Sophos XG v18: Hướng dẫn cấu hình IPSec VPN Client to Site để user bên ngoài có thể truy cập vào hệ thống File Server

Overview

Bài viết hướng dẫn cách cấu hình IPSec VPN Client to Site để cho user từ xa có thể kết nối tới hệ thống File Server của doanh nghiệp. Cấu hình được thực hiện trên thiết bị Sophos XG firmware version 18

** Với việc cấu hình SSL VPN, để cài đặt ứng dụng, bạn phải cài đặt ứng dụng từ User Portal. Còn đối với IPSec, để cài đặt ứng dụng, bạn phải sử dụng file cài đặt được download từ tài khoản Admin, và Admin sẽ chia sẻ file cài đặt đó cho user để họ cài đặt

Diagram

Tổng hợp các bước cấu hình

  1. Cấu hình IPSec VPN Client to Site profile trên Sophos XG
    1. Tạo IPSec VPN group
    2. Tạo IPSec VPN user
    3. Cấu hình profile cho IPSec VPN Client
    4. Download và cài đặt IPSec VPN Client
    5. Import fie cài đặt vào IPSec VPN Client
    6. Tạo firewall rule để cho phép giao tiếp giữa IPSec VPN và LAN
  2. Cấu hình NAT port trên Modem hoặc Router
  3. Cấu hình File Server
  4. Kết quả

Chi tiết cấu hình

  1. Cấu hình IPSec VPN Client to Site profile trên Sophos XG

Đăng nhập vào Sophos XG bằng tài khoản Admin

1.1 Tạo IPSec VPN group

** Cấu hình tạo group cho IPSec VPN, điều này giúp dễ dàng hơn cho administrator để quản lý và thực thi chính sách cho group theo yêu cầu của doanh nghiệp

  • Authentication -> Chọn Group -> Nhấn Add
  • Tạo IPSec VPN group
    • Group Name: Nhập tên cho IPSec VPN group
    • Surfing Quota: Chọn network traffic mà bạn muốn
    • Access Time: Chọn access time mà bạn muốn

-> Nhấn Save

1.2 Tạo IPSec VPN users

  • Authentication -> Chọn User -> Nhấn Add
  • Tạo IPSec Users
    • Username: Nhập tên cho VPN user
    • Password: Nhập password cho IPSec VPN user
    • Email: Nhập email của manager
    • Group: Chọn IPSec VPN group mà bạn đã tạo trước đó

-> Nhấn Save

1.3 Cấu hình profile cho IPSec VPN Client

  • VPN -> Chọn Sophos Connect client
  • Ở phần General settings
    • Chọn Enable
    • Ở phần Interface: Chọn port WAN của Sophos XG
    • Ở phần Authentication type: Chọn Preshared key
    • Ở phần Preshared key: Nhập preshared key của bạn
    • Ở phần Allowed user: Chọn IPSec VPN user mà bạn đã tạo trước đó
  • Ở phần Client information
    • Name: Nhập connection name
    • Ở phần Assign IP from: Nhập range IP mà bạn muốn cấp cho IPSec VPN Client
    • Ở phần DNS server 1: Nhập DNS của bạn
    • Ở phần DNS server 2: Nhập DNS của bạn

-> Nhấn Apply -> Nhấn Download để download phần mềm cài đặt IPSec VPN -> Nhấn Export connect để download file cấu hình

1.4 Download và cài đặt IPSec VPN Client

  • Giải nén file cài đặt ứng dụng
  • Cài đặt SophosConnect.msi
  • Cài đặt scadmin.msi
  • Mở Sophos Connect Admin -> Nhấn Open để lấy profile đã download trước đó
  • Bạn có thể chỉnh sửa Target Host thành IP WAN của router hoặc modem

-> Nhấn Save để lưu profile

** Lưu file với đuôi .scx

1.5 Import file cấu hình từ cho IPSec VPN Client

  • Mở Sophos Connect -> Nhấn Import connection -> Chọn .scx file

1.6 Tạo firewall rule cho phép giao tiếp giữa IPSec VPN và LAN

  • Rules and Policies -> Nhấn Add Firewall Rule
  • Nhập name
  • Ở phần Source zones: Chọn VPN
  • Ở phần Source networks and devices: Chọn Any
  • Ở phần Destination zones: Chọn LAN
  • Ở phần Destination networks: Chọn LAN network (Local subnet)
  • Chọn Match known users
  • Ở phần Users and groups: Chọn IPSec VPN group mà bạn đã tạo trước đó

-> Nhấn Save

2. Cấu hình NAT port trên Modem hoặc Router

  • Chúng ta sẽ NAT 2 port làm 500 UDP4500 UDP

3. Cấu hình File Server

  • Cấu hình chia sẻ file trên File Server, chia sẻ files folder cho tất cả user để VPN users có thể truy cập để đọc và ghi files

4. Kết quả

  • Thực hiện connection IPSec VPN Client to Site bằng cách mở phần mềm đã cài trên máy tính của bạn
  • Kiểm tra IP address của IPSec VPN Client
  • Bạn kết nối tới File Server với địa chỉ IP là 172.16.16.19
  • Bạn gõ trên thanh tìm kiếm: \\172.16.16.19

-> Done

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận