SSL VPN Remote Access với IPsec Site to Site VPN đều là những tính năng cho phép kết nối user ở nhiều site hoặc không có mặt trong mạng nội bộ có thể kết nối truy cập vào tài nguyên của hệ thống.

2. Network Diagram

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình cho phép user sử dụng SSL Remote Access VPN kết nối đến Remote Network thông qua IPSec VPN.

Bài viết sẽ không đi vô chi tiết việc cấu hình SSL VPN Remote Access và IPSec site to site VPN, bạn có thể tham khảo các link bài biết sau:

SSL VPN Remote Access: https://www.thegioifirewall.com/sophos-xg-firewall-huong-dan-cau-hinh-remote-access-ssl-vpn-voi-sophos-connect-client/

IPSec site to site VPN: https://www.thegioifirewall.com/video-huong-dan-cau-hinh-ipsec-vpn-site-to-site-giua-hai-thiet-bi-sophos-firewall/

3. Hướng dẫn cấu hình.

3.1. Cấu hình trên Sophos Firewall 1

Bước 1: Tạo các Host & Service.

Trên giao diện quản trị Sophos Firewall 1 > System > Host & Services > IP host > Add. Tạo Remote Network.

Di chuyển lên phần Configure > Remote Access VPN (SFOS v19) > SSL VPN. Kéo xuống phần Tunnel Access > Permitted network resources (IPv4) > Add Remote Network đã tạo.

Tiếp theo bạn cần xác định SSL VPN Range. Bạn di chuyển đến Configure > Remote Access VPN (SFOS v19) > SSL VPN > SSL VPN Global Settings.

Dải IP SSL VPN Range là 10.81.234.5/24.

Bạn sẽ tạo SSL VPN Network trong Host & Services.

Tiếp theo bạn cấu hình trong IPSec Connections. Bạn add thêm SSL VPN Range vào Local Subnet.

Bước 2: Cấu hình Firewall Rule.

Tạo firewall như hình dưới.

Tiếp theo bạn cần bật Ping cho Zone VPN. Bạn di chuyển System > Administraion > Device Access.

3.2. Cấu hình trên Sophos Firewall 2

Bước 1: Tạo Host & Service.

Bạn sẽ tạo IP Host là Internal Network.

Tạo SSL VPN Range như Sophos Firewall 1

Bước 2: Cấu hình IPSec Connections.

Bạn thêm SSL VPN Range vào mục Remote Subnet.

Bước 3: Cấu hình Firewall Rule.

Bạn tạo firewall rule như hình dưới.

Tiếp theo bạn cũng cần bật Ping cho Zone VPN.

Như vậy bạn đã định cấu hình các VPN policies và firewall rules, vì vậy traffic từ SSL VPN sẽ kết nối đến remote network thông qua VPN Tunnel.

Bước 4: Cấu hình IPsec Route

Trên giao diện Sophos Firewall > admin > Console > Chọn 4.Device Console.

Add IPsec Route như sau:

console> system ipsec_route add net 172.16.10.0/255.255.255.0 tunnelname <điền tên tunnel tạo kết nối IPsec với firewall 1>.

Check route vừa tạo:

console> system ipsec_route show.

Với SSL VPN Remote Access, bạn có thể cung cấp quyền truy cập vào tài nguyên mạng của từng máy chủ qua internet bằng cách sử dụng các đường hầm được mã hóa điểm-điểm. Remote Access yêu cầu chứng chỉ SSL, tên người dùng và mật khẩu.

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình block truy cập một số trang web khi người dùng sử dụng SSL VPN Remote Access.

Bài viết sẽ không đi vào chi tiết cách cấu hình SSL VPN Remote Access mà chỉ tập trung vào phần chặn truy cập các trang web đối với người dùng.

2. Hướng dẫn cấu hình.

Bước 1: Tạo Firewall Rule VPN-WAN.

Trước khi tạo rule bạn cần check trong phần Tunnel Access khi cấu hình SSL VPN (Remote Access).

Đã bật ON “Use as default gateway”.

Permitted network resources (IPv4), bạn add thêm các IP cổng WAN có trên Sophos.

Sau đó bạn tạo firewall rule như sau:

Source zones: chọn zone VPN.

Source networks and devices: Dải IP cấp cho user VPN.

Destination zones: chọn WAN.

Ex: Bạn muốn chặn user truy cập đến trang vnexpress.net.

Bạn phải tạo các URL chặn vnexpress trong mục Protect > Web. Sau đó add vào trong rule này dưới mục Web Filtering > Web Policy > chọn policy chặn truy cập Vnexpress đã tạo.

Click chọn Scan HTTP and decrypted HTTPS. Vì trang VNexpress sử dụng HTTPS nên cần rule để decrypted lưu lượng này để có thể chặn user truy cập.

Bước 2: Tạo SSL/TLS rule.

Note: Để sử dụng SSL/TLS rule, tất cả user cần cài đặt Sophos SSL CA vào máy.

Chuyển qua SSL/TLS tab > chọn Add.

Rule name: Đặt tên cho rule.

Action: chọn Decrypt.

Decryption Profile: Tạo 1 decryption profile mới.

Name: Đặt tên cho Decryption Profile.

Click chọn Use CAs defined in SSL/TLS settings.

Chọn Action Drop.

Chọn Block action: Reject & notify. CLick Save.

Quay lại SSL/TLS rule:

Source zones: chọn zone VPN.

Source networks and devices: Dải IP cấp cho user VPN.

Destination zones: chọn WAN.

Bước 3: Tạo NAT Rule

Tạo 1 NAT rule với Original source: là dải IP cấp cho user SSL VPN

Translated source (SNAT) chọn MASQ.

Các thông số khác để mặc định.

Bước 4: Kiểm tra

Cho user kết nối SSL VPN với Sophos Connect và kiểm tra truy cập vào trang vnexpress.net

User không thể truy cập trang vnexpress nhưng vẫn truy cập đc các trang web khác.

Bài viết sẽ hướng dẫn các bước để khắc phục các sự cố kết nối SSL VPN Remote Access và truyền tải dữ liệu. Trước khi tiếp tục troubleshoot, bạn nên chắc chắn rằng SSL VPN Remote Access đã được định cấu hình chính xác.

Hướng dẫn

1.User SSL VPN Remote Access không thể kết nối.

Bước 1: Xác định User Portal có thể truy cập được hay không.

Đảm bảo rằng dịch vụ SSL VPN được chọn cho zone WAN trong Administration > Device Access.

Bước 2: Xác định Admin Port Setting.

Đảm bảo rằng người dùng SSL VPN đang truy cập Portal sử dụng cổng được cấu hình trong Administration > Admin Settings.

Bước 3: Kiểm tra Log SSL VPN từ Log viewer

Click Log Viewer và chọn filter là Log Comp và value là SSL VPN Client.

Hoặc bạn cũng có thể kiểm tra log bằng cách click chuột phải vào SSL VPN Client từ taskbar và chọn View Log.

Bước 4: Xác định rằng User đã áp dụng đúng SSL VPN Remote Access Policy.

Đi đến Authentication > Users và xác nhận rằng người dùng đã được áp dụng chính sách SSL VPN và được phép đăng nhập đồng thời (simultaneous logins) hai hoặc nhiều thiết bị cùng lúc, tránh trường hợp nếu người dùng đồng thời đăng nhập SSL VPN từ các thiết bị khác cùng một lúc.

Bước 5: Xác định SSL VPN authentication method.

Khi nhận được thông báo lỗi Auth-fail trong log, hãy xác minh phương thức xác thực trong Authentication > Services > SSL VPN Authentication Methods là Local nếu bạn không xác thực bằng User AD.

2.User SSL VPN không thể truy cập dữ liệu.

Bước 1: Xác định firewall rule.

Trong trường hợp SSL VPN kết nối thành công nhưng người dùng không thể truy cập với các tài nguyên được phép đằng sau tường lửa Sophos XG, hãy xác minh xem firewall rule có được cấu hình hay không. Nếu đã cấu hình hãy để any service và thử kết nối lại.

Bước 2: Xác định khả năng truy cập tài nguyên nội bộ.

Truy cập vào giao diện dòng lệnh (CLI) và chọn 4. Device Console. Xác minh rằng tài nguyên nội bộ có thể truy cập được từ chính tường lửa Sophos XG hay không.

Ví dụ: Bạn có thể ping một ip nội bộ từ bảng điều khiển của Sophos XG Firewall. Nếu bạn không thể ping thấy ip nội bộ này từ tường lửa Sophos XG, thì chúng sẽ không thể truy cập được từ phía các user SSL VPN qua cổng WAN.

Bước 3: Xác định mạng LAN nội bộ được phép truy cập từ xa.

Đảm bảo rằng các cổng vật lý của tường lửa Sophos XG không được phép có trong Permitted Network Resources (IPv4) trong phần VPN > SSL VPN (Remote Access) của Tunnel Access . Nếu có các port này, người dùng SSL VPN sẽ không thể truy cập vào mạng nội bộ, thay vào đó, hãy tạo IP Host/Network mới để người dùng SSL VPN truy cập.

SSL VPN thường xuyên khởi động lại.

Xác định rằng cổng WAN của tường lửa Sophos XG không có trong VPN > SSL VPN (Remote Access) > Tunnel Access > Permitted Network Resources (IPv4). Nếu nó cổng WAN, SSL VPN Client có thể ngắt kết nối thường xuyên.

Lưu ý: Phương án cuối cùng, nếu các cách trên không thành công hãy thử gỡ cài đặt SSL VPN Client và cài đặt lại.