Hướng dẫn cấu hình IPSec VPN Site-to-Site giữa Sophos và Draytek với IP WAN là IP tĩnh

1. Mục đích bài viết

Bài viết sẽ hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa thiết bị tường lửa Sophos XG và router Draytek Vigor2925.

2. Sơ đồ mạng

Giải thích sơ đồ mạng:

Site A:

  • Chúng ta có đường internet được kết nối ở port 5 của thiết bị Sophos XG 85 với IP WAN tĩnh là 203.205.26.x bằng media converter.
  • Tiếp theo là lớp mạng LAN 172.16.0.0/20 được cấu hình ở port 1 của thiết bị Sophos XG 85.

Site B:

  • Chúng ta có đường internet được kết nối ở port WAN 1 của thiết bị router Draytek Vigor2925 với IP WAN tĩnh là 113.190.242.x bằng media converter.
  • Tiếp theo là lớp mạng LAN 192.168.4.0/24 được cấu hình ở port 5 của thiết bị Draytek Vigor2925.

3. Tình huống cấu hình

Chúng ta sẽ thực cấu hình IPSec VPN Site-to-Site giữa hai thiết bị Sophos XG 85 và Draytek Vigor2925 để lớp mạng LAN của cả hai site là 172.16.0.0/20 và 192.168.4.0/24 có thể kết nối được với nhau.

4. Các bước cấu hình

Trên thiết bị Draytek Vigor2925:

  • Cấu hình Common Settings.
  • Cấu hình Dial-In Settings.
  • Cấu hình TCP/IP Network Settings.

Trên thiết bị Sophos XG 85:

  • Tạo subnet
  • Tạo IPSec Policies
  • Tạo IPSec Connection
  • Kiểm tra Kết quả

5. Hướng dẫn cấu hình

5.1 Trên thiết bị Draytek Vigor2925

Để tạo kết nối VPN tên Draytek chúng ta cần đăng nhập vào trang quản trị, sau đó vào VPN and Remote Access > LAN to LAN.

Nhấn vào bất kì Index nào bạn muốn để tạo, ở đây mình nhấn vào Index 1.

Bảng Profile Index hiện ra chúng ta sẽ cấu hình các phần Common Settings, Dial-In Settings, TCP/IP Network Settings.

5.1.1 Cấu hình Common Settings

Trong phần này chúng ta sẽ cấu hình các thông số như sau:

  • Profile Name: VPN_DQCD9
  • Tích chọn Enable this profile
  • Call Direction : chọn Dial-Out ( thiết bị Draytek sẽ chờ thiết bị khác tạo kết nối VPN đến )
  • Tunnel Mode: chọn Always on
  • VPN Dial-Out Through: Chọn WAN1 First và chọn địa chỉ IP của cổng WAN1 là 113.190.242.157.
  • Netbios Naming Packet: chọn Pass
  • Multicast via VPN: Block

5.1.2 Cấu hình Dial-Out Settings

Trong phần này chúng ta sẽ cấu hình các thông số như sau:

  • Type of  Server I am calling: chọn IPSec Tunnel IKEv1
  • Server IP/Host Name for VPN: điền địa chỉ IP WAN của Sophos là 203.205.26.x vào.
  • IKE Authetication Method: tích chọn Pre-Shared Key và nhập password vào ô trống bên cạnh. (Lưu ý ghi nhớ mật khẩu này để nhập tương tự cho bên Sophos)
  • IPSec Security Method: tích chọn High(ESP) và chọn 3DES with authentication.
  • Sau đó nhấn Advanced, bảng IKE Advanced settings hiện ra chúng ta sẽ cấu hình với các thông số sau.
  • IKE phrase 1 mode (IKEv1): chọn Main mode
  • IKE phrase 1 proposal: chọn 3DES_MD5_G2
  • IKE phrase 2 proposal: chọn 3DES_MD5
  • IKE phrase 1 key lifetime: 28800
  • IKE phrase 2 key lifetime: 3600
  • Perfect Forward Secret: chọn Disable.
  • Nhấn OK để lưu.

5.1.3 Cấu hình TCP/IP Network Settings

Trong phần này chúng ta sẽ cấu hình các thông số sau:

  • Remote Network IP: nhập vào IP LAN của Sophos là 172.16.20.1
  • Remote Network Mask: chọn 255.255.240.0/20
  • Local Network IP: nhập vào IP LAN của Draytek là 192.168.4.1
  • Local Network Mask: chọn 255.255.255.0/24
  • Nhấn OK để lưu.

Quay trở lại bảng LAN-to-LAN Profiles các bạn tích chọn Enable cho profile index vừa tạo và nhấn OK để enable profile này.

5.2 Trên thiết bị Sophos XG 85

5.2.1 Tạo subnet

Chúng ta sẽ tạo subnet cho 2 lớp mạng 172.16.0.0/24 của Sophos và 192.168.4.0/24 của Draytek.

Để tạo vào Hosts and services nhấn Add và tạo theo các thông tin sau.

Subnet Sophos:

  • Name: LAN_Q9DQH_HEAD
  • IP Version: IPv4
  • Type: Network
  • IP address: 172.16.0.0 – Subnet: 255.255.240.0
  • Nhấn Save để lưu

Subnet Draytek:

  • Name: LAN_CNHN_Network
  • IP Version: IPv4
  • Type: Network
  • IP address: 192.168.4.0 – Subnet: 255.255.255.0
  • Nhấn Save để lưu

5.2.2 Tạo IPSec Policies

Để tạo IPSec Policies vào VPN > IPSec policies và nhấn Add.

Cấu hình theo các thông số sau.

Bảng General Settings:

  • Name: VPN_Draytek_DQ
  • Key exchange: IKEv1
  • Authentication mode: Main mode

Bảng Phrase 1:

  • Key life: 28800
  • Re-key margin: 360
  • Randomize re-keying margin by: 50
  • DH group (key group): 2 (DH1024)
  • Enccryption: 3DES
  • Authentication: MD5

Bảng Phrase 2:

  • PFS group (DH group): None
  • Key life: 3600
  • Encryption: 3DES
  • Authentication: MD5

Bảng Dead Peer Detection:

  • Dead Peer Detection: tích chọn
  • Check peer after every: 30
  • Wait for response up to: 120
  • When peer unreachable: Re-initiate

Nhấn Save để lưu.

5.2.3 Tạo IPSec Connection

Để tao vào VPN > IPSec Connection và nhấn Add.

Cấu hình theo các thông số sau.

Bảng General settings:

  • Name: VPN_DQH_CNHN
  • IP version: IPv4
  • Connection type: Site-to-site
  • Gateway type: Initiate the connection
  • Tích chọn Active on save and Create firewall rule

Bảng Encryption:

  • Policy: chọn VPN_Draytek_DQ
  • Authentication type: chọn Preshared key
  • Preshared key: nhập mật khẩu kết nối VPN (lưu ý phải đặt giống với bên thiết bị Draytek)
  • Repeat preshared key: nhập lại mật khẩu kết nối

Bảng Gateway settings:

  • Listening interface: chọn Port5-203.205.26.x
  • Local Subnet: chọn subnet LAN_Q9DQH_Head vừa tạo.
  • Gateway address: nhập IP WAN của Draytek là 113.190.242.x
  • Remote subnet: chọn subnet LAN_CNHN_Network

Nhấn Save để lưu.

5.3 Kiểm tra kết quả

Quay trở lại với IPSec Connection chúng ta sẽ thấy VPN Connection mà chúng ta vừa tạo vẫn chưa được bật.

Nhấn vào chấm tròn ở cột Active và nhấn OK để bật VPN connection, lúc này màu của chấm tròn sẽ chuyển sang màu xanh lá.

Các bạn chờ khoản 2 đến 3 giây thì chấm tròn ở cột Connection sẽ chuyển sang màu xanh lá tức là kết nối VPN giữa Sophos và Draytek đã được thiết bị thành công.

Chuyển sang thiết bị Draytek các bạn có thể check kết VPN thành công hay chưa bằng cách vào VPN and Remote Access > Connection Management.

Các bạn sẽ thấy kết nối VPN đã được thiết lậpm trạng thái của kết nối, thời gian đã kết nối,….

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
2 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận
nguyen thanh
nguyen thanh
2 năm trước

mình đã làm và đã kết nối thành công. nhưng khi ping vào mạng nội bộ giữa 2 đầu thì trả về lỗi Reply from 192.168.100.1: TTL expired in transit. Cho mình hỏi tình trạng này bị sao ạ