Sophos XG: Hướng dẫn cấu hình tạo GRE Tunnel để kết nối hai site

GRE VPN là gì ?

GRE là giao thức được phát triển đầu tiên bởi Cisco, giao thức này sẽ đóng gói một số kiểu gói tin vào bên trong các IP Tunnel để tạo thành các điểm kết nối. Một Tunnel được sử dụng khi cần gửi gói tin từ mạng này qua mạng khác hoặc qua mạng không an toàn

Bài viết này sẽ hướng dẫn bạn thiết lập GRE Tunnel giữa 2 site của một công ty

Hướng dẫn cấu hình

Bài viết sẽ cấu hình theo sơ đồ sau

B1: Mở giao diện console của Sophos XG Firewall

• Kết nối vào giao diện cấu hình console của thiết bị firewall
• Bạn có thể sử dụng các cổng console và phần mềm putty để truy cập hoặc đăng nhập vào thiết bị Sophos XG để mở giao diện console
• Ở đây tôi sẽ đăng nhập vào thiết bị XG và mở giao diện console
• Đăng nhập vào XG với tài khoản Admin

• Ở góc phải của giao diện, phần admin, bấm vào mũi tên xổ xuống

• Đăng nhập với tài khoản Admin
• Bấm số 4 để vào mode console

B2: Tạo một kết nối GRE Tunnel

• Câu lệnh tạo Tunnel: console > system gre tunnel add name gre1 local-gw Port2 remote-gw 10.3.127.6 local-ip 10.3.124.214 remote-ip 10.3.124.213
• local-gw: Chọn port WAN của thiết bị XG
• remote-gw: Nhập IP WAN của site bên kia
• local-ip: Đặt IP cho Tunnel theo ý muốn
• remote-ip: Đặt IP cho Tunnel theo ý muốn

B3: Tạo routing để kết nối giữa 2 site

• Câu lệnh tạo routing: console > system gre route add net 10.53.1.0/255.255.255.0 tunnelname gre1
• Với Network là lớp mạng mà bạn muốn routing tới
• Tunnel name: Chọn đúng tên GRE Tunnel mà bạn đã tạo

-> Nhấn Enter

** Bạn có thể kiểm tra thông tin cấu hình GRE Tunnel với lệnh

console > system gre tunnel show

console > system gre route show

B4: Tạo firewall rule để cho phép thực hiện kết nối qua GRE VPN

• Firewall -> Nhấn Add Firewall Rule -> User/network rule

• Ở đây ta sẽ tạo 2 rule cho phép: VPN – LAN và LAN – VPN
• Ở rule thứ nhất: Cho phép kết nối từ VPN vào LAN
• Ở Source zones: Chọn VPN
• Ở Source networks and devices: Chọn Any
• Ở Destination zones: Chọn LAN
• Ở Destination networks: Chọn Any hoặc lớp mạng LAN mà bạn muốn

-> Nhấn Save

• Ở rule thứ hai: Cho phép kết nối từ LAN qua site kia bằng VPN
• Ở Source zones: Chọn LAN
• Ở Source networks and devices: Chọn Any hoặc lớp mạng LAN mà bạn muốn
• Ở Destination zones: Chọn VPN
• Ở Destination networks: Chọn Any

-> Nhấn Save

-> Kết thúc kiểm tra ping giữa hai site và thực hiện tracert để kiểm tra đường đi của gói tin

** Nếu bạn gặp khó khăn trong việc cấu hình các sản phẩm của Sophos tại Việt Nam, hãy liên hệ với chúng tôi:

EMAIL: info@thegioifirewall.com

HOTLINE: 02862711677