[Mới nhất 2026] Sophos Firewall: Hướng Dẫn Cấu Hình VPN Site to Site Giữa Firewall Fortinet và Sophos Firewall Firmware V22

[Mới nhất 2026] Sophos Firewall: Hướng Dẫn Cấu Hình VPN Site to Site Giữa Firewall Fortinet và Sophos Firewall Firmware V22

I – Tổng quan về bài viết

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

  • 172.16.16.0/24 – Site A
  • 10.10.10.0/24 – Site B
  • 192.168.20.0/24 – Site B

II – Sơ đồ mạng

Giải thích sơ đồ mạng:

🔹 Site A – Fortinet Firewall

  • Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
  • IP WAN: 192.168.1.2
  • Mạng LAN nội bộ: 172.16.16.0/24
  • LAN được cấu hình trên interface LAN của Fortinet

🔹 Site B – Sophos Firewall

  • Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
  • IP WAN: 192.168.1.3
  • Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

Lưu ý sơ đồ:

  • Kết nối VPN sử dụng IPSec Site-to-Site
  • Xác thực bằng Pre-shared Key
  • Sử dụng IKEv2

III – Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình IPSec VPN Site-to-Site giữa:

  • Fortinet (192.168.1.2)
  • Sophos (192.168.1.3)

Mục tiêu:

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

IV – Các bước cấu hình

Trên thiết bị Fortinet:

  • Tạo VPN Tunnels
  • Tạo Static Route
  • Tạo Firewall Policy

Trên thiết bị Sophos:

  • Tạo subnet
  • Tạo IPSec Profile
  • Tạo IPSec Connection
  • Tạo Firewall Rule

V – Hướng dẫn cấu hình VPN site to site giữa Firewall Fortinet và Sophos Firewall Firmware V22 chi tiết

1. Trên thiết bị Fortinet:

1.1 – Tạo VPN Tunnels

Vào VPN → IPsec Tunnels → Create New → Custom

Bảng VPN Create Wizard

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Bảng Network

Tham sốGiá trị
IP VersionIPv4
Remote GatewayStatic IP Address
IP Address192.168.1.3 (WAN Sophos)
InterfaceWAN
Local GatewayKhông bật
Mode ConfigBỏ chọn
NAT TraversalDisable
Dead Peer DetectionDisable

– Disable NAT-T vì không NAT giữa 2 WAN
– Disable DPD để tránh reset tunnel trong lab

Bảng Authentication

Tham sốGiá trị
MethodPre-shared Key
Pre-shared Key(ví dụ) FortiSophos@123
IKE Version2

– PSK phải giống 100% bên Sophos

Phase 1 Proposal

Tham sốGiá trị
EncryptionAES256
AuthenticationSHA256
Diffie-Hellman Group14
Key Lifetime28800

Phase 2 Selectors

Selector 1

  • Local Address: 172.16.16.0/24
  • Remote Address: 10.10.10.0/24

Selector 2

  • Local Address: 172.16.16.0/24
  • Remote Address: 192.168.20.0/24
Tham sốGiá trị
EncryptionAES256
AuthenticationSHA256
Diffie-Hellman Group14
Key Lifetime43200

– Mỗi subnet Sophos cần 1 Phase 2
– Nếu gộp → tunnel UP nhưng không có traffic

Nhấn OK để tạo VPN Tunnel.

1.2 – Tạo Static Route

Vào Network → Static Routes → Create New

Route 1

Tham sốGiá trị
Destination10.10.10.0/24
InterfaceS2S-LAB
Gateway0.0.0.0
StatusEnable

Route 2

Tham sốGiá trị
Destination192.168.20.0/24
InterfaceS2S-LAB
Gateway0.0.0.0
StatusEnable

– Nếu thiếu static route → ping không bao giờ đi vào VPN

1.3 – Tạo Firewall Policy

Policy 1 – LAN → VPN

Tham sốGiá trị
Incoming InterfaceLAN
Outgoing InterfaceS2S-LAB
Source172.16.16.0/24
Destination10.10.10.0/24, 192.168.20.0/24
ServiceALL
ActionACCEPT
NATDisable

Policy 2 – VPN → LAN

Tham sốGiá trị
Incoming InterfaceS2S-LAB
Outgoing InterfaceLAN
Source10.10.10.0/24, 192.168.20.0/24
Destination172.16.16.0/24
ServiceALL
ActionACCEPT

– Policy VPN phải nằm trên policy Internet

2. Trên thiết bị Sophos

2.1 – Tạo subnet

Vào Hosts and Services → Add

TênLoạiThông số
LAN_SOPHOS_10NetworkIP: 10.10.10.0 / Subnet: 255.255.255.0
LAN_SOPHOS_20NetworkIP: 192.168.20.0 / Subnet: 255.255.255.0
LAN_FORTINetworkIP: 172.16.16.0 / Subnet: 255.255.255.0

2.2 – Tạo IPSec Profile

Vào SYSTEM > Profiles → IPsec Profiles → Add

Tham sốGiá trị
NameFortinet-Vacif
IKE VersionIKEv2
EncryptionAES256
AuthenticationSHA256
DH Group14

2.3 – Tạo IPSec Connection

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

General Settings

Tham sốGiá trị
NameVPN_SOPHOS_VACIF
Connection TypePolicy-based
Gateway TypeInitiate the connection
Create firewall ruleKhông chọn (tạo thủ công)

Authentication

Tham sốGiá trị
ProfileFortinet Vacif ( tạo ở bước trên )
Authentication Type               Pre-shared Key
Pre-shared KeyFortiSophos@123

Gateway Settings

  • Listening interface: Port 2 – 192.168.1.3
  • Gateway address: 192.168.1.2 (WAN Fortinet)
  • Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
  • Remote Subnet: 172.16.16.0/24

2.4 – Tạo Firewall Rule Sophos

LAN → VPN

Tham sốGiá trị
Source ZoneLAN
Destination ZoneVPN
Source Network10.10.10.0/24, 192.168.20.0/24
Destination Network172.16.16.0/24
ActionAllow

VPN → LAN

Tham sốGiá trị
Source ZoneVPN
Destination ZoneLAN
Source Network172.16.16.0/24
Destination Network10.10.10.0/24, 192.168.20.0/24
ActionAllow

3. Kiểm tra kết quả

Sophos: VPN → IPsec Connections → Status: 🟢 Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

  • 172.16.16.x → 10.10.10.x
  • 172.16.16.x → 192.168.20.x

Ghi chú & Lưu ý triển khai

  • Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
  • PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
  • Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
  • Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
  • Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

0 0 đánh giá
Đánh giá bài viết
Tags: , , ,
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận