Bài viết này hướng dẫn cấu hình đường IPSec VPN Site-to-Site - Branch office virtual private network (BOVPN) dành cho các mạng, hoặc cho một host hoặc một mạng nhất định, trao đổi dữ liệu thông qua Internet. I. CẤU HÌNH TRÊN SITE-A: - Thiết bị WatchGuard Firebox có các thông số: Public IP address: 203.0.113.2 Private network IP address: 10.0.1.0/24 - Cấu hình gateway trên Firebox của Site A. Gateway là một điểm kết nối dành cho một hoặc nhiều tunnel. Các bước cấu hình như sau: Phương thức xác thực (Pre-shared key hoặc IPSec certificate) Xác định các endpoint ở Local và Remote gateway, theo địa chỉ IP hoặc thông tin domain. Các cấu hình cho Phase 1 để trao đổi khóa IKE. Thêm VPN Gateway: 1. Chọn VPN > Branch Office VPN. Trang cấu hình Branch Office VPN xuất hiện với danh sách các Gateway ở trên cùng. 2. Trong phần Gateways, click Add. Trang Gateway Settings xuất hiện. 3. Trong phần Gateway Name, hãy nhập tên cho gateway này trong Policy Manager. 4. Ở phần Credential Method, chọn Use Pre-Shared Key. 5. (Kể từ Fireware v12.5.4 trở lên) chọn String-Based hoặc Hex-Based. Ở mặc định sẽ là String-Based. 6. Nhập Shared Key của bạn vào. 7. Trong phần Gateway Endpoint, click Add. Hộp thoại New Gateway Endpoints Settings hiện ra. 8. Từ danh sách External Interface, hãy chọn interface có địa chỉ public IP của Firebox Site A. 9. Chọn By IP Address. 10. Trong ô By IP Address, hãy nhập địa chỉ IP bên ngoài (công khai) của Firebox (Site A). 11. Trong tab Remote Gateway, chọn Static IP Address. 12. Trong ô Static IP Address, nhập địa chỉ IP public của Firebox (Site B). 14. Trong hộp ô By IP Address, hãy nhập địa chỉ IP bên ngoài (công khai) của Firebox (Site A). 15. Click OK để đóng New Gateway Endpoints Settings. Cặp cổng gateway đã xác định sẽ xuất hiện trong danh sách Gateway Endpoints. Cấu hình Phase 1: - Trong Phase 1 của kết nối IPSec, 2 đầu peer thực hiện bảo mật, kênh xác thực chúng dùng để giao tiếp. Đây cũng được biết đến là ISAKMP Security Association (SA). 1. Trong phần Phase 1 Settings. Version: chọn IKEv1 Mode: Main (nếu một peer có không có IP tĩnh bạn có thể chọn Aggressive mde) NAT Traversal: chọn nếu thiết bị nằm phía sau một thiết bị NAT khác. Dead Peer Detection (RFC3706): tick vào tùy chọn này. 6. Trong phần Transform Settings, chọn vào phần mặc định và click Edit. Authentication và Encryption : chọn thuật toán mà bạn muốn. Trong ví dụ này là SHA2-256 và AES (256-bit). SA Life : đây là khoảng thời gian khóa SA làm mới. Ví dụ, nhập '24 hours '. Key Group : chọn trong danh sách DH Group, ở đây sẽ là Diffie-Hellman Group 14. Click OK. Giữ lại các giá trị mặc định cho các cấu hình Phase 1 khác. 11. Click Save và đóng trang Gateway lại. Cấu hình thêm VPN Tunnel: - Sau khi bạn cấu hình các gateway, bạn có tạo các tunnel giữa chúng. Khi bạn tạo tunnel bạn phải có các: Route (hai điểm Local và Remote endpoint cho tunnel) Các cấu hình Phase 2 của viêc trạo đổi khóa Internet Key Exchange (IKE). - Các bước cấu hình: 1. Trong phần Tunnels, click Add. Nhập tên của Tunnels vào ô Name. Gateway: chọn gateway bạn đã tạo ở trên. 2. Trong phần Address, chọn Add this tunnel to the BOVPN-Allow policies: 3. Click nút ADD. Trang cấu hình Tunnel Route Settings hiển thị. Trong phần Local IP section, trong danh sách của Choose Type, chọn một host hoặc loại network. Như ví dụ đây, chúng tối chọn Network IPv4. Network IP, nhập địa chỉ network Local (private) của Site A (vd: 10.0.1.0/24) . Trong phần Remote IP, tương tự ở trên Choose Type chọn Network IPv4. Network IP : nhập địa chỉ Local của Site A (vd: 10.50.1.0/24) . Direction : chọn trong danh sách chiều kết nối của tunnel. 11. Click OK. Tunnel route sẽ hiển thị trên trang Tunnel settings trong phần Addresses. Cấu hình Phase 2: - Cấu hình Phase 2 bao gồm cấu hình cho Security Association (SA), xác định cách các gói dữ liệu được bảo mật khi chúng được truyền giữa hai endpoint. SA giữ tất cả thông tin cần thiết để Firebox biết phải làm gì với lưu lượng giữa các endpoint. 1. Trên trang cấu hình Tunnel, chọn phần Phase 2 Settings. Chọn ô Enable Perfect Forward Secrecy Enable Perfect Forward Secrecy : chọn Diffie-Hellman group trong danh sách đó. Ví dụ ở đây là Diffie-Hellman Group 14. IPSec Proposals : bạn có thể sử dụng theo mặc định. Nếu không bạn có thể xóa và thêm các đề xuất mặc định. Sau đó chọn lại proposal trong danh sách và click Add. Click Save. - Đến đây cấu hình trên Firebox ở Site A đã xong. Bây giờ chúng ta sẽ sẽ tiếp tục cấu hình Firebox trên Site B. II. CẤU HÌNH TRÊN SITE-B: - Trên thiết bị Firebox của Site-B chúng ta có các thông sau: Public IP address: 198.51.100.2 Private network IP address: 10.50.1.0/24 Thêm VPN Gateway: 1. Chọn VPN > Branch Office VPN. 2. Trong phần Gateways, click Add. 3.Trong ô Gateway Name: nhập tên cho gateway này trong Policy Manager. 4. Chọn phần General Settings. 5. Trong phần Credential Method, chọn Use Pre-Shared Key. 6. Chọn String-Based để giống với cấu hình ở Site-A 7. Nhập Shared Key của bạn vào. 8. Trong phần Gateway Endpoint, click Add. Cấu hình các giá trị trong ô Gateway Endpoints Settings. Local Gateway: External Interface : chọn interface có IP Public của Site B Chọn By IP Address : nhập địa chỉ IP public của Site B Remote Gateway: Chọn Static IP Address Chọn By IP Address : nhập địa chỉ IP public của Site A Để chọn Gateway ID, tick By IP Address. 9. Click OK để đóng đóng New Gateway Endpoints Settings. Cấu hình Phase 1: - Trong Phase 1 của kết nối IPSec trên Site-B các giá ISAKMP Security Association (SA) phải giống như trên Site-A. 1. Chọn mục Phase 1 Settings. Version: chọn IKEv1 Mode: chọn Main Tick chọn 2 tùy chọn NAT Traversal và Dead Peer Detection (RFC3706). 2. Transform Settings, chọn phần mặc định và click click Edit. Cấu hình các giá trị như sau: Authentication: SHA2-256 Encryption : AES (256-bit) SA Life : 24 và chọn hours. Key Group : chọn Diffie-Hellman Group 14 Click OK để lưu và đóng cửa sổ này. 3. Click Save để đóng trang cấu hình Gateway lại. Cấu hình thêm VPN Tunnel: - Bạn cũng sẽ phải tạo đường Route và Phase 2 như bước trên. - Các bước cấu hình: 1. Trong phần Tunnels, click Add. Nhập tên của Tunnels vào ô Name. Gateway: chọn gateway bạn đã tạo ở trên. 2. Chọn vào phần Addresses: Chọn ô Add this tunnel to the BOVPN-Allow policies. Click ADD. 3. Cấu hình bảng Tunnel Route Setting: Local IP: Choose Type : chọn Network IPv4 Network IP : nhâp địa chỉ local của Site-B Remote IP: Choose Type : chọn Network IPv4 Network IP : nhâp địa chỉ local của Site-A Direction : chọn bi-directional. Click OK. 4. Tunnel Route sẽ hiển thị trong phần Addresses của trang Tunnel settings. Cấu hình Phase 2 cho thiết bị WathGuard Firebox trên Site-B: 1. Trên trang cấu hình Tunnel, chọn phần Phase 2 Settings. Chọn ô Enable Perfect Forward Secrecy Enable Perfect Forward Secrecy : chọn Diffie-Hellman group trong danh sách đó. Ví dụ ở đây là Diffie-Hellman Group 14. IPSec Proposals : bạn có thể sử dụng theo mặc định. Nếu không bạn có thể xóa và thêm các đề xuất mặc định. Sau đó chọn lại proposal trong danh sách và click Add. Click Save. - Cấu hình trên thiết bị Firewall WatchGuard Firebox ở Site B lúc này cũng đã xong. - Sau khi cả hai đầu của đường tunnel được cấu hình, tunnel sẽ mở và có traffic đi qua đó. Nếu tunnel không hoạt động, hãy kiểm tra các log file trên cả hai Firebox trong khoảng thời gian bạn đã cố gắng khởi động tunnel. Các thông báo log xuất hiện trong Log file để chỉ ra lỗi nằm ở đâu trong cấu hình và cài đặt nào có thể là một phần của sự cố. Bạn cũng có thể xem lại các thông báo log theo thời gian thực bằng Firebox System Manager.
