Hướng dẫn cấu hình IPSec VPN giữa thiết bị Palo Alto và Sophos khi thiết bị Palo Alto nằm sau một thiết bị Palo Alto khác

1.Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Palo Alto và Sophos với thiết bị Palo Alto nằm phía sau một thiết bị Palo Alto khác.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Head Office:

  • Tại head office site chúng ta sẽ có mô hình external và internal firewall với 2 thiết bị Palo Alto Firewal 1 là external firewall và Palo Alto Firewall 2 là internal firewall.
  • Đường truyền internet được kết nối tại ethernet1/1 của thiết bị Palo Firewall 1 với IP 10.150.30.119.
  • Mạng LAN của thiết bị Palo Alto Firewall 1 được cấu hình tại cổng ethernet1/2 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.
  • Tại Palo Alto Firewall 2 cổng WAN sẽ là cổng ethernet1/1 và nó sẽ được kết nối với cổng ethernet1/2 của Palo Alto Firewall 1, cổng ethernet1/2 trên Palo Firewall 2 được đặt IP tĩnh là 10.145.41.50/24.
  • Mạng LAN của Palo Alto Firewall 2 được cấu hình tại cổng ethernet1/2 với IP 10.0.0.1/24 và đã được cấu hình DHCP.

Branch office:

  • Đường truyền internet được kết nối tại Port2 của thiết bị Sophos Firewall 1 với IP 10.150.30.106.
  • Mạng LAN được cấu hình tại Port1 với IP 172.16.16.16/24 và đã cấu hình DHCP để cấp phát IP cho các thiết bị kết nối vào.

3.Tình huống cấu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Palo Alto Firewall 2 tại Head Office site và thiết bị Sophos Firewall 1 tại Branch Office site để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.

4.Các bước cấu hình

Palo Alto Firewall 1:

  • Tạo Service Objects cho IPSec service.
  • Tạo Address Objects cho IP WAN của Palo Alto Firewall 2.
  • Thực hiện NAT IP WAN của Palo Alto Firewall 2 với IPSec service ra internet.
  • Tạo Policy cho phép lưu lượng NAT.

Palo Alto Firewall 2:

  • Tạo VPN zone.
  • Tạo Address Object.
  • Tạo tunnel interface.
  • Tạo Virtual Routers.
  • Tạo IKE Crypto.
  • Tạo IPSec Crypto.
  • Tạo IKE Gateways.
  • Tạo IPSec Tunnels.
  • Tạo policy.

Sophos Firewall 1:

  • Tạo profile cho Local và Remote subnet.
  • Tạo IPSec policy.
  • Tạo kết nối IPSec connection.
  • Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
  • Bật dịch vụ PING và HTTPS trên VPN zone.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình.

5.1.Palo Alto Firewall 1.

5.1.1.Tạo Serivce Objects cho IPSec service

Kết nối IPSec VPN Site to site sẽ sử dụng các port là UDP 500 và UDP 4500.

Chúng ta cần tạo service objects cho 2 service này.

Để tạo vào Objects > Services > Services > nhấn Add.

Tạo service objects cho UDP 500 với các thông tin sau:

  • Name: service-ipsec-vpn-500
  • Protocol: chọn UDP.
  • Destination Port: 500.
  • Nhấn OK để lưu.

Tương tự tạo service objects cho UDP 4500 với các thông số sau:

  • Name: service-ipsec-vpn-4500
  • Protocol: chọn UDP.
  • Destination Port: 4500.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.1.2.Tạo Address Objects cho IP WAN của Palo Alto Firewall 2.

Để tạo vào Objects > Addresses > Nhấn Add.

Tạo với các thông tin sau:

  • Name: Palo Alto firewall 2.
  • Type: chọn IP Netmask – nhập IP WAN của Palo Alto Firewall 2 là 10.145.41.50.
  • Nhấn OK để lưu.

5.1.3.Thực hiện NAT IP WAN của Palo Alto Firewall 2 với IPSec service ra ngoài internet.

Để NAT vào Policies > NAT > Nhấn Add.

NAT service UDP 500 với các thông số sau.

Bảng General:

  • Name: NAT_IPSec_VPN_500
  • NAT Type: ipv4.

Bảng Original Packet:

  • Source Zone: nhấn Add và chọn WAN zone là Untrust.
  • Destination Zone: chọn Untrust.
  • Destination Interface: chọn cổng WAN của Palo Alto Firewall 1 là ethernet1/1.
  • Service: chọn service objects service-ipsec-vpn-500.
  • Destination Address: nhấn Add và nhập IP WAN của Palo Alto Firewall 1 là 10.150.30.119.

Bảng Translated Packet:

  • Translation type: chọn Static IP.
  • Translated Address: Chọn address objects Palo Alto firewall 2.
  • Translated Port: nhập 500.

Nhấn OK để lưu.

Tương tự NAT service UDP 4500 với các thông số sau.

Bảng General:

  • Name: NAT_IPSec_VPN_4500
  • NAT Type: ipv4.

Bảng Original Packet:

  • Source Zone: nhấn Add và chọn WAN zone là Untrust.
  • Destination Zone: chọn Untrust.
  • Destination Interface: chọn cổng WAN của Palo Alto Firewall 1 là ethernet1/1.
  • Service: chọn service objects service-ipsec-vpn-4500
  • Destination Address: nhấn Add và nhập IP WAN của Palo Alto Firewall 1 là 10.150.30.119.

Bảng Translated Packet:

  • Translation type: chọn Static IP.
  • Translated Address: Chọn address objects Palo Alto firewall 2.
  • Translated Port: nhập 4500.

Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.1.4.Tạo policy cho phép lưu lượng NAT.

Mặc định firewall sẽ không cho phép các traffic đi qua lại giữa các zone.

Nên nếu muốn rule NAT hoạt động chúng ta cần tạo policy cho phép các traffic bên ngoài internet đi vào bên trong mạng LAN.

Để tạo policy chúng ta vào Policies > Security > nhấn Add.

Tạo policy với các thông số sau.

 Bảng General:

  • Name: NAT_IPSec_service.
  • Rule Type: universal (default).

Bảng Source:

Source Zone: chọn Untrust zone (đây là zone WAN).

Bảng Destination:

  • Destination Zone: chọn Trust-Player3 (đây là zone LAN)
  • Destination Address: nhập địa chỉ IP WAN của Palo Alto Firewall 1 là 10.150.30.119.

Bảng Service/URL Category:

Service: nhấn Add và chọn 2 service objects service-ipsec-vpn-500 và service_ipsec_vpn_4500.

Bảng Action:

  • Action: chọn Allow.
  • Log Setting: tích chọn Log at Session End.

Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.Palo Alto Firewall 2

5.2.1.Tạo Zone

Chúng ta cần tạo zone cho các kết nối VPN.

Để tạo vào Network > Zones.

Nhấn Add và tạo theo các thông tin sau:

  • Name: VPN
  • Type: Layer3
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.2.Tạo Address Object

Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto và Sophos.

Để tạo vào Object > Addresses.

Nhấn Add và tạo theo các thông số như sau.

Palo Alto Firewall 2 LAN:

  • Name: PA2_LAN
  • Type: IP Netmask – 10.0.0.0/24
  • Nhấn OK để lưu.

Sophos Firewall 1 LAN:

  • Name: SOPHOS_LAN
  • Type: IP Netmask – 172.16.16.0/24
  • Nhấn OK để lưu

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.3.Tạo Interface Tunnel

Để tạo vào Network > Interface > Tunnel.

Nhấn Add và tạo theo các thông tin như sau:

  • Interface Name: tunnel.3
  • Virtual Router: None
  • Security Zone: VPN
  • Nhấn OK để lưu.

Nhấn Commit để lưu các thay đổi cấu hình.

5.2.4.Tạo Virtual Routers

Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.

Tab Router Settings:

  • Name: VR1
  • Tab General: nhấn Add và chọn các cổng ethernet1/2 (cổng LAN), ethernet1/1(cổng internet) và tunnel.3(là tunnel dùng để kết nối VPN).

Tab Static Routes > IPv4:

Nhấn Add để thêm static routes và điền vào các thông tin sau:

  • Name: Route-1
  • Destination: chọn address objects SOPHOS_LAN
  • Interface: tunnel.3
  • Next Hop: None
  • Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.5.Tạo IKE Crypto

Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.

Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:

  • Name: Phrase1
  • DH Group: group2
  • Encryption: aes-256-cbc
  • Authentication: sha256
  • Key Lifetime: Seconds – 5400
  • Nhấn OK Để lưu

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.6.Tạo IPSec Crypto

Để tạo IPSec Crypto vào Network > IPSec Crypto và nhấn Add.

Cấu hình theo các thông số sau:

  • Name: Phrase2
  • IPSec Protocol: ESP
  • Encryption: aes-128-cbc
  • Authentication: sha256
  • DH Group: no-pfs
  • Lifetime: Seconds – 3600
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.7.Tạo IKE Gateways

Để tao vào Network > IKE Gateways và nhấn Add.

