Hướng dẫn cấu hình IPSec VPN giữa Sophos Firewall và AWS

1. Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall với AWS.

2. Sơ đồ mạng

Chi tiết sơ đồ mạng:

Sophos Firewall:

  • Đường truyền internet được kết nối tại Port A5 của thiết bị Sophos Firewall với IP 42.117.x.x.
  • Mạng LAN của thiết bị Sophos Firewall được cấu hình tại Port 1 với IP 10.84.0.0/16 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.

AWS:

  • AWS có IP WAN là 52.14.254.89.
  • Trong mạng LAN có Linux server với IP 172.31.42.255/20.

3. Tình huống cấu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa Sophos Firewall và AWS để cả 2 mạng LAN của 2 bên có thể giao tiếp với nhau.

4. Các bước cấu hình

AWS:

  • Tạo AWS Customer Gateway.
  • Tạo Virtual Private Gateway.
  • Tạo Site-to-site VPN connection.
  • Tạo route.
  • Tải xuống file cấu hình VPN và tổng hợp các thông tin cần thiết.

Sophos Firewall:

  • Tạo profile cho Local và Remote subnet.
  • Tạo IPSec policies.
  • Tạo kết nối IPSec connection.
  • Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
  • Tạo cổng xfrm tunnel interface.
  • Tạo Route.

Kiểm tra kết quả.

5. Hướng dẫn cấu hình.

5.1. AWS.

5.1.1. Tạo AWS Customer Gateway

Đăng nhập vào trang AWS Portal với tài khoản quản trị.

Nhấn vào Services và chọn VPC.

Chọn VPC của bạn tại Filter by VPC, đây là VPC bạn sẽ dùng để cấu hình IPSec VPN.

Đi đến VIRTUAL PRIVATE NETWORK (VPN) > Customer Gateways > Nhấn Create Customer Gateway.

Tạo Customer Gateways theo các thông số sau:

  • Name: Sophos Firewall.
  • Routing: Static.
  • IP Address: nhập vào IP WAN của Sophos là 42.117.x.x.
  • Nhấn Create Customer Gateway để tạo.

5.1.2. Tạo Virtual Private Gateway

Đến VIRTUAL PRIVATE NETWORK > Virtual Private Gateways > Nhấn Create Virtual Private Gateway.

Tạo Virtual Private Gateway với các thông số sau:

  • Name tag: VPG-SophosComunity.
  • ASN: Amazon default ASN.
  • Nhấn Create Virtual Private Gateway để tạo.

Tiếp theo chúng ta sẽ Add Virtual Private Gateways vừa tạo vào VPC.

Để Add chọn Virtual Private Gateways vừa tạo > nhấn Action > Attach to VPC.

Chọn VPC mà chúng ta đã filter tại bước tạo Customer Gateways và nhấn Yes, Attach để hoàn thành.

Virtual Private Network đã được thêm vào VPC thành công.

5.1.3. Tạo Site-to-site VPN Connection.

Để tạo vào VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connection > nhấn Create VPN Connection.

Tạo với các thông tin sau:

  • Name tag: S2S-AWS-to-Sophos.
  • Target Gateway Type: chọn Virtual Private Gateway.
  • Virtual Private Gateway *: chọn Virtual Private Gateways vừa tạo ở bước trên.
  • Customer Gateway: chọn Existing.
  • Customer Gateway ID *: chọn Customer Gateway vừa tạo ở bước trên.
  • Routing Option: Static.
  • Static IP Prefixes: nhập lớp mạng LAN của Sophos là 10.84.0.0/16.
  • Local IPv4 Network Cidr: nhập 10.84.0.0/16.
  • Remote IPv4 Network Cidr: nhập lớp mạng local của AWS là 172.31.32.0/20.
  • Nhấn Create VPN Connection.

5.1.4. Tạo route

Chúng ta cần tạo static route để route lớp mạng của Sophos thông qua Virtual Gateway.

Để tạo vào VIRTUAL PRIVATE CLOUD > Route Tables > tích chọn route tables đang có > vào Route tab > nhấn Edit Route > nhấn Add route.

Add với các thông số sau:

  • Destination: 10.84.0.0/16.
  • Target: chọn Virtual Gateway vừa tạo.
  • Nhấn Save changes.

5.1.5. Tải xuống file cấu hình VPN và tổng hợp các thông tin cần thiết.

Sau khi tạo VPN Connection chúng ta sẽ tích chọn VPN Connection vừa tạo và nhấn Download Configuration.

Chọn các thông tin như sau để download file cấu hình:

  • Vendor: Generic.
  • Platform: Generic.
  • Software: Vendor Agnostic.
  • Ike Version: ikev2.

Chúng ta bật file cấu hình vừa download về chúng ta sẽ có các thông tin như sau.

Phase 1 và Phase 2 của kết nối IPSec.

Phase 1:

Phase 2:

Thông tin về IP WAN của AWS và Sophos.

  • IP WAN AWS: 52.15.118.116.
  • IP WAN Sophos: 42.117.x.x.

Thông tin về IP 2 cổng tunnel của kết nối IPSec VPN.

  • IP tunnel tại Sophos: 169.254.164.194/30.
  • IP tunnel tại AWS: 169.254.164.193/30.

Thông số MTU và MSS của 2 cổng tunnel.

  • MTU: 1436 bytes.
  • MSS: 1379 bytes.

5.2. Sophos Firewall

5.2.1. Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

  • Name*: 10.84.0.0/16.
  • IP version*: IPv4.
  • Type*: Network.
  • IP address*: 10.84.0.0 Subnet /16[255.255.0.0]
  • Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

Name*: 172.31.32.0/20.

IP version*: IPv4.

Type*: Network.

IP address*: 172.31.32.0 Subnet /20[255.255.240.0]

Nhấn Save để lưu.

5.2.2. Tạo IPSec Policies

Để tạo vào VPN > IPSec Policies > nhấn Add.

Sử dụng các thông số đã thu thập được từ bước 5.1.4 để tạo IPSec Policies tương ứng.

Tạo với các thông số sau:

General settings:

  • Name: AWS.
  • Key Exchange: IKEv2.

Phase 1:

  • Key life: 28800.
  • DH group: 2 [DH1024].
  • Encryption: AES128.
  • Authentication: SHA1.

Phase 2:

  • PFS group [DH group]: Same as phase-I.
  • Key life: 3600.
  • Encryption: AES128.
  • Authentication: SHA1.

Nhấn Save.

5.2.3. Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

  • Name: S2S_Sophos_to_AWS.
  • IP version: IPv4.
  • Connection type: Tunnel interface.
  • Gateway type: Initiate the connection.
  • Active on save: bỏ chọn.
  • Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

  • Policy: chọn AWS.
  • Authentication type: chọn Preshared key.
  • Preshared key: nhập preshared key đã thu thập từ bước 5.1.4.
  • Repeat preshared key: nhập lại preshared key.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

  • Listening interface: chọn PortA5 – 42.117.x.x.
  • Local ID type: chọn IP address.
  • Local ID: nhập 42.117.x.x.

Remote Gateway:

  • Gateway address: nhập IP WAN của AWS là 52.14.254.89.
  • Remote ID type: chọn IP address.
  • Remote ID: nhập 52.14.254.89.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.

Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.

Do thiết bị Sophos Firewall là thiết bị chủ động tạo kết nối VPN đến AWS, nên chấm tròn tại cột Connection sẽ tự động chuyển sang màu xanh tức là kết nối IPSec VPN giữa 2 site đã được thiết lập.

5.2.3. Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.2.4. Cấu hình cổng xfrm tunnel interface.

Khi kết nối IPSec VPN theo dạng tunnel interface, thiết bị sẽ tự động tự 1 cổng gọi là xfrm tunnel interface.

Chúng ta sẽ cấu hình thông số của cổng này theo IP, MTU và MSS đã thu thập được từ bước 5.1.4.

Các thông số cấu hình như sau:

  • IPv4/netmask *: 169.254.164.194 – /30 [255.255.255.252].
  • MTU: 1436.
  • Override MSS: 1379.

5.2.5. Tạo route

Chúng ta sẽ tạo static route để route lớp mạng 172.31.32.0/20 của AWS thông qua cổng xfrm tunnel interface.

Để tạo vào Routing > Static Rouing > nhấn Add.

Tạo theo các thông số sau:

  • Destination IP / Netmask *: Nhập lớp mạng LAN của AWS là 172.31.32.0 – /20 [255.255.240.0].
  • Interface: chọn cổng xfrm3-169.254.164.194
  • Nhấn Save.

5.3.Kiểm tra kết quả.

Vào AWS portal > Virtual Private Network (VPN) > Site-to-Site VPN Connections.

Tại VPN Connection > Tunnel Details > bảo đảm rằng status của tunnel là UP.

Thegioifirewall sẽ dùng máy chủ Linux tại AWS để ping về IP LAN của Sophos 10.84.2.14/16 để kiểm tra kết nối.

Kết quả ping từ máy chủ linux đến máy IP LAN của Sophos.

Kết quả ping thành công.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận