Zdravo svima! Ovaj članak će pregledati VPN funkcionalnost u Sophos XG Firewall proizvodu. U prethodnom
Prije svega, pogledajmo tabelu licenciranja:
Više o tome kako je Sophos XG Firewall licenciran možete pročitati ovdje:
Ali u ovom članku će nas zanimati samo one točke koje su označene crvenom bojom.
Glavna VPN funkcionalnost uključena je u osnovnu licencu i kupuje se samo jednom. Ovo je doživotna licenca i ne zahtijeva je obnavljanje. Modul Base VPN Options uključuje:
Site-to-Site:
- SSL VPN
- IPSec VPN
Udaljeni pristup (klijentski VPN):
- SSL VPN
- IPsec Clientless VPN (sa besplatnom prilagođenom aplikacijom)
- L2TP
- PPTP
Kao što vidite, podržani su svi popularni protokoli i vrste VPN veza.
Također, Sophos XG Firewall ima još dvije vrste VPN veza koje nisu uključene u osnovnu pretplatu. To su RED VPN i HTML5 VPN. Ove VPN konekcije su uključene u pretplatu Mrežna zaštita, što znači da za korištenje ovih tipova morate imati aktivnu pretplatu, koja uključuje i funkcionalnost mrežne zaštite - IPS i ATP module.
RED VPN je vlasnički L2 VPN iz Sophosa. Ova vrsta VPN veze ima niz prednosti u odnosu na SSL ili IPSec od lokacije do lokacije kada se postavlja VPN između dva XG-a. Za razliku od IPSec-a, RED tunel stvara virtualno sučelje na oba kraja tunela, što pomaže u rješavanju problema, a za razliku od SSL-a, ovo virtualno sučelje je potpuno prilagodljivo. Administrator ima potpunu kontrolu nad podmrežom unutar RED tunela, što olakšava rješavanje problema rutiranja i sukoba podmreže.
HTML5 VPN ili VPN bez klijenta – Specifičan tip VPN-a koji vam omogućava prosljeđivanje usluga putem HTML5 direktno u pretraživaču. Vrste usluga koje se mogu konfigurirati:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ali vrijedi uzeti u obzir da se ova vrsta VPN-a koristi samo u posebnim slučajevima i preporučuje se, ako je moguće, korištenje VPN tipova sa gore navedenih lista.
Praksa
Pogledajmo praktično kako konfigurirati nekoliko ovih vrsta tunela, a to su: Site-to-Site IPSec i SSL VPN Remote Access.
Site-to-Site IPSec VPN
Počnimo s time kako postaviti Site-to-Site IPSec VPN tunel između dva Sophos XG Firewall-a. Ispod haube koristi strongSwan, koji vam omogućava da se povežete na bilo koji ruter koji podržava IPSec.
Možete koristiti zgodan i brz čarobnjak za podešavanje, ali mi ćemo slijediti opći put tako da, na osnovu ovih uputa, možete kombinirati Sophos XG sa bilo kojom opremom koja koristi IPSec.
Otvorite prozor postavki pravila:
Kao što vidimo, već postoje unaprijed postavljene postavke, ali mi ćemo kreirati svoje.
Konfigurirajmo parametre šifriranja za prvu i drugu fazu i spremimo politiku. Po analogiji, radimo iste korake na drugom Sophos XG i prelazimo na postavljanje samog IPSec tunela
Unesite naziv, način rada i konfigