• Bài viết này sẽ mô tả cách thiết lập 1 kết nối SSL VPN Site-to-Site giữa 2 thiết bị tường lửa Sophos XG. Thông qua bài viết này bạn sẽ học được cách cấu hình SSL VPN Server và cách thiết lập và kết nối với SSL VPN Client.

Sơ đồ mạng và kịch bản cấu hình

• Theo sơ đồ chúng ta có hai thiết bị Sophos Firewall 1 và Sophos Firewall 2, chúng ta sẽ cấu hình SSL VPN Site-to-Site với Sophos Firewall 1 là SSL VPN Server và Sophos Firewall 2 là SSL VPN Client.
• Việc cấu hình SSL VPN sẽ giúp người dùng trong vùng LAN của hai thiết bị tường lửa Sophos XG có thể giao tiếp với nhau.

Cấu hình SSL VPN Server trên Sophos Firewall 1

Thêm local và remote LAN

• Nhấn Hosts and Services > IP Host và nhấn Add để tạo local LAN

• Nhấn Hosts and Services > IP Host và nhấn Add để tạo remote LAN

Tạo kết nối SSL VPN Site-to-Site

Nhấn VPN > SSL VPN(Site-to-Site) và nhấn Add phía dưới tiêu đề Server.

• Connection name : Nhập vào tên của đường hầm kết nối SSL VPN giữa hai thiết bị.
• Description : Thêm mô tả về kết nối.
• Use static virtual IP address : Sử dụng địa chỉ IP này nếu địa chị IP vật lí động đang được sử dụng.
• Local Networks: Chọn địa chỉ hosts/networks cục bộ sẽ được định tuyến qua đường hầm.
• Remote Networks: Chọn địa chỉ hosts/networks sẽ được truy cập từ xa trên tường lửa Sophos XG thông qua đường hầm.

• Nhấn Save và kết nối đã được tạo, nhấn vào icon download ở phía bên phải của kết nối vừa tạo.

• Một cửa sổ bật lên sẽ xuất hiện. Nhấp vào nút tải xuống để tải xuống tệp sẽ được sử dụng để cấu hình hệ thống máy khách. Nó sẽ tải xuống một tập tin ở định dạng .apc. Bạn có thể nhập mật khẩu để mã hóa tập tin, nếu cần.

Thêm 1 firewall rule cho phép các lưu lượng ra vào của SSL VPN

• Nhấn Firewall > +Add Firewall Rule và chọn User/Network Rule.

Cấu hình SSL VPN Server trên Sophos Firewall 2

Tạo kết nối SSL VPN Site-to-Site

Nhấn VPN > SSL VPN(Site-to-Site) và nhấn Add phía dưới tiêu đề Client.

• Connection name : nhập vào tên của đường hầm kết nối.
• Description : Thêm mô tả cho kết nối.
• Configuration File : Nhấn vào nút Choose File để duyệt tìm tệp đã được tải xuống từ SSL VPN Server.
• Password : Nếu tệp được mã hóa bằng mật khẩu thì hãy nhập mật khẩu vào ô trống.
• Use HTTP Proxy Server : Sử dụng tùy chọn này nếu có upstream proxy web. Điều này sẽ cho phép đường hầm kết nối thông qua proxy. Điều này thường được để trống.
• Override peer hostname: Sử dụng tên này nếu tên máy chủ ở phía máy chủ không thể định tuyến công khai bằng cách nhập DNS hoặc mục nhập IP công khai. Điều này thường được để trống.

Thêm 1 firewall rule cho phép các lưu lượng ra vào của SSL VPN

• Nhấn Firewall > +Add Firewall Rule và chọn User/Network Rule.

Kết quả

• Đường hầm SSL VPN hoạt động khi trạng thái hiển thị màu xanh lá cây. Nếu trạng thái hiển thị màu đỏ thì điều này cho thấy đường hầm chưa được thiết lập và bạn nên xem lại cài đặt của mình.
• Bạn cũng sẽ thấy lưu lượng truy cập thông qua kết nối SSL VPN.