1.Overview
Giả sử người dùng được kết nối với mạng LAN của công ty thông qua Sophos Connect Client. User home network range là “192.168.10.0/24” và mạng LAN công ty cũng đang sử dụng là “ 192.168.10.0/24 ”. Vì vậy, nếu người dùng kết nối VPN qua Sophos connect Client khi ping bất kỳ địa chỉ IP LAN nào của công ty, yêu cầu sẽ không chuyển qua Sophos connect client VPN tunnel thay vào đó yêu cầu sẽ tìm kiếm destination host trong cùng một home network.
2. Network Diagram
Bài viết sẽ hướng dẫn các cấu hình fix lỗi khi sử dụng Sophos Connect Client mà network của remote user trùng với lớp mạng của LAN công ty do Sophos Firewall cấp.
Để giải quyết vẫn đề này, bạn sẽ cấu hình add 1 lớp mạng khác trong Sophos Connect Client và tạo DNAT rule để translate đến LAN network của công ty.
3. Hướng dẫn cấu hình
Bước 1: Tạo Host & Service
Trên giao diện quản trị của Sophos Firewall (version 19.0) > Configure > Remote Access VPN > IPsec.
Kéo xuống phần Advanced settings > Permitted network resources (IPv4) > Add new item > Add > Network.
Tạo network như hình dưới. Click Save.
Tiếp theo bạn cần tạo network range cho host “10.1.1.0_Network” để map với Internal Network Range.
Bạn di chuyển đến System > Host & Service > IP host > Add. Bạn tạo như hình dưới.
Bước 2: Tạo DNAT rule.
Note: Để NAT rule on top.
Di chuyển đến phần Protect > Rule & Policies > Nat rule > New Nat rule. Bạn tạo rule như hình dưới.
Bằng cách tạo rule này, bất kỳ người dùng nào đang cố gắng truy cập network 10.1.1.0/24 (10.1.1.10-0.1.1.200) thì sẽ được chuyển hướng đến (192.168.10.10-192.168.10.200).
Bước 3: Tạo Firewall rule.
Note: Để firewall rule on top.
Di chuyển đến phần Protect > Rule & Policies > Firewall rule > Add new firewall rule.
Bây giờ chúng ta sẽ tạo firewall rule để allow traffic khi user đang truy cập vào mạng 10.1.1.0/24 (10.1.1.10-0.1.1.200) từng Zone VPN > Zone LAN. Bạn tạo firewall rule như hình dưới.
Như vậy chúng ta đã cấu hình xong đưa thêm 1 lớp mạng giả vào Sophos Connect client, khi client cố gắng truy cập mạng giả này, tường lửa khi phát hiện sẽ thực hiện NAT và tranlate sang mạng nội bộ khi chúng ta tạo DNAT rule.