Здравейте всички! Тази статия ще прегледа функционалността на VPN в продукта Sophos XG Firewall. В предишния Статия Разгледахме как да получите това решение за защита на домашната мрежа безплатно с пълен лиценз. Днес ще говорим за VPN функционалността, която е вградена в Sophos XG. Ще се опитам да ви кажа какво може да направи този продукт и също така ще дам примери за настройка на IPSec Site-to-Site VPN и персонализиран SSL VPN. Така че нека започнем с прегледа.

Първо, нека да разгледаме таблицата за лицензиране:

Можете да прочетете повече за това как се лицензира Sophos XG Firewall тук:
Връзка
Но в тази статия ще се интересуваме само от тези елементи, които са маркирани в червено.

Основната VPN функционалност е включена в основния лиценз и се закупува само веднъж. Това е лиценз за цял живот и не изисква подновяване. Модулът Base VPN Options включва:

От сайт до сайт:

• SSL VPN
• IPSec VPN

Отдалечен достъп (клиентска VPN):

• SSL VPN
• IPsec VPN без клиент (с безплатно персонализирано приложение)
• L2TP
• PPTP

Както можете да видите, всички популярни протоколи и видове VPN връзки се поддържат.

Освен това Sophos XG Firewall има още два вида VPN връзки, които не са включени в основния абонамент. Това са RED VPN и HTML5 VPN. Тези VPN връзки са включени в абонамента за защита на мрежата, което означава, че за да използвате тези видове, трябва да имате активен абонамент, който включва и функционалност за защита на мрежата - IPS и ATP модули.

RED VPN е патентована L2 VPN от Sophos. Този тип VPN връзка има редица предимства пред SSL или IPSec от сайт към сайт при настройване на VPN между два XG. За разлика от IPSec, тунелът RED създава виртуален интерфейс в двата края на тунела, което помага при отстраняване на проблеми и за разлика от SSL, този виртуален интерфейс е напълно адаптивен. Администраторът има пълен контрол върху подмрежата в тунела RED, което улеснява разрешаването на проблеми с маршрутизирането и конфликти в подмрежата.

HTML5 VPN или безклиентска VPN – специфичен тип VPN, който ви позволява да препращате услуги чрез HTML5 директно в браузъра. Видове услуги, които могат да бъдат конфигурирани:

• ПРСР
• Telnet
• SSH
• VNC
• FTP
• FTPS
• SFTP
• SMB

Но си струва да се има предвид, че този тип VPN се използва само в специални случаи и се препоръчва, ако е възможно, да се използват типове VPN от списъците по-горе.

Практика

Нека да разгледаме практически как да конфигурирате няколко от тези типове тунели, а именно: Site-to-Site IPSec и SSL VPN отдалечен достъп.

Site-to-Site IPSec VPN

Нека започнем с това как да настроим Site-to-Site IPSec VPN тунел между две защитни стени на Sophos XG. Под капака той използва strongSwan, който ви позволява да се свържете към всеки IPSec-активиран рутер.

Можете да използвате удобен и бърз съветник за настройка, но ние ще следваме общия път, така че въз основа на тези инструкции да можете да комбинирате Sophos XG с всяко оборудване, използващо IPSec.

Нека отворим прозореца с настройки на правилата:

Както виждаме, вече има предварително зададени настройки, но ние ще създадем наши собствени.

Нека да конфигурираме параметрите на криптиране за първата и втората фаза и да запазим политиката. По аналогия правим същите стъпки на втория Sophos XG и преминаваме към настройка на самия IPSec тунел

Въведете името, режима на работа и конфигурирайте параметрите за криптиране. Например ще използваме предварително споделен ключ

и посочват локални и отдалечени подмрежи.

Нашата връзка е създадена

По аналогия правим същите настройки на втория Sophos XG, с изключение на режима на работа, там ще зададем Иницииране на връзката

Сега имаме два конфигурирани тунела. След това трябва да ги активираме и да ги стартираме. Това става много просто, трябва да кликнете върху червения кръг под думата Active, за да активирате и върху червения кръг под Connection, за да стартирате връзката.
Ако видим тази снимка:

Това означава, че нашият тунел работи правилно. Ако вторият индикатор е червен или жълт, тогава нещо е неправилно конфигурирано в правилата за криптиране или локални и отдалечени подмрежи. Нека ви напомня, че настройките трябва да бъдат огледални.

Отделно бих искал да подчертая, че можете да създавате групи за преодоляване на отказ от IPSec тунели за толерантност към грешки:

Отдалечен достъп SSL VPN

Нека да преминем към SSL VPN за отдалечен достъп за потребители. Под капака има стандартен OpenVPN. Това позволява на потребителите да се свързват чрез всеки клиент, който поддържа .ovpn конфигурационни файлове (например стандартен клиент за връзка).

Първо, трябва да конфигурирате политиките на OpenVPN сървъра:

Посочете транспорта за връзка, конфигурирайте порта, диапазона от IP адреси за свързване на отдалечени потребители

Можете също да зададете настройки за криптиране.

След като настроим сървъра, преминаваме към настройване на клиентски връзки.

Всяко правило за SSL VPN връзка се създава за група или за отделен потребител. Всеки потребител може да има само една политика за връзка. Според настройките интересното е, че за всяко такова правило можете да посочите отделни потребители, които ще използват тази настройка или група от AD, можете да поставите отметка в квадратчето, така че целият трафик да бъде обвит в VPN тунел или да посочите IP адресите, подмрежи или FQDN имена, достъпни за потребителите. Въз основа на тези правила автоматично ще бъде създаден .ovpn профил с настройки за клиента.

Използвайки потребителския портал, потребителят може да изтегли както .ovpn файл с настройки за VPN клиента, така и инсталационен файл на VPN клиент с вграден файл с настройки за връзка.

Заключение

В тази статия разгледахме накратко VPN функционалността в продукта Sophos XG Firewall. Разгледахме как можете да конфигурирате IPSec VPN и SSL VPN. Това не е пълен списък на това, което може да направи това решение. В следващите статии ще се опитам да прегледам RED VPN и да покажа как изглежда в самото решение.

Благодаря ви за отделеното време.

Ако имате въпроси относно търговската версия на XG Firewall, можете да се свържете с нас, компанията Факторна група, дистрибутор на Sophos. Всичко, което трябва да направите, е да пишете в свободна форма на [имейл защитен].

Източник: www.habr.com