1.Overview.
Với VPN Site to Site, bạn có thể tạo các đường hầm VPN kết nối với các remote site. Site to Site VPN có thể kết nối hai mạng được phân tách bằng Internet thông qua một đường hầm VPN được mã hóa an toàn. Điều này cho phép kết nối an toàn liền mạch giữa hai mạng trong cùng một tổ chức mặc dù chúng cách xa nhau về vật lý.
2. Network Diagram
Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình VPN site to site trên thiết bị Checkpoint Firewall kết nối với site Sophos XG230.
3. Hướng dẫn cấu hình.
Bước 1: Cấu hình VPN site to site trên Checkpoint
Trên giao diện quản trị của Checkpoint Firewall > VPN > Site to site > Blade Control. Click On Site to Site VPN.
Di chuyển xuống phần VPN Sites > New.
Trong phần New VPN Site. điền các thông số sau:
Site name: Điền tên kết nối VPN bạn muốn.
Connection Type: chọn hostname or IP address.
IP address: Điền IP WAN của SOPHOS XG site
Authentication: chọn Pre-Shared secret.
Passwword + Confirm: Điền và nhập lại pre-share key (Bạn sẽ tự tạo key này, key sẽ được sử dụng lại để cấu hình tạo kết nối bên Sophos site)
Trong Remote Site Encryption Domain chọn New.
Chọn Type là Network
Network address: Điền remote network của bên Site Sophos
Object name: Đặt tên cho remote network. Click Apply.
Bạn có thể add nhiều LAN Network bằng cách tiếp tục click chọn New để tạo.
Chuyển qua Encryption tab. Bạn điền các thông số IKE (Phase 1) và IPsec (Phase 2) đã thống nhất giữa 2 site như hình dưới.
Chuyển qua Advanced tab. Chọn Encryption Method là IKEv2. Cuối cùng click chọn Apply.
Đã cấu hình xong VPN bên Site Checkpoint.
Bước 2: Cấu hình VPN site to site trên Sophos XG.
2.1. Cấu hình IPsec Profiles.
Trên giao diện quản trị Sophos XG > Configure > Site to Site VPN > IPsec Profiles.
Để tạo IPsec Profile click Add.
Trong IPsec Profile, điền các thông số sau:
Name: Điền tên cho profile
Key Exchange: chọn IKEv2
Authentication Mode: chọn Main Mode.
Điền các thông số Phase 1 và 2 như đã thống nhất giữa 2 site. Click Save.
2.2. Cấu hình tạo Local Network và Remote Network.
Tiếp theo tạo các Local Network bên Sophos Site (LAN_SOPHOS) và Remote Network (LAN_CHECKPOINT) bên Checkpoint Site.
2.3 Cấu hình kêt nối IPsec VPN site to site.
Trên giao diện quản trị Sophos XG > Configure > Site to Site VPN > IPsec > Add.
Trong Genaral Setting, điền các thông số sau:
Name: Điền tên cho kết nối VPN bạn muốn
Connection type: chọn Site-to-site
Gateway type: Respond only.
Click chọn Active on save và Create firewall rule.
Kéo xuống phần Encryption:
Profile: chọn IPsec Profile đã tạo ở bước 2.1
Authentication type: chọn Preshared key.
Nhập và xác nhận preshared key như đã cấu hình bên Checkpoint site.
Kéo xuống phần Gateway settings:
Listenning interface: chọn IP port WAN của Sophos site
Gateway address: Điền IP WAN bên Checkpoint site
Local Subnet: Chọn LAN_SOPHOS đã tạo ở bước 2.2
Remote Subnet: Chọn LAN_CHECKPOINT đã tạo ở bước 2.2
Click Save.
2.4 Active kết nối VPN site to site
Dưới mục Status phần Active click chọn icon chấm đỏ và click OK.
Đã kết nối VPN Site to Site thành công khi Status phần Active và Connection đều hiện chấm màu xanh.
Kiểm tra bên Checkpoint Site. Đi đến phần VPN Tunnels kiểm tra Status là Active là kết nối VPN thành công.
Để kiểm tra kết nối giữa 2 site. Bạn sử dụng 1 máy bên Checkpoint Site ping đến 1 máy bên Sophos Site.
Kết quả ping thành công.
