CẤU HÌNH SSL VPN SITE-TO-SITE - Bài viết hôm nay sẽ hướng dẫn cấu hình tạo kết nối SSL VPN giữa 2 thiết bị Sophos XG Firewall. Các thành phần của cấu hình: SSL VPN Server, cài đặt và kết nối với SSL VPN Client. I/ Sơ đồ mạng cho bài viết: - Trong mô hình phía trên chúng ta có 2 thiết bị Firewall Sophos (FW 1 và FW 2), chúng ta sẽ cấu hình Firewall 1 là SSL VPN Server và Firewall 2 là SSL VPN Client. II/ Cấu hình SSL VPN Server trên Sophos Firewall 1: - Thêm lớp mạng Local và Remote LAN. Vào trang Web GUI > Hosts and Services > IP Host > click Add để thêm lớp mạng Local LAN mới. - Tạo thêm lớp mạng remote LAN, vào Hosts and Services > IP Host > click Add. III/ Tạo kết nối SSL VPN Site-to-Site: - Đến trang VPN > SSL VPN[Site-to-Site] > click Add. Connection Name: tên của tunnel này. Use static virtual IP address: tick chọn nếu đang sử dụng địa chỉ IP động. Cấu hình IP này không đươc trùng với host nào trong mạng LAN (vd: 192.168.254.254). Local Networks: chọn lớp mạng Local LAN/ các host để chúng được đi qua tunnel. Remote Networks: chọn lớp mạng Remote LAN/ các host để kết nối đến Site 2 bằng tunnel. - Click Save lúc này tunnel kết nối đã được tạo, click vào icon download bên phải VPN vừa được tạo. - Một cửa sổ pop-up sẽ xuất hiện, click Download để tải 1 file dùng cấu hình cho các client. File này sẽ cho dạng *.apc. Bạn cũng có thể mã hóa file với mật khẩu, nếu tick vào Encrypt configuration file. - Thêm rule cho phép traffic inbound & outbound của SSL VPN đi qua. Vào đường dẫn Firewall > +Add Firewal Rule > chọn User/Network rule. III/ Cấu hình SSL VPN Client trên Firewall Sophos 2: - Tạo kết nối SSL VPN Client mới. Vào trang Web GUI > VPN > SSL VPN[Site-to-Site] > click Add. Connection Name: tên của tunnel này. Configuration File: Click Choose File để load file *.apc đã tải trên SSL VPN Server. Password: nếu bạn đặt mật khẩu ở bước tải về, nhập mật khẩu vào. Use HTTP proxy server: sử dụng option nếu hệ thống đi qua web proxy. Override peer hostname: tick nếu hostname của server không được đinh tuyến công khai bằng DNS hoặc IP public. - Thêm rule cho phép traffic inbound & outbound của SSL VPN đi qua. Vào đường dẫn Firewall > +Add Firewal Rule > chọn User/Network rule. IV/ Kết quả: - Tunnel SSL VPN sẽ hiển thị trạng thái có màu xanh lá nếu đang hoạt đọng. Nếu trạng thái màu đỏ, bạn nên kiểm tra lại các cài đặt. - Khi hoạt động, bạn cũng có thể thấy traffic kết nối qua tunnel của SSL VPN. ---Cám ơn các bạn đã theo dõi bài viết---
Cấu hình IPSec Route-Based VPN Sự khác nhau giữa IPSec Routed-Based VPN và IPSec Site-to-Site: - Đối với IPSec Site-to-Site VPN khi bạn hoàn thành cấu hình, hai thiết bị sẽ tự động tạo tunnel kết nối để kết nối lẫn nhau và các lớp mạng local và remote trên cả hai thiết bị sẽ được routing tự động thông qua tunnel. - Đối với IPSec Route-Based VPN khi hoàn thành cấu hình, hai thiết bị sẽ tự động tạo ra một cổng ảo trên mỗi thiết bị có tên là xfrm1, hai cổng này sẽ là hai cổng ở hai đầu của thiết bị và chúng ta cần đảm bảo rằng hai cổng thông nhau. - Về phần routing chúng ta sẽ phải thực hiện định tuyến các network local và remote một cách thủ công thông qua cổng ảo xfrm1 trên cả hai thiết bị. - Cơ chế hoạt động này gần như tương tự với GRE Tunnel nhưng các traffic trên GRE Tunnel không được mã hóa còn các traffic trên IPSec Route-Based VPN đều được mã hóa. Hướng dẫn cấu hình 6.1.Head office 6.1.1.Tạo profile - Chúng ta cần tạo 2 profile cho 2 lớp mạng ở hai site Head và Branch office. - Để tạo vào SYSTEM > Hosts and Services > click Add. - Tạo profile cho lớp mạng 10.145.41.0/24 theo các thông tin như sau: Name*: "Local" IP version*: IPv4 Type*: Network IP address*: "10.145.41.0" – Subnet: /24(255.255.255.0) Nhấn Save để lưu -Tương tự chúng ta tạo profile cho lớp mạng 10.146.41.0/24 với các thông tin sau: Name*: "Remote" Type*: Network IP version*: IPv4 IP address*: 10.146.41.0 – Subnet: /24(255.255.255.0) Nhấn Save để lưu 6.1.2.Tạo IPSec connection - Để tạo IPSec connection vào Configure > VPN > IPSec connections > click Add. - Chúng ta cần cấu hình 3 phần sau là General settings, Encryption, Gateway settings. General settings: Name: "VPN_XG1_TO_XG2" IP version: Dual Connection type: Tunnel interface Gateway type: Respond only Active on save: bỏ dấu chọn Create firewall rule: bỏ dấu chọn Encryption: Policy: chọn profile IKEv2 (bạn có thể tạo profile IPSec tùy chọn) Authentication type: chọn Preshared key Preshared key: nhập mật khẩu cho kết nối VPN Repeat preshared key: nhập lại mật khẩu kết nối VPN Gateway settings: Listening interface: chọn Port 2 – 192.168.2.120 Gateway address: nhập IP WAN của XG 2 là 192.168.2.121 Nhấn Save để lưu - Sau khi tạo IPSec connection chúng ta cần nhấn chuột trái vào icon hình tròn ở cột Active để bật kết nối này lên. 6.1.3.Cấu hình cổng ảo xfrm1 - Sau khi đã tạo IPSec connections, cổng ảo xfrm1 sẽ được tạo tự động để cấu hình vào Configure > Network > chúng ta sẽ thấy cổng xfrm1 bên dưới Port 2. - Nhấn chuột trái vào cổng xfrm1 để cấu hình và cấu hình theo các thông số sau: IPv4/netmask*: nhập ip 1.1.1.1 và subnet mask là 255.255.255.0/24 Nhấn OK để lưu. 6.1.4. Tạo Static Route - Bước tiếp theo chúng ta sẽ tạo static route để routing lớp mạng 10.146.41.0/24 của site branch office thông qua cổng xfrm1. - Để cấu hình vào Configure > Routing > nhấn Add. - Cấu hình theo các thông số sau: Destination IP/ Netmask*: nhập vào network của branch office là "10.146.41.0/24" Gateway: nhập IP của cổng xfrm1 của site branch office là "1.1.1.2" Interface: chọn cổng xfrm1-1.1.1.1 mà chúng ta vừa cấu hình. Nhấn Save để lưu. 6.1.5.Tạo policy - Cuối cùng chúng ta cần tạo policy cho phép traffic qua lại giữa hai site. - Cấu hình Policy theo các thông số sau: Rule Status: ON Rule name*: "VPN_XG1_TO_XG2" Action: Accept Rule Position: Top Rule Group: None Log firewall traffic: tích dấu chọn Source zones*: chọn LAN và VPN Source networks and devices: chọn 2 profile "Local" và "Remote" During scheduled time: chọn All the time Destination zones*: chọn LAN và VPN Destination network*: chọn 2 profile "Local" và "Remote" Service*: chọn Any Nhấn Save để lưu policy 6.2. Branch office 6.2.1.Tạo profile - Chúng ta cần tạo 2 profile cho 2 lớp mạng ở hai site Head và Branch office. - Để tạo vào SYSTEM > Hosts and Services > nhấn Add. - Tạo profile cho lớp mạng 10.146.41.0/24 theo các thông tin như sau: Name*: "Local" IP version*: IPv4 Type*: Network IP address*: "10.146.41.0" – Subnet: /24(255.255.255.0) Nhấn Save để lưu - Tương tự chúng ta tạo profile cho network 10.146.41.0/24 với các thông tin sau: Name*: "Remote" IP version*: IPv4 Type*: Network IP address*: "10.145.41.0" – Subnet: /24(255.255.255.0) Nhấn Save để lưu 6.2.2.Tạo IPSec connection - Để tạo IPSec connection vào Configure > VPN > IPSec connections > click Add. - Chúng ta cũng cần cấu hình 3 phần General settings, Encryption, Gateway settings. General settings: Name: "VPN_XG2_TO_XG1" IP version: Dual Connection type: Tunnel interface Gateway type: Initiate the connection Active on save: bỏ dấu chọn Create firewall rule: bỏ dấu chọn Encryption: Policy: chọn profile IKEv2 (bạn có thể tạo profile IPSec giống với profile trên XG1) Authentication type: chọn Preshared key Preshared key: nhập mật khẩu cho kết nối VPN (nhập giống với bên Head office site) Repeat preshared key: nhập lại mật khẩu kết nối VPN (nhập giống với bên Head office site) Gateway settings: Listening interface: chọn Port 2 – 192.168.2.121 Gateway address: nhập IP WAN của XG 2 "192.168.2.120" Nhấn Save để lưu 6.2.3.Cấu hình cổng ảo xfrm1 -Sau khi đã tạo IPSec connections, cổng ảo xfrm1 sẽ được tạo tự động để cấu hình vào Configure > Network > cổng xfrm1 bên dưới Port 2. - Nhấp vào cổng xfrm1 để cấu hình và cấu hình theo các thông số sau: IPv4/netmask*: nhập ip "1.1.1.2" và chọn subnet mask là 255.255.255.0/24 Nhấn OK để lưu. 6.2.4. Tạo Static Route - Bước tiếp theo chúng ta sẽ tạo static route để routing network 10.145.41.0/24 của site head office thông qua cổng xfrm1. - Để cấu hình vào Configure > Routing > nhấn Add. - Cấu hình theo các thông số sau: Destination IP/ Netmask*: nhập vào lớp mạng của head office là "10.145.41.0/24" Gateway: nhập IP của cổng xfrm1 của site branch office là "1.1.1.1" Interface: chọn cổng xfrm1-1.1.1.2 mà chúng ta vừa cấu hình. Nhấn Save để lưu 6.2.5.Tạo policy - Cuối cùng chúng ta cần tạo policy cho phép traffic qua lại giữa hai site. - Cấu hình Policy theo các thông số sau: Rule Status: ON Rule name*: "VPN_XG2_TO_XG1" Action: Accept Rule Position: Top Rule Group: None Log firewall traffic: tích chọn Source zones*: chọn LAN và VPN Source networks and devices: chọn 2 profile network "Local" và "Remote" During scheduled time: chọn All the time Destination zones*: chọn LAN và VPN Destination network*: chọn 2 profile "Local" và "Remote" Service*: chọn Any Nhấn Save để lưu policy 6.3.Kiểm tra kết quả - Sau khi hoàn thành cấu hình chúng ta cần bật kết nối IPSec VPN Connection tại site branch office. - Để bật vào CONFIGURE > VPN > IPSec connections. - Nhấn vào biểu tượng hình tròn tại cột Active và cột Connection. - Khi 2 biểu tượng này chuyển sang màu xanh lá tức là kết nối VPN giữa hai site đã được thiết lập. - Sau khi kết nối thành công các bạn sẽ thấy được cả hai cổng xfrm1 trên hai thiết bị Sophos Firewall đều ở trạng thái Connected. - Cuối cùng chúng ta sẽ kiểm tra xem các lớp mạng đã có thể ping thấy lẫn nhau chưa. - Ở site head office có một PC với IP 10.145.41.11/24. - Ở site branch officecó một PC với IP 10.146.41.100/24. - Chúng ta sẽ thực hiện lệnh ping giữa hai server. - Đứng trên server với IP 10.145.41.11/24 ping sang 10.146.41.100/24. Kết quả ping thành công. - Ngược lại, đứng trên server ip 10.146.41.100/24 ping sang 10.145.41.11/24. Kết quả ping thành công.
