Overview
IPsec là một công nghệ bảo mật đầu cuối hoạt động trong lớp Internet của bộ giao thức Internet. Nó được sử dụng để bảo vệ truyền dữ liệu giữa một cặp host (host với host), giữa một cặp cổng bảo mật (mạng với mạng) hoặc giữa cổng bảo mật và host (mạng với host).
Tính năng IPsec VPN trong Sophos Firewall (SF) cung cấp kết nối VPN site-to-site từ xa giữa các site hiệu quả về mặt chi phí, loại bỏ sự cần thiết của các công nghệ truy cập từ xa riêng đắt tiền như đường Leased Line, Asynchronous Transfer Mode (ATM) và Frame Relay. Bài viết này sẽ mô tả một ví dụ cấu hình chi tiết, minh họa cách thiết lập kết nối IPsec VPN giữa Site A và Site B sử dụng Preshared Key để xác thực các VPN peers.
Kịch bản
Cấu hình kết nối IPsec VPN giữa site A và site B bằng cách thực hiện theo các bước được đưa ra dưới đây. Trong bài viết này, chúng ta đã sử dụng các tham số sau để tạo kết nối VPN.
Chi tiết mạng Site A:
- Địa chỉ IP WAN – 14.15.16.17
- LAN – 10.5.6.0/24
Chi tiết mạng Site B:
- Địa chỉ IP WAN – 22,23.24.25
- LAN – 172.23.9.0 / 24
Cấu hình Site A:
Bạn phải đăng nhập vào bảng điều khiển dành cho quản trị viên có quyền đọc – ghi, quyền quản trị đối với các tính năng có liên quan.
Bước 1: Tạo kết nối IPsec
Đi tới Configure > VPN and click Add dưới IPsec Connections. Tạo một kết nối theo các tham số sau.
Click Save để tạo kết nối IPSec.
Bước 2: Kích hoạt kết nối
Khi nhấp vào Save, màn hình sau được hiển thị hiển thị kết nối được tạo ở trên.
Nhấp vào icon chấm đỏ bên dưới Status (Active) và Status (Connection) để kích hoạt kết nối.
Cấu hình Site B:
Bạn phải đăng nhập vào bảng điều khiển dành cho quản trị viên bằng Device Access Profile có quyền đọc/ghi, quyền quản trị đối với các tính năng có liên quan.
Bước 1: Tạo kết nối IPsec
Đi tới Configure > VPN and click Add dưới IPsec Connections. Tạo một kết nối theo các tham số sau.
Click Save để tạo kết nối IPSec.
Bước 2: Kích hoạt và thiết lập kết nối
Khi nhấp vào Save, màn hình sau sẽ hiển thị kết nối được tạo ở Bước 1.
Nhấp vào icon chấm đỏ bên dưới Status (Active) và Status (Connection) để kích hoạt kết nối.
Ở trên là cấu hình trên thiết lập kết nối IPSec giữa hai sites.
Lưu ý:
Đảm bảo rằng chính sách mạng cho phép lưu lượng LAN đến VPN và VPN sang LAN được cấu hình. Chính sách mạng có thể được tạo từ trang Protect > Firewall.
Trong thiết lập trụ sở chính và văn phòng chi nhánh, thông thường văn phòng chi nhánh đóng vai trò là người khởi tạo đường hầm và trụ sở chính hoạt động như một người trả lời vì những lý do sau:
- Vì văn phòng chi nhánh hoặc các site từ xa khác có IP động, trụ sở chính không thể khởi tạo kết nối.
- Vì có thể có nhiều văn phòng chi nhánh, để giảm tải cho trụ sở chính, một cách tốt là văn phòng chi nhánh thử lại kết nối thay vì trụ sở chính thử lại tất cả các văn phòng chi nhánh kết nối.