Overview
- Bài viết này mô tả các bước cấu hình 1 kết nối IPSec VPN Site-to-Site với khóa chia sẽ là phương thức xác thực cho VPN peers.
- Chúng ta có sơ đồ mạng như sau:
Cấu hình trên Sophos XG Firewall 1
Thêm local và remote LAN
- Đi đến Hosts and Services > IP Host và chọn Add để tạo local LAN.
- Đi đến Hosts and Services > IP Host và chọn Add để tạo remote LAN.
Tạo 1 kết nối IPSec VPN
- Đi đến VPN > IPSec Connections and chọn Wizard. Đặt tên cho nó và click Start để làm theo trình hướng dẫn.
- Chọn Site-to-Site là kiểu kết nối và chọn Head Office.
- Đặt Authentication Type là Preshared Key.
- Ở trường Local Subnet, chọn Local LAN vừa tạo lúc nãy.
- Ở Remote VPN Server, nhập IP WAN của Branch Office. Ở trường Remote Subnet, chọn Remote LAN vừa tạo lúc nãy.
- Ở trường User Authentication Mode, chọn Disabled.
- Click Next lần nữa và click Finish.
- Click biểu tượng phía dưới Status (Active) để bật kết nối.
Thêm 2 firewall rule cho phép các lưu lượng VPN
- Đi đến Firewall and click Add Firewall Rule. Tạo 2 User/Network Rule như hình sau:
Cấu hình trên Sophos XG Firewall 2
Thêm Local and Remote Lan.
- Đi đến Hosts and Services > IP Host và chọn Add để tạo Local LAN.
- Đi đến Hosts and Services > IP Host và chọn Add để tạo Remote LAN.
Tạo 1 kết nối IPSec VPN
- Đi đến VPN > IPSec Connection và chọn Wizard. Đặt tên cho nó và chọn Start để làm theo trình hướng dẫn.
- Chọn Site-to-Site là kiểu kết nối và chọn Branch Office.
- Đặt Authentication Type là Preshared Key.
- Đảm bảo rằng Preshared Key giống với Preshared Key ở Sophos Firewall 1.
- Ở trường Local Subnet, chọn Local LAN vừa tạo.
- Ở trường Remote VPN Server, nhập IP WAN của Head Office. Ở Remote Subnet, chọn Remote Lan vừa tạo.
Ở trường User Authentication Mode, chọn Disable.
Click Next lần nữa và click Finish.
Click biểu tượng phía dưới Status (Active) để mở kết nối.
Thêm 2 firewall rule cho phép các lưu lượng VPN
- Đi đến Firewall và chọn Add Firewall Rule. Tạo 2 User/Network Rule như hình sau.
Thiết lập kết nối IPSec VPN
- Khi cả hai thiết bị Sophos XG tại Head và Branch đã được cấu hình, chúng ta sẽ thiết lập kết nối giữa chúng. Để mở kết nối click VPN > IPSec Connections và click biểu tượng phía dưới Status (Connection).
Result
- Chúng ta sẽ tiến hành ping giữa 1 máy người dùng phía sau Sophos XG Firewall 1 và 1 máy phía sau Sophos XG Firewall 2.
- Đi đến Firewall và chắc chắn rằng rules VPN đã cho phép các lưu lượng VPN từ VPN đến LAN và từ LAN đến VPN.