Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa 2 thiết bị Sophos Firewall với 1 trong 2 thiết bị nằm phía sau một thiết bị Sophos Firewall khác.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

Head Office:

• Tại head office site chúng ta sẽ có mô hình external và internal firewall với 2 thiết bị Sophos Firewal 1 là external firewall và Sophos Firewall 2 là internal firewall.
• Đường truyền internet được kết nối tại Port 2 của thiết bị Sophos Firewall 1 với IP 192.168.2.111.
• Mạng LAN của thiết bị Sophos Firewall 1 được cấu hình tại Port 1 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.
• Tại Sophos Firewall 2 cổng WAN sẽ là Port 2 và nó sẽ được kết nối đến Port 1 của Sophos Firewall 1, Port 2 trên Sophos Firewall 2 được đặt IP tĩnh là 10.145.41.50/24.
• Mạng LAN của Sophos Firewall 2 được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã được cấu hình DHCP.

Branch office:

• Đường truyền internet được kết nối tại Port 2 của thiết bị Sophos Firewall 3 với IP 192.168.2.112.
• Mạng LAN được cấu hình tại Port 1 với IP 172.16.16.16/24 và đã cấu hình DHCP để cấp phát IP cho các thiết bị kết nối vào.

3.Tình huống cấu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa thiết bị Sophos Firewall 2 tại Head Office site và thiết bị Sophos Firewall 3 tại Branch Office site để cả 2 mạng LAN của 2 site có thể giao tiếp với nhau.

4.Các bước cấu hình

Sophos Firewall 1:

• Tạo profile cho IPSec service.
• Tạo Profile cho IP WAN của Sophos Firewall 2.
• Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra internet.

Sophos Firewall 2:

• Tạo profile cho Local và Remote subnet.
• Tạo kết nối IPSec connection.
• Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
• Bật dịch vụ PING và HTTPS trên VPN zone.

Sophos Firewall 3:

• Tạo kết nối cho Local và Remote subnet.
• Tạo kết nối IPSec connection.
• Tạo policy cho phép traffic giữa 2 zone LAN và VPN.
• Bật dịch vụ PING và HTTPS trên VPN zone.

Kiểm tra kết quả.

5.Hướng dẫn cấu hình.

5.1.Sophos Firewall 1.

5.1.1.Tạo profile cho IPSec service

Kết nối IPSec VPN Site to site sẽ sử dụng các port là UDP 500 và UDP 4500.

Chúng ta cần tạo profile cho 2 service này.

Để tạo vào SYSTEM > Hosts and services > Services > nhấn Add.

Tạo với các thông số sau:

• Name*: IPSec S2S VPN
• Type*: chọn TCP/UDP.
• Protocol: chọn UDP.
• Source port: 1:65535.
• Destination port: 500
• Nhấn biểu tượng dấu + để thêm 1 hàng.
• Protocol: chọn UDP.
• Source port: 1:65535.
• Destination port: 4500.
• Nhấn Save để lưu.

5.1.2.Tạo profile cho IP WAN của Sophos Firewall 2.

Để tạo vào SYSTEM > Hosts and services > IP Host > Nhấn Add.

Tạo với các thông tin sau:

• Name*: Sophos Firewall 2.
• IP version*: chọn IPv4.
• Type*: chọn IP.
• IP address*: nhập IP WAN của Sophos Firewall 2 là 10.145.41.50.
• Nhấn Save để lưu.

5.1.3.Thực hiện NAT IP WAN của Sophos Firewall 2 với IPSec service ra ngoài internet.

Để NAT chúng ta vào PROTECT > Rules and policies > Add firewall rule > Server access assistant [DNAT].

Sau khi nhấn vào Server access assistant [DNAT] một bảng cấu hình hiện lên.

Ở Internal server IP address chúng ta tích chọn Select IP host và chọn Sophos Firewall 2 – 10.145.41.50 từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Public IP address tích chọn Select public ip address or WAN interface và chọn #Port 2 – 192.168.2.111 từ danh sách thả xuống.

Nhấn Next để tiếp tục.

Ở Service nhấn Add new item và chọn profile IPSec S2S VPN.

Nhấn Next để tiếp tục.

Ở External source networks or devices giữ nguyên lựa chọn Any và nhấn Next.

Cuối cùng là bước review các lựa chọn đã chọn trước đó, nếu đã chọn đúng nhấn Save and finish để hoàn thành.

5.2.Sophos Firewall 2

5.2.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

• Name*: SF2_LAN.
• IP version*: IPv4.
• Type*: Network.
• IP address*: 10.146.41.0 Subnet /24[255.255.255.0]
• Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

Name*: SF3_LAN.

IP version*: IPv4.

Type*: Network.

IP address*: 172.16.16.0 Subnet /24[255.255.255.0]

Nhấn Save để lưu.

5.2.2.Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

• Name: SF2_TO_SF3.
• IP version: IPv4.
• Connection type: Site-to-site.
• Gateway type: Respond only.
• Active on save: bỏ chọn.
• Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

• Policy: chọn IKEv2.
• Authentication type: chọn Preshared key.
• Preshared key: nhập mật khẩu kết nối.
• Repeat preshared key: nhập lại mật khẩu kết nối.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

• Listening interface: chọn Port2 – 10.145.41.50.
• Local ID type: chọn IP address.
• Local ID: nhập 10.145.41.50.
• Local subnet: chọn profile SF2_LAN.

Remote Gateway:

• Gateway address: nhập IP WAN của Sophos Firewall 3 là 192.168.2.112.
• Remote ID type: chọn IP address.
• Remote ID: nhập 192.168.2.112.
• Remote subnet: chọn profile SF3_LAN.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.

Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.

5.2.3.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.2.4.Bật dịch vụ PING và HTTPS trên VPN zone.

Mặc định trên VPN zone sẽ tắt hết các dịch vụ.

Để bật vào SYSTEM > Administration > Device Access.

Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.

5.3.Sophos Firewall 3

5.2.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào SYSTEM > Hosts and Services > IP Host > nhấn Add.

Tạo profile cho Local subnet với các thông số sau:

• Name*: SF3_LAN.
• IP version*: IPv4.
• Type*: Network.
• IP address*: 172.16.16.0 Subnet /24[255.255.255.0]
• Nhấn Save để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Remote subnet theo các thông số sau:

Name*: SF2_LAN.

IP version*: IPv4.

Type*: Network.

IP address*: 10.146.41.0 Subnet /24[255.255.255.0]

Nhấn Save để lưu.

5.2.2.Tạo kết nối IPSec connection

Để tạo chúng ta vào CONFIGURE > VPN > IPSec connections > nhấn Add.

Ở General chúng ta cấu hình với các thông số sau:

• Name: SF3_TO_SF2.
• IP version: IPv4.
• Connection type: Site-to-site.
• Gateway type: Initiate the connection.
• Active on save: bỏ chọn.
• Create firewall rule: bỏ chọn.

Ở Encryption chúng ta cấu hình với các thông số sau:

• Policy: chọn IKEv2.
• Authentication type: chọn Preshared key.
• Preshared key: nhập mật khẩu kết nối.
• Repeat preshared key: nhập lại mật khẩu kết nối.
• Lưu ý preshared nhập vào phải giống với preshared đã nhập ở Sophos Firewall 2.

Ở Gateway settings chúng ta cấu hình theo các thông số sau:

Local Gateway:

• Listening interface: chọn Port2 – 192.168.2.112.
• Local ID type: chọn IP address.
• Local ID: nhập 192.168.2.112.
• Local subnet: chọn profile SF3_LAN.

Remote Gateway:

• Gateway address: nhập IP WAN của Sophos Firewall 1 là 192.168.2.111.
• Remote ID type: chọn IP address.
• Remote ID: nhập 10.145.41.50.
• Remote subnet: chọn profile SF2_LAN.

Nhấn Save để lưu.

Sau khi nhấn Save kết nối IPSec sẽ được tạo như hình dưới đây.

Tuy nhiên kết nối này vẫn chưa được bật, để bật nhấn vào biểu tượng hình tròn tại cột Active và nhấn OK.

Lúc này biểu tượng hình tròn tại cột Active chuyển sang màu xanh lá tức là đã bật kết nối thành công.

Sau khi bật kết nối thành công thì kết nối IPSec trên Sophos Firewall sẽ tự động gửi tín hiệu đến cho Sophos Firewall 2 để thiết lập kết nối IPSec VPN Site to site giữa 2 thiết bị.

Lúc này biểu tượng hình tròn tại cột Connection chuyển sang màu xanh chứng tỏ kết nối IPsec giữa hai thiết bị đã được hình thành.

Tại Sophos Firewall 2 thì biểu tượng hình tròn tại cột Connection cũng sẽ chuyển sang xanh lá.

5.2.3.Tạo policy cho phép traffic giữa 2 zone LAN và VPN.

Mặc định tường lửa sẽ khóa hết các traffic qua lại giữa các zone.

Vì vậy chúng ta cần tạo policy để cho phép các traffic qua lại giữa 2 zone LAN và VPN.

Để tạo vào PROTECT > Rules and policies > Add firewall rule và tạo policy theo như hình sau.

Nhấn Save để lưu.

5.2.4.Bật dịch vụ PING và HTTPS trên VPN zone.

Mặc định trên VPN zone sẽ tắt hết các dịch vụ.

Để bật vào SYSTEM > Administration > Device Access.

Tích chọn 2 dịch vụ HTTPS và Ping/Ping6 tại hàng VPN zone và nhấn Apply để lưu.

5.4.Kiểm tra kết quả.

Thegioifirewall sẽ dùng 1 máy tính tại mỗi site để ping lẫn nhau kiểm tra kết quả.

Ở site Head Office thegioifirewall đã chuẩn bị sẵn máy chủ có IP 10.146.41.10/24 và ở site Branch Office đã chuẩn bị máy Windows 10 có IP 172.16.16.17/24.

Kết quả ping từ máy chủ IP 10.146.41.10/24 đến máy Windows 10.

Kết quả ping thành công.

Kết quả ping từ máy Windows 10 IP 172.16.16.17 đến máy chủ.

Kết quả ping thành công.