BlogVPN On-Premise-to-Azure mit Sophos

VPN On-Premise-to-Azure mit Sophos

IPSEC-VPN mit Azure-Bordmitteln und Sophos einrichten

Nahezu alle Unternehmen, die eine Cloud-Einführung in der Migrationsphase vollzogen haben und ggf. auch danach ein hybrides Betriebsmodell nutzen, dehnen ihr eigenes Rechenzentrum sicher in die Cloud aus, um bei Bedarf Compute-Kapazität aus der Cloud nutzen zu können. Trifft das auch für dich zu, brauchst du ein Site-2-Site-VPN für Azure-to-On-Premise. Auf Azure-Seite gibt es dazu einen PaaS-Dienst. Wie du diesen auf On-Premise-Seite mit Windows-Server anbietest, haben wir dir bereits in einem anderen Beitrag erklärt. Für den produktiven Einsatz solltest du aber besser eine zertifizierte Drittanbieter-Lösung nutzen. Dieser Beitrag zeigt, wie du dazu mit Sophos eine vielfach erprobte Software einsetzen kannst.

Wir haben dir https://incas-training.de/blog/vpn-on-premise-to-azure-fuer-kleine-unternehmen/ hier bereits gezeigt, wie das VPN-Gateway in Azure funktioniert, welche SKUs existieren, wie du es bereitstellst und schließlich, wie du es für eine On-Premise-VPN-Verbindung nutzt, wenn du auf der Unternehmensseite aus Kostengründen oder für einen schnellen Proof-of-Concept lediglich ein Windows-Server-basiertes Selbstbau-VPN-Gateway einsetzt. Auf dieser Basis erstellen wir nun eine Lösung mit einer Sophos-XG-basierten virtuellen Applicance.

Um die Adress-Bereiche für die On-Premise-Seite und Azure auf einem Blick deutlich unterscheiden zu können, verwenden wir für Azure ein Netzwerk mit dem Adressbereich 172.17.0.0/16 (das Subnetz für das VPN-Gateway wird per Knopfdruck später automatisch erstellt) und für die On-Premise-Seite 10.0.0.0/16. Die On-Premise-Seite für diese Demo ist sozusagen „ge-faked“, wird also auch in einem Azure-VNet mit dem Namen „VNET“ betrieben. Dieses enthält zwei Subnetze „WAN“ (10.0.1.0/24) und „LAN“ /10.0.2.0/24). Für das Beispiel müssen wir daher lediglich das gewünschte Ziel-Netzwerk in Azure mit dem Adressbereich 172.17.0.0/16 erstellen, darin ein Workload-Subnetz „Subnet-0“ (172.17.0.0/24) und dann das Gateway-Subnet aktivieren. Das Ergebnis sieht so aus:

Das Gateway-Subnetz für das Azure-VPN-Gateway

Ist das erledigt, können wir darin das Azure-VPN-Gateway erstellen.

Das Erstellen eines Azure-VPN

Wir verwenden erneut den kleinstmöglichen Routen-basierten Typ und erstellen eine neue öffentliche IP-Adresse. Auf den Active-/Active-Modus (samt zweiter öffentlicher IP) und BGP können wir für dieses Beispiel verzichten. Das „ge-fakte“ On-premise Netzwerk haben wir mit dem Adresse-Bereich 10.0.0.0/16 und darin einer Sophos-XG-Appliance bereits bereitgestellt. Dieser Artikel hat nicht das Sophos-Deployment zum Ziel, sondern die Konfiguration der Appliance. Nachstellen kannst du das Beispiel also nur, wenn du über eines Sophos-Applenae verfügst.

Sophos-Initial-Setup

Ermittle zunächst die öffentliche IP-Adresse deiner Sophos-Appliance. In unserem Beispiel ist das 20.237.158.126. Diese öffentliche IP-Adresse ist dem virtuellen Computer „XG-Firewall“ zugeordnet.

Die öffentliche IP-Adresse der Sophos-Appliance

Verbinde dich über HTTPS mit dieser Public-IP und dem Port 4444 mit dem Sophos-XG-Firewall-Webinterface und melde dich mit deinen Credentials an.

Das Anmelden am Sophos-Control-Center

Hast Du deine Firewall neu bereitgestellt, muss du erst die Lizenzbestimmungen akzeptieren. Für die Demo verwenden wir „I do not want to register now“, um ohne Registrierung testen zu können . Du landest im „Control center“.

Das Control-Center der Sophos-Appliance

Notiere dir die öffentliche IP-Adresse deines Azure-VPN-Gateways und wechsele im Sophos-Control-Center zu „Configure / Site-to-Site VPN“, klicke auf „Add“ und wähle unter „IPsec connections“ einen Namen (z. B. „On-Prem_to_Azure“). Im Abschnitt „Encryption“ wähle bei „Profile“ „Microsoft Azure [IKEv2]“, sowie bei „Authentication type“ den Eintrag „Preshared Key“ und lege dann einen möglichst komplexen Schlüssel fest.

Der Encryption-Settings für IPSec. Nur in der Demo verwenden wir einen simplen Key

Im Abschnitt “Gateway Settings” nimmst du als „Listening interface“ „PortB -10.0.1.4“, bei „Load ID type“ den Eintrag „ip adress“, ebenso bei „Remote ID type“ und trägst darunter die zugehörigen IP-Adressen ein, d. h. 10.0.0.0 für „Local ID“ und „172.17.0.0“ für „Remote ID“. Die mit „Add“ noch anzulegenden Subnetze benennst du z. B, mit „Local Subnet“  und „Azure Subnet“ und die Subnetz-Größe legst du z. B. auf /16 fest. Die „Gateway adress“ ist die notierte öffentliche IP deines Azure-VPN-Gateways.

Die Gateway-Settings deiner Appliance

Bei “Advanced” kannst du die Default-Einstellungen belassen und dann auf „Save“ klicken. Die Verbindung wird sofort aktiviert und der Status sieht vorerst so aus, wie in folgender Abbildung, weil die Azure-Seite noch nicht konfiguriert ist.

Die Sophos-Firewall wartet auf den Aufbau der Verbindung von Azure-Seite

Azure Local Network Gateway

Nun kannst du das Local-Network-Gateway in Azure als „Repräsentant“ der Sophos-Appliance mit der öffentlichen IP-Adresse der Sophos-Appliance anlegen: Als „Adressraum“ für das zu erreichenden, „ge-fakte“ lokale Netzwerk nimmst du dann „10.0.0.0/16“.

Das Local network Gateway in Azure

VPN-Gateway-Konfiguration

Sobald dein Azure-VPN-Gateway erfolgreich bereitgestellt wurde (kann bis zu 40 min dauern) füge eine neue Verbindung vom Typ „Standort-zu-Standort (IPsec)“ mit einem passenden Namen, z. B. „Azure_to_On_Premise“ hinzu.

Eine neue Site-to-Site-Verbindung in Azure Virtual Network Gateway

Gehe dann weiter zu „Einstellungen“ und wähle für die zu „verknüpfenden“ Endpunkte einmal das VPN-Gateway (für die Azure-Seite) und einmal das Local Network Gateway“ für die On-Premise-Seite aus. Dann trage bei „Gemeinsam zu verwendender Schlüssel (PSK)“ den gleichen PreShared-Key ein, den du in der Sophos-Appliance verwendet hast, wähle bei „IKE-Protokoll“ den Eintrag „IKEv2“ und übernimm ansonsten die Defaults.

Die IPSec-Einstellungen deiner Site-to-Site-Connection

Klicke auf “Überprüfen und Erstellen“ und prüfe nach einigen Minuten, ob die Verbindung sowohl in der Sophos-Appliance, als auch im Azure Local Network Gateway sowie im Azure Gateway für virtuelle Netzwerke zustande kommt. Du kannst die „Verbindung“ auch im Azure-Portal sehen.

Kontakt

Dein INCAS Team
Akkordion öffnen
telephone-icon-contact-coaching-box
0800 4772466
email-icon-contact-coaching-box
info@incas-training.de

*“ zeigt erforderliche Felder an

Hidden
Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Schlagwörter

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme männlich
Philipp M.
Wacom Europe GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Sehr gute Organisation, guter Trainer - alles super!
Kundenstimme männlich
Torsten B.
Westdeutscher Rundfunk WDR
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat nicht nur Spaß gemacht, sondern auch wirklich 'ne Menge gebracht :-)
Kundenstimme männlich
Nina P.
GEUTEBRÜCK GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat meine Erwartungen voll erfüllt. Man hat gemerkt, dass der Trainer Spaß an der Sache und sehr viel Ahnung vom Thema hat. Das Gefühl hat man nicht in allen Schulungen (auf Schulungen im Allgemeinen bezogen).
Kundenstimme männlich
Lucas F.
Fa. Feld Textil GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Kann man nur weiterempfehlen! In kürzestem Zeitraum lernt man alle Basisdaten konkret und ausführlich.