Sophos XG Firewall : Cách cấu hình quyền truy cập cho SSL VPN remote user qua IPsec VPN

Mục đích bài viết

  • Bài viết này mô tả cách cấu hình người dùng từ xa SSL VPN để có quyền truy cập qua IPsec VPN.

Sơ đồ mạng và kịch bản cấu hình

  • Chúng ta sẽ cấu hình SSL VPN trên Site 1 để Remote Users có thể truy cập từ xa vào Site 1 thông qua SSL VPN.
  • Sau khi cấu hình SSL VPN và người dùng truy cập vào Site 1 thành công và ping được vào mạng LAN của Site 1 nhưng người dùng không thể ping được đến mạng LAN của Site 2.
  • Để ping được đến Site 2 chúng ta sẽ tạo một kết nối IPsec giữa Site 1 và Site 2 cho phép lớp mạng của kết nối SSL VPN có thể truy cập qua Site 2 thông qua đường hầm IPsec.

Hướng dẫn cấu hình

Cấu hình kết nối SSL VPN trên Site 1

Tạo SSL VPN group và users

  • Nhấn Authentication > Groups và tạo 1 nhóm cho SSL VPN users
  • Nhấn Authentication > Users và tạo người dùng remote SSL VPN.

Tạo local subnet và remote SSL VPN subnet.

  • Nhấn Hosts and Services > IP Host và tạo local subnet phía sau Site 1.

Nhấn Hosts and Services > IP Host và tạo local subnet phía sau Site 2.

  • Nhấn Hosts and Services > IP Host và tạo remote SSL VPN subnet .

Cấu hình remote SSL VPN policy

  • Nhấn VPN > SSL VPN (Remote Access) và nhấn Add để tạo 1 SSL VPN policy với các thông tin như hình sau.
  • Xác minh dịch vụ xác thực cho SSL VPN
  • Lưu ý: Cũng đảm bảo rằng Local authentication server được chọn phía dưới phần Firewall Authentication Method. Điều này là cần thiết cho người dùng từ xa đăng nhập vào cổng User Portal để tải xuống phần mềm máy khách SSL VPN.
  • Bật SSL VPN cho các zone khác.

Cấu hình SSL VPN Setting

  • Nhấn VPN và chọn Show VPN Setting.
  • Ở ô Override hostname chúng ta sẽ điền địa chỉ public của đường mạng mà chúng đang sử dụng, để biết địa chị này chúng ta có thể truy cập vào trang whatismyip.com để xem.
  • Ở phần IPv4 lease range, đây là dãy IP được cấp khi người dùng truy cập SSL VPN từ xa, chúng ta cần đặt dãy IP này nằm trong remote SSL VPN subnet mà chúng ta đã tạo ở trên.

Tạo firewall rule cho phép lưu lượng kết nối SSL VPN với các thông số như hình sau

Cấu hình SSL VPN Client

Download the SSL VPN Client Sofware

  • Mở trình duyệt, đăng nhập vào user portal bằng địa chỉ IP public của Sophos Firewall và port https user portal. Ví dụ ở bài này mình sẽ đăng nhập bằng địa chỉ IP WAN của site với đường dẫn như sau https://172.16.31.163.
  • Lưu ý: Chúng ta có thể tìm cổng https của user portal đã được cấu hình sẵn trên thiết bị bằng cách nhấn Administrator > Admin Settings ở dưới Port Setting for Admin Console.
  • Chúng ta sẽ đăng nhập User Portal bằng tài khoản usertest mà chúng ta đã tạo ở trên.
  • Nhấn SSL VPN và nhấn Download client and Configuration for Windows để tải xuống SSL VPN Client.
  • Sau khi tải xuống cài đặt nó theo trình cài đặt, khi cài đặt hoàn tất nó sẽ xuất hiện ở khay icon phía dưới bên phải.
  • Chúng ta sẽ nhấp phải chuột vào icon và nhấn Connect.
  • Lúc này bảng đăng nhập hiện lên chúng ta sẽ nhập vào tài khoản mật khẩu của usertest.
  • Sau khi nhập tài khoản và nhấn OK, chúng ta đã kết nối thành công với Site 1 bằng SSL VPN và được cấp IP đúng với dãy IP mà chúng ta đã cấu hình ở trên, chúng ta sẽ dùng máy để ping đến 1 máy bất kì ở LAN phía sau Site 1 để kiểm tra.
  • Tuy nhiên chúng ta không thể ping đến lớp mạng LAN của Site 2, để làm được điều đó chúng ta sẽ cấu hình IPsec giữa Site 1 và Site 2 để cho phép điều đó.

Cấu hình IPsec trên Site 1

  • Nhấn VPN > IPsec Connection > Add và điền các thông tin như sau.
  • Sau đó nhấn Save, tiếp theo nhấn vào icon tròn màu đỏ và nhấn OK để bật kết nối.

Cấu hình IPsec trên Site 2

  • Nhấn Hosts and Services > IP Host và tạo local subnet phía sau Site 1 và Site 2.
  • Nhấn Hosts and Services > IP Host và tạo remote SSL VPN subnet .
  • Nhấn VPN > IPsec Connection > Add để tạo kết nối với các thông số sau.
  • Sau khi nhấn Save, chúng ta nhấn vào icon tròn để bật kết nối.
  • Khi kết nối IPsec giữa hai Site 1 và Site được thiết lập thành công thì icon tròn ở cột Connection sẽ là màu xanh.
  • Lúc này chúng ta sẽ dùng máy remote SSL VPN vào Site 1 và sau đó ping đến địa chỉ IP của lớp LAN phía sau Site 2 để kiểm tra kết quả.
  • Như đã thấy, chúng ta đã ping thành công đến Site 2 thông qua kết nối IPsec giữa Site 1 và Site 2.
5 1 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
2 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận