Sophos XG Firewall v17: Erstellen einer Site-to-Site IPsec VPN in Microsoft Azure

Übersicht

Microsoft Azure unterstützt zwei VPN-Gateway-Typen:

  • routenbasiertes VPN
  • richtlinienbasiertes VPN

Um IKEv2 benutzen zu können, müssen Sie das routenbasierte Azure VPN-Gateway auswählen

Diese Kapitel umfasst folgende Themen:

  • Azure Konfiguration
    • Erstellen eines Local Network Gateways
    • Erstellen eines Gateway Subnetzes
    • Erstellen eines VPN Gateways
    • Einrichtung der VPN Verbindung
  • Konfiguration der Sophos XG Firewall
  • Messwerte

Diese Anleitung gilt für alle Firewall-Modelle der XG-Serie:
XG 85, XG 105, XG 115, XG 125, XG 135, XG 210, XG 230, XG 310, XG 330, XG 430, XG 450, XG 550, XG 650, XG 750

 network-diagram

Azure Konfiguration

Erstellen eines Local Network Gateways

Der lokale Netzwerk-Gateway bezieht sich normalerweise auf den lokalen Standort.
Sie benötigen die öffentliche IP-Adresse der lokalen Sophos XG Firewall und die Ihrer privaten IP-Adressbereiche.

1. Melden Sie sich bei Microsoft Azure an und klicken sie auf More Services. Tippen Sie in die Suchleiste„local network gateways“ ein und wählen Sie Local network gateways aus.

 Azure_Local_Net_gw

2. Auf dem soeben geöffneten „Local Network Adress“- Abschnitt klicken Sie auf +add und konfigurieren das „Create local network gateway“ Formular wie folgt:

      • Name: On_Prem_Sophos_XG_Firewall (Hier können Sie jeden beliebigen Namen wählen)
      • IP-Adresse: Geben Sie hier die öffentliche IP-Adresse der Sophos XG Firewall an
      • Adressbereich: Geben Sie hier den lokalen Adressbereich ein.

Wenn mehrere Adressraumbereiche benötigt werden, stellen Sie sicher, dass die angegebenen Bereiche sich nicht mit Bereichen anderer Netzwerke überschneiden, mit denen Sie eine Verbindung herstellen möchten. Azure leitet den angegebenen Adressbereich an die IP-Adresse des lokalen VPN-Geräts weiter

      • Subscription: Wählen Sie hier die richtige Subscription aus.
      • Resource group: Wählen Sie hier eine „Recource group“ aus. Sie können eine neue „Recource group“ erstellen oder eine vorhandene benutzen.
      • Location: Wählen Sie den Ort, an dem dieses Objekt erstellt werden soll. Sinnvoll wäre es, wenn Sie den gleichen Speicherort auswählen, in dem sich Ihr VNet befindet. Dies ist jedoch nicht erforderlich.

Azure_Local_Net_gw_conf

Erstellen eines Gateway Subnetzes

Das VPN-Gateway wird in einem bestimmten Subnetz des Netzwerkes bereitgestellt, das als Gateway-Subnetz bezeichnet wird. Die Größe des Gateway-Subnetzes, welche Sie auswählen können, hängt von der VPN-Gateway-Konfiguration ab, die Sie erstellen möchten.

Es ist zwar möglich, ein Gateway-Subnetz mit einer Größe von /29 zu erstellen, es wird jedoch empfohlen, ein größeres Subnetz mit weiteren Adressen zu erstellen, indem Sie /27 oder /28 auswählen, um zukünftige Konfigurationen zu

berücksichtigen.

1. Klicken Sie in der linken unteren Ecke des Azure-Portals aufMore services. Geben Sie in das SuchfeldVirtual Network ein und wählen Sie Virtual Network.

 virtual_network

2. Klicken sie auf das Virtuelle Netzwerk, in welchem Sie ein „Virtual Network Gateway“ erstellen wollen. In diesem Bespiel wurde „Sophos_Azure_VPN“ ausgewählt.

