Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-Amazon-VPC-create

Erstellen einer Amazon VPC-Site-to-Site-Verbindung

Sie können eine Site-to-Site-VPN-Verbindung zwischen Ihrem lokalen Netzwerk und Amazon Virtual Private Cloud (VPC) erstellen.

Einführung

In diesem Beispiel importieren Sie die AWS-Site-to-Site-VPN-Verbindungseinstellungen und stellen eine Verbindung zu Amazon VPC her. Hier wird die Amazon-VPC-Konfigurationsdatei verwendet, um die Einstellungen zu importieren, sowie BGP für dynamisches Routing. Das Netzwerkschema sieht wie folgt aus:

Amazon VPC connection network schema.

Voraussetzungen

Warnung

Diese Informationen waren zum Zeitpunkt der Veröffentlichung korrekt. Um sicherzustellen, dass Sie die aktuellsten Schritte befolgen, lesen Sie bitte die Amazon-Dokumentation. Siehe Folgendes:

Bevor Sie Amazon VPC mit der Sophos Firewall verbinden, müssen Sie eine AWS-Site-to-Site-VPN-Verbindung einrichten. Amazon VPC-Konsole.

Wenn Sie dynamisches Routing verwenden möchten, müssen Ihre AWS-Site-to-Site-VPN-Verbindungseinstellungen Folgendes enthalten:

  • Sie müssen konfigurieren Lokales IPv4-Netzwerk CIDR Und Remote IPv4 Network CIDR als 0.0.0.0/0 um BGP-Peering herzustellen.

  • Wenn Sie BGP bereits auf der Sophos Firewall konfiguriert haben Routing > BGP > Globale Konfiguration: Sie müssen die vorkonfigurierten Einstellungen Ihrer Firewall eingeben. Lokal AS Wert im BGP ASN Feld auf dem Kundenportal erstellen Seite in AWS.

    Hier ein Beispiel:

    Enter the firewall's ASN on the create customer gateway page in AWS.

Notiz

Wenn die BGP-Konfiguration in der BGP-CLI die Option „no bgp default ipv4-unicast“ enthält, wird das BGP-Peering nicht automatisch hergestellt.

In diesem Beispiel haben wir eine Amazon-Site-to-Site-VPN-Verbindung mit den folgenden Einstellungen konfiguriert:

Einstellung Wert
Name S2S VPN
Kundengateway-Adresse 52.140.0.99
Typ ipsec1
Routing Dynamisch
Lokales IPv4-Netzwerk CIDR 0.0.0.0/0
Remote IPv4 Network CIDR 0.0.0.0/0

Hier ein Beispiel für die Site-to-Site-VPN-Einstellungen und die Tunnelkonfigurationseinstellungen:

Amazon site-to-site VPN settings.

Laden Sie die Amazon VPC-Konfigurationsdatei herunter.

Sie müssen die Amazon Site-to-Site-VPN-Einstellungen als Konfigurationsdatei herunterladen, um sie in Ihre Firewall importieren zu können. Gehen Sie dazu wie folgt vor:

  1. Öffne die Amazon VPC-Konsole.
  2. Gehe zu Virtuelles privates Netzwerk (VPN) > Site-to-Site-VPN-Verbindungen.
  3. Wählen S2S VPN.
  4. Klicken Download-Konfiguration.

  5. Wählen Sie die folgenden Einstellungen aus und klicken Sie auf Herunterladen:

    Einstellung Wert
    Verkäufer Sophos
    Plattform Sophos Firewall
    Software v19+
    Ike-Version ikev2

    Click Download.

Passen Sie die Konfigurationsdatei an

Die Konfigurationsdatei dient lediglich als Beispiel und entspricht möglicherweise nicht Ihren gewünschten Einstellungen für die Site-to-Site-VPN-Verbindung. Sie müssen die Beispielkonfigurationsdatei anpassen, um zusätzliche Sicherheitsalgorithmen, Diffie-Hellman-Gruppen, private Zertifikate und IPv6-Datenverkehr nutzen zu können.

In diesem Beispiel befindet sich die Firewall hinter dem ISP-Modem, daher müssen Sie die Firewall ändern. tunnel_outside_address Geben Sie einen Wert ein, der der IP-Adresse der WAN-Schnittstelle Ihrer Firewall entspricht. Gehen Sie wie folgt vor:

  1. Öffnen Sie die VPC-Konfigurationsdatei in einem Texteditor.

    Hier ein Beispiel:

    Example VPC configuration file.

  2. Suchen Sie die folgenden Zeilen:

    <tunnel_outside_address> <ipfamily>IPv4</ipfamily> <ip_address>52.140.0.99</ip_address> </tunnel_outside_address>

    Notiz

    In diesem Beispiel erscheinen diese Zeilen zweimal, da in der VPC-Konsole zwei Tunnel konfiguriert sind. Jeder Tunnel hat seine eigene Konfiguration innerhalb einer einzigen AWS-Site-to-Site-VPN-Beispielkonfigurationsdatei. Sie müssen die Einstellungen für jeden Tunnel anpassen.

  3. Ändern Sie beide Vorkommen von ip_address Zu 10.38.2.4Sie müssen mit der IP-Adresse der WAN-Schnittstelle Ihrer Firewall übereinstimmen:

    <ip_address>10.38.2.4</ip_address>

  4. Änderungen speichern und beenden.

Importieren Sie die Amazon VPC-Einstellungen in die Sophos Firewall.

Um die Konfigurationsdatei in die Sophos Firewall zu importieren, gehen Sie wie folgt vor:

  1. Melden Sie sich bei der Sophos Firewall an.
  2. Gehe zu Site-to-Site-VPN > Amazon VPC.
  3. Wählen VPC-Konfigurationsdatei verwenden.
  4. Klicken Durchsuchen.
  5. Wählen Sie die Konfigurationsdatei aus und klicken Sie auf Offen.

  6. Klicken Import.

    Use VPC configuration file.

Die Sophos Firewall erstellt automatisch die IPsec-Profile, BGP-Einstellungen und XFRM-Schnittstellen anhand der aus der Konfigurationsdatei importierten Einstellungen. Die Verbindungen werden angezeigt in Amazon VPC-Verbindungen und werden automatisch aktiviert. Informationen zum Auffinden und Bestätigen der automatisch erstellten Einstellungen finden Sie in den folgenden Dokumenten:

Fügen Sie das lokale Subnetz zu den BGP-Netzwerken hinzu.

Um BGP-Routen zwischen Ihrem Netzwerk und Amazon VPC einzurichten, müssen Sie das lokale Subnetz zu Ihren BGP-Netzwerken hinzufügen. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Routing > BGP > Netzwerke.
  2. Klicken Hinzufügen.
  3. Für IPv4/Netzmaske, eingeben 10.38.1.0.
  4. Wählen /24(255.255.255.0) aus dem Dropdown-Menü.
  5. Klicken Speichern.

Aktivieren Sie das dynamische Routing für die VPN-Zone.

Sie müssen das dynamische Routing für die VPN-Zone aktivieren, damit die Sophos Firewall BGP-Routing mit Amazon VPC verwenden kann. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Wählen Dynamisches Routing für die VPN Zone.

    Turn on Dynamic Routing for the VPN zone.

  3. Klicken Anwenden.

IP-Hosts erstellen

Sie müssen IP-Hosts für die lokalen und entfernten Subnetze erstellen, die diese Verbindung nutzen sollen, damit Sie diese für Firewall-Regeln auswählen können.

Um IP-Hosts für Ihre Subnetze zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Gastgeber und Dienstleistungen > IP-Host und klicken Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Name LAN-lokal
    IP-Version IPv4
    Typ Netzwerk
    IP-Adresse 10.38.1.0
    Subnetz /24(255.255.255.0)

  3. Klicken Speichern.

  4. Klicken Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Name LAN-VPC
    IP-Version IPv4
    Typ Netzwerk
    IP-Adresse 10.10.0.0
    Subnetz /24(255.255.255.0)

  6. Klicken Speichern.

Erstellen Sie Firewall-Regeln für VPN-Datenverkehr

Sie müssen ausgehende und eingehende Firewall-Regeln erstellen, um den Datenverkehr zwischen Ihrem lokalen Netzwerk und Amazon VPC zu ermöglichen.

Um eine Firewall-Regel für ausgehenden VPN-Datenverkehr zu erstellen, gehen Sie wie folgt vor:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken IPv4, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.
  3. Eingeben LAN_VPN_allow im Regelname Feld und Auswahl Firewall-Verkehr protokollieren.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Quellzonen UND
    Quellnetzwerke und Geräte LAN-lokal
    Zielzonen VPN
    Zielnetzwerke LAN-VPC
    Dienstleistungen Beliebig

  5. Klicken Speichern.

Um eine Firewall-Regel für eingehenden VPN-Datenverkehr zu erstellen, gehen Sie wie folgt vor:

  1. Klicken IPv4, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.
  2. Eingeben VPN_LAN_allow im Regelname Feld und Auswahl Firewall-Verkehr protokollieren.

  3. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Quellzonen VPN
    Quellnetzwerke und Geräte LAN-VPC
    Zielzonen UND
    Zielnetzwerke LAN-lokal
    Dienstleistungen Beliebig

  4. Klicken Speichern.

Hier ein Beispiel:

Example of VPN firewall rules.

Tunnelstatus prüfen

Den Tunnelstatus können Sie in der Sophos Firewall und der AWS VPC-Konsole überprüfen.

  1. Gehe zu Site-to-Site-VPN > Amazon VPC > Amazon VPC-Verbindungen.

  2. Vergewissern Sie sich, dass die Tunnel aktiv und verbunden sind. Dies geschieht automatisch beim Import der AWS-Site-to-Site-VPN-Einstellungen.

    Hier ein Beispiel:

    Amazon VPC Connections.

  3. Gehe zu Routing > Information > BGP.

  4. Wählen Sie aus den folgenden Optionen:

    Option Beschreibung
    Nachbarn Zeigt die BGP-Nachbardetails an.
    Routen Zeigt die dynamisch gelernten Routen an.
    Zusammenfassung Zeigt die BGP-Peer-IP-Adressinformationen, die Betriebszeit sowie gesendete und empfangene Nachrichten an.
  1. Gehe zu Virtuelles privates Netzwerk (VPN) > Site-to-Site-VPN-Verbindungen.
  2. Wählen S2S VPN.
  3. Klicken Tunneldetails.

  4. Bestätigen Sie, dass Status ist „UP“ und dass BGP-Routen eingerichtet sind.

    Hier ein Beispiel:

    VPC console tunnel details.

Traffic generieren

Sie können überprüfen, ob Datenverkehr über die VPC-Verbindung fließt, indem Sie von einem Gerät in Ihrem lokalen Netzwerk einen Ping an eine Amazon VPC-Ressource senden. Das folgende Beispiel zeigt einen erfolgreichen Ping von 10.38.1.8 im lokalen Netzwerk zu 10.10.0.8 in Amazon VPC.

Ping to generate traffic.

Weitere Informationen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen