1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn cách cấu hình IPSec client to site để người dùng có thể truy cập vào hệ thống từ xa với tài khoản được đồng bộ từ AD.
2.Sơ đồ mạng
Chi tiết:
- Thiết bị tường lửa Sophos đã được kết nối internet thông qua port 2 với IP WAN là 192.168.2.103.
- Vùng mạng LAN của thiết bị Sophos Firewall được cấu hình ở port 1 với IP 10.145.41.1/24 cấp phát lớp mạng 10.145.41.0/24 bằng DHCP.
- Trong lớp LAN còn có 1 AD Server có IP 10.145.41.11/24, trên server này đã tạo 1 OU IT, trong OU IT có group Support, trong group Support có các user là user1,user2,user3.
- Chúng ta sẽ có một máy tính ngoài internet để thực hiện kết nối IPSec VPN Client to site.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình tính năng IPSec VPN Client to site trên thiết bị Sophos Firewall, sau khi cấu hình, chúng ta sẽ sử dụng user từ AD để kết nối và khi kết nối nó sẽ nhận IP trong dãy 10.81.234.5-10.81.234.55 và được quyền truy cập vào các tài nguyên của lớp mạng LAN.
4.Các bước cấu hình
- Đồng bộ AD
- Import OU và Group
- Tạo profile cho lớp mạng LAN và VPN
- Cấu hình IPSec VPN Client to site Profile
- Mở dịch vụ User Portal trên cổng WAN
- Tạo policy
- Kiểm tra kết quả
5.Hướng dẫn cấu hình
5.1.Đồng bộ AD
Bước đầu tiên chúng ta cần phải đồng bộ AD với Sophos Firewall.
Để đồng bộ chúng ta vào CONFIGURE > Authentication > Server > nhấn Add.
Cấu hình với các thông số sau:
- Server type: chọn Active Directory
- Server name*: LearningIT
- Server IP/domain: 10.145.41.11
- Connection security: chọn Plaintext
- Port*: 389
- NetBIOS domain: LEARNINGIT
- ADS user name*: administrator
- Password*: nhập mật khẩu của tài khoản administrator
- Display name attribute: để trống
- Email address attribute: mail
- Domain name*: learningit.xyz
- Search quries*: nhấn Add nhập dc=learningit,dc=xyz và nhấn OK.
- Nhấn Test connection để kiểm tra kết nối đến AD server.
- Nhấn Save để lưu.
5.2.Import OU và Group
Sau khi đồng bộ AD thành công chúng ta cần thực hiện import OU và Group từ AD.
Nhấn vào biểu tượng như trong hình để thực hiện import.
Lúc này cửa sổ Import group wizard help hiện ra nhấn Start.
Tại mục Step 1: Provide base DN for group, chọn dc=learningit,dc=xyz từ menu thả xuống.
Ở Step 2: Select AD groups to import sẽ show ra các OU và group mà AD hiện có, ở đây thegioifirewall sẽ tích chọn group Support nằm trong OU IT như hình.
Nhấn nút “>” để tiếp tục.
Nhấn nút “>” để tiếp tục.
Nhấn nút “>” và OK để tiếp tục.
Nhấn Close để đóng cửa sổ.
Sau khi import, chúng ta có thể vào CONFIGURE > Authentication > Group để kiểm tra xem group đã được import hay chưa.
Kết quả là group Support đã được import.
Tiếp theo để thiết bị tường lửa có thể xác thực được user từ AD chúng ta cần vào CONFIGURE > Authentication > Service.
Ở phần Firewall authentication methods chúng ta thấy rằng hiện tại chỉ thực hiện xác thực cho các tài khoản local trên firewall.
Chúng ta tích chọn LearningIT đây là server chúng ta vừa đồng bộ và phía bên phải chúng nhấn giữ chuột vào LearningIT và kéo nó lên trên so với Local.
Nhấn Apply để lưu.
5.3.Tạo profile cho lớp mạng LAN và VPN
Để tạo vào SYSTEM > Hosts and Servers > nhấn Add.
Tạo profile cho lớp mạng LAN với các thông số sau:
- Name*: Local
- IP version*: IPv4
- Type*: Network
- IP address*: 10.145.41.0 – Subnet: /24[255.255.255.0]
- Nhấn Save để lưu
Tương tự chúng ta tạo profile cho lớp mạng IPSec VPN Client to site với các thông số sau:
- Name*: IPSec_VPN_Client_to_site
- IP version*: IPv4
- Type*: chọn IP range
- IP address*: 10.81.234.5 – 10.81.234.55
- Nhấn Save để lưu
5.5.Cấu hình IPSec Client to site Profile
Để cấu hình vào CONFIGURE > IPsec [remote access] (trên version 17 là Sophos Connect client) > Nhấn Add.
Cấu hình với các thông số sau:
- IPsec remote access: tích chọn Enable
- Interface*: chọn Port2 – 192.168.2.103
- Authentication type*: chọn Preshared key
- Preshare key*: nhập mật khẩu vào 2 ô Preshare key và Confirm Preshare key.
- Allowed users and groups: chọn group Support vừa được đồng bộ.
- Name*: đặt tên IPSec_VPN
- Assign IP from*: điền vào dãy IP sẽ cấp cho người dùng khi kết nối là 10.81.234.5 – 10.81.234.55
- Permitted network resources [IPv4]*: chọn profile Local vừa tạo.
- Nhấn Apply để lưu.
Sau khi hoàn thành cấu hình chúng ta sẽ thực hiện Export connection về máy tính bằng cách nhấn vào nút Export connection. Sau khi export chúng ta sẽ có được file IPSec_VPN.tar.gz, chúng ta sẽ thực hiện giải nén file này ra và được file IPSec_VPN.scx dung lượng 1 KB đây là file chúng ta sẽ sử dụng để kết nối VPN.
Gửi file đuôi scx này đến máy tính ngoài internet để kết nối VPN.
5.6.Mở dịch vụ User Portal trên cổng WAN
Để người dùng có thể truy cập vào User Portal từ ngoài internet để tải phần mềm VPN chúng ta cần phải mở dịch vụ này trên cổng WAN của thiết bị Sophos.
Để mở vào SYSTEM > Administration > Device Access.
Ở hàng WAN chúng ta tích chọn dịch vụ User Portal.
Sau đó nhấn Apply để áp dụng.
5.7.Tạo Policy
Khi người dùng kết nối IPSec VPN client to site vào hệ thống người dùng chưa thể kết nối được với mạng LAN.
Cần phải policy cho phép traffic qua lại giữa hai vùng LAN và VPN.
Để tạo policy vào PROTECT > Rules and Policies > nhấn Add firewall rule > New firewall.
Tạo theo các thông số sau:
- Rule status: ON
- Rule name*: IPSec_VPN_Client_to_site
- Action: Accept
- Log firewall traffic: tích chọn
- Rule position: Top
- Rule group: None
- Source zones*: chọn LAN và VPN
- Source networks and devices*: chọn 2 profile Local và IPSec_VPN_Client_to_site.
- During scheduled time: chọn All the time.
- Destination zones*: chọn LAN và VPN
- Destination networks*: chọn 2 profile IPSec_VPN_Client_to_site và Local.
- Service*: chọn Any
- Tích chọn Match know users
- Tại bảng User or groups*: chọn group Support. (Lựa chọn có nghĩa là khi kết nối IPSec VPN chỉ có những user nằm trong group này mới được áp dụng policy này)
- Nhấn Save để lưu.
5.8.Kiểm tra kết quả
Sau khi chúng ta hoàn thành cấu hình sử dụng máy tính ngoài internet để thực hiện kết nối IPSec VPN Client to site.
Bước đầu tiên chúng ta cần truy cập user portal để tải phần mềm.
Để truy cập user portal chúng ta truy cập đường dẫn https://192.168.2.103.
Sau khi truy cập chúng ta nhập tài khoản và mật khẩu để đăng nhập.
Thegioifirewall sẽ sử dụng user1 được đồng bộ từ AD để đăng nhập.
Sau khi đăng nhập chúng ta nhấn vào VPN và Download client for Windows để tải xuống phần mềm Sophos Connect.
Sau đó thực hiện cài đặt phần mềm Sophso Connect client theo như hình sau.
Tích chọn I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy và nhấn Install.
Nhấn Yes
Qúa trình cài đặt đang diễn ra.
Tích chọn Launch Sophos Connect when installer closes và chọn Finish.
Sau khi cài đặt thành công ứng dụng sẽ hiện thị ở System Tray phía dưới bên phải màn hình.
Nhấn chuột phải vào Sophos Connect và nhấn Import Connection.
Tìm đến file đuôi scx vừa gửi và chọn.
Trong bảng Connections sẽ hiện ra kết nối IPSec_VPN chúng ta vừa thêm nhấn Connect để kết nối.
Ô Authenticate user hiện ra nhập tài khoản và mật khẩu user1 vào và nhấn Sign in.
Thông báo kết nối thành công xuất hiện.
Cuối cùng thực hiện ping đến AD Server để kiểm tra kết nối với mạng LAN đã hoạt động chưa.