Ўсім прывітанне! Дадзены артыкул будзе прысвечана агляду функцыяналу VPN у прадукце Sophos XG Firewall. У папярэдняй мы разбіралі, як атрымаць бясплатна дадзенае рашэнне па абароне хатняй сеткі з поўнай ліцэнзіяй. Сёння мы пагаворым аб функцыянале VPN які ўбудаваны ў Sophos XG. Я пастараюся распавесці, што ўмее дадзены прадукт, а таксама прывяду прыклады налады IPSec Site-to-Site VPN і карыстацкага SSL VPN. Такім чынам, прыступім да агляду.
Перш за ўсё паглядзім на табліцу ліцэнзавання:
Больш падрабязна аб тым, як ліцэнзуецца Sophos XG Firewall можна прачытаць тут:
Але ў дадзеным артыкуле нас будуць цікавіць толькі тыя пункты, якія выдзелены чырвоным.
Асноўны функцыянал VPN уваходзіць у базавую ліцэнзію і набываецца толькі адзін раз. Гэта пажыццёвая ліцэнзія і яна не патрабуе падаўжэнні. У модуль Base VPN Options уваходзіць:
Site-to-Site:
- SSL VPN
- IPSec VPN
Remote Access (кліенцкі VPN):
- SSL VPN
- IPsec Clientless VPN (з бясплатным карыстацкім дадаткам)
- L2TP
- PPTP
Як бачым, падтрымліваюцца ўсе папулярныя пратаколы і тыпы VPN злучэнняў.
Таксама, у Sophos XG Firewall ёсць яшчэ два тыпы VPN злучэнняў, якія не ўключаны ў базавую падпіску. Гэта RED VPN і HTML5 VPN. Дадзеныя VPN злучэнні ўваходзяць у падпіску Network Protection, а гэта значыць, каб выкарыстоўваць дадзеныя тыпы неабходна мець актыўную падпіску, у якую, таксама ўваходзіць і функцыянал абароны сеткі - IPS і ATP модулі.
RED VPN – гэта прапрыетарны L2 VPN ад кампаніі Sophos. Дадзены тып VPN злучэння мае шэраг пераваг у параўнанні з Site-to-site SSL або IPSec пры наладзе VPN паміж двума XG. У адрозненні ад IPSec, RED тунэль стварае віртуальны інтэрфейс на абодвух канцах тунэля, што дапамагае пры траблшуте праблем, і ў адрозненні ад SSL, дадзены віртуальны інтэрфейс цалкам які наладжваецца. Адміністратар мае поўны кантроль над падсеткай усярэдзіне RED тунэля, што дазваляе прасцей вырашаць праблемы маршрутызацыі і канфлікты падсетак.
HTML5 VPN або Clientless VPN - Спецыфічны тып VPN, які дазваляе пракідваць сэрвісы праз HTML5 прама ў браўзэры. Тыпы сэрвісаў, якія можна наладзіць:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Але варта ўлічыць, што дадзены тып VPN ужываецца, толькі, у адмысловых выпадках і рэкамендуецца, калі ёсць магчымасць, выкарыстоўваць тыпы VPN са спісаў вышэй.
Практыка
Разбярэм на практыцы, як наладзіць некалькі з дадзеных тыпаў тунэляў, а менавіта: Site-to-Site IPSec і SSL VPN Remote Access.
Site-to-Site IPSec VPN
Пачнём з таго, як наладзіць Site-to-Site IPSec VPN тунэль паміж двума Sophos XG Firewall. Пад капотам выкарыстоўваецца strongSwan, што дазваляе падлучыцца да любога маршрутызатара з падтрымкай IPSec.
Можна выкарыстоўваць зручны і хуткі wizard наладкі, але мы пойдзем агульным шляхам, каб на аснове дадзенай інструкцыі можна было сумясціць Sophos XG з любым абсталяваннем па IPSec.
Адкрыем акно настроек палітык:
Як мы бачым, існуюць ужо прадусталяваныя наладкі, але мы будзем ствараць сваю.
Наладзім параметры шыфравання для першай і другой фазы і захаваем палітыку. Па аналогіі, які робіцца такія ж дзеянні на другім Sophos XG і пераходзім да налады самога IPSec тунэлю
Уводзім назву, рэжым працы і наладжваем параметры шыфравання. Для прыкладу будзем выкарыстоўваць Preshared Key
і пакажам лакальныя і выдаленыя падсеткі.
Наша злучэнне створана
Па аналогіі, які робіцца такія ж налады на другім Sophos XG, за выключэннем рэжыму працы, тамака паставім Initiate the connection
Цяпер у нас ёсць два настроеных тунэля. Далей нам трэба іх актываваць і запусціць. Робіцца гэта вельмі проста, трэба націснуць на чырвоны кружок пад словам Active каб актываваць і на чырвоны кружок пад Connection, каб запусціць канэкт.
Калі мы бачым такі малюнак:
Значыць наш тунэль працуе карэктна. Калі другі індыкатар гарыць чырвоным ці жоўтым, значыць нешта няправільна наладзілі ў палітыках шыфравання ці лакальных і выдаленых падсетках. Нагадаю, што настройкі павінны быць люстранымі.
Асобна жадаю вылучыць, што можна з IPSec тунэляў ствараць Failover групы для адмоваўстойлівасці:
Remote Access SSL VPN
Пяройдзем да Remote Access SSL VPN для карыстальнікаў. Пад капотам круціцца стандартны OpenVPN. Гэта дазваляе карыстачам падлучацца праз любы кліент, які падтрымлівае .ovpn канфігурацыйныя файлы (напрыклад, стандартны кліент падключэння).
Для пачатку, трэба наладзіць палітыкі OpenVPN сервера:
Указаць транспарт для падлучэння, наладзіць порт, дыяпазон ip адрасоў для падлучэння выдаленых карыстальнікаў
Таксама можна пазначыць налады шыфраваньня.
Пасля наладкі сервера, прыступаем да налады кліенцкіх падлучэнняў.
Кожнае правіла падлучэння да SSL VPN ствараецца для групы ці для асобнага карыстача. У кожнага карыстальніка можа быць толькі адна палітыка падключэння. Па наладах, з цікавага, для кожнага такога правіла можна паказаць, як асобных карыстальнікаў, хто будзе выкарыстоўваць дадзеную наладу або групу з AD, можна ўключыць галачку, каб увесь трафік заварочваўся ў VPN тунэль або паказаць даступныя для карыстальнікаў ip адрасы, падсеткі ці FQDN імёны . На аснове дадзеных палітык будзе аўтаматычна створаны .ovpn прафайл з наладамі для кліента.
Выкарыстоўваючы карыстацкі партал, карыстач можа спампаваць як .ovpn файл з наладамі для VPN кліента, так і ўсталявальны файл VPN кліента з убудаваным файлам налад падключэння.
Заключэнне
У дадзеным артыкуле мы сцісла прабегліся па функцыянале VPN у прадукце Sophos XG Firewall. Паглядзелі, як можна наладзіць IPSec VPN і SSL VPN. Гэта далёка не поўны спіс таго, што ўмее дадзенае рашэнне. У наступных артыкулах пастараюся зрабіць агляд на RED VPN і паказаць, як гэта выглядае ў самым рашэнні.
Дзякуй за нададзенае час.
Калі ў Вас будуць пытанні па камерцыйнай версіі XG Firewall, Вы можаце звяртацца да нас - кампанію , дыстрыбутару Sophos. Дастаткова напісаць у свабоднай форме на .
Крыніца: habr.com