Cấu hình theo các thông số sau

Bảng General:

  • Name: IKE
  • Version: IKEv1 only mode
  • Address Type: IPv4
  • Interface: ethernet1/1 (cổng WAN của Palo Alto Firewall 2)
  • Local IP Address: None
  • Peer Address: Nhập IP WAN của Sophos Firewall 1 là 10.150.30.106
  • Authentication: Pre-shared Key
  • Pre-shared key: nhập mật khẩu kết nối (mật khẩu này phải giống với mật khẩu đã đặt trên Sophos)
  • Confirm Pre-shared key: nhập lại mật khẩu kết nối.
  • Local Identification: chọn IP address – nhập IP WAN của Palo Alto Firewall 2 là 10.145.41.50.
  • Peer Identification: chọn IP address – nhập IP WAN của Sophos Firewall 1 là 10.150.30.106.

Bảng Advanced Options:

  • Exchange mode: chọn main.
  • IKE Crypto Profile: chọn Phrase1.
  • Nhấn OK để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.8.Tạo IPSec Tunnels

Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với thiết bị Sophos Firewall.

Để tạo vào Network > IPSec Tunnels và nhấn Add.

Tạo với các thông tin như sau.

Tab General:

  • Name: VPN_PA_TO_SOPHOS
  • Tunnel Interface: tunnel.3
  • Type: Auto Key
  • Address Type: IPv4
  • IKE Gateways: IKE
  • IPSec Crypto Profile: Phrase2

Tab Proxy IDs:

Nhấn Add và cấu hình các thông tin sau:

  • Proxy ID: Peer-1
  • Local: 10.0.0.0/24
  • Remote: 172.16.16.0/24
  • Protocol: Any
  • Nhấn OK 2 lần để lưu.

Nhấn Commit và OK để lưu các thay đổi cấu hình.

5.2.9.Tạo Policy

Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto Firewall 2 đi qua lớp mạng LAN của Sophos Firewall 1và ngược lại.

Để tạo policy vào Policies > Security và nhấn Add.

Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto Firewall 2 đi qua lớp mạng LAN của Sophos Firewall 1 với các thông tin như sau:

Tab General:

  • Name: LAN_TO_VPN
  • Rule Type: universal (default)

Tab Source:

  • Source Zone: nhấn Add và chọn Trust-Layer3 (Đây là zone của lớp LAN)
  • Source Address: nhấn Add và chọn PA2_LAN (PA2_LAN là Address Object mà chúng ta đã tạo trước đó)

Tab Destination:

  • Destination Zone: VPN
  • Destination Address: SOPHOS-LAN (đây là Address Object đã tạo lúc đầu)

Tab Action:

  • Action: chọn Allow để cho phép.
  • Nhấn OK để lưu.

Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của Sophos Firewall 1 sang lớp mạng LAN của Palo Alto Firewall 2 với các thông tin sau:

Tab General:

  • Name: VPN_TO_LAN
  • Rule Type: universal (default)

Tab Source:

  • Source Zone: nhấn Add và chọn VPN
  • Source Address: nhấn Add và chọn SOPHOS_LAN (SOPHOS_LAN là Address Object mà chúng ta đã tạo trước đó)

Tab Destination:

  • Destination Zone: Trust-Layer3 (Zone của lớp mạng LAN)
  • Destination Address: PA2-LAN (đây là Address Object đã tạo lúc đầu)

Tab Action:

  • Action: chọn Allow để cho phép.
  • Nhấn OK để lưu.

5.3.Sophos Firewall 1

5.3.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

  • Name*: SOPHOS_LAN.
  • IP version*: IPv4.
  • Type*: Network.
  • IP address*: 172.16.16.0 Subnet /24[255.255.255.0]
  • Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

Name*: PA2_LAN.

IP version*: IPv4.

Type*: Network.

IP address*: 10.0.0.0 Subnet /24[255.255.255.0]

Nhấn Save để lưu.

5.3.2.Tạo IPSec policy

Do đây là kết nối IPSec VPN giữa 2 thiết bị khác hãng nên chúng ta cần tạo IPSec policy chung cho cả 2 thiết bị.

Để tạo IPSec policy vào CONFIGURE > VPN > IPSec policies > Nhấn Add.

Tạo IPSec policy với các thông số sau.

General settings:

  • Name: VPN_S2S_PA.
  • Key exchange: IKEv1.
  • Authentication mode: Main mode
  • Tích chọn Re-key connection.

