Visión general

Microsoft Azure admite dos tipos de puerta de enlace VPN: basada en rutas y en políticas. Para usar IKEv2, debe seleccionar la puerta de enlace VPN de Azure basada en la ruta.

Este artículo describe los pasos para configurar un sitio a sitio VPN IPsec con múltiples SA a una puerta de enlace VPN de Azure basada en rutas. 

Se aplica a los siguientes productos y versiones de
Sophos Sophos Firewall v17

 

Configurar Azure

Crear una puerta de enlace de red local

La puerta de enlace de la red local generalmente se refiere a la ubicación local. Necesitará la dirección IP pública de Sophos XG Firewall y sus espacios de direcciones IP privadas.

  1. Inicie sesión en Microsoft Azure y haga clic en  Todos los servicios . En el cuadro de búsqueda, escriba  las puertas de enlace de la red local  y seleccione Puertas de enlace de la red local .







  2. En el blade de pasarelas de red local , haga clic en + agregar y configure lo siguiente en el blade de pasarela de red local Crear :
    • Nombre : On_Prem_Sophos_XG_Firewall (Puede elegir cualquier nombre preferido).
    • Dirección IP : especifique la dirección IP pública de Sophos XG Firewall.
    • Espacio de direcciones : especifique los rangos de direcciones locales. Si se necesitan múltiples rangos de espacio de direcciones, asegúrese de que los rangos especificados aquí no se superpongan con los rangos de otras redes a las que desea conectarse. Azure enrutará el rango de direcciones especificado a la dirección IP del dispositivo VPN local.
    • Suscripción : Seleccione o verifique la suscripción correcta.
    • Grupo de recursos : seleccione el grupo de recursos, puede crear un nuevo grupo de recursos o seleccionar uno existente.
    • Ubicación : seleccione la ubicación en la que se creará este objeto. Es posible que desee seleccionar la misma ubicación en la que reside su red virtual, pero no es obligatorio que lo haga.



Crear una subred de puerta de enlace



La puerta de enlace VPN se implementa en una subred específica de su red llamada la subred de puerta de enlace . El tamaño de la subred de la puerta de enlace que especifique depende de la configuración de la puerta de enlace de la VPN que desee crear. Si bien es posible crear una subred de Gateway tan pequeña como / 29, se recomienda crear una subred más grande que incluya más direcciones al seleccionar / 27 o / 28 para poder acomodar futuras configuraciones. 

  1.  Ir a todos los servicios . En el cuadro de búsqueda, escriba Redes virtuales y seleccione Redes virtuales .  






  2.  Haga clic en la red virtual para la que desea crear una puerta de enlace de red virtual, en este ejemplo,  se utiliza Sophos_Azure_vnet .
  3. En la hoja de red virtual , en Configuración , haga clic en Subredes .
  4. En la hoja de subredes , haga clic en la subred + Gateway para agregar una nueva.  




En la hoja Agregar subred , configure el rango CIDR de la nueva subred de puerta de enlace.







Crear la puerta de enlace VPN

Ir a  todos los servicios . En el cuadro de búsqueda, escriba Puertas de enlace de red virtual y seleccione Puertas de enlace de red virtual 


 


En el blade de pasarelas de red virtual , haga clic en + Agregar  y configure lo siguiente en el blade de gateway de red virtual Crear :

  • Nombre: Nombre su puerta de enlace. Esto no es lo mismo que nombrar una subred de puerta de enlace. Es el nombre del objeto de puerta de enlace que está creando.
  • Tipo de pasarela: VPN.
  • Tipo de VPN : basado en la ruta (esto DEBE poder utilizar IKEv2).
  • SKU : seleccione el SKU de la puerta de enlace de la lista desplegable. Para obtener más información sobre los SKU de puerta de enlace, consulte SKU de puerta de enlace .









  • Red virtual : elija la red virtual a la que desea agregar esta puerta de enlace.
    • Haga clic en Red virtual para abrir la hoja Elegir una red virtual .
    • Seleccione la vNet que creó anteriormente en la subred Gateway. En este ejemplo, la vNet es Sophos_Azure_vnet creada anteriormente.
    • Si no ve su red virtual, asegúrese de que el campo Ubicación apunte a la región en la que se encuentra su red virtual.


    •  




  • Dirección IP pública : necesita una dirección IP pública. Haga lo siguiente para obtener uno.
    • Seleccione Crear nuevo para crear un nuevo recurso de IP público (puede seleccionar Usar existente para usar un recurso de IP público existente)
    • Ingrese un nombre para su dirección IP pública
    • La SKU de la dirección IP pública generalmente se selecciona automáticamente en función de su SKU de VPN Gateway.
  • Suscripción: Verifique que se muestra la suscripción correcta.
  • Ubicación: seleccione la misma ubicación que su red virtual (de lo contrario, la red virtual no se mostrará en la lista).
  • Haga clic en Crear para comenzar a crear la puerta de enlace VPN.  











  • Nota:  Crear una puerta de enlace puede demorar hasta 45 minutos.

  1.  Una vez que la creación de la puerta de enlace VPN se haya completado con éxito, haga clic en el botón Actualizar en la hoja de las puertas de enlace de la red virtual para mostrar la puerta de enlace VPN recién implementada.


  1. Haga clic en la 

    puerta de enlace VPN creada anteriormente, en este ejemplo, TE_Sophos_Azure_VPN_Gateway. En la hoja de la puerta de enlace de red virtual , seleccione Información general y tome nota de la dirección IP pública recién asignada de esta puerta de enlace.

     

Crea la conexión VPN

En la esquina superior derecha, haga clic en el icono de Cloud Shell.





  1.  Se abrirá un nuevo panel debajo de su ventana existente, seleccione PowerShell

     

  2. Si es la primera vez que usa Cloud Shell, se le solicitará que cree una cuenta de almacenamiento, haga clic en Crear almacenamiento.






  2. Establezca las siguientes variables reemplazando los valores con los valores de su entorno
    $resourcegroup = "name_of_the resource_group_for_the_connection"
    $vpngw = "name_of_the_azure_vpn_gateway_created_earlier"
    $localgw = "name_of_azure_local_gateway_created_earlier"
    $vpnconnection = "name_for_the_vpn_connection"
    $location = "location_of_the_vpn_connection"




    Cree la política de IPsec que se utilizará para la conexión$ipsecpolicy = New-AzureRmIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA256 -DhGroup DHGroup2 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 27000


 


Obtenga la puerta de enlace de red virtual y los recursos de la puerta de enlace de red local y almacénelos en una variable

$vnetgateway = Get-AzureRmVirtualNetworkGateway -Name $vpngw -ResourceGroupName $resourcegroup
$localgateway = Get-AzureRmLocalNetworkGateway -Name $localgw -ResourceGroupName $resourcegroup






Cree la conexión VPN y establezca el parámetro UsePolicyBasedTrafficSelectors en verdadero (Reemplace "shared_secret_key" con su valor de clave secreta compartida)

New-AzureRmVirtualNetworkGatewayConnection -Name $vpnconnection -ResourceGroupName $resourcegroup -VirtualNetworkGateway1 $vnetgateway -LocalNetworkGateway2 $localgateway -Location $location -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy -SharedKey 'shared_secret_key'










Configurar Sophos XG Firewall     

  1. Vaya a VPN> Políticas IPsec para clonar la política predeterminada de Microsoft Azure .



En la política clonada de Microsoft Azure, deshabilite la conexión de nueva clave . En la sección Detección de pares muertos , establezca Cuando no se puede alcanzar a compañeros a Desconectar . Mantener el resto como es. Hacemos esto porque Azure no admite volver a teclear desde el interlocutor remoto y el tipo de puerta de enlace se configurará en Responder solo . Haga clic en Guardar .


  1. Vaya a VPN> Conexiones IPsec , seleccione Agregar  y configure las siguientes configuraciones:
    • Configuración general:
      • Nombre : Ingrese cualquier nombre preferido.
      • Versión IP : IPv4.
      • Activar en Guardar: Seleccionado.
      • Crear regla de firewall : Seleccionado.
      • Descripción : Agregar una descripción para la conexión.
      • Tipo de conexión : sitio a sitio.
      • Tipo de puerta de enlace : responder solo.  
    • cifrado :
      • Política : El recientemente clonado de Microsoft Azure.
      • Tipo de autenticación : Clave previamente compartida.
      • Clave previamente compartida : ingrese la misma clave previamente compartida que ingresó al crear la conexión VPN en Azure.
      • Repetir clave precompartida : confirme la clave precompartida anterior.  
    • Configuración de la puerta de enlace :
      • Interfaz de escucha : seleccione la interfaz WAN de Sophos XG Firewall.
      • Dirección de la puerta de enlace : ingrese la IP pública de la puerta de enlace VPN de Azure mencionada anteriormente.
      • Sub local t: Seleccione los rangos CIDR de sus redes locales. Esta subred está detrás del cortafuegos Sophos XG local.
      • Subred remota : seleccione los rangos CIDR de su red de Azure. Esta subred está detrás de la puerta de enlace de la red virtual de Azure.  
    • Avanzado : deja la configuración por defecto.

    • Al hacer clic en Guardar , la conexión IPsec se activa y el túnel debe establecerse correctamente.   


    • Nota:
    • Asegúrese de que la conexión esté activa. Si no, haga clic en el botón debajo de la columna Activo .
    • No haga clic en el botón debajo de la columna Conexión , ya que anulará los ajustes de configuración establecidos en la conexión IPsec ( tipo de puerta de enlace: responder solo ). Esto es para evitar problemas, ya que Azure debe iniciar el túnel.

  2. Vaya a Red> Interfaces para editar la interfaz de cara al público. Active Override MSS y establezca su valor en 1350 .

     

    Esto se debe a que cualquier paquete más grande que un MSS de 1350 bytes que llegue a la red virtual de Azure a través de su puerta de enlace obtendrá segmentos y algunos fragmentos pueden caer en la plataforma de Azure a través de la ruta de datos de VPN. Para obtener más información, consulte  Acerca de los dispositivos VPN y los parámetros IPsec / IKE para las conexiones de puerta de enlace VPN de sitio a sitio .

Resultados

En la esquina superior izquierda del portal de Azure, haga clic en Todos los servicios . En el cuadro de búsqueda, escriba Puertas de enlace de red virtual y seleccione Puertas de enlace de red virtual . 



Seleccione la puerta de enlace VPN creada anteriormente, en la hoja de la puerta de enlace de la red virtual seleccione Conexiones y verifique que su estado esté conectado.



 


Haga clic en la conexión para verificar el ingreso y egreso del flujo de tráfico.



 


Desde Sophos XG Firewall, vaya a Actividades actuales> Conexiones IPsec  y verifique ambas conexiones a ambas subredes.



   

Nota: 

  • Se requiere una interfaz con una IP pública enrutable en el Firewall XG local, ya que Azure no es compatible con NAT. Para obtener más información, consulte las  Preguntas frecuentes de Azure VPN Gateway . 
  • Si el dispositivo Sophos XG Firewall local está detrás de un dispositivo NAT, la recomendación es usar un firewall Sophos XG en Azure para implementar la conexión VPN. Consulte  Sophos XG Firewall: Guía de inicio rápido en Microsoft Azure para implementar el XG Firewall en Azure. 
  • Azure debe cambiar la clave de IKE_SA eliminando el IKE_SA caducado y crea una nueva conexión, lo que lleva a algunos segundos de inactividad.
  • Azure tiende a usar SHA1 si el Firewall XG local no lo obliga a usar SHA2.