Blog

Sophos XG v18: Hướng dẫn cấu hình SSL VPN Client to site cho user bên ngoài có thể kết nối tới File Server

Overview

Bài viết hướng dẫn cách cấu hình SSL VPN Client to Site để cho VPN user từ xa có thể kết nối tới hê thống File Server của doanh nghiệp. Cấu hình được thực hiện trên Sophos XG với firmware version 18

Diagram

Tổng hợp các bước cấu hình

  1. Cấu hình SSL VPN Client to Site trên Sophos XG
    1. Tạo SSL VPN group
    2. Tạo SSL VPN user
    3. Định danh cho lớp mạng LAN và lớp mạng SSL VPN
    4. Cấu hình dịch vụ xác thực cho SSL VPN
    5. Mở access port cho SSL VPN
    6. Cấu hình cho SSL VPN Client
    7. Tạo firewall rule cho 2 lớp mạng SSL và LAN có thể truy cập lẫn nhau
    8. Kết nối tới User Portal để cài đặt phần mềm SSL VPN
  2. Cấu hình NAT port trên Modem hoặc Router
  3. Cấu hình chia sẻ file trên File Server
  4. Kết quả

Chi tiết cấu hình

  1. Cấu hình SSL VPN Client to Site trên Sophos XG

Đăng nhập vào Sophos XG bằng tài khoản Admin

1.1 Tạo SSL VPN Group

** Cấu hình tạo group SSL VPN, điều này giúp dễ dàng hơn cho quản trị viên quản lý và áp dụng các group user cho các policy theo nhu cầu của doanh nghiệp

  • Authentication -> Chọn Group -> Nhấn Add
  • Tạo SSL VPN Group
    • Group Name: Nhập tên cho SSL VPN
    • Surfing Quota: Chọn network traffic mà bạn muốn
    • Access Time: Chọn access time mà bạn muốn

-> Nhấn Save

1.2 Tạo SSL VPN Users

  • Authentication -> Chọn Users -> Nhấn Add
  • Tạo SSL VPN Users
    • Username: Nhập VPN Username
    • Password: Nhập password của user SSL VPN
    • Email: Nhập email quản lý
    • Group: Chọn SSL VPN Group mà bạn đã tạo trước đó

-> Nhấn Save

1.3 Định danh cho lớp mạng LAN và SSL VPN

  • Hosts and Services -> Chọn IP Host -> Nhấn Add
  • Với lớp mạng LAN
    • Name: Nhập tên cho lớp mạng nội bộ (VD: Local subnet)
    • Type: Chọn Network
    • IP Address: Nhập IP của lớp mạng LAN (172.16.16.0/24)

-> Nhấn Save

  • Với lớp mạng SSL VPN
    • Name: Nhập tên cho lớp mạng SSL VPN (VD: Remote SSL VPN range)
    • Type: Chọn Network
    • IP Address: Nhập IP của lớp mạng SSL VPN (10.10.10.0/24)

-> Nhấn Save

  • VPN -> SSL VPN (Remote Access) -> Nhấn Add
    • Name: Nhập policy name mà bạn muốn (VD: Remote SSL VPN policy)
    • Policy members: Chọn Remote SSL VPN Group mà bạn đã tạo trước đó
    • Permitted network resource (IPv4): Chọn Local subnet mà bạn đã tạo trước đó

-> Nhấn Apply

1.4 Cấu hình dịch vụ xác thực cho SSL VPN

  • Authentication -> Service -> Ở phần SSL VPN Authentication Methods -> Ở mục Selected authentication server -> Chọn Local
  • Authentication -> Services -> Ở phần Firewall Authentication Methods -> Ở mục Selected Authentication Server -> Chọn Local

1.5 Mở access port cho SSL VPN

  • Administrator -> Device Access -> Chọn SSL VPN cho WAN LAN -> Nhấn Apply

1.6 Cấu hình profile cho SSL VPN Client

  • VPN -> Nhấn Show VPN settings
  • IPv4 lease range: Nhập khoảng IP mà bạn muố gán cho SSL VPN users (địa chỉ IP cần giống với địa chỉ IP của SSL VPN mà bạn đã tạo trước đó ở trong group

-> Nhấn Apply

1.7 Tạo firewall rule để có thể giao tiếp giữa SSL VPN và LAN

  • Rules and policies -> Nhấn Add Firewall Rule
  • Nhập tên cho rule
  • Ở phần Source zones: Chọn VPN
  • Ở phần Source network and devices: Chọn Any
  • Ở phần Destination zones: Chọn LAN
  • Ở phần Destination networks: Chọn Local subnet
  • Chọn Match known users
  • Ở phần Users or groups: Chọn SSL VPN group mà bạn đã tạo trước đó

-> Nhấn Save

1.8 Kết nối User Portal để cài đặt phần mềm SSL VPN

  • Đăng nhập User Portal
  • Sử dụng tài khoản SSL VPN để login
  • Ở phần Download Client -> Chọn Download for Windows
  • Cài đặt phần mềm SSL VPN
  • Kiểm tra SSL VPN đã được cài bằng icon ở góc phải màn hình

2. Cấu hình NAT port trên Modem hoặc Router

  • Kết nối tới Modem hoặc Router bằng tài khoản Admin
  • Chúng ta cần NAT 2 ports cho SSL VPN Client có thể kết nối tới Sophos XG
  • 2 port đó là: 443 8443

3. Cấu hình File Server

  • Chia sẻ file trên File Server, chia sẻ file, folder cho tất cả user để VPN users có thể kết nối tới để đọc và ghi files

4. Kết quả

  • Mở SSL VPN Client to Site connection bằng cách mở ứng dụng được cài trên máy tính người dùng
  • Chuột phải vào icon ứng dụng SSL VPN -> Chọn username của bạn -> Nhấn Connect -> Nhập username và password -> Nhấn OK
  • Chờ vài giây để có thể kết nối tới hệ thống mạng nội bộ
  • Khi kết nối thành công -> Bạn sẽ nhận được thông báo rằng kết nối đã hoàn thành và địa chỉ VPN của bạn
  • Icon của ứng dụng đã được kết nối
  • Bạn có thể kết nối tới File Server với địa chỉ của File Server là 172.16.16.19
  • Bạn gõ trên thanh tìm kiếm: \\172.16.16.19

-> Done

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận