Blog

Overview

Bài viết hướng dẫn cách cấu hình IPSec VPN Site to Site giữa hai thiết bị tường lửa SonicWall và Sophos XGS để kết nối 2 site như hai mạng LAN với nhau và được thực hiện thông qua giao thức bảo mật an toàn như IPSec

Bài viết sẽ sử dụng giao thức xác thực Preshared key

Bài viết được thực hiện trên thiết bị SonicWall NSv 270 với version SonicOSX 7.0.1

Sơ đồ mạng

Các bước cấu hình

1. Trên thiết bị tường lửa SonicWall
   • Tạo Network Host
   • Tạo IPSec VPN Rule
   • Tạo firewall rule
2. Trên thiết bị tường lửa Sophos
   • Tạo Network Host
   • Tạo IPSec Policy
   • Tạo IPSec Connetion
3. Kiểm tra hoạt động

Hướng dẫn cấu hình

Trên thiết bị tường lửa SonicWall

Tạo Network Host

• Đăng nhập vào thiết bị tường lửa SonicWall bằng tài khoản Admin
• Đi đến mục OBJECT -> Chọn mục Addresses -> Nhấn Add

• Đặt tên cho SonicWall LAN
• Ở mục Zone Assignment: Chọn LAN
• Ở mục Type: Chọn Network
• Ở mục Network: Nhập lớp mạng của SonicWall LAN
• Ở mục Netmask/Prefix Length: Nhập subnet mask của SonicWall LAN
• Nhấn Save

• Đặt tên cho Sophos LAN
• Ở mục Zone Assignment: Chọn VPN
• Ở mục Type: Chọn Network
• Ở mục Network: Nhập lớp mạng của Sophos LAN
• Ở mục Netmask/Prefix Length: Nhập subnet mask của Sophos LAN
• Nhấn Save

Tạo IPSec VPN Rule

• Đi đến mục NETWORK -> Chọn mục Rule and Settings -> Nhấn Add

• Ở mục Policy Type: Chọn Site to Site
• Ở mục Authentication Method: Chọn IKE Using Preshared Secret
• Ở mục Name: Nhập tên của VPN Policy
• Ở mục IPSec Primary Gateway Name or Address: Nhập IP WAN của site Sophos
• Ở mục Shared Secret: Nhập preshared key

• Chuyển qua tab Network
• Ở mục Choose local network from list: Chọn sonicwall LAN network đã tạo trước đó
• Ở mục Choose destination network from list: Chọn sophos LAN network đã tạo trước đó

• Chuyển qua tab Proposals
• Ở mục Proposals: Chọn các thông số bảo mật mã hoá xác thực như mong muốn

• Chuyển qua tab Advanced
• Bật Enable Keep Alive và bạn có thể bật thêm các tính năng mong muốn
• Nhấn Save

Tạo firewall rule

• Đi đến mục POLICY -> Chọn mục Security Policy -> Nhấn Add -> Tạo 2 firewall để 2 lớp mạng SonicWall LAN và Sophos LAN có thể truy cập lẫn nhau

Trên thiết bị tường lửa Sophos

Tạo Network Host

• Đăng nhập thiết bị tường lửa Sophos bằng tài khoản Admin
• Đi đến mục Hosts and services -> Chọn mục IP host -> Nhấn Add

• Đặt tên cho Network
• Ở mục IP version: Chọn IPv4
• Ở mục Type: Chọn Network
• Ở mục IP address: Nhập lớp mạng của SonicWall LAN
• Nhấn Save

• Đặt tên cho Network
• Ở mục IP version: Chọn IPv4
• Ở mục Type: Chọn Network
• Ở mục IP address: Nhập lớp mạng của Sophos LAN
• Nhấn Save

Tạo IPSec Policy

• Đi đến mục VPN -> Chọn mục IPSec policies -> Nhấn Add

• Đặt tên
• Nhập các thông số tương tự cho site SonicWall
• Nhấn Save

Tạo IPSec Connection

• Đi đến mục IP connections -> Nhấn Add

• Đặt tên cho IPSec Policy
• Ở mục Connection type: Chọn Site-to-site
• Ở mục Gateway type: Chọn Response only
• Ở mục Policy: Chọn policy đã tạo trước đó
• Ở mục Authentication type: Chọn Preshared key
• Ở mục Preshared key: Nhập preshared giống với bên SonicWall

• Ở mục Listening interface: Chọn cổng WAN của Sophos
• Ở mục Gateway address: Nhập IP WAN của SonicWall
• Ở mục Local subnet: Chọn Sophos LAN đã tạo trước đó
• Ở mục Remote subnet: Chọn SonicWall LAN đã tạo trước đó
• Nhấn Save

Kiểm tra hoạt động

Bấm vào icon dấu chấm ở Active và Connection trên Sophos

Trên SonicWall