Hoppa till innehållet
Avanet

Anslut Sophos Firewall till Azure VPN Gateway

En Azure VPN Gateway ansluter ett lokalt nätverk till ett Azure Virtual Network via Site-to-Site IPsec. I Sophos Firewall byggs detta normalt som route-based IPsec VPN. Större eller mer dynamiska miljöer använder ofta även BGP.

Artikeln beskriver det praktiska flödet mellan Sophos Firewall och Microsoft Azure: vilka Azure-objekt som behövs, hur Sophos-sidan byggs, vilka IPsec/IKE-parametrar som måste matchas och hur man verifierar att trafik verkligen går efter sparande. För IPsec-grunder, börja med konfigurera Sophos Firewall Site-to-Site IPsec VPN. Om en befintlig tunnel är grön men inte transporterar trafik, använd Sophos Firewall IPsec VPN Troubleshooting.

När artikeln passar

Artikeln passar när ett lokalt nätverk bakom Sophos Firewall ska anslutas till ett Azure Virtual Network. Den gäller Site-to-Site-tunnel mellan Azure VPN Gateway och lokal brandvägg, inte Point-to-Site VPN för enskilda användare och inte Sophos Firewall som virtuell appliance i Azure.

Typiska scenarier:

  • lokalt servernät till Azure VMs
  • filial eller huvudkontor till Azure Virtual Network
  • hybridscenario med AD, DNS, backup, monitoring eller management i Azure
  • migrering från policy-based design till route-based IPsec
  • valfritt BGP för dynamisk routing mellan lokalt nät och Azure

Azure och Sophos använder inte alltid samma termer. I Azure används Virtual network, Gateway subnet, Virtual network gateway, Local network gateway och Connection. I Sophos Firewall används IPsec-anslutning, XFRM-interface, routes, firewallregler och eventuellt BGP.

Planera före konfiguration

En Azure-tunnel bör inte behandlas som en ren klickguide. De flesta fel beror på överlappande nät, fel gateway-SKU, IPsec/IKE-parametrar som inte matchar, saknade routes eller firewallregler utan logging.

Nät och adressrymder

Lokala nät och Azure address spaces får inte överlappa. Azure routar lokala prefix i Local network gateway till Sophos Firewall. Sophos Firewall routar Azure-prefix via XFRM-interfacet eller via BGP.

Dokumentera i förväg:

  • Azure Virtual Network Address Space, till exempel 10.50.0.0/16
  • Azure subnets, särskilt workload subnets
  • lokalt nät bakom Sophos Firewall, till exempel 172.16.10.0/24
  • publik IP för Sophos Firewall eller upstream-router
  • Azure Public IP för Virtual Network Gateway
  • BGP ja eller nej
  • gemensam Preshared Key
  • planerade testsystem på båda sidor

Om lokala nät och Azure-nät överlappar ska designen först korrigeras. NAT over IPsec är möjligt, men gör drift och felsökning mycket svårare.

Route-based istället för policy-based

För Azure är route-based IPsec rätt val i de flesta aktuella designer. Azure VPN Gateway körs typiskt route-based, särskilt med flera prefix, BGP, active-active eller framtida utbyggnader.

I Sophos Firewall innebär det:

  • planera IPsec-anslutningen som route-based tunnel interface;
  • kontrollera XFRM-interfacet efter sparande;
  • sätt routes eller BGP för Azure-prefix;
  • skapa firewallregler mellan lokala zoner och VPN-zonen;
  • verifiera trafik med Log Viewer och Azure connection status.

Grön tunnelstatus är bara en del av acceptansen. Tunneln är verkligen verifierad först när en definierad klient når en definierad Azure-destination och båda sidor visar loggar eller räknare.

Gissa inte IPsec/IKE-parametrar

Azure VPN Gateway stöder definierade IPsec/IKE-parametrar och, med lämpliga gateway-SKU:er, custom IPsec/IKE policies. Microsoft anger att en custom policy måste anges komplett; delvisa värden räcker inte.

För drift betyder det:

  • välj IKE-version medvetet, oftast IKEv2;
  • dokumentera encryption, integrity, DH group, PFS och lifetimes;
  • jämför Azure Custom Policy och Sophos IPsec Profile;
  • överför inte Sophos-till-Sophos-defaults till Azure utan kontroll;
  • planera underhållsfönster och rollback för varje policyändring.

Utan Custom Policy måste Sophos-profilen matcha Azure-defaults. Med Custom Policy måste alla värden underhållas korrekt på båda sidor.

Förbered Azure-sidan

Azure-konfigurationen består av flera objekt. Namnen bör vara tydliga eftersom felsökning annars snabbt blir rörig.

Virtual Network och Gateway subnet

Azure Virtual Network behöver ett dedikerat GatewaySubnet. Detta subnet används av Azure VPN Gateway och får inte användas för vanliga VMs.

Kontrollera:

  1. Azure Virtual Network finns.
  2. Address Space överlappar inte lokala nät.
  3. GatewaySubnet finns och är tillräckligt stort.
  4. Workload subnets och Network Security Groups tillåter önskad trafik.

Skapa Virtual Network Gateway

Virtual network gateway är själva Azure VPN Gateway. Viktigt:

  • Gateway type: VPN
  • VPN type: Route-based
  • SKU som passar bandbredd, SLA, Availability Zone och BGP-krav
  • Public IP för gateway
  • Active-active bara om lokal sida är designad för det
  • BGP bara om ASN, peer IP och routingkoncept är definierade

Gateway-skapande i Azure tar ofta betydligt längre tid än en vanlig brandväggsdialog.

Skapa Local Network Gateway

Local network gateway beskriver lokal sida ur Azure-perspektiv.

Ange:

  1. Namn, till exempel lng-sophos-hq.
  2. Endpoint som publik IP eller FQDN för Sophos-sidan.
  3. Local Address spaces om BGP inte används.
  4. BGP settings om dynamisk routing används.

Om Sophos Firewall står bakom NAT måste man noggrant kontrollera vilken publik IP Azure ser och hur NAT-T, port forwarding och IDs implementeras lokalt. Det enkla standardfallet är Sophos Firewall med egen publik IP.

Skapa Connection

Connection kopplar Virtual Network Gateway och Local Network Gateway.

Viktiga värden:

  • Connection type: Site-to-site (IPsec)
  • Shared key: identisk med Sophos Preshared Key
  • IKE Protocol: matchar Sophos-konfigurationen
  • BGP: aktivera bara om båda sidor använder BGP
  • Custom IPsec/IKE policy: sätt bara om värdena är planerade

Efter skapandet är Azure-sidan redo, men inte automatiskt produktiv. Sophos-sidan måste känna samma tunnel, samma parametrar och returvägen.

Konfigurera Sophos Firewall

I Sophos Firewall skapas tunneln under Site-to-site VPN > IPsec.

Förbered IPsec profile

Under Profiles > IPsec profiles används eller skapas en profil som passar Azure. Värdena måste passa Azure default policy eller Connectionens custom IPsec/IKE policy.

Dokumentera:

  • IKE version
  • Phase 1 encryption och authentication
  • DH group
  • Phase 2 encryption och authentication
  • PFS
  • Key lifetime

Om Azure använder Custom Policy bör profilnamnet visa det, till exempel Azure_IKEv2_AES256_G14.

Skapa route-based IPsec-anslutning

Menyväg:

Site-to-site VPN > IPsec

Gör så här:

  1. Öppna Add.
  2. Välj Route-based eller tunnel interface som anslutningstyp.
  3. Ange namn, till exempel azure-vnet-prod.
  4. Sätt Gateway type på Sophos-sidan normalt till Initiate the connection.
  5. Ange Azure Public IP för Virtual Network Gateway som Remote Gateway.
  6. Ange Preshared Key identisk med Azure Connection.
  7. Kontrollera Local ID och Remote ID, särskilt vid NAT eller flera tunnlar.
  8. Välj IPsec profile.
  9. Spara och aktivera anslutningen.

Efter sparande, kontrollera XFRM-interfacet under Network > Interfaces. Det är fortsatt tilldelat VPN-zonen. Beroende på design används det med statisk route, SD-WAN route eller BGP.

Konfigurera route eller BGP

Utan BGP behöver Sophos Firewall en route till Azure-prefixen. Oftast är det en statisk route eller SD-WAN route via XFRM-interfacet.

Med BGP måste båda sidor planeras:

  • lokalt ASN för Sophos Firewall
  • Azure ASN
  • BGP peer IPs
  • tillåtna och annonserade prefix
  • route advertisement i Azure
  • firewallregler för faktisk trafik

BGP ersätter inte firewallregler. Det distribuerar bara routes. Om en server i Azure är nåbar avgörs fortfarande av routing, NSG, firewallregler och målsystem.

Skapa firewallregler

Trafik genom tunneln behöver passande regler, normalt mellan intern zon och VPN-zon.

Rekommendation vid införande:

  • sätt source och destination som konkreta nät eller hosts;
  • välj tjänster för första testet, till exempel ICMP, RDP, HTTPS eller DNS;
  • aktivera Log firewall traffic;
  • låt inte regler stå kvar på Any efter första testet;
  • kontrollera motsatt riktning separat om Azure också ska nå lokala system.

Om regeln inte matchar, använd Sophos Firewall: kontrollera varför en regel inte matchar.

Verifiera anslutningen

Acceptans ska alltid kontrollera två nivåer: tunnelstatus och verklig trafik.

Kontrollera Azure

I Azure:

  1. Öppna VPN Gateway Connection.
  2. Kontrollera anslutningsstatus.
  3. Observera dataräknare.
  4. Kontrollera effective routes för berörd Azure VM.
  5. Kontrollera Network Security Group för mål-subnets.

Azure-status räcker inte ensam. En VM kan vara oåtkomlig trots etablerad Connection på grund av NSG, lokal Windows Firewall, fel route eller saknad returväg.

Kontrollera Sophos Firewall

I Sophos Firewall:

  1. Kontrollera status under Site-to-site VPN > IPsec.
  2. Kontrollera XFRM-interface under Network > Interfaces.
  3. Kontrollera route till Azure-prefix.
  4. Filtrera Log Viewer på testtrafik.
  5. Använd Packet Capture eller strongswan.log vid behov.

För IPsec-loggar och CLI-analys, använd Sophos Firewall IPsec VPN Troubleshooting.

Använd realistisk testtrafik

ICMP är en bra start, men inte ett komplett test. Testa därefter den produktiva tjänsten:

  • DNS till Azure DNS eller domain controller
  • RDP eller SSH till test-VM
  • HTTPS till intern applikation
  • backup-, monitoring- eller managementtrafik

Källan är viktig. En ping direkt från brandväggen bevisar inte samma sak som ett test från en klient bakom brandväggen.

Typiska fel

Tunneln förblir down

Oftast matchar inte gateway-IP, IKE-version, Preshared Key, IDs eller IPsec/IKE-parametrar. I Sophos Firewall, kontrollera först strongswan.log och jämför Azure Connection Settings med Sophos IPsec Profile.

Tunneln är ansluten, men ingen trafik går

Ofta saknas routes, firewallregler, Azure NSG-regler eller returväg. På Sophos-sidan, kontrollera Log Viewer och route. På Azure-sidan, kontrollera Effective Routes och NSG.

Bara en riktning fungerar

Det tyder ofta på asymmetrisk routing, NSG, host firewall eller saknad omvänd regel. Testa båda riktningar separat och dokumentera källan för testtrafiken.

BGP lär inga routes

Kontrollera ASN, peer IP, BGP-aktivering, XFRM-adress och Azure BGP-konfiguration. Kontrollera sedan vilka prefix som verkligen annonseras och lärs. En etablerad IPsec-tunnel betyder inte automatiskt att BGP routar korrekt.

Tunneln kommer inte upp efter policyändring

Custom IPsec/IKE Policies måste vara kompletta och kompatibla. Om Azure och Sophos tolkar ett enda värde olika kan anslutningen misslyckas. Före ändringar, dokumentera aktuell profil, Azure Policy och fungerande läge.

FAQ

Ska Sophos Firewall till Azure vara policy-based eller route-based?

För Azure är route-based IPsec oftast det bättre valet, särskilt med flera nät, BGP eller framtida utbyggnader. Policy-based design är normalt mindre flexibel för Azure.

Behöver Azure VPN Gateway BGP?

Nej. För enkla anslutningar räcker statiska routes eller Address Spaces i Local Network Gateway. BGP är nyttigt när prefix ska läras dynamiskt eller flera vägar planeras.

Varför är Azure-tunneln grön, men VM inte nåbar?

IPsec är troligen etablerat, men routing, firewallregel, Azure NSG, lokal Windows Firewall eller returväg matchar inte. Tunnelstatus och verklig applikationstrafik måste därför testas separat.

Kan Sophos Firewall stå bakom NAT?

Det kan fungera, men är inte standardfallet. Publik IP, NAT-T, port forwarding, Local ID, Remote ID och Azure Local Network Gateway måste då planeras och testas mycket noggrant.

Måste Azure IPsec-parametrar sättas explicit?

Inte alltid. Utan Custom IPsec/IKE Policy måste Sophos-profilen matcha Azure-defaults. Med Custom Policy måste alla parametrar sättas komplett och kompatibelt på båda sidor.