1. TỔNG QUAN: - Giả sử user được kết nối đến mạng LAN thông qua ứng dụng Sophos Connect Client. Mạng tại nhà của họ có subnet là "192.168.10.0/24" và LAN của công ty cũng đang sử dụng "192.168.10.0/24". Vì vậy, nếu user kết nối IPsec VPN thông qua Sophos Connect Client khi đang ping bất kỳ địa chỉ LAN IP nào trong mạng của tổ chức, gói tin yêu cầu sẽ không được thông qua Sophos Connect Client VPN tunnel mà thay vào đó sẽ tìm kiếm điểm host có trong cùng mạng tại nhà. 2. MÔ HÌNH KẾT NỐI: - Bài viết sẽ hướng dẫn bạn cách để cấu hình giúp sửa lỗi này khi sử dung Sophos Connect Client khi mạng của user ở xa có xung đột về IP với mạng LAN của công ty/tổ chức được cấp bởi Sophos Firewall. - Để giải quyết vấn đề này, bạn sẽ cấu hình thêm các vùng mạng khác trong Sophos Connect Client và tạo một DNAT rule để phiên dịch sang mạng LAN công ty. 3. CẤU HÌNH: Bước 1: Tạo Host & Service - Trên giao diện quản lý của Sophos Firewall (version 19.0) > Configure > Remote Access VPN > IPsec. - Kéo xuống phía dưới phần Advanced settings > Permitted network resources (IPv4) > Add new item > Add > Network. - Tạo một mạng như hình dưới và click Save. - Tiếp đến, bạn cần phải tạo một network range cho các host "10.1.1.0_Network" để gán với Internal Network Range. - Vào phần System > Host & Service > IP host > Add. Bạn tạo các thông tin như sau Bước 2: Tạo một DNAT rule. *Hãy để NAT rule này ở trên cùng. - Chuyển hướng tới Protect > Rule & Policies > Nat rule > New Nat rule. Bạn tạo rule như bên dưới. - Bằng cách tạo rule này, user nào đang thử kết nối tới mạng 10.1.1.0/24 (10.1.1.10-10.1.1.200) sẽ được chuyển hướng sang (192.168.10.10-192.168.10.200). BƯỚC 3: TẠO FIREWALL RULE. *Để Firewall rule này ở phía đầu. - Chuyển hướng tới phần Protect > Rule & Policies > Firewall rule > Add new firewall rule. - Bây giờ hãy tạo một Firewall rule để cho phép traffic đi qua khi user đang truy cập vào mạng 10.1.1.0/24 (10.1.1.10-0.1.1.200) trong VPN Zone > LAN Zone. Bạn tạo một Firewall rule như sau. - Như vậy chúng ta đã cấu hình và thêm một mạng ảo ào Sophos Connect Client, khi client thử kết nối tới mạng ảo này, thiết bị tường lửa Sophos lúc này phát hiện sẽ thực hiện NAT và chuyển đổi mạng nội bộ khi đó chúng ta tạo DNAT rule.
