Hôm nay Thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Client to Site để cho VPN user từ xa có thể kết nối tới hê thống File Server của doanh nghiệp. Cấu hình được thực hiện trên Sophos XGS với firmware version 19
Sơ đồ
Tổng hợp các bước cấu hình
- Cấu hình IPSec VPN Client to Site trên Sophos XGS
- Tạo Remote IPSec VPN Group
- Tạo IPSec VPN user
- Định danh cho lớp mạng LAN và IPSec VPN subnet
- Cấu hình dịch vụ xác thực cho IPSec VPN
- Cấu hình Remote IPSec VPN
- Tạo firewall rule cho lớp mạng IPSec và LAN có thể truy cập lẫn nhau
- Kết nối tới User Portal để cài đặt phần mềm IPSec VPN
- Cấu hình NAT port trên Modem hoặc Router
- Cấu hình chia sẻ file trên File Server
- Kết nối trên thiết bị client và kiểm tra kết quả
Chi tiết cấu hình
- Cấu hình IPSec VPN Client to Site trên Sophos XGS
Đăng nhập vào Sophos XGS bằng tài khoản Admin
1.1 Tạo Remote IPSec VPN Group
Cấu hình tạo Remote IPSec VPN Group, điều này giúp dễ dàng hơn cho quản trị viên quản lý và áp dụng các group user cho các policy theo nhu cầu của doanh nghiệp
- Authentication -> Chọn Group -> Nhấn Add
- Tạo Remote IPSec VPN Group
- Group Name: Nhập tên Remote IPSec VPN Group
- Surfing Quota: Chọn network traffic mà bạn muốn
- Access Time: Chọn access time mà bạn muốn
-> Nhấn Save
1.2 Tạo IPSEC VPN Users
- Authentication -> Chọn Users -> Nhấn Add
- Tạo IPSEC VPN Users
- Username: Nhập VPN Username
- Password: Nhập password của user IPSEC VPN
- Email: Nhập email quản lý
- Group: Chọn IPSEC VPN Group mà bạn đã tạo trước đó
-> Nhấn Save
1.3 Định danh cho lớp mạng LAN và IPSec VPN subnet
- Hosts and Services -> Chọn IP Host -> Nhấn Add
- Với lớp mạng LAN
- Name: Nhập tên cho lớp mạng nội bộ (VD: HO subnet)
- Type: Chọn Network
- IP Address: Nhập IP của lớp mạng LAN (172.16.16.0/24)
-> Nhấn Save
- Với lớp mạng IPSec VPN subnet
- Name: Nhập tên cho lớp mạng nội bộ (VD: IPSec VPN subnet)
- Type: Chọn Network
- IP Address: Nhập IP của lớp mạng LAN (192.168.200.0/24)
-> Nhấn Save
1.4 Cấu hình dịch vụ xác thực cho IPSEC VPN
- Authentication -> Service -> Ở phần IPSEC VPN Authentication Methods -> Ở mục Selected authentication server -> Chọn Local
- Authentication -> Services -> Ở phần Firewall Authentication Methods -> Ở mục Selected Authentication Server -> Chọn Local
1.5 Cấu hình profile cho IPSEC VPN Client
Vào mục Remote access VPN >> IPsec
Mục General settings
- Chọn Enable.
- Interface chọn Port Wan
- IPsec profile chọn DefaultRemoteAccess
- Authentication type chọn Preshare key và nhập key bên dưới
- Local ID chọn IP address và nhập IP Wan của Sophos Firewall
- Allowed users and groups ta chọn IPsec group đã tạo
Mục Client information
- Name đặt tên cho kết nối
- Assign IP from ta chọn dãy IP cho Remote user
- DNS server 1 và 2 ta đặt IP cho DNS
Mục Idle time
- Disconnect when tunnel is idle chọn enable
- Idle session time interval chọn thời gian ngắt kết nối khi không có traffic, ở đây là 6 phút và sẽ tự động kết nối lại khi có traffic.
Mục Advanced settings
- Permited network resource ta chọn subnet muốn cho phép truy cập
- Tích Allow users to save username and password để cho phép lưu mật khẩu
- Sau đo nhấn Apply và Export connection để tải về máy file cấu hình IPsec VPN
1.6 Tạo firewall rule để có thể giao tiếp giữa IPSEC VPN và LAN
- Rules and policies -> Nhấn Add Firewall Rule
- Nhập tên cho rule
- Ở phần Source zones: Chọn VPN
- Ở phần Source network and devices: Chọn Remote IPSec VPN Subnet
- Ở phần Destination zones: Chọn LAN
- Ở phần Destination networks: Chọn HO subnet
- Chọn Match known users
- Ở phần Users or groups: Chọn Remote IPSec VPN group mà bạn đã tạo trước đó
-> Nhấn Save
1.7 Kết nối User Portal để cài đặt phần mềm Sophos Connect
- Đăng nhập User Portal https://172.16.16.16:443/
- Sử dụng tài khoản IPSEC VPN để login
- Ở phần VPN -> Chọn Download for Windows để tải Sophos connect
- Cài đặt phần mềm Sophos Connect trên máy tính.
- Kiểm tra Sophos Connect đã được cài bằng icon ở góc phải màn hình
2. Cấu hình NAT port trên Modem hoặc Router
- Kết nối tới Modem hoặc Router bằng tài khoản Admin
- Chúng ta cần NAT ports cho IPSEC VPN Client có thể kết nối tới Sophos XGS
- Port: 500 và 4500 forward đến ip WAN của Sophos Firewall
3. Cấu hình File Server
- Chia sẻ file trên File Server, chia sẻ file, folder cho tất cả user để VPN users có thể kết nối tới để đọc và ghi files
4. Kết nối trên thiết bị client và kiểm tra kết quả
- Chuột phải vào icon ứng dụng Sophos Connect > Nhấn Sophos Connect > Chọn Import connection > chọn file cấu hình đuôi là .scx
- Nhấn Connect.
- Nhập tài khoản tạo cho IPSEC VPN và bấm Sign in
- Chờ vài giây để có thể kết nối tới hệ thống mạng nội bộ
- Khi kết nối thành công -> Bạn sẽ nhận được thông báo rằng kết nối đã hoàn thành và địa chỉ VPN của bạn
- Icon của ứng dụng đã được kết nối
- Bạn có thể kết nối tới File Server với địa chỉ của File Server là 172.16.16.19
- Bạn gõ trên thanh tìm kiếm: \\172.16.16.19
-> Done