Blog

Hướng dẫn cấu hình IPSec VPN giữa Sophos và Fortinet khi thiết bị Sophos nằm phía sau một thiết bị Sophos khác

1.Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall và Fortinet với thiết bị Sophos nằm phía sau một thiết bị Sophos Firewall khác.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Head Office:

  • Tại head office site chúng ta sẽ có mô hình external và internal firewall với 2 thiết bị Sophos Firewal 1 là external firewall và Sophos Firewall 2 là internal firewall.
  • Đường truyền internet được kết nối tại PortA5 của thiết bị Sophos Firewall 1 với IP 42.117.x.x.
  • Mạng LAN của thiết bị Sophos Firewall 1 được cấu hình tại PortA8 với IP 10.84.2.94/29 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.
  • Tại Sophos Firewall 2 cổng WAN sẽ là PortA5 và nó sẽ được kết nối đến PortA8 của Sophos Firewall 1, PortA5 trên Sophos Firewall 2 được đặt IP tĩnh là 10.84.2.90/29 và trỏ gateway về 10.84.2.94/29.
  • Mạng LAN của Sophos Firewall 2 được cấu hình tại PortA4 với IP 10.84.0.1/16 và đã được cấu hình DHCP.

Branch office:

  • Đường truyền internet được kết nối tại port wan2 của thiết bị Fortinet 800D với IP 203.205.x.x.
  • Mạng LAN được cấu hình tại port5 với IP 192.168.2.0/24 và đã cấu hình DHCP để cấp phát IP cho các thiết bị kết nối vào.

3.Tình huống cấu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall 2 tại Head Office site và thiết bị Fortinet 800D tại Branch Office site để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.

4.Các bước cấu hình

Sophos Firewall 1:

  • Tạo profile cho IPSec service.
  • Tạo Profile cho IP WAN của Sophos Firewall 2.
  • Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra internet.

Sophos Firewall 2:

  • Tạo profile cho Local và Remote subnet.
  • Tạo IPSec policy.
  • Tạo kết nối IPSec connection.
  • Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
  • Bật dịch vụ PING và HTTPS trên VPN zone.

Fortinet 800D:

  • Tạo profile cho Local và Remote subnet
  • Tạo VPN tunnels.
  • Tạo Static Routes.
  • Tạo Policy.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình.

5.1.Sophos Firewall 1.

5.1.1.Tạo profile cho IPSec service

Kết nối IPSec VPN Site to site sẽ sử dụng các port là UDP 500 và UDP 4500.

Chúng ta cần tạo profile cho 2 service này.

Để tạo vào SYSTEM > Hosts and services > Services > nhấn Add.

Tạo với các thông số sau:

  • Name*: IPSec S2S VPN
  • Type*: chọn TCP/UDP.
  • Protocol: chọn UDP.
  • Source port: 1:65535.
  • Destination port: 500
  • Nhấn biểu tượng dấu + để thêm 1 hàng.
  • Protocol: chọn UDP.
  • Source port: 1:65535.
  • Destination port: 4500.
  • Nhấn Save để lưu.

5.1.2.Tạo profile cho IP WAN của Sophos Firewall 2.

Để tạo vào SYSTEM > Hosts and services > IP Host > Nhấn Add.

Tạo với các thông tin sau:

  • Name*: Sophos Firewall 2.
  • IP version*: chọn IPv4.
  • Type*: chọn IP.
  • IP address*: nhập IP WAN của Sophos Firewall 2 là 10.84.2.90.
  • Nhấn Save để lưu.

5.1.3.Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra ngoài internet.

Để NAT chúng ta vào PROTECT > Rules and policies > Add firewall rule > Server access assistant [DNAT].

Sau khi nhấn vào Server access assistant [DNAT] một bảng cấu hình hiện lên.

Ở Internal server IP address chúng ta tích chọn Select IP host và chọn Sophos Firewall 2 – 10.84.2.90 từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Public IP address tích chọn Select public ip address or WAN interface và chọn #Port 2 – 42.117.x.x từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Service nhấn Add new item và chọn profile IPSec S2S VPN.

Nhấn Next để tiếp tục.

Ở External source networks or devices giữ nguyên lựa chọn Any và nhấn Next.

Cuối cùng là bước review các lựa chọn đã chọn trước đó, nếu đã chọn đúng nhấn Save and finish để hoàn thành.

5.2.Sophos Firewall 2

5.2.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

  • Name*: SF2_LAN.
  • IP version*: IPv4.
  • Type*: Network.
  • IP address*: 10.84.0.0 Subnet /16[255.255.0.0]
  • Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

  • Name*: Fortinet_LAN.
  • IP version*: IPv4.
  • Type*: Network.
  • IP address*: 192.168.2.0 Subnet /24[255.255.255.0]

Nhấn Save để lưu.

5.2.2.Tạo IPSec policy

Do đây là kết nối IPSec VPN giữa 2 thiết bị khác hãng nên chúng ta cần tạo IPSec policy chung cho cả 2 thiết bị.

Để tạo IPSec policy vào CONFIGURE > VPN > IPSec policies > Nhấn Add.

Tạo IPSec policy với các thông số sau.

General settings:

  • Name: VPN_S2S_Fortinet.
  • Key exchange: IKEv1.
  • Authentication mode: Main mode
  • Tích chọn Re-key connection.

Phrase 1:

  • Key life: 5400.
  • Re-key margin: 360.
  • Randomize re-keying margin by: 50.
  • DH group (key group): 14 (DH2048).
  • Encryption: AES256.
  • Authentication: SHA2 256.

Phrase 2:

  • PFS group (DH group): None.
  • Key life: 3600.
  • Encryption: AES128.
  • Authentication: SHA2 256.

Dead Peer Detection:

  • Dead Peer Detection: tích chọn.
  • Check peer after every: 30.
  • Wait for response up to: 120.
  • When peer unreachable: Re-initiate.

Nhấn Save để lưu.

5.2.3.Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

  • Name: VPN_SOPHOS_TO_FORTINET.
  • IP version: IPv4.
  • Connection type: Site-to-site.
  • Gateway type: Initiate the connection.
  • Active on save: bỏ chọn.
  • Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

  • Policy: chọn VPN_S2S_Fortinet.
  • Authentication type: chọn Preshared key.
  • Preshared key: nhập mật khẩu kết nối.
  • Repeat preshared key: nhập lại mật khẩu kết nối.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

  • Listening interface: chọn PortA8 – 10.84.2.90.
  • Local ID type: chọn IP address.
  • Local ID: nhập 10.84.2.90.
  • Local subnet: chọn profile SF2_LAN.

Remote Gateway:

  • Gateway address: nhập IP WAN của Fortinet 800D là 203.205.x.x.
  • Remote ID type: chọn IP address.
  • Remote ID: nhập 203.205.x.x.
  • Remote subnet: chọn profile Fortinet_LAN.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.

Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.

5.2.4.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.2.5.Bật dịch vụ PING và HTTPS trên VPN zone.

Mặc định trên VPN zone sẽ tắt hết các dịch vụ.

Để bật vào SYSTEM > Administration > Device Access.

Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.

5.3.Fortinet FG 800D

5.3.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào Policy & Objects > Addresses > nhấn Create New > Address.

Tạo profile cho Remote subnet với các thông số sau:

  • Category: Address.
  • Name: LAN_Sophos.
  • Type: Subnet.
  • IP/Netmask: 10.84.0.0/16.
  • Interface: any.
  • Show in address list: bật.
  • Nhấn OK để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Local subnet theo các thông số sau:

  • Category: Address.
  • Name: 192.168.2.0 address.
  • Type: Subnet.
  • IP/Netmask: 192.168.2.0/24.
  • Interface: any.
  • Show in address list: bật.

Nhấn OK để lưu.

5.3.2.Tạo VPN Tunnels

Để tạo VPN Tunnels vào VPN > IPSec Tunnels > nhấn Create New.

Bảng VPN Create Wizard hiện ra điền các thông tin cấu hình như sau:

  • Name: VPN_FG_2_SOPHOS
  • Template type: chọn Custom
  • Nhấn Next để tiếp tục.

Chúng ta sẽ cấu hình bảng Network với các thông số sau:

  • IP Version: IPv4
  • Remote Gateway: Static IP Address
  • IP Address: điền IP WAN của thiết bị Sophos Firewall 2 là 42.117.x.x.
  • Interface: chọn cổng WAN của thiết bị Fortinet dùng để thiết lập kết nối VPN. Theo sơ đồ chọn cổng wan2
  • Local Gateway: không bật
  • Mode Config: bỏ check
  • NAT Traversal: chọn Disable
  • Dead Peer Detection: chọn Disable

Bảng Authentication:

  • Method: chọn Pre-sahred Key
  • Pre-shared Key: nhập mật khẩu để thiết lập kết nối VPN (lưu ý là mật khẩu này phải được đặt giống nhau trên cả 2 thiết bị Sophos và Fortinet).
  • IKE Version: 1
  • IKE Mode: Main(ID protection)

Bảng Phrase 1 Proposal:

  • Encryption: AES256
  • Authentication: SHA256
  • Diffe-Hellman Group: chọn 14
  • Key Liftime (second): 5400

Bảng XAUTH:

  • Type: chọn Disable

Bảng Phrase Selectors:

  • Local Address: Chọn Subnet và điền lớp mạng LAN 192.168.2.0/24 của Fortinet vào.
  • Remote Address: Chọn Subnet và điền lớp mạng LAN 10.84.0.0/16 của Sophos Firewall 2 vào.
  • Nhấn Advanced… để bảng Phrase 2 Proposal hiện ra.

Bảng Phrase 2 Proposal:

  • Encryption: AES128
  • Authentication: SHA256
  • Enable Perfect Forward Secrecy: bỏ chọn
  • Key Lifetime: chọn Seconds
  • Second: 3600

Nhấn OK để tạo IPSec Tunnels.

5.3.3.Tạo Static Routes

Chúng ta cần tạo một static route để định tuyến đường đi đến lớp mạng LAN của Sophos thông qua kết nối VPN vừa tạo cho thiết bị tường lửa Fortinet.

Để tạo vào Network > Static Routes và nhấn Create New.

Cấu hình theo các thông số sau:

  • Destination: nhập lớp mạng LAN của thiết bị Sophos Firewall 2 là 10.84.0.0/16.
  • Interface: chọn IPSec tunnels VPN_FG_2_SOPHOS vừa tạo.
  • Status: chọn Enable.
  • Nhấn OK để lưu.

5.3.4.Tạo Policy

Chúng ta cần tạo policy để cho kết nối VPN có thể truy cập vào mạng LAN của Fortinet và ngược lại.

Để tạo policy vào Policy & Objects > IPv4 Policy và nhấn Create New.

Cấu hình policy cho phép traffic từ lớp mạng LAN của Fortinet đi qua lớp mạng LAN của Sophos theo các thông số như sau:

  • Name: VPN_FG_2_SOPHOS
  • Incoming Interface: chọn Floor B (192.168.2.0) tức port5 của Fortinet
  • Outgoing Interface: Chọn VPN Tunnels VPN_FG_2_SOPHOS vừa tạo
  • Source: Chọn profile 192.168.2.0 address
  • Destination: Chọn profile LAN_Sophos
  • Service: Chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

Cấu hình policy cho phép traffic từ lớp mạng LAN của Sophos đi qua lớp mạng LAN của Fortinet theo các thông số như sau:

  • Name: VPN_SOPHOS_2_FG
  • Incoming Interface: Chọn VPN Tunnels VPN_FG_2_SOPHOS vừa tạo
  • Outgoing Interface: Chọn Floor B(192.168.2.0) tức port5 của Fortinet
  • Source: Chọn profile LAN_Sophos
  • Destination: Chọn profile 192.168.2.0 address
  • Service: chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

5.4.Kiểm tra kết quả.

Để kích hoạt kết nối IPSec giữa 2 thiết bị chúng ta vào thiết bị Sophos Firewall > CONFIGURE > VPN > IPSec connections.

Chúng ta chú ý đến biểu tượng hình tròn tại cột Connection của kết nối IPSec VPN mà chúng ta đã tạo trước đó đang là màu đỏ tức kết nối chưa được kích hoạt đến thiết bị Fortinet 800D.

Để kích hoạt nhấn chuột trái vào biểu tượng hình tròn tại cột Connection và nhấn Yes.

Biểu tượng hình tròn này sẽ chuyển sang màu xanh lá tức là chúng ta đã kích hoạt thành công kết nối IPSec VPN giữa 2 thiết bị.

Trên thiết bị Fortinet 800D chúng ta cũng sẽ thấy được trạng thấy của tunnel VPN_FG_2_SOPHOS đang là UP.

0 0 đánh giá
Đánh giá bài viết
Tags: ,
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận