Hướng dẫn cấu hình VPN site to site sử dụng Digital Certificates.

Overview

Chứng chỉ số (Digital Certificates) là một “hộ chiếu” điện tử cho phép một người, máy tính hoặc tổ chức trao đổi thông tin một cách an toàn qua Internet bằng cơ sở hạ tầng khóa công khai (Public Key Infrastructure-PKI). Chứng chỉ số cũng có thể được gọi là chứng chỉ khóa công khai.

Giống như hộ chiếu, chứng chỉ số cung cấp thông tin nhận dạng, có khả năng chống giả mạo và có thể được xác minh vì được cấp bởi một cơ quan chính thức, đáng tin cậy. Chứng chỉ chứa tên của chủ sở hữu chứng chỉ, số sê-ri, ngày hết hạn, bản sao khóa công khai của chủ chứng nhận (được sử dụng để mã hóa tin nhắn và chữ ký số) và chữ ký số của cơ quan cấp chứng chỉ (CA) để người nhận có thể xác minh rằng chứng chỉ là có thật.

Bài viết sẽ hướng dẫn cấu hình các thông số thiết lập VPN site to site trên Sophos XG 85 và Sophos Home, sử dụng Digital Certificates.

1.Sơ đồ cấu hình.

2. Các bước cấu hình.

• Chuyển modem Viettel và VNPT thành mode Bridge
• Cấu hình quay số PPPOE trên Sophos XG 85 và Sophos Home.
• Cấu hình Digital Certificate trên Sophos XG 85 và Sophos Home.
• Cấu hình các thông số VPN site to site trên Sophos XG 85 và Sophos Home.

3. Hướng dẫn cấu hình.

Bước 1: Chuyển modem Viettel và VNPT sang mode Bridge.

Trước khi chuyển đổi sang mode bridge, khi bạn gọi tổng đài hỗ trợ kỹ thuật của các nhà mạng, cung cấp cho tổng đài viên mã số hợp đồng đã thuê đường truyền của nhà mạng đó và yêu cầu tổng đài viên cung cấp Username và password PPPOE đã đăng kí, để cấu hình tại bước 2.

• Đối với modem Viettel muốn chuyển mode bridge bạn phải gọi điện tổng đài hỗ trợ kỹ thuật để bên kỹ thuật tự chuyển đổi. Thiết bị quay số PPPOE mới (như Sophos) cần có tính năng tag vlan do nhà mạng yêu cầu.
• Đối với modem VNPT phải xóa cấu hình PPPOE trước đó, sau đó tiến hành cấu hình mode bridge, tag vlan, và reboot modem để nhận cấu hình mới.
• Ngoài ra với modem FPT chuyển sang mode bridge là mode SFU và gọi tổng đài hỗ trợ kỹ thuật để reset mac, nhận mac thiết bị quay số PPPOE mới.

Bước 2: Cấu hình quay số PPPOE trên Sophos và Paloalto.

Sau khi đã chuyển modem sang mode bridge và đã có Username và Password PPPOE, ta tiến hành quay số.

Trên Sophos:

Đi chuyển đến Network > Interfaces > chọn Port 2 WAN > click PPPOE.

Điền Gateway Name và Username + Password PPPOE.

Di chuyển xuống mục DSL settings, click chọn VDSL và điền Vlan tag theo nhà mạng yêu cầu

Sau cũng click Save.

Kiểm tra kết quả Sophos đã quay số PPPOE thành công với địa chỉ IP WAN là 115.100.230.50.

Trên Sophos Home

Cũng thực hiện các bước quay số tương tự như trên Sophos XG, nhưng do Sophos Home kết nối đến line VNPT, modem VNPT đã có tính năng tag Vlan trên modem nên sẽ không cần tag vlan trên Sophos Home.

Kết quả Sophos Home đã quay số PPPOE thành công với địa chỉ IP WAN 14.169.167.16

Bước 3: Cấu hình Digital Certificates trên Sophos XG 85 và Sophos Home.

Trên Sophos Home:

Di chuyển xuống mục System > Certificates > Certificates Authorities. Click chọn Default.

Điền và chọn các thông số như: Country name, State, Company Name, Department name, Email address, Key type, Key length, Secure hash. Click Save.

Lưu ý: Các thông số trên là bắt buộc.

Tiếp theo click biểu tượng tải xuống chứng chỉ Default vừa chỉnh sửa.

Bạn di chuyển sang Certificate tab và click Add.

Mục Action bạn chọn Generate self-signed certificate.

Phần Certificate Details: Điền và chọn các thông số giống như Certificates Authorities trước đó.

Passphraes: Cần thống nhất 1 passphare sẽ nhập cho cả 2 Certificates trên Sophos XG 85 và Sophos Home. Bạn nhập 1 dãy số hoặc chữ tùy ý.

Certificate ID: Bạn có thể chọn nhập theo DNS, IP hoặc Email.

Sau khi tạo xong bạn click biểu tượng tải xuống Certificate vừa tạo.

Trên Sophos XG 85 bạn cũng tiến hành tạo và tải xuống Certificate Authorities và Certificate tương tự như trên Sophos Home.

Tải xuống Certificate Authorities với tên Default.

Tải xuống Certificates, với tên SF2_Cer vừa tạo.

Sau khi đã tạo, tải xuống và tải xuống Certificates và Certificate Authorities của Sophos Home và Sophos XG 85, ta tiến hành tải Certificates và Certificate Authorities của Sophos Home lên Sophos XG và ngược lại.

Trên Sophos Home:

Di chuyển đến System > Certificates Authorities > Chọn Add.

Điền tên, chọn file fomat là PEM. Tại mục Certificates, click choose Files và tải lên Certificates Authorities của site Sophos XG với tên file Default. Click Save.

Di chuyển qua Certificates tab và click Add.

Tải lên Sophos Home chứng chỉ của site Sophos XG với tên là SF2_Cer.

Action: chọn Upload Certificates.

Điền tên, chọn file fomat là PEM.

Certificate: choose file tên là UserCertificate.pem

Private Key: choose file tên là Private Key.key

Sau cùng click Save.

Tải lên thành công sẽ có dấu tick xanh dưới mục Authorities.

Certificate Local: có tên là SF1_Cer

Certificate Remote: có tên là SophosXG_Cer.

Trên Sophos XG cũng thực hiện tải lên Certificates và Certificates Authorities của site Sophos Home.

Tải lên Certificates Authorities site Sophos Home

Tải lên Certificates của site Sophos Home gồm: UserCertificates.pem và Privatekey.key

Certificate Local có tên là SF2_Cer

Certificate Remote có tên là SophosHome_Cer.

Bước 3: Cấu hình các thông số VPN site to site trên Sophos XG 85 và Sophos Home.

Trước khi cấu hình ta cần thống nhất các thông số sẽ cài đặt trên cả 2 site:

Sophos XG 85:

• IP WAN: 115.100.230.50
• Local Network: 192.168.20.0/24

Sophos Home:

• IP WAN: 14.169.167.16
• Local Network: 172.16.16.0/24

+ Gateway Type:

• Response Only: Sophos XG 85
• Initiate the connection: Sophos Home

+ Kiểu xác thực (Authentication Type): Sử dụng Digital Certificates

+ Key Exchange: Sử dụng IKEv2/ Main Mode.

+ Phase 1:

• Key life: 28800
• DH group: Group 2
• Encrytion: ASE256
• Authentication: SHA2 512.

+ Phase 2:

• Key life: 3600
• DH group: None
• Encrytion: ASE256
• Authentication: SHA2 512.

Sau khi đã thống nhất các thông số, ta tiến hành cấu hình:

Trên Sophos XG 85:

Di chuyển đến VPN > IPSec Policies > Add.

Name: Đặt tên bạn muốn. Trong bài viết này là Sophos_Policy.

Key Exchange: chọn IKEv2

Authentication mode: chọn Main mode.

Di chuyển xuống Phase 1:

Key life: 28800

DH group: Group 2

Encrytion: ASE256

Authentication: SHA2 512.

Di chuyển xuống Phase 2:

Key life: 3600

DH group: None

Encrytion: ASE256

Authentication: SHA2 512.

Trong mục Dead Peer Detection: các thông số này bạn có thể tùy chọn thay đổi.

Check peer after every: 30s

Wait for response up to: 120s

When peer unreachable: re-initiate

Sau cùng click Save để lưu cấu hình.

Tiếp theo di chuyển đến IPSec connections và click Add.

Name: Điền tên bạn muốn. Trong bài viết này là SophosXG_SophosHome

Connection type: Chọn Site to site.

Gateway Type: Responly only.

Click chọn Create firewall rule để tạo rule 1 cách tự động. Nếu không tick chọn mục này bạn sẽ phải tạo rule thủ công.

Trong phần Encrytion:

Policy: chọn Sophos_Policy như bên IPSec Policies đã tạo.

Authentication type: Chọn Digital Certificates.

Local: Chọn SF2_Cer

Remote: chọn SophosHome_Cer.

Trong Gateway Settings:

Gateway address: Điền IP WAN bên site Sophos Home là: 14.169.167.16

Local Subnet: Chọn LAN_SPXG

Nếu bạn chưa tạo Local Subnet trước đó trong Host and Service > IP host > Add, bạn có tạo trực tiếp bằng cách click Add new item > Create new > Điền tên bạn muốn > click chọn Network > Điền dải IP nội bộ của bạn như trong bài viết này là 192.168.20.0/24. Click Save.

Remote Subnet: Cũng tương tự như Local Subnet. Remote Subnet của site Sophos Home là 172.16.16.0/24.

Click Save.

Cấu hình trên Sophos XG:

Chọn Policy là Home_Policy đã tạo trong IPSec Policies trước đó với các thông số phase 1, 2, mã hóa đã thống nhất trước đó.

Click chọn Create firewall rule để tạo rule VPN tự động.

Gateway address điền IP WAN của site Sophos XG là 115.100.230.50

Active và connection kết nối VPN trên site Sophos Home:

Active và connection kết nối VPN trên site Sophos XG:

Hai site đã thiết lập kết nối VPN site to site thành công.