3. Klicken Sie im „Virtual Network“ Abschnitt unter Einstellungen auf Subnets.

4. Klicken sie im „Subnets“ Abschnitt auf +Gateway Subnets, um ein neues hinzuzufügen.

 gw_subnet_2

5. Konfigurieren Sie im Abschnitt Subnet hinzufügen den CIDR-Bereich des neuen Gateway-Subnetzes.

Gateway_subnet

 Erstellen eines VPN Gateways

1. Klicken Sie in der linken unteren Ecke des Azure-Portals auf More services. Geben Sie in das Suchfeld virtual network gateway ein und wählen Sie virtual network gateways aus.

 virtual_net_gw

2. Klicken Sie im Blade des virtuellen Netzwerk-Gateways auf „+Add“ und konfigurieren sie Folgendes im „Create virtual network gateway“ Blade:

      • Name: Benennen Sie Ihr Gateway. Dies ist nicht dasselbe wie die Benennung eines Gateway-Subnetzes. Dies ist der Name des Gateway-Objekts.
      • Gateway type: VPN
      • VPN type: Route-based (Dies ist ein Muss, um IKEv2 verwenden zu können)
      • SKU: Wählen Sie die Gateway-SKU aus der Dropdown-Liste.

 vpn_Gw_0

      • Location: Wählen Sie den gleichen Standort wie Ihr virtuelles Netzwerk (andernfalls wird das virtuelle Netzwerk nicht in der Liste angezeigt)
      • Virtual network: Wählen Sie das virtuelle Netzwerk aus, dem Sie dieses Gateway hinzufügen möchten.
  •  Klicken Sie auf „Virtual network“, um das Blade „ Choose a virtual network“ zu öffnen.
  •  Wählen Sie das zuvor im Gateway Subnet erstellte vNet aus. In diesem Beispiel ist das vNet  Sophos_Azure_VPN
      • Wenn Ihr VNet nicht angezeigt wird, vergewissern Sie sich, dass das Feld Location auf die Region verweist, in der sich Ihr virtuelles Netzwerk befindet.

        choose-Virtual-net

      • Public IP address: Sie benötigen eine öffentliche IP-Adresse. Gehen Sie folgendermaßen vor, um eine zu erhalten.
        • · Klicken Sie auf „First IP configuration“, um das

        • „Choose public IP“-Blade zu öffnen.
        • · Klicken Sie auf +Create New

      • Geben Sie im Feld „Create Public IP-Address“ einen Namen für Ihre öffentliche IP-Adresse ein und klicken Sie anschließend im unteren Bereich dieses Blade auf OK, um Ihre Änderungen zu speichern
        choose-IP.
      • Subscription: Überprüfen Sie, ob die richtige Subscription ausgewählt wurde
      • Klicken Sie auf „Create“, um mit dem Erstellen des VPN-Gateways zu beginnen

        vpn_Gw_2

Hinweis: Das Erstellen eines Gateways kann bis zu 45 Minuten dauern

3. Nachdem die Erstellung des VPN-Gateways erfolgreich abgeschlossen wurde, klicken Sie im Virtual Network Gateways-Blade auf die Schaltfläche Refresh, um das neu eingerichtete VPN-Gateway anzuzeigen.

refresh

4. Klicken Sie auf das zuvor erstellte VPN-Gateway, in diesem BeispielSophos_Azure_VPN_Gateway. Wählen Sie imVirtual Gateway-Blade des virtuellen Netzwerks die Option Overview, und notieren Sie sich die neu zugewiesene öffentliche IP-Adresse dieses Gateways.

 Public-IP_2

Einrichtung der VPN Verbindung

1. Klicken Sie in der linken unteren Ecke des Azure-Portals auf„More Services“. Geben Sie in das Suchfeld„Virtual network Gateway“ ein und wählen Sie „Virtual network gateways“ aus.

virtual_net_gw

2. Wählen Sie Ihr VPN-Gateway aus. Klicken Sie im „Virtual Network Gateway“ Blade auf Verbindungen und dann auf +Add.

 Add_connection

3. Konfigurieren Sie im „Add Connection Blade“ folgendes:

      • Name: Sophos_XG_ON_Prem_To_Azure (Geben Sie Ihren bevorzugten Namen ein).
      • Connection type: Site-to-site (IPSec).
      • Virtual network gateway: Der Wert ist festgelegt, da Sie eine Verbindung von diesem Gateway aus herstellen.
      • Local network gateway:
      • Klicken Sie auf „Choose a local network gateway“
      • Wählen sie im Fenster „Choose a local network gateway“ einen lokalen Netzwerk-Gateway aus, der zuvor erstellt wurde.

        create-connection_1

      • Shared key (PSK): Geben Sie einen komplexen gemeinsamen Schlüssel ein. Der hier angegebene Wert muss dem Wert entsprechen, der in der lokalen Sophos XG Firewall verwendet wird
      • Die verbleibenden Werte für Subscription, Resource group und Location sind festgelegt

        create-connection_2

 

· Klicken Sie auf OK, um Ihre Verbindung zu erstellen. Auf dem Bildschirm wird die Meldung Creating connection angezeigt.

 flash_2

Konfiguration der Sophos XG Firewall

1. Rufen Sie „ Hosts and Services > IP Host“ auf und klicken Sie auf Add, um lokale und remote Subnetze hinzuzufügen

LAN

remote_LAN

2. Rufen Sie „VPN > IPsec Connections“ auf, klicken Sie auf „Add“ und konfigurieren sie dort die Einstellungen wie folgt:

      • General Settings:
      • Name: Geben sie einen beliebigen Namen ein
      • IP Version: IPv4
      • Activate on Save: Ausgewählt
      • Description: Geben sie eine Beschreibung für die Verbindung ein
      • Connection Type: Site-to-Site
      • Gateway Type: Initiate the Connection

 respond_only

      • Encryption
      • Policy: Microsoft Azure
      • Preshared Key: Geben Sie den gleichen Preshared Key ein, den Sie beim Erstellen der VPN-Verbindung in Azure eingegeben haben
      • Repeat Preshared Key: Bestätigen sie den zuvor eingegebenen Preshared Key

 XG_2

      • Gateway Settings:
      • Listing Interface: Wählen sie das WAN Interface der Sophos XG Firewall aus
      • Gateway Address: Geben Sie die öffentliche IP-Adresse des zuvor notierten Azure VPN-Gateways ein.
      • Local ID: IP Adresse
      • Remote ID: IP Adresse
      • Local ID: Geben Sie die öffentliche IP-Adresse der lokalen Sophos XG Firewall ein
      • Remote ID: Geben Sie die öffentliche IP-Adresse des Azure VPN-Gateways ein, die Sie zuvor notiert haben.
      • Local Subnet: Geben Sie das zuvor erstellte lokale Subnetz ein. Dieses Subnetz befindet sich hinter der lokalen Sophos XG Firewall.
      • Remote Subnet: Geben Sie das zuvor erstellte Remotesubnetz ein. Dieses Subnetz befindet sich hinter dem virtuellen Azure-Netzwerk-Gateway.

 XG_3

      • Advanced: Standard Einstellungen

XG_4

3. Klicken sie auf Firewall > +Add Firewall Rule und wählen Sie User/Network Rule, um zwei Regeln für den ein- und ausgehenden VPN-Verkehr zu erstellen

 firewall

Ingress-traffic

egress-firewall

4. Stellen Sie sicher, dass diese beiden Regeln oben in der Liste stehen.

Verbindung prüfen

Klicken Sie in der linken unteren Ecke des Azure-Portals auf More Services. Geben Sie im SuchfeldVirtual Gateway ein und wählen Sie Virtual Network Gateway, um das zuvor erstellte VPN-Gateway auszuwählen.

Wählen Sie im Virtual Network Blade die Option Connections, und vergewissern Sie sich, dass der Status des Netzwerks „connected“ zeigt.

Results_1_1hf0VZBFAGb4ro

Klicken Sie auf die Verbindung, um den ein- und ausgehenden Datenverkehr zu überprüfen

 Results_266oi1XF82mIHp

Wechseln Sie in der Sophos XG Firewall zu Reports > VPN und überprüfen Sie die IPsec-Nutzung

results_33nz5GunqDXLli

 

Klicken Sie auf den Verbindungsnamen für weitere Details.

 results_4vvYDpNmdi4cTw

Hinweis:

  • In der lokalen XG-Firewall ist eine Schnittstelle mit einer öffentlichen, routingfähigen IP erforderlich, da das Azure NAT dies nicht unterstützt.
  • Azure muss das IKE_SA neu eingeben, indem es das abgelaufene IKE_SA löscht und eine neue Verbindung erstellt, was zu einigen Sekunden Ausfallzeit führt.
  • Azure neigt dazu, SHA1 zu verwenden, wenn es nicht von der lokalen XG-Firewall zur Verwendung von SHA2 erzwungen wird.

 

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.