1.Overview
SSL VPN Remote Access với IPsec Site to Site VPN đều là những tính năng cho phép kết nối user ở nhiều site hoặc không có mặt trong mạng nội bộ có thể kết nối truy cập vào tài nguyên của hệ thống.
2. Network Diagram
Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình cho phép user sử dụng SSL Remote Access VPN kết nối đến Remote Network thông qua IPSec VPN.
Bài viết sẽ không đi vô chi tiết việc cấu hình SSL VPN Remote Access và IPSec site to site VPN, bạn có thể tham khảo các link bài biết sau:
SSL VPN Remote Access: https://www.thegioifirewall.com/sophos-xg-firewall-huong-dan-cau-hinh-remote-access-ssl-vpn-voi-sophos-connect-client/
IPSec site to site VPN: https://www.thegioifirewall.com/video-huong-dan-cau-hinh-ipsec-vpn-site-to-site-giua-hai-thiet-bi-sophos-firewall/
3. Hướng dẫn cấu hình.
3.1. Cấu hình trên Sophos Firewall 1
Bước 1: Tạo các Host & Service.
Trên giao diện quản trị Sophos Firewall 1 > System > Host & Services > IP host > Add. Tạo Remote Network.
Di chuyển lên phần Configure > Remote Access VPN (SFOS v19) > SSL VPN. Kéo xuống phần Tunnel Access > Permitted network resources (IPv4) > Add Remote Network đã tạo.
Tiếp theo bạn cần xác định SSL VPN Range. Bạn di chuyển đến Configure > Remote Access VPN (SFOS v19) > SSL VPN > SSL VPN Global Settings.
Dải IP SSL VPN Range là 10.81.234.5/24.
Bạn sẽ tạo SSL VPN Network trong Host & Services.
Tiếp theo bạn cấu hình trong IPSec Connections. Bạn add thêm SSL VPN Range vào Local Subnet.
Bước 2: Cấu hình Firewall Rule.
Tạo firewall như hình dưới.
Tiếp theo bạn cần bật Ping cho Zone VPN. Bạn di chuyển System > Administraion > Device Access.
3.2. Cấu hình trên Sophos Firewall 2
Bước 1: Tạo Host & Service.
Bạn sẽ tạo IP Host là Internal Network.
Tạo SSL VPN Range như Sophos Firewall 1
Bước 2: Cấu hình IPSec Connections.
Bạn thêm SSL VPN Range vào mục Remote Subnet.
Bước 3: Cấu hình Firewall Rule.
Bạn tạo firewall rule như hình dưới.
Tiếp theo bạn cũng cần bật Ping cho Zone VPN.
Như vậy bạn đã định cấu hình các VPN policies và firewall rules, vì vậy traffic từ SSL VPN sẽ kết nối đến remote network thông qua VPN Tunnel.
Bước 4: Cấu hình IPsec Route
Trên giao diện Sophos Firewall > admin > Console > Chọn 4.Device Console.
Add IPsec Route như sau:
console> system ipsec_route add net 172.16.10.0/255.255.255.0 tunnelname <điền tên tunnel tạo kết nối IPsec với firewall 1>.
Check route vừa tạo:
console> system ipsec_route show.