Sophos XG Firewall : Cách áp dụng NAT trên 1 kết nối IPsec VPN Site-to-Site đối với hệ thống mạng bị trùng subnet

Mục đích bài viết

  • Bài viết này mô tả các bước để cấu hình NAT qua IPsec VPN để phân biệt giữa các mạng con cục bộ đằng sau mỗi thiết bị tường lửa Sophos XG khi các mạng con cục bộ này bị chồng chéo.

Sơ đồ mạng và kịch bản cấu hình

  • Như sơ đồ mạng, chúng ta sẽ cấu hình kết nối IPsec VPN Site-to-Site giữa Sophos Firewall 1Sophos Firewall 2.
  • Nhưng có một vấn đề xảy ra nếu chúng ta tạo kết nối đó là cả hai lớp mạng LAN phía sau thiết bị bị trùng subnet.
  • Để giải quyết được vấn đề đó chúng ta sẽ thực hiện NAT trong lúc cấu hình thiết lập kết nối IPsec cho 2 thiết bị.

Cấu hình trên Sophos Firewall 1

Thêm local và remote LAN

  • Nhấn Hosts and Service > IP Host và chọn Add để tạo local LAN.
  • Nhấn Hosts and Service > IP Host và chọn Add để tạo local NATed LAN.
  • Nhấn Hosts and Service > IP Host và chọn Add để tạo remote NATed LAN.

Tạo kết nối IPsec VPN Site-to-Site

  • Nhấn VPN > IPsec Connections và nhấn Add. Tạo kết nối bằng các thông số như sau.
  • Nhấn Save và màn hình sau sẽ hiển kết nối vừa được tạo ở phía trên.
  • Nhấn vào icon tròn màu đỏ dưới cột Active để mở kết nối.

Tạo 2 firewall rule cho phép các lưu lượng VPN

  • Nhấn Firewall > +Add Firewall Rule. Tạo 2 firewall rule như hình sau.

Cấu hình trên Sophos Firewall 2

Thêm local và remote LAN

  • Nhấn Hosts and Services > IP Host và chọn Add để tạo local LAN.
  • Nhấn Hosts and Services > IP Host và chọn Add để tạo local NATed LAN.
  • Nhấn Hosts and Services > IP Host và chọn Add để tạo remote NATed LAN.

Tạo kết nối IPsec VPN Site-to-Site

  • Nhấn VPN > IPsec Connections và nhấn Add. Tạo kết nối bằng các thông số như sau.
  • Nhấn Save và màn hình sau sẽ hiển kết nối vừa được tạo ở phía trên.
  • Nhấn vào icon tròn màu đỏ dưới cột Active để bật kết nối.

Tạo firewall rule cho phép các lưu lượng VPN

  • Nhấn Firewall > +Add Firewall Rule. Tạo 2 firewall rule như hình sau.

Thiết lập kết nối giữa hai thiết bị

  • Khi cả hai thiết bị Sophos Firewall 1 và Sophos Firewall 2 đều đã được cấu hình, hãy thiết lập kết nối IPsec giữa chúng.
  • Đi tới VPN > IPsec Connections và nhấp vào icon tròn bên dưới cột Status (Connection).
  • Khi đó icon sẽ chuyển sang màu xanh và hai thiết bị đã kết nối VPN thành công.

Kết quả

  • Tạo một số lưu lượng truy cập.
  • Ở đây chúng ta sẽ thực hiện ping giữa hai máy phía sau lớp mạng LAN của hai thiết bị với nhau.
  • Máy tính tên PC1 phía sau Sophos Firewall 1 có địa chỉ IP là 172.16.16.100 sau khi thực hiện NAT trên kết nối VPN thì địa chỉ IP của nó mà chúng ta dùng để ping sẽ là 172.16.17.100.
  • Thực hiện ping đến máy PC1 và có kết quả như hình sau.
  • Tương tự chúng ta có máy tính tên WIN-1IPUCKVKUMF nằm trong lớp mạng LAN phía sau Sophos Firewall 2 có địa chị IP là 172.16.16.200 sau khi thực hiện NAT trên kết nối VPN thì địa chỉ IP của nó mà chúng ta dùng để ping sẽ là 172.16.18.200.
  • Dùng máy PC1 ping đến nó và có kết quả như sau.
  • Đi đến Firewall để xác minh rằng các quy tắc VPN cho phép nhập và xuất dữ liệu.
  • Chuyển đến Report > VPN và xác minh việc sử dụng IPsec.
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận