Hướng dẫn cấu hình IPSec VPN Site-to-Site giữa Sophos và Fortinet với IP WAN là IP tĩnh

1. Mục đích bài viết

Bài viết sẽ hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Sophos XG và Fortinet FG.

2. Sơ đồ mạng

Giải thích sơ đồ mạng:

Site A:

  • Chúng ta có đường internet được kết nối ở port 5 của thiết bị Sophos XG 85 với IP WAN tĩnh là 203.205.26.x bằng media converter.
  • Tiếp theo là lớp mạng LAN 172.16.0.0/20 được cấu hình ở port 1 của thiết bị Sophos XG 85.

Site B:

  • Chúng ta có đường internet được kết nối ở port WAN 1 của thiết bị tường lửa Fortinet FG 81E với IP WAN tĩnh là 203.205.26.x bằng media converter.
  • Tiếp theo là lớp mạng LAN 192.168.1.0/24 được cấu hình ở port 1 của thiết bị Fortinet FG 81E.

3. Tình huống cấu hình

Chúng ta sẽ thực cấu hình IPSec VPN Site-to-Site giữa hai thiết bị Sophos XG 85 và Fortinet FG 81E để lớp mạng LAN của cả hai site là 172.16.0.0/20 và 192.168.1.0/24 có thể kết nối được với nhau.

4. Các bước cấu hình

Trên thiết bị Fortinet FG 81E:

  • Tạo VPN Tunnels
  • Tạo Static Route
  • Tạo Policy

Trên thiết bị Sophos XG 85:

  • Tạo subnet
  • Tạo IPSec Policies
  • Tạo IPSec Connection

Kiểm tra Kết quả

5. Hướng dẫn cấu hình

5.1. Trên thiết bị Fortinet FG 81E

5.1.1. Tạo VPN Tunnels

Để tạo VPN Tunnels vào VPN > IPSec Tunnels > nhấn Create New.

Bảng VPN Create Wizard hiện ra điền các thông tin cấu hình như sau:

  • Name: VPN_FG_2SOPHOS
  • Template type: chọn Custom
  • Nhấn Next để tiếp tục.

Chúng ta sẽ cấu hình bảng Network với các thông số sau:

  • IP Version: IPv4
  • Remote Gateway: Static IP Address
  • IP Address: điền IP WAN của thiết bị Sophos XG 85 là 203.205.26.x
  • Interface: chọn cổng WAN của thiết bị Fortinet dùng để thiết lập kết nối VPN. Theo sơ đồ chọn cổng WAN1
  • Local Gateway: không bật
  • Mode Config: bỏ check
  • NAT Traversal: chọn Disable
  • Dead Peer Detection: chọn Disable

Bảng Authentication:

  • Method: chọn Pre-shared Key
  • Pre-shared Key: nhập mật khẩu để thiết lập kết nối VPN (lưu ý là mật khẩu này phải được đặt giống nhau trên cả 2 thiết bị Sophos và Fortinet).
  • IKE Version: 1
  • IKE Mode: Main(ID protection)

Bảng Phrase 1 Proposal:

  • Encryption: AES256
  • Authentication: SHA256
  • Diffe-Hellman Group: chọn 14
  • Key Liftime (second): 5400

Bảng XAUTH:

  • Type: chọn Disable

Bảng Phrase 2 Selectors:

  • Local Address: Chọn Subnet và điền lớp mạng LAN 192.168.1.0/24 của Fortinet vào.
  • Remote Address: Chọn Subnet và điền lớp mạng LAN 172.16.0.0/20 của Sophos vào.
  • Nhấn Advanced… để bảng Phrase 2 Proposal hiện ra.

Bảng Phrase 2 Proposal:

  • Encryption: AES128
  • Authentication: SHA256
  • Enable Perfect Forward Secrecy: bỏ chọn
  • Key Lifetime: chọn Seconds
  • Second: 3600

Nhấn OK để tạo IPSec Tunnels.

5.1.2. Tạo Static Routes

Chúng ta cần tạo một static route để định tuyến đường đi đến lớp mạng LAN của Sophos thông qua kết nối VPN vừa tạo cho thiết bị tường lửa Fortinet.

Để tạo vào Network > Static Routes và nhấn Create New.

Cấu hình theo các thông số sau:

  • Destination: nhập lớp mạng LAN của thiết bị Sophos XG 85 là 172.16.0.0/24.
  • Interface: chọn IPSec tunnels VPN_FG_2_SOPHOS vừa tạo.
  • Status: chọn Enable.
  • Nhấn OK để lưu.

5.1.3. Tạo Policy

Chúng ta cần tạo policy để cho kết nối VPN có thể truy cập vào mạng LAN của Fortinet và ngược lại.

Để tạo policy vào Policy & Objects > IPv4 Policy và nhấn Create New.

Cấu hình policy cho phép traffic từ lớp mạng LAN của Fortinet đi qua lớp mạng LAN của Sophos theo các thông số như sau:

  • Name: VPN_FG_2_SOPHOS
  • Incoming Interface: VLAN-KH(đây là interface LAN 1)
  • Outgoing Interface: Chọn VPN Tunnels VPN_FG_2_SOPHOS vừa tạo
  • Source: Chọn VLAN-KH address
  • Destination: Chọn VLAN_Sophos
  • Service: Chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

Cấu hình policy cho phép traffic từ lớp mạng LAN của Sophos đi qua lớp mạng LAN của Fortinet theo các thông số như sau:

  • Name: VPN_SOPHOS_2_FG
  • Incoming Interface: Chọn VPN Tunnels VPN_FG_2_SOPHOS vừa tạo
  • Outgoing Interface: VLAN-KH(đây là interface LAN 1)
  • Source: Chọn VLAN_Sophos
  • Destination: Chọn VLAN-KH address
  • Service: chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

5.2 Trên thiết bị Sophos XG 85

5.2.1. Tạo subnet

Chúng ta sẽ tạo subnet cho 2 lớp mạng 172.16.0.0/24 của Sophos và 192.168.1.0/24 của Fortinet.

Để tạo vào Hosts and services nhấn Add và tạo theo các thông tin sau.

Subnet Sophos:

  • Name: LAN_Q9DQH_HEAD
  • IP Version: IPv4
  • Type: Network
  • IP address: 172.16.0.0 – Subnet: 255.255.240.0
  • Nhấn Save để lưu

Subnet Fortinet:

  • Name: LAN_KH_FG
  • IP Version: IPv4
  • Type: Network
  • IP address: 192.168.1.0 – Subnet: 255.255.255.0
  • Nhấn Save để lưu

5.2.2. Tạo IPSec Policies

Để tạo IPSec Policies vào VPN > IPSec policies và nhấn Add.

Cấu hình theo các thông số sau.

Bảng General Settings:

  • Name: VPN_SOPHOS_2_FG
  • Key exchange: IKEv1
  • Authentication mode: Main mode

Bảng Phrase 1:

  • Key life: 5400
  • Re-key margin: 360
  • Randomize re-keying margin by: 50
  • DH group (key group): 14 (DH2048)
  • Enccryption: AES256
  • Authentication: SHA2 256

Bảng Phrase 2:

  • PFS group (DH group): None
  • Key life: 3600
  • Encryption: AES128
  • Authentication: SHA2 256

Bảng Dead Peer Detection:

  • Dead Peer Detection: tích chọn
  • Check peer after every: 30
  • Wait for response up to: 120
  • When peer unreachable: Re-initiate

Nhấn Save để lưu.

5.2.3. Tạo IPSec Connection

Để tao vào VPN > IPSec Connection và nhấn Add.

Cấu hình theo các thông số sau.

Bảng General settings:

  • Name: VPN_SOPHOS_2_FG
  • IP version: IPv4
  • Connection type: Site-to-site
  • Gateway type: Initiate the connection
  • Tích chọn Create firewall rule

Bảng Encryption:

  • Policy: chọn VPN_SOPHOS_2_FG
  • Authentication type: chọn Preshared key
  • Preshared key: nhập mật khẩu kết nối VPN (lưu ý phải đặt giống với bên thiết bị Fortinet)
  • Repeat preshared key: nhập lại mật khẩu kết nối

Bảng Gateway settings:

  • Listening interface: chọn Port5-203.205.26.x
  • Local Subnet: chọn subnet LAN_Q9DQH_Head vừa tạo.
  • Gateway address: nhập IP WAN của Fortinet 203.205.35.x
  • Remote subnet: chọn subnet LAN_KH_FG

Nhấn Save để lưu.

5.3 Kiểm tra kết quả

Quay trở lại với IPSec Connection chúng ta sẽ thấy VPN Connection mà chúng ta vừa tạo vẫn chưa được bật.

Nhấn vào chấm tròn ở cột Active và nhấn OK để bật VPN connection, lúc này mày của chấm tròn sẽ chuyển sang màu xanh lá.

Các bạn chờ khoản 2 đến 3 giây thì chấm tròn ở cột Connection sẽ chuyển sang màu xanh lá tức là kết nối VPN giữa Sophos và Fortinet đã được thiết bị thành công.

Chuyển sang thiết bị Fortinet các bạn có thể check kết VPN thành công hay chưa bằng cách vào Monitor > IPSec Monitor.

Các bạn sẽ thấy kết nối VPN đã được thiết lập và đã có lưu lượng Incoming Data và Outgoing Data.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận