. Statiska routes är enklare, men varje nätändring måste underhållas manuellt.
I praktiken:
- BGP behöver matchande ASN-värden på båda sidor.
- Sophos Firewall måste annonsera avsedda lokala prefix.
- AWS route tables måste faktiskt använda propagated eller statiska routes.
- Security groups och NACLs måste också tillåta trafiken.
- Identiska statiska och BGP-routes kan ge oväntad prioritet.
Förbered AWS
Följande steg beskriver det vanliga flödet. Detaljer skiljer sig mellan Virtual Private Gateway och Transit Gateway, men principen är densamma.
Skapa Customer Gateway
Customer Gateway beskriver den lokala Sophos-sidan i AWS.
Ange:
- Sätt en Name tag, till exempel
cgw-sophos-hq. - Välj routing: statisk eller dynamisk.
- Ange den publika IP-adressen för Sophos-sidan.
- Vid BGP, ange lokal Sophos-ASN.
- Skapa resursen och håll tagging konsekvent.
Om Sophos Firewall står bakom en router eller operatörsutrustning måste det vara klart vilken publik IP AWS ser och om NAT-T fungerar korrekt. IP-adressen i AWS måste motsvara den faktiska tunnelförhandlingen.
Skapa eller välj målgateway
För en enskild VPC skapas normalt en Virtual Private Gateway och kopplas till VPC:n. Större AWS-miljöer använder ofta en Transit Gateway.
Kontrollera:
- Gateway är kopplad till rätt VPC eller Transit Gateway.
- AWS-side ASN krockar inte med Sophos-ASN.
- Route tables för VPC eller Transit Gateway är planerade.
- Subnets som används för test använder rätt route table.
Skapa Site-to-Site VPN connection
Därefter skapas Site-to-Site VPN connection i AWS.
Viktiga punkter:
- Välj rätt target gateway type.
- Välj Customer Gateway.
- Sätt Routing Options till static eller dynamic.
- Vid static routing, ange lokala prefix.
- Granska Tunnel Options medvetet, särskilt IKE version, encryption, integrity, DH/PFS och DPD.
- Dokumentera preshared keys per tunnel eller låt AWS generera dem avsiktligt.
Efter skapandet bör konfigurationsfilen laddas ned. Som Vendor kan Sophos väljas, Platform Sophos Firewall och en passande programversion. Filen är en bra startpunkt, men ersätter inte teknisk kontroll av tunnel options.
Kontrollera route tables, security groups och NACLs
En grön VPN-tunnel i AWS betyder ännu inte att en EC2-instans kan nås.
För verifiering, kontrollera:
- VPC route table har en route till det lokala nätet via Virtual Private Gateway eller Transit Gateway.
- Vid Virtual Private Gateway är route propagation aktiverad eller routen statiskt satt.
- Transit Gateway route tables innehåller rätt attachments och propagations.
- Security group för mål-instansen tillåter önskad trafik från det lokala nätet.
- Network ACLs tillåter fram- och returväg.
- Instansens operativsystems-firewall blockerar inte testet.
Detta missas ofta, eftersom Sophos och AWS båda kan visa en ansluten tunnel även om instansen inte svarar på grund av security group eller returroute.
Konfigurera Sophos Firewall
Sophos erbjuder två praktiska vägar för AWS: import via Site-to-site VPN > Amazon VPC eller manuell konfigurering som route-based IPsec-anslutning. För många AWS-upplägg är import den renaste starten, men de skapade objekten måste ändå kontrolleras.
Importera AWS-konfigurationen
Sophos Firewall kan importera Amazon VPC-anslutningen från den nedladdade AWS-konfigurationsfilen.
Steg:
- Öppna Sophos Firewall.
- Gå till Site-to-site VPN > Amazon VPC.
- Välj Use VPC configuration file.
- Ladda upp AWS-konfigurationsfilen.
- Starta importen.
- Kontrollera skapade anslutningar, IPsec-profiler, XFRM-interfaces och BGP-inställningar.
Om firewallen står bakom en NAT-enhet måste konfigurationsfilen eller den resulterande Sophos-konfigurationen granskas särskilt noggrant. Sophos anger att filen innehåller värden per tunnel och att båda tunnlarna måste beaktas.
Kontrollera IPsec-profil och tunnlar
Efter import, eller vid manuell konfigurering, bör man inte lita blint på statusen.
Kontrollera:
- Båda AWS-tunnlarna finns.
- IKE-versionen matchar AWS-konfigurationen.
- Encryption, authentication, DH group, PFS och lifetimes matchar per tunnel.
- Preshared key är korrekt per tunnel.
- Gateway type och remote gateway pekar på respektive AWS-tunnelendpoint.
- XFRM-interfaces finns och är tydligt namngivna.
Om AWS tunnel options ändras senare måste Sophos-sidan matcha. Ensidiga ändringar leder ofta till phase 1- eller phase 2-fel.
Konfigurera BGP eller statiska routes
Med BGP kontrolleras under Routing > BGP att lokal ASN, neighbour, remote ASN och annonserade nät stämmer. Under Routing > Information > BGP bör Neighbors, Summary och Routes visa förväntade värden.
Med statisk routing måste routes till AWS-nät peka mot rätt XFRM-interface. AWS måste också känna till lokala prefix, antingen via statiska VPN-routes eller via rätt route table.
För båda varianterna måste routing fungera i båda riktningar. En tunnel kan vara ansluten medan returvägen går via internet, NAT Gateway eller fel route table.
Skapa firewallregler
Route-based IPsec skapar inte automatiskt produktionsregler som är tillräckligt precisa. Skapa och logga reglerna medvetet.
Rekommenderat:
- Skapa en regel från lokalt nät till AWS-destinationer.
- Tillåt motsatt riktning endast om AWS aktivt måste nå lokala system.
- Begränsa source, destination och services strikt.
- Aktivera logging för verifiering.
- Kontrollera regelposition före breda drop- eller catch-all-regler.
Om den förväntade regeln inte matchar hjälper Sophos Firewall-regel matchar inte: så hittar man orsaken.
Verifiera anslutningen
Verifiering bör alltid omfatta båda plattformarna och verklig applikationstrafik. En grön tunnelstatus räcker inte.
Kontrollera AWS
I AWS, kontrollera:
- VPC > Site-to-Site VPN Connections > Tunnel Details visar båda tunnlarna.
- Tunnelstatus är
UP. - Vid BGP är routes synliga.
- VPC- eller Transit Gateway-route table innehåller förväntade routes.
- Security groups och NACLs tillåter testet.
- CloudWatch metrics eller VPN logs visar inga återkommande IKE- eller DPD-problem.
Kontrollera Sophos Firewall
På Sophos Firewall, kontrollera:
- Site-to-site VPN > Amazon VPC eller Site-to-site VPN > IPsec visar aktiva tunnlar.
- Routing > Information > BGP visar neighbours och inlärda routes om BGP används.
- Network > Interfaces visar XFRM-interfaces.
- Log Viewer visar förväntad firewallregel.
- Packet Capture bekräftar ingående och utgående interface när loggar inte räcker.
Välj testtrafik noggrant
Ett test bör använda en konkret source host, target host och service, till exempel ICMP, RDP, SSH, HTTPS eller DNS. Om ICMP blockeras säger ping lite. Bättre är att testa tjänsten som faktiskt ska användas.
Vanliga fel
AWS VPN-fel ser ofta ut som IPsec-problem, även när routing eller AWS security controls är orsaken. Följande fall är särskilt vanliga.
Endast en tunnel är aktiv
En tunnel räcker för ett första test, men inte för ren drift. Båda AWS-tunnlarna har egna endpoints och parametrar. Kontrollera preshared key, IKE/IPsec-parametrar, XFRM-interface, BGP-neighbour och AWS-status per tunnel.
BGP kommer inte upp
Om tunneln är ansluten men BGP inte peeringbildar, kontrollera först ASN, neighbour-IP, lokala annonseringar och inside tunnel-adresser. Sophos dokumenterar också fall där BGP-peering inte bildas automatiskt trots att AWS VPC-tunneln är ansluten.
Tunnel grön, instans inte nåbar
Orsaken ligger ofta utanför IPsec: fel AWS route table, saknad route propagation, security group, NACL, operativsystems-firewall, fel sourcenät eller saknad Sophos-firewallregel.
Returvägen går fel
AWS måste känna till returvägen till det lokala nätet via VPN. Lokalt måste returvägen till AWS VPC gå via XFRM eller BGP. Asymmetrisk routing kan se normal ut i tunnelstatus men bryta verkliga sessioner.
MTU eller fragmentering stör applikationer
AWS Site-to-Site VPN och IPsec-overhead kan synliggöra MTU-problem. Om små tester fungerar men större överföringar eller vissa applikationer hänger, kontrollera MSS/MTU, fragmentering och packet captures.
Drift och review
Efter driftsättning bör tunneln flyttas in i normal drift. Det omfattar owner, dokumenterad process för preshared keys, change window för IPsec-parametrar, tunnelövervakning, regelbundna failover-tester och ett tydligt flöde vid AWS- eller ISP-ändringar.
Vid varje ändring av VPC-CIDR, Transit Gateway-routing, route tables, security groups, lokala nät eller BGP-annonseringar bör VPN-verifieringen upprepas. Cloud VPN är inte ett engångsklick, utan en del av nätverksarkitekturen.