Phrase 1:

  • Key life: 5400.
  • Re-key margin: 360.
  • Randomize re-keying margin by: 50.
  • DH group (key group): 2 (DH1024).
  • Encryption: AES256.
  • Authentication: SHA2 256.

Phrase 2:

  • PFS group (DH group): None.
  • Key life: 3600.
  • Encryption: AES128.
  • Authentication: SHA2 256.

Dead Peer Detection:

  • Dead Peer Detection: tích chọn.
  • Check peer after every: 30.
  • Wait for response up to: 120.
  • When peer unreachable: Re-initiate.

Nhấn Save để lưu.

5.3.3.Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

  • Name: VPN_SOPHOS_TO_PA.
  • IP version: IPv4.
  • Connection type: Site-to-site.
  • Gateway type: Initiate the connection.
  • Active on save: bỏ chọn.
  • Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

  • Policy: chọn VPN_S2S_PA.
  • Authentication type: chọn Preshared key.
  • Preshared key: nhập mật khẩu kết nối.
  • Repeat preshared key: nhập lại mật khẩu kết nối.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

  • Listening interface: chọn Port2 – 10.150.30.106.
  • Local ID type: chọn IP address.
  • Local ID: nhập 10.150.30.106.
  • Local subnet: chọn profile SOPHOS_LAN.

Remote Gateway:

  • Gateway address: nhập IP WAN của Palo Alto Firewall 1 là 10.150.30.119.
  • Remote ID type: chọn IP address.
  • Remote ID: nhập IP WAN của Palo Alto Firewall 2 là 10.145.41.50.
  • Remote subnet: chọn profile PA2_LAN.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

5.3.4.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.3.5.Bật dịch vụ PING và HTTPS trên VPN zone.

Mặc định trên VPN zone sẽ tắt hết các dịch vụ.

Để bật vào SYSTEM > Administration > Device Access.

Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.

5.4.Kiểm tra kết quả.

Trên thiết bị Palo Alto sau khi tạo kết nối IPSec tunnels thì kết nối sẽ được liệt kê ra như hình dưới.

Chúng ta chú ý đến cột Status chúng ta thấy rằng biểu tượng port mạng đang là màu xanh tức kết nối IPSec này đã được Enable.

Để kích hoạt kết nối IPSec giữa 2 thiết bị chúng ta vào thiết bị Sophos Firewall > CONFIGURE > VPN > IPSec connections.

Chúng ta chú ý đến biểu tượng hình tròn tại cột Active của kết nối IPSec VPN mà chúng ta đã tạo trước đó đang là màu đỏ tức kết nối chưa được bật.

Để kích hoạt nhấn chuột trái vào biểu tượng hình tròn tại cột Active và nhấn Yes.

Do chúng ta cấu hình Sophos Firewall 1 là thiết bị chủ động thiết lập kết nối với Palo Alto Firewall 2 nên khi chúng ta bật kết nối IPSec VPN trên Sophos Firewall 1 thì thiết bị sẽ tự động thiết lập kết nối VPN đến Palo Alto Firewall 2 và nếu thành công thì cả hai biểu tượng hình tròn tại 2 cột Active và Connection sẽ chuyển sang màu xanh.

Trên thiết bị Palo Alto firewall chúng ta cũng sẽ thây được 2 biểu tượng hình tròn tại 2 cột Status đều chuyển sang màu xanh lá.

Để kiểm tra sự giao tiếp giữa 2 lớp mạng LAN của mỗi site với nhau, thegioifirewall sẽ dùng 1 máy tính tại mỗi site để ping lẫn nhau kiểm tra kết quả.

Ở site Head Office thegioifirewall đã chuẩn bị sẵn máy tính chạy Windows 10 có IP 10.0.0.51/24 và ở site Branch Office đã chuẩn bị máy Windows 10 có IP 172.16.16.51/24.

Kết quả ping từ máy Windows 10 IP 10.0.0.51/24 đến máy Windows 10 IP 172.16.16.51/24.

Kết quả ping thành công.

Đứng trên máy Windows 10 tại Head Office cũng có thể truy cập trang quản trị của Sophos Firewall 1 bằng IP LAN 172.16.16.16 thông qua kết nối VPN.

Kết quả ping từ máy Windows 10 IP 172.16.16.51 đến máy Windows 10 có IP 10.0.0.51.

Kết quả ping thành công.

Đứng trên máy Windows tại Branch Office cũng có thể truy cập trang quan trị của Palo Alto Firewall 2 bằng IP LAN 10.0.0.1 thông qua kết nối VPN.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận