1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall và Palo Alto với thiết bị Sophos nằm phía sau một thiết bị Sophos Firewall khác.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
Head Office:
- Tại head office site chúng ta sẽ có mô hình external và internal firewall với 2 thiết bị Sophos Firewal 1 là external firewall và Sophos Firewall 2 là internal firewall.
- Đường truyền internet được kết nối tại Port 2 của thiết bị Sophos Firewall 1 với IP 192.168.2.111.
- Mạng LAN của thiết bị Sophos Firewall 1 được cấu hình tại Port 1 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.
- Tại Sophos Firewall 2 cổng WAN sẽ là Port 2 và nó sẽ được kết nối đến Port 1 của Sophos Firewall 1, Port 2 trên Sophos Firewall 2 được đặt IP tĩnh là 10.145.41.50/24.
- Mạng LAN của Sophos Firewall 2 được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã được cấu hình DHCP.
Branch office:
- Đường truyền internet được kết nối tại port ethernet1/1 của thiết bị Palo Alto firewall với IP 192.168.2.115.
- Mạng LAN được cấu hình tại port ethernet1/2 với IP 172.16.16.16/24 và đã cấu hình DHCP để cấp phát IP cho các thiết bị kết nối vào.
3.Tình huống cấu hình
Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall 2 tại Head Office site và thiết bị Palo Alto Firewall 3 tại Branch Office site để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.
4.Các bước cấu hình
Sophos Firewall 1:
- Tạo profile cho IPSec service.
- Tạo Profile cho IP WAN của Sophos Firewall 2.
- Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra internet.
Sophos Firewall 2:
- Tạo profile cho Local và Remote subnet.
- Tạo IPSec policy.
- Tạo kết nối IPSec connection.
- Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
- Bật dịch vụ PING và HTTPS trên VPN zone.
Palo Alto Firewall:
- Tạo VPN zone.
- Tạo Address Object.
- Tạo tunnel interface.
- Tạo Virtual Routers.
- Tạo IKE Crypto.
- Tạo IPSec Crypto.
- Tạo IKE Gateways.
- Tạo IPSec Tunnels.
- Tạo policy.
Kiểm tra kết quả.
5.Hướng dẫn cấu hình.
5.1.Sophos Firewall 1.
5.1.1.Tạo profile cho IPSec service
Kết nối IPSec VPN Site to site sẽ sử dụng các port là UDP 500 và UDP 4500.
Chúng ta cần tạo profile cho 2 service này.
Để tạo vào SYSTEM > Hosts and services > Services > nhấn Add.
Tạo với các thông số sau:
- Name*: IPSec S2S VPN
- Type*: chọn TCP/UDP.
- Protocol: chọn UDP.
- Source port: 1:65535.
- Destination port: 500
- Nhấn biểu tượng dấu + để thêm 1 hàng.
- Protocol: chọn UDP.
- Source port: 1:65535.
- Destination port: 4500.
- Nhấn Save để lưu.
5.1.2.Tạo profile cho IP WAN của Sophos Firewall 2.
Để tạo vào SYSTEM > Hosts and services > IP Host > Nhấn Add.
Tạo với các thông tin sau:
- Name*: Sophos Firewall 2.
- IP version*: chọn IPv4.
- Type*: chọn IP.
- IP address*: nhập IP WAN của Sophos Firewall 2 là 10.145.41.50.
- Nhấn Save để lưu.
5.1.3.Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra ngoài internet.
Để NAT chúng ta vào PROTECT > Rules and policies > Add firewall rule > Server access assistant [DNAT].
Sau khi nhấn vào Server access assistant [DNAT] một bảng cấu hình hiện lên.
Ở Internal server IP address chúng ta tích chọn Select IP host và chọn Sophos Firewall 2 – 10.145.41.50 từ danh sách thả xuống.
Nhấn Next để tiếp tục.
Ở Public IP address tích chọn Select public ip address or WAN interface và chọn #Port 2 – 192.168.2.111 từ danh sách thả xuống.
Nhấn Next để tiếp tục.
Ở Service nhấn Add new item và chọn profile IPSec S2S VPN.
Nhấn Next để tiếp tục.
Ở External source networks or devices giữ nguyên lựa chọn Any và nhấn Next.
Cuối cùng là bước review các lựa chọn đã chọn trước đó, nếu đã chọn đúng nhấn Save and finish để hoàn thành.
5.2.Sophos Firewall 2
5.2.1.Tạo profile cho Local và Remote subnet
Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.
Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.
Tạo profile cho Local subnet với các thông số sau:
- Name*: SF2_LAN.
- IP version*: IPv4.
- Type*: Network.
- IP address*: 10.146.41.0 Subnet /24[255.255.255.0]
- Nhấn Save để lưu.
Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:
Name*: PA_LAN.
IP version*: IPv4.
Type*: Network.
IP address*: 172.16.16.0 Subnet /24[255.255.255.0]
Nhấn Save để lưu.
5.2.2.Tạo IPSec policy
Do đây là kết nối IPSec VPN giữa 2 thiết bị khác hãng nên chúng ta cần tạo IPSec policy chung cho cả 2 thiết bị.
Để tạo IPSec policy vào CONFIGURE > VPN > IPSec policies > Nhấn Add.
Tạo IPSec policy với các thông số sau.
General settings:
- Name: VPN_S2S_PaloAlto.
- Key exchange: IKEv2.
- Authentication mode: Main mode
- Tích chọn Re-key connection.
Phrase 1:
- Key life: 5400.
- Re-key margin: 360.
- Randomize re-keying margin by: 50.
- DH group (key group): 2 (DH1024).
- Encryption: AES256.
- Authentication: SHA2 256.
Phrase 2:
- PFS group (DH group): None.
- Key life: 3600.
- Encryption: AES128.
- Authentication: SHA2 256.
Dead Peer Detection:
- Dead Peer Detection: tích chọn.
- Check peer after every: 30.
- Wait for response up to: 120.
- When peer unreachable: Re-initiate.
Nhấn Save để lưu.
5.2.3.Tạo kết nối IPSec connection
Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.
Ở General chúng ta cấu hình với các thông số sau:
- Name: VPN_SOPHOS_TO_PA.
- IP version: IPv4.
- Connection type: Site-to-site.
- Gateway type: Respond only.
- Active on save: bỏ chọn.
- Create firewall rule: bỏ chọn.
Ở Encryption chúng ta cấu hình với các thông số sau:
- Policy: chọn VPN_S2S_PaloAlto.
- Authentication type: chọn Preshared key.
- Preshared key: nhập mật khẩu kết nối.
- Repeat preshared key: nhập lại mật khẩu kết nối.
Ở Gateway settings chúng ta cấu hình theo các thông số sau:
Local Gateway:
- Listening interface: chọn Port2 – 10.145.41.50.
- Local ID type: chọn IP address.
- Local ID: nhập 10.145.41.50.
- Local subnet: chọn profile SF2_LAN.
Remote Gateway:
- Gateway address: nhập IP WAN của Palo Alto firewall là 192.168.2.115.
- Remote ID type: chọn IP address.
- Remote ID: nhập 192.168.2.115.
- Remote subnet: chọn profile PA_LAN.
Nhấn Save để lưu.
Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.
Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.
Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.
5.2.4.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.
Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.
Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.
Nhấn Save để lưu.
5.2.5.Bật dịch vụ PING và HTTPS trên VPN zone.
Mặc định trên VPN zone sẽ tắt hết các dịch vụ.
Để bật vào SYSTEM > Administration > Device Access.
Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.
5.3.Palo Alto Firewall
5.3.1.Tạo Zone
Chúng ta cần tạo zone cho các kết nối VPN.
Để tạo vào Network > Zones.
Nhấn Add và tạo theo các thông tin sau:
- Name: VPN
- Type: Layer3
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.2.Tạo Address Object
Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto và Sophos.
Để tạo vào Object > Addresses.
Nhấn Add và tạo theo các thông số như sau.
Palo Alto LAN:
- Name: PA_LAN
- Type: IP Netmask – 172.16.16.0/24
- Nhấn OK để lưu.
Sophos Firewall 2 LAN:
- Name: SF2_LAN
- Type: IP Netmask – 10.146.41.0/24
- Nhấn OK để lưu
5.3.3.Tạo Interface Tunnel
Để tạo vào Network > Interface > Tunnel.
Nhấn Add và tạo theo các thông tin như sau:
- Interface Name: tunnel – 2
- Virtual Router: None
- Security Zone: VPN
- Nhấn OK để lưu.
5.3.4.Tạo Virtual Routers
Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.
Tab Router Settings:
- Name: VR1
- Tab General: nhấn Add và chọn các cổng ethernet1/2 (cổng LAN), ethernet1/1(cổng internet) và tunnel.2(là tunnel dùng để kết nối VPN).
Tab Static Routes > IPv4:
Nhấn Add để thêm static routes và điền vào các thông tin sau:
- Name: Route-1
- Destination: SF2_LAN
- Interface: tunnel.2
- Nhấn OK 2 lần để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.5.Tạo IKE Crypto
Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.
Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:
- Name: IKE_Crypto_Phrase1
- DH Group: group2
- Encryption: aes-256-cbc
- Authentication: sha256
- Key Lifetime: Seconds – 5400
- Nhấn OK Để lưu
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.6.Tạo IPSec Crypto
Để tạo IPSec Crypto vào Network > IPSec Crypto và nhấn Add.
Cấu hình theo các thông số sau:
- Name: IPSec_Crypto_Phrase2
- IPSec Protocol: ESP
- Encryption: aes-128-cbc
- Authentication: sha256
- DH Group: no-pfs
- Lifetime: Seconds – 3600
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.7.Tạo IKE Gateways
Để tao vào Network > IKE Gateways và nhấn Add.
Cấu hình theo các thông số sau
Bảng General:
- Name: IKE_Gateway
- Version: IKEv2 only mode
- Address Type: IPv4
- Interface: ethernet1/1 (cổng WAN của Palo Alto)
- Local IP Address: None
- Peer Address: Nhập IP WAN của Sophos Firewall 1 là 192.168.2.111
- Authentication: Pre-shared Key
- Pre-shared key: nhập mật khẩu kết nối (mật khẩu này phải giống với mật khẩu đã đặt trên Sophos)
- Confirm Pre-shared key: nhập lại mật khẩu kết nối.
- Local Identification: chọn IP address – nhập 192.168.2.115.
- Peer Identification: chọn IP address – nhập IP WAN của Sophos Firewall 2 là 10.145.41.50
Bảng Advanced Options:
- IKE Crypto Profile: chọn IKE_Crypto_Phrase1
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.8.Tạo IPSec Tunnels
Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với thiết bị Sophos Firewall.
Để tạo vào Network > IPSec Tunnels và nhấn Add.
Tạo với các thông tin như sau.
Tab General:
- Name: VPN_PA_TO_SOPHOS
- Tunnel Interface: tunnel.2
- Type: Auto Key
- Address Type: IPv4
- IKE Gateways: IKE_Gateway
- IPSec Crypto Profile: IPSec_Crypto_Phrase2
Tab Proxy IDs:
Nhấn Add và cấu hình các thông tin sau:
- Proxy ID: Peer-1
- Local: 172.16.16.0/24
- Remote: 10.146.41.0/24
- Protocol: Any
- Nhấn OK 2 lần để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.9.Tạo Policy
Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Sophos Firewall và ngược lại.
Để tạo policy vào Policies > Security và nhấn Add.
Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Sophos Firewall với các thông tin như sau:
Tab General:
- Name: LAN_TO_VPN
- Rule Type: universal (default)
Tab Source:
- Source Zone: nhấn Add và chọn Trust-Layer3 (Đây là zone của lớp LAN)
- Source Address: nhấn Add và chọn PA_LAN (PA_LAN là Address Object mà chúng ta đã tạo trước đó)
Tab Destination:
- Destination Zone: VPN
- Destination Address: SF2-LAN (đây là Address Object đã tạo lúc đầu)
Tab Action:
- Action: chọn Allow để cho phép.
- Nhấn OK để lưu.
Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của Sophos Firewall sang lớp mạng LAN của Palo Alto với các thông tin sau:
Tab General:
- Name: VPN_TO_LAN
- Rule Type: universal (default)
Tab Source:
- Source Zone: nhấn Add và chọn VPN
- Source Address: nhấn Add và chọn SF2_LAN (SF2_LAN là Address Object mà chúng ta đã tạo trước đó)
Tab Destination:
- Destination Zone: Trust-Layer3 (Zone của lớp mạng LAN)
- Destination Address: PA-LAN (đây là Address Object đã tạo lúc đầu)
Tab Action:
- Action: chọn Allow để cho phép.
- Nhấn OK để lưu.
5.4.Kiểm tra kết quả.
Trên thiết bị Palo Alto sau khi tạo kết nối IPSec tunnels thì kết nối sẽ được liệt kê ra như hình dưới.
Chúng ta chú ý đến cột Status chúng ta thấy rằng biểu tượng port mạng đang là màu xanh tức kết nối IPSec này đã được Enable.
Để kích hoạt kết nối IPSec giữa 2 thiết bị chúng ta vào thiết bị Sophos Firewall > CONFIGURE > VPN > IPSec connections.
Chúng ta chú ý đến biểu tượng hình tròn tại cột Connection của kết nối IPSec VPN mà chúng ta đã tạo trước đó đang là màu đỏ tức kết nối chưa được kích hoạt đến thiết bị Palo Alto firewall.
Để kích hoạt nhấn chuột trái vào biểu tượng hình tròn tại cột Connection và nhấn Yes.
Biểu tượng hình tròn này sẽ chuyển sang màu xanh lá tức là chúng ta đã kích hoạt thành công kết nối IPSec VPN giữa 2 thiết bị.
Trên thiết bị Palo Alto firewall chúng ta cũng sẽ thây được 2 biểu tượng hình tròn tại 2 cột Status đều chuyển sang màu xanh lá.
Để kiểm tra sự giao tiếp giữa 2 lớp mạng LAN của mỗi site với nhau, thegioifirewall sẽ dùng 1 máy tính tại mỗi site để ping lẫn nhau kiểm tra kết quả.
Ở site Head Office thegioifirewall đã chuẩn bị sẵn máy chủ có IP 10.146.41.10/24 và ở site Branch Office đã chuẩn bị máy Windows 10 có IP 172.16.16.50/24.
Kết quả ping từ máy chủ IP 10.146.41.10/24 đến máy Windows 10.
Kết quả ping thành công.
Kết quả ping từ máy Windows 10 IP 172.16.16.50 đến máy chủ.
Kết quả ping thành công.