Zur Startseite gehen
0,00 €*

Erstellen einer Amazon VPC Site-to-Site-Verbindung

Sie können eine Site-to-Site-VPN-Verbindung zwischen Ihrem lokalen Netzwerk und Amazon Virtual Private Cloud (VPC) erstellen.

Einführung

In diesem Beispiel importieren Sie die AWS Site-to-Site-VPN-Verbindungseinstellungen und stellen eine Verbindung zu Amazon VPC her. In diesem Beispiel werden die Einstellungen und BGP für dynamisches Routing über die Amazon VPC-Konfigurationsdatei importiert. Hier ist das Netzwerkschema:

Amazon VPC connection network schema.

Voraussetzungen

Warnung

Diese Informationen waren zum Zeitpunkt der Erstellung korrekt. Um sicherzustellen, dass Sie die aktuellsten Schritte befolgen, lesen Sie die Amazon-Dokumentation. Siehe Folgendes:

Bevor Sie Amazon VPC mit der Sophos Firewall verbinden, müssen Sie eine AWS Site-to-Site-VPN-Verbindung auf dem Amazon VPC-Konsole.

Wenn Sie dynamisches Routing verwenden möchten, müssen Ihre AWS-Site-to-Site-VPN-Verbindungseinstellungen Folgendes enthalten:

  • Sie müssen konfigurieren Lokales IPv4-Netzwerk CIDR Und Remote-IPv4-Netzwerk-CIDR als 0.0.0.0/0 um BGP-Peering einzurichten.

  • Wenn Sie BGP bereits auf der Sophos Firewall konfiguriert haben, Routenplanung > BGP > Globale Konfigurationmüssen Sie die vorkonfigurierten Einstellungen Ihrer Firewall eingeben. Lokales AS Wert in der BGP-ASN Feld auf dem Kunden-Gateway erstellen Seite in AWS.

    Hier ist ein Beispiel:

    Enter the firewall's ASN on the create customer gateway page in AWS.

Notiz

Wenn die BGP-Konfiguration in der BGP-CLI „kein BGP-Standard-IPv4-Unicast“ enthält, wird das BGP-Peering nicht automatisch hergestellt.

In diesem Beispiel haben wir eine Amazon Site-to-Site-VPN-Verbindung mit den folgenden Einstellungen konfiguriert:

Einstellung Wert
Name S2S VPN
Kunden-Gateway-Adresse 52.140.0.99
Typ ipsec1
Routenplanung Dynamisch
Lokales IPv4-Netzwerk CIDR 0.0.0.0/0
Remote-IPv4-Netzwerk-CIDR 0.0.0.0/0

Hier ist ein Beispiel für die Site-to-Site-VPN-Einstellungen und die Tunnelkonfigurationseinstellungen:

Amazon site-to-site VPN settings.

Laden Sie die Amazon VPC-Konfigurationsdatei herunter

Sie müssen die Amazon Site-to-Site-VPN-Einstellungen als Konfigurationsdatei herunterladen, damit Sie sie in Ihre Firewall importieren können. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie das Amazon VPC-Konsole.
  2. Gehe zu VIRTUELLES PRIVATES NETZWERK (VPN) > Site-to-Site-VPN-Verbindungen.
  3. Wählen S2S VPN.
  4. Klicken Konfiguration herunterladen.

  5. Wählen Sie die folgenden Einstellungen und klicken Sie auf Herunterladen:

    Einstellung Wert
    Verkäufer Sophos
    Plattform Sophos Firewall
    Software Version 19+
    Ike-Version ikev2

    Click Download.

Anpassen der Konfigurationsdatei

Die Konfigurationsdatei dient lediglich als Beispiel und entspricht möglicherweise nicht Ihren gewünschten Einstellungen für die Site-to-Site-VPN-Verbindung. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche Sicherheitsalgorithmen, Diffie-Hellman-Gruppen, private Zertifikate und IPv6-Verkehr nutzen zu können.

In diesem Beispiel befindet sich die Firewall hinter dem ISP-Modem, daher müssen Sie die tunnel_outside_address Wert so, dass er mit der IP-Adresse der WAN-Schnittstelle Ihrer Firewall übereinstimmt. Gehen Sie wie folgt vor:

  1. Öffnen Sie die VPC-Konfigurationsdatei in einem Texteditor.

    Hier ist ein Beispiel:

    Example VPC configuration file.

  2. Suchen Sie die folgenden Zeilen:

    <tunnel_outside_address> <ipfamily>IPv4</ipfamily> <ip_address>52.140.0.99</ip_address> </tunnel_outside_address>

    Notiz

    In diesem Beispiel erscheinen diese Zeilen zweimal, da in der VPC-Konsole zwei Tunnel konfiguriert sind. Jeder Tunnel verfügt über eine eigene Konfiguration in einer einzelnen AWS Site-to-Site VPN-Beispielkonfigurationsdatei. Sie müssen die Einstellungen für jeden Tunnel ändern.

  3. Ändern Sie beide Vorkommen von ip_address Zu 10.38.2.4. Sie müssen mit der IP-Adresse der WAN-Schnittstelle Ihrer Firewall übereinstimmen:

    <ip_address>10.38.2.4</ip_address>

  4. Speichern Sie die Änderungen und beenden Sie das Programm.

Importieren Sie die Amazon VPC-Einstellungen in die Sophos Firewall

Um die Konfigurationsdatei in die Sophos Firewall zu importieren, gehen Sie wie folgt vor:

  1. Melden Sie sich bei der Sophos Firewall an.
  2. Gehe zu Site-to-Site-VPN > Amazon VPC.
  3. Wählen VPC-Konfigurationsdatei verwenden.
  4. Klicken Durchsuchen.
  5. Wählen Sie die Konfigurationsdatei aus und klicken Sie auf Offen.

  6. Klicken Import.

    Use VPC configuration file.

Die Sophos Firewall erstellt automatisch die IPsec-Profile, BGP-Einstellungen und XFRM-Schnittstellen anhand der aus der Konfigurationsdatei importierten Einstellungen. Die Verbindungen werden in Amazon VPC-Verbindungen und werden automatisch aktiviert. Informationen zum Auffinden und Bestätigen der automatisch erstellten Einstellungen finden Sie in den folgenden Dokumenten:

Fügen Sie das lokale Subnetz zu BGP-Netzwerken hinzu

Um BGP-Routen zwischen Ihrem Netzwerk und Amazon VPC einzurichten, müssen Sie das lokale Subnetz zu Ihren BGP-Netzwerken hinzufügen. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Routenplanung > BGP > Netzwerke.
  2. Klicken Hinzufügen.
  3. Für IPv4/Netzmaske, eingeben 10.38.1.0.
  4. Wählen /24(255.255.255.0) aus dem Dropdown-Menü.
  5. Klicken Speichern.

Aktivieren Sie das dynamische Routing für die VPN-Zone

Sie müssen dynamisches Routing für die VPN-Zone der Sophos Firewall aktivieren, um BGP-Routing mit Amazon VPC zu verwenden. Gehen Sie dazu wie folgt vor:

  1. Gehe zu Verwaltung > Gerätezugriff.

  2. Wählen Dynamisches Routing für die VPN Zone.

    Turn on Dynamic Routing for the VPN zone.

  3. Klicken Anwenden.

IP-Hosts erstellen

Sie müssen IP-Hosts für die lokalen und Remote-Subnetze erstellen, die diese Verbindung verwenden, damit Sie sie für Firewall-Regeln auswählen können.

Gehen Sie wie folgt vor, um IP-Hosts für Ihre Subnetze zu erstellen:

  1. Gehe zu Gastgeber und Dienste > IP-Host und klicken Sie auf Hinzufügen.

  2. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Name LAN-Lokal
    IP-Version IPv4
    Typ Netzwerk
    IP-Adresse 10.38.1.0
    Subnetz /24(255.255.255.0)

  3. Klicken Speichern.

  4. Klicken Hinzufügen.

  5. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Name LAN-VPC
    IP-Version IPv4
    Typ Netzwerk
    IP-Adresse 10.10.0.0
    Subnetz /24(255.255.255.0)

  6. Klicken Speichern.

Erstellen Sie Firewall-Regeln für VPN-Verkehr

Sie müssen ausgehende und eingehende Firewall-Regeln erstellen, um den Datenverkehr zwischen Ihrem lokalen Netzwerk und Amazon VPC zuzulassen.

Gehen Sie wie folgt vor, um eine Firewall-Regel für ausgehenden VPN-Verkehr zu erstellen:

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Klicken IPv4auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
  3. Eingeben LAN_VPN_allow im Regelname und wählen Sie Firewall-Datenverkehr protokollieren.

  4. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Quellzonen UND
    Quellnetzwerke und -geräte LAN-Lokal
    Zielzonen VPN
    Zielnetzwerke LAN-VPC
    Leistungen Beliebig

  5. Klicken Speichern.

Gehen Sie wie folgt vor, um eine Firewall-Regel für eingehenden VPN-Verkehr zu erstellen:

  1. Klicken IPv4auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
  2. Eingeben VPN_LAN_allow im Regelname und wählen Sie Firewall-Datenverkehr protokollieren.

  3. Legen Sie die Einstellungen fest.

    Einstellung Wert
    Quellzonen VPN
    Quellnetzwerke und -geräte LAN-VPC
    Zielzonen UND
    Zielnetzwerke LAN-Lokal
    Leistungen Beliebig

  4. Klicken Speichern.

Hier ist ein Beispiel:

Example of VPN firewall rules.

Bestätigen Sie den Tunnelstatus

Sie können den Tunnelstatus auf der Sophos Firewall und der AWS VPC-Konsole überprüfen.

  1. Gehe zu Site-to-Site-VPN > Amazon VPC > Amazon VPC-Verbindungen.

  2. Stellen Sie sicher, dass die Tunnel aktiv und verbunden sind. Dies geschieht automatisch, wenn Sie die AWS Site-to-Site-VPN-Einstellungen importieren.

    Hier ist ein Beispiel:

    Amazon VPC Connections.

  3. Gehe zu Routenplanung > Information > BGP.

  4. Wählen Sie aus den folgenden Optionen:

    Option Beschreibung
    Nachbarn Zeigt die BGP-Nachbardetails.
    Routen Zeigt die dynamisch erlernten Routen.
    Zusammenfassung Zeigt die IP-Adressinformationen des BGP-Peers, die Betriebszeit sowie gesendete und empfangene Nachrichten an.
  1. Gehe zu VIRTUELLES PRIVATES NETZWERK (VPN) > Site-to-Site-VPN-Verbindungen.
  2. Wählen S2S VPN.
  3. Klicken Tunneldetails.

  4. Bestätigen Sie, dass Status ist „UP“ und BGP-Routen sind eingerichtet.

    Hier ist ein Beispiel:

    VPC console tunnel details.

Traffic generieren

Sie können bestätigen, dass Datenverkehr über die VPC-Verbindung fließt, indem Sie von einem Gerät in Ihrem lokalen Netzwerk einen Ping an eine Amazon VPC-Ressource senden. Das folgende Beispiel zeigt einen erfolgreichen Ping von 10.38.1.8 im lokalen Netzwerk zu 10.10.0.8 in Amazon VPC.

Ping to generate traffic.

Weitere Informationen

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung