Bài viết này sẽ hướng dẫn các bạn cấu hình Site-to-Site VPN giữa hai thiết bị Firewall Sonicwall sử dụng Main mode. 1. Tạo Address Objects cho VPN subnet - Trên giao diện SonicWall, chọn Object ở đầu trang. - Di chuyển đến Match Objects|Addresses, chọn Add. - Trên TZ 670 (Site B) - Trên TZ 570P (Site A) 2. Cấu hình VPN policy trên Site A - Chọn Network ở đầu trang. - Đi đến IPSec VPN | Rules and Settings, chọn Add. - Tại cửa sổ VPN policy, chọn General tab. - Chọn IKE using Preshared Secret tại menu Authentication Method. - Đặt tên cho policy tại mục Name. - Nhập địa chỉ IP Wan của remote site (trong Vd này là địa chỉ Wan của TZ 670) trong mục IPSec Primary GatewayName or Address. - Nhập Shared Secret password tại mục Shared Secret and Confirm Shared Secret, Shared Secret phải có ít nhất 4 ký tự và bao gồm chữ và số. - Ngoài ra, bạn có thể chỉ định Local IKE ID và Peer IKE ID cho Policy. Bởi mặc định, địa chỉ IP được sử dụng cho Main Mode và SonicWall Identifier được sử dụng cho Aggressive Mode. - Di chuyển đến tab Network. - Phía dưới Local Networks, chọn address object (VD : LAN Subnet) bạn muốn từ mục Choose local network from list. - Dưới Remote Networks, chọn address object (theo VD là TZ -670 VPN Network) từ mục Choose destination network from list. - Chọn tab Proposals. - Phía dưới IKE (Phase 1) Proposal, chọn Main Mode tại menu Exchange. - Các giá trị mặc định cho DH Group, Encryption, Authentication và Life Time được chấp nhận cho hầu hết các cấu hình VPN. Đảm bảo rằng các giá trị Phase 1 ở phía đối diện của đường hầm được định cấu hình giống nhau. Bạn cũng có thể chọn AES-128, AES-192 hoặc AES-256 từ Authentication menu thay vì 3DES để tăng cường bảo mật xác thực. - Dưới mục IPSec (Phase 2) Proposal, các giá trị mặc định cho Protocol, Encryption, Authentication, Enable Perfect Forward Secrecy, DH Group, and Lifetime được chấp nhận cho hầu hết các cấu hình VPN. Đảm bảo rằng các giá trị Phase 2 ở phía đối diện của đường hầm được cấu hình khớp nhau. - Chọn tab Advanced. - Chọn bật Enable Keep Alive để sử dụng heartbeat messages giữa các peer trên VPN tunnel. Nếu một đầu của đường hầm fail, việc sử dụng Keepalives sẽ cho phép tự động đàm phán lại đường hầm khi cả hai bên có kết nối trở lại. - Chọn bật tính năng Enable Windows Networking (NetBIOS) Broadcast để cho phép truy cập vào tài nguyên mạng từ xa bằng cách dùng Windows Network Neighborhood. - Nếu bạn muốn sử dụng router trên mạng LAN cho lưu lượng truy cập vào đường hầm này dành cho một mạng con không xác định, ví dụ: nếu bạn cấu hình phía bên kia để sử dụng đường hầm VPN này làm đường dẫn mặc định cho tất cả lưu lượng truy cập Internet, bạn nên nhập địa chỉ IP của router của bạn vào trường Default LAN Gateway (optional). - Chọn một interface hoặc zone từ menu VPN Policy bound. Zone WAN là lựa chọn ưu tiên nếu bạn đang sử dụng WAN Load Balancing và bạn muốn cho phép VPN sử dụng một trong hai giao diện WAN. - Cuối cùng chọn Save. 3. Cấu hình VPN policy trên Site B - Chọn Network ở đầu trang. - Đi đến IPSec VPN | Rules and Settings, chọn Add. - Tại cửa sổ VPN policy, chọn General tab. - Chọn IKE using Preshared Secret tại menu Authentication Method. - Đặt tên cho policy tại mục Name. - Nhập địa chỉ IP Wan của remote site (trong Vd này là địa chỉ Wan của TZ 570) trong mục IPSec Primary GatewayName or Address. - Nhập Shared Secret password tại mục Shared Secret and Confirm Shared Secret, Shared Secret phải có ít nhất 4 ký tự và bao gồm chữ và số. - Di chuyển đến tab Network. - Phía dưới Local Networks, chọn address object (VD : LAN Subnet) bạn muốn từ mục Choose local network from list. - Dưới Remote Networks, chọn address object (theo VD là TZ -570 VPN Network) từ mục Choose destination network from list. - Chọn tab Proposals. - Cài đặt phải giống Site A. - Chọn tab Advanced. - Chọn bật Enable Keep Alive để sử dụng heartbeat messages giữa các peer trên VPN tunnel. Nếu một đầu của đường hầm fail, việc sử dụng Keepalives sẽ cho phép tự động đàm phán lại đường hầm khi cả hai bên có kết nối trở lại. - Chọn bật tính năng Enable Windows Networking (NetBIOS) Broadcast để cho phép truy cập vào tài nguyên mạng từ xa bằng cách dùng Windows Network Neighborhood. - Nếu bạn muốn sử dụng router trên mạng LAN cho lưu lượng truy cập vào đường hầm này dành cho một mạng con không xác định, ví dụ: nếu bạn cấu hình phía bên kia để sử dụng đường hầm VPN này làm đường dẫn mặc định cho tất cả lưu lượng truy cập Internet, bạn nên nhập địa chỉ IP của router của bạn vào trường Default LAN Gateway (optional). - Chọn một interface hoặc zone từ menu VPN Policy bound. Zone WAN là lựa chọn ưu tiên nếu bạn đang sử dụng WAN Load Balancing và bạn muốn cho phép VPN sử dụng một trong hai giao diện WAN. - Cuối cùng chọn Save. !!! Cám ơn các bạn đã theo dõi bài viết !!!
