Mạng VPN Hub and Spoke được thiết lập trong các tổ chức mong muốn quyền kiểm soát tập trung đối với tất cả các văn phòng chi nhánh. Khi cấu hình Hub và Spoke IPSec VPN, trụ sở chính đóng vai trò là trung tâm (Hub) và các văn phòng chi nhánh đóng vai trò là các Spoke. Tất cả các đường hầm VPN từ văn phòng chi nhánh được kết nối về văn phòng chính. Các kết nối Site to Site giữa các văn phòng chi nhánh không được tạo. Tất cả lưu lượng truy cập bắt nguồn từ một chi nhánh , khi được chuyển tới một một chi nhánh khác phải đi qua văn phòng trung tâm.

Bài viết sẽ hướng dẫn các bước để cấu hình Hub và Spoke IPsec VPN trên Sophos Firewall. Cấu hình Hub và Spoke IPsec VPN giữa trụ sở chính ở New York và các văn phòng chi nhánh ở Houston và Dallas.

Sơ đồ cấu hình

Hướng dẫn cấu hình.

1.Cấu hình văn phòng chi nhánh (Spoke)

Thông tin địa chỉ IP WAN và Local LAN ở 2 văn phòng chinh nhánh

Bước 1: Cấu hình IPSec Connection trên Sophos XG ở Houston và Dallas.

Đi đến VPN > IPsec Connections và click Add. Cấu hình 2 IPSec Connection là Houston_to_NY và Dallas_to_NY theo các thông số như hình dưới.

Click Save để tạo IPsec connection.

Bước 2: Tạo Firewall rule allow traffic VPN.

Đi đến Firewall rule và click +Add. Tạo 2 User/network rule như hình dưới.

Click Save.

Bước 3: Active kết nối VPN.

Sau khi cấu hình xong IPSec Connection, click chọn icon tròn màu đỏ bên dưới Status (Active) để active kết nối IPSec VPN Houston_to_NY và Dallas_to_NY cũng làm tương tự.

Icon chuyển đỏ sang màu xanh là đã Active thành công.

2.Cấu hình văn phòng chính New York (Hub)

Bước 1: Cấu hình IPSec VPN với chi nhánh Houston.

Thông tin IP WAN và Local LAN + Remote LAN của New York và Houston.

Trên Sophos XG ở New York. Đi đến VPN > IPsec Connections và click Add. Cấu hình theo các thông số như hình dưới.

Click Save.

Bước 2: Active kết nối VPN với Houston

Sau khi cấu hình xong IPSec Connection, click chọn icon tròn màu đỏ bên dưới Status (Active) để active kết nối IPSec VPN NY_to_Houston.

Icon chuyển đỏ sang màu xanh là đã Active thành công.

Bước 3: Cấu hình IPSec VPN với chi nhánh Dallas.

Thông tin IP WAN và Local LAN + Remote LAN của New York và Dallas.

Vẫn trên Sophos XG ở New York. Đi đến VPN > IPsec Connections và click Add. Cấu hình theo các thông số như hình dưới.

Click Save.

Bước 4: Active kết nối VPN với Dallas.

Sau khi cấu hình xong IPSec Connection, click chọn icon tròn màu đỏ bên dưới Status (Active) để active kết nối IPSec VPN NY_to_Dallas.

Icon chuyển đỏ sang màu xanh là đã Active thành công.

Bước 5: Add Firewall rule để allow VPN traffic.

 Đi đến Firewall rule và click Add Firewall Rule. Tạo user/network rule như hình dưới. Click Save.

Bước 6: Thiết lập kêt nối VPN giữa New York và Houston, Dallas.

Sau khi tất cả các thiết bị tường lửa Sophos tại văn phòng chi nhánh và trụ sở chính được định cấu hình, tiến hành thiết lập kết nối giữa chúng bằng cách nhấp vào icon màu đỏ dưới Status (Connection) của 2 kết nối VPN là NY_to_Houston và NY_to_Dallas.

Khi Icon chuyển đỏ sang màu xanh dưới mục Active và Connection thì việc cấu hình Hub và Spoke đã thành công.