1.Mục đích cấu hình.
Bài viết này sẽ hướng dẫn cách cấu hình IPsec VPN Site to site giữa hai thiết bị Sophos Firewall bằng tính năng SD-WAN VPN Orchestration.
2.SD-WAN VPN Orchestration là gì ?
SD-WAN VPN Orchestration là tính năng mới trên Sophos Central cho phép quản trị các điểm VPN site to site một cách dễ dàng từ Sophos Central. Tính năng này tự động định cấu hình các tunnel và các rule truy cập giữa hai hoặc nhiều tường lửa một cách nhanh chóng và dễ dàng giúp người quản trị viên tiết kiệm được thời gian.
3.Sơ đồ mạng.
Thiết bị tường lửa Sophos Firewall 1 (SF1)
- Trên thiết bị có 2 đường internet là ISP 1 có IP 172.16.16.56 được cấu hình tại Port 2.
- Lớp mạng LAN được cấu hình tại Port 1 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối vào.
Thiết bị tường lửa Sophos Firewall 2 (SF2)
- Trên thiết bị có 1 đường internet có IP 172.16.16.57 được cấu hình tại Port 2.
- Lớp mạng LAN được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối vào.
3.Tình huống cấu hình
Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall 1 tại Head Office site và thiết bị Sophos Firewall 2 tại Branch Office site trên Sophos Central bằng tính năng SD-WAN VPN Orchestration để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.
Lưu ý: Để có thể cấu hình chúng ta cần đáp ứng các điều kiện sau.
- Sophos Firewall sử dụng bản SFO v18.5MR1 trở lên.
- Sophos Firewall được quản lý trên Sophos Central.
- Sophos Firewall phải có license Central Orchestration.
4.Các bước thực hiện
- Đăng kí 2 thiết bị Sophos Firewall 1 và Sophos Firewall 2 lên Sophos Central.
- Thực hiện cấu hình IPsec VPN bằng SD-WAN VPN Orchestration.
5.Hướng dẫn cấu hình
5.1.Đăng kí 2 thiết bị Sophos Firewall 1 và Sophos Firewall 2 lên Sophos Central
Để chúng ta cấu hình IPsec VPN bằng SD-WAN VPN Orchestration trên Sophos Central thì đầu tiên chúng ta cần phải đăng kí để quản trị 2 thiết bị tường lửa SF1 và SF2 lên Sophos Central.
Do Sophos Central quản trị Sophos Firewall bằng Serial Number nên chúng ta sẽ kiểm tra thông số này trên từng thiết bị.
Để kiểm tra chúng ta truy cập vào trang quản trị của cả 2 thiết bị tường lửa.
Vào Administrator > Licensing > tại phần Model chúng ta sẽ thấy được số Serial Number của thiết bị trong dấu “()”.
Serial Number của Sophos Firewall 1 là: C01001BP7PRTK9D
Serial Number của Sophos Firewall 1 là: C01001T32PQVGEF
Tiếp theo chúng ta sẽ đăng kí cả 2 thiết bị Sophos Firewall lên Sophos Central.
Để đăng kí trên giao diện quản trị của Sophos Firewall 1 chúng ta vào SYSTEM > Sophos Central > nhấn Register.
Bảng Register firewall with Sophos Central hiện ra, chúng ta nhập tài khoản và mật khẩu của Sophos Central vào và nhấn Register.
Sau khi đăng kí thành công, chúng ta cần phải bật dịch vụ Sophos Central services, để bật chúng ta nhấn chuột trái vào nút gạt tại Sophos Central service.
Bảng Sophos Central services hiện ra, chúng ta tích chọn vào các thông số như hình sau và nhấn Apply.
Sau khi bật Sophos Central services, chúng ta cần đăng nhập vào Sophos Central bằng tài khoản quyền admin.
Vào Firewall Management > Firewalls, chúng ta sẽ thấy thiết bị Sophos Firewall 1 với Serial Number C01001BP7PRTK9D đã hiện thị trên Sophos Central và đang trong trạng thái chờ Approval.
Chúng ta nhấn chuột trái vào Approval Pending và chọn Accept services để hoàn thành việc đăng kí.
Sau khi nhấn Accept services, tại cột SYSC & MANAGEMENT chúng ta sẽ thấy dấu tích màu xanh và trạng thái Connected thể hiển rằng việc đăng kí đã thành công.
Tương tự, chúng ta cũng sẽ thực hiện các bước tương tự như trên để đăng kí Sophos Firewall 2 lên Sophos Central như các hình sau.
Thiết bị Sophos Firewall 2 với Serial Number C01001T32PQVGEF đã được đăng kí lên Sophos Central thành công.
5.2.Thực hiện cấu hình IPsec VPN bằng SD-WAN VPN Orchestration
Để cấu hình trên Sophos Central chúng ta vào Firewall Management > SD-WAN Connection Groups > nhấn Create Connection Group.
Chúng ta cấu hình với các thông số sau:
- Connection group name: đặt tên là IPSEC_VPN_SF1_TO_SF2.
- Available Firewalls: tích chọn 2 serial number của SF1 và SF2 sau đó nhấn nút ‘>’.
- Assigned Firewalls: Sau khi nhấn nút ‘>’ thì 2 serial number của SF1 và SF2 sẽ chuyển sang bảng này.
- Nhấn Next.
Tại Share Resources, đây là nơi chúng ta sẽ khai báo host/subnet mà chúng ta muốn chia sẽ thông qua kết nối IPsec VPN.
Để cấu hình nhấn Add Resource.
Bảng Add Resources hiện ra chúng ta sẽ cấu hình share subnet của Sophos Firewall 1 với các thông tin sau:
- Firewall: chọn serial number của Sophos Firewall 1 là C01001BP7PRTK9D.
- Share Resources: nhập vào subnet của Sophos Firewall 1 là 10.145.41.0/24.
- Service: chọn Any.
- Automatically: tích chọn để tự động tạo policy cho phép các traffic IPsec VPN giữa 2 thiết bị.
- Nhấn Save.
Tương tự chúng ta sẽ cấu hình share sunet của Sophos Firewall 2 với các thông tin sau:
- Firewall: chọn serial number của Sophos Firewall 2 là C01001T32PQVGEF.
- Share Resources: nhập vào subnet của Sophos Firewall là 10.146.41.0/24.
- Service: chọn Any.
- Automatically: tích chọn để tự động tạo policy cho phép các traffic IPsec VPN giữa 2 thiết bị.
- Nhấn Save.
Chúng ta đã hoàn thành việc cấu hình Share Resources, nhấn Next.
Tiếp đến là phần Configure networks and routes, chúng ta cần khai báo Local networks (cổng LAN) của cả 2 thiết bị firewall.
Để khai báo chúng ta nhấn Details/Edit tại serial number của Sophos Firewall 2.
Chọn các thông tin như sau:
- Interface name: tích chọn Port 1.
- Tại Primary WAN link: chọn Port2 – 172.16.16.53.
- Secondary WAN link: nếu chúng ta muốn cấu hình FailOver cho đường IPsec VPN chúng ta có thể chọn đường WAN thứ 2, trong trường hợp này bỏ trống.
- Nhấn Save.
Tương tự chúng ta cũng nhấn Details/Edit tại serial number của Sophos Firewall 2 và cấu hình như sau:
- Interface name: tích chọn Port 1.
- Tại Primary WAN link: chọn Port2 – 172.16.16.193.
- Secondary WAN link: nếu chúng ta muốn cấu hình FailOver cho đường IPsec VPN chúng ta có thể chọn đường WAN thứ 2, trong trường hợp này bỏ trống.
- Nhấn Save.
Sau khi khai báo Local network chúng ta sẽ thấy chúng đã được cập nhật, nhấn Finish và Confirm để hoàn thành.
Lúc này chúng ta sẽ thấy Status của kết nối IPsec VPN giữa 2 thiết bị đang là Link down tức chưa kết nối thành công.
Nguyên nhân là do Sophos Central đang thực hiện đẩy các configure xuống 2 thiết bị Sophos Firewall 1 và Sophos Firewall 2 bằng các API.
Để theo dõi quá trình này chúng ta vào Tasks Queue và chúng ta sẽ thấy rằng quá trình đẩy configure đang diễn ra.
Chúng ta hoàn toàn có thể kiểm tra xem là Sophos Central đã đẩy các configure gì xuống bằng cách nhấn vào chữ IN PROGRESS.
Một loạt các cấu hình chi tiết mà Sophos Central đang thực hiện đẩy xuống Sophos Firewall sẽ hiện ra như hình sau.
Sau khi quá trình đẩy configure thành công thì status SUCCESS sẽ hiện ra.
Quay trở lại với SD-WAN Connection Groups chúng ta thấy rằng status của kết nối IPsec VPN giữa hai thiết bị đã chuyển sang Good tức kết nối thành công.
Chúng ta có thể đăng nhập vào giao diện quản trị của 2 thiết bị Sophos Firewall và thấy rằng tất cả các cấu hình đều được tạo tự động.
Các cấu hình được tạo tự động trên Sophos Firewall 1.
Các cấu hình được tạo tự động trên Sophos Firewall 2.
Để đảm bảo kết nối VPN thành công, chúng ta sẽ sử dụng hai máy tính tại mạng LAN của hai thiết bị và ping lẫn nhau.
Kết quả ping từ máy tính trong mạng LAN của Sophos Firewall 1 với IP 10.145.41.100 sang máy tính trong mạng LAN của Sophos Firewall 2 với IP 10.146.41.101 là thành công.
Và kết quả ping ngược lại cũng là thành công.