Sophos Firewall: Hướng dẫn cấu hình SSL VPN Remote Access với user được đồng bộ từ AD

1.Mục đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn cách cấu hình SSL VPN Remote Access để người dùng có thể truy cập vào hệ thống từ xa với tài khoản được đồng bộ từ AD.

2.Sơ đồ mạng

Chi tiết:

  • Thiết bị tường lửa Sophos đã được kết nối internet thông qua port 2 với IP WAN là 192.168.1.50.
  • Vùng mạng LAN của thiết bị Palo Alto được cấu hình ở port 1 với IP 10.145.41.1/24 cấp phát lớp mạng 10.145.41.0/24 bằng DHCP.
  • Trong lớp LAN còn có 1 AD Server có IP 10.145.41.11/24, trên server này đã tạo 1 OU IT, trong OU IT có group Support, trong group Support có các user là user1,user2,user3.
  • Chúng ta sẽ có một máy tính ngoài internet để thực hiện kết nối SSL VPN Remote Access.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình tính SSL VPN Remote Access trên thiết bị Sophos Firewall, sau khi cấu hình, chúng ta sẽ sử dụng user từ AD để kết nối và khi kết nối nó sẽ nhận IP trong dãy 10.81.234.5-10.81.234.55 và được quyền truy cập vào các tài nguyên của lớp mạng LAN.

4.Các bước cấu hình

  • Đồng bộ AD
  • Import OU và Group
  • Cấu hình SSL VPN Setting
  • Tạo profile cho lớp mạng LAN và VPN
  • Cấu hình SSL VPN Remote Access Profile
  • Mở dịch vụ User Portal và SSL VPN trên cổng WAN
  • Tạo policy
  • Kiểm tra kết quả

5.Hướng dẫn cấu hình

5.1.Đồng bộ AD

Bước đầu tiên chúng ta cần phải đồng bộ AD với Sophos Firewall.

Để đồng bộ chúng ta vào CONFIGURE > Authentication > Server > nhấn Add.

Cấu hình với các thông số sau:

  • Server type: chọn Active Directory
  • Server name*: LearningIT
  • Server IP/domain: 10.145.41.11
  • Connection security: chọn Plaintext
  • Port*: 389
  • NetBIOS domain: LEARNINGIT
  • ADS user name*: administrator
  • Password*: nhập mật khẩu của tài khoản administrator
  • Display name attribute: để trống
  • Email address attribute: mail
  • Domain name*: learningit.xyz
  • Search quries*: nhấn Add nhập dc=learningit,dc=xyz và nhấn OK.
  • Nhấn Test connection để kiểm tra kết nối đến AD server.
  • Nhấn Save để lưu.

5.2.Import OU và Group

Sau khi đồng bộ AD thành công chúng ta cần thực hiện import OU và Group từ AD.

Nhấn vào biểu tượng như trong hình để thực hiện import.

Lúc này cửa sổ Import group wizard help hiện ra nhấn Start.

Tại mục Step 1: Provide base DN for group, chọn dc=learningit,dc=xyz từ menu thả xuống.

Ở Step 2: Select AD groups to import sẽ show ra các OU và group mà AD hiện có, ở đây thegioifirewall sẽ tích chọn group Support nằm trong OU IT như hình.

Nhấn nút “>” để tiếp tục.

Nhấn nút “>” để tiếp tục.

Nhấn nút “>”  và OK để tiếp tục.

Nhấn Close để đóng cửa sổ.

Sau khi import, chúng ta có thể vào CONFIGURE > Authentication > Group để kiểm tra xem group đã được import hay chưa.

Kết quả là group Support đã được import.

Tiếp theo để thiết bị tường lửa có thể xác thực được user từ AD chúng ta cần vào CONFIGURE > Authentication > Service.

Ở phần Firewall authentication methods chúng ta thấy rằng hiện tại chỉ thực hiện xác thực cho các tài khoản local trên firewall.

Chúng ta tích chọn LearningIT đây là server chúng ta vừa đồng bộ và phía bên phải chúng nhấn giữ chuột vào LearningIT và kéo nó lên trên so với Local.

Nhấn Apply để lưu.

5.3.Cấu hình SSL VPN Setting

Để cấu hình SSL VPN Setting vào CONFIGURE > VPN > Show VPN Settings > SSL VPN.

Chúng ta chú ý phần Override hostname đang bỏ trống và phần IP lease range.

Ở Override hostname chúng ta điền vào IP WAN của Sophos XG là 192.168.1.50, đây là IP dùng để thiết lập kết nối SSL VPN với bên ngoài.

Ở phần IP lease range đây là dãy IP sẽ được cấp cho người dùng họ kết nối SSL VPN thành công. Thegioifirewall sẽ giữ nguyên phần này, tuy nhiên khi cấu hình các bạn có thể thay đổi thành range IP khác tùy theo mong muốn của các bạn.

Nhấn Apply để lưu.

5.4.Tạo profile cho lớp mạng LAN và VPN

Để tạo vào SYSTEM > Hosts and Servers > nhấn Add.

Tạo profile cho lớp mạng LAN với các thông số sau:

  • Name*: Local
  • IP version*: IPv4
  • Type*: Network
  • IP address*: 10.145.41.0 – Subnet: /24[255.255.255.0]
  • Nhấn Save để lưu

Tương tự chúng ta tạo profile cho lớp mạng SSL VPN với các thông số sau:

  • Name*: SLL VPN Remote Access
  • IP version*: IPv4
  • Type*: chọn IP range
  • IP address*: 10.81.234.5 – 10.81.234.55
  • Nhấn Save để lưu

5.5.Cấu hình SSL VPN Remote Access Profile

Để cấu hình vào CONFIGURE > VPN > SSL VPN [Remote Access] > Nhấn Add.

Cấu hình với các thông số sau:

  • Name*: SSL VPN Remote Access
  • Policy members: chọn user hoặc group mà bạn cho phép truy cập VPN, ở đây chọn group Support.
  • Permitted network resources [IPv4]: đây là nơi chọn IP, lớp mạng, hoặc dãy IP mà kết nối VPN được phép truy cập khi kết nối SSL VPN. Ở đây chọn profile Local vừa tạo phía trên.
  • Nhấn Apply để lưu.

5.6.Mở dịch vụ User Portal và SSL VPN trên cổng WAN

Để người dùng có thể truy cập vào User Portal từ ngoài internet để tải phần mềm VPN cũng như có thể kết nối được SSL VPN chúng ta cần phải mở 2 dịch vụ này trên cổng WAN của thiết bị Sophos.

Để mở vào SYSTEM > Administration > Device Access.

Ở hàng WAN chúng ta tích chọn 2 dịch vụ User Portal và SSL VPN.

Sau đó nhấn Apply để áp dụng.

5.7.Tạo Policy

Khi người dùng kết nối SSL VPN vào hệ thống người dùng chưa thể kết nối được với mạng LAN.

Cần phải policy cho phép traffic qua lại giữa hai vùng LAN và VPN.

Để tạo policy vào PROTECT > Rules and Policies > nhấn Add firewall rule > New firewall.

Tạo theo các thông số sau:

  • Rule status: ON
  • Rule name*: SSL_VPN
  • Action: Accept
  • Log firewall traffic: tích chọn
  • Rule position: Top
  • Rule group: None
  • Source zones*: chọn LAN và VPN
  • Source networks and devices*: chọn 2 profile Local và SSL VPN Remote Access.
  • During scheduled time: chọn All the time.
  • Destination zones*: chọn LAN và VPN
  • Destination networks*: chọn 2 profile SSL VPN Remote Access và Local.
  • Service*: chọn Any
  • Tích chọn Match know users
  • Tại bảng User or groups*: chọn group Support. (Lựa chọn có nghĩa là khi kết nối SSL VPN chỉ có những user nằm trong group này mới được áp dụng policy này)
  • Nhấn Save để lưu.

5.8.Kiểm tra kết quả

Sau khi chúng ta hoàn thành cấu hình sử dụng máy tính ngoài internet để thực hiện kết nối SSL VPN.

Bước đầu tiên chúng ta cần truy cập user portal để tải phần mềm cũng như profile SSL VPN.

Để truy cập user portal chúng ta truy cập đường dẫn https://192.168.1.50.

Sau khi truy cập chúng ta nhập tài khoản và mật khẩu để đăng nhập.

Thegioifirewall sẽ sử dụng user1 được đồng bộ từ AD để đăng nhập.

Sau khi đăng nhập chúng ta nhấn vào VPN và Download client and configuration Windows để tải xuống phần mềm.

Sau đó thực hiện cài đặt phần mềm SSL VPN Remote Access theo như hình sau.

  • Nhấn I Agree
  • Nhấn Install
  • Nhấn Install
  • Nhấn Next
  • Nhấn Finish

Sau khi cài đặt thành công ứng dụng sẽ hiện thị ở System Tray phía dưới bên phải màn hình.

Nhấn chuột phải vào biểu tượng đèn giao thông và nhấn Connect.

Ô đăng nhập hiện ra nhập tài khoản user1, mật khẩu vào ô và nhấn OK.

Khi kết nối thành công nó sẽ xuất hiện thông báo như hình sau.

Chúng ta có thể thấy là kết nối đã thành công và ip được gán là 10.81.234.6 đúng như dãy IP cấp phát mà chúng ta đã cấu hình lúc đầu.

Cuối cùng thực hiện ping đến AD Server để kiểm tra kết nối với mạng LAN đã hoạt động chưa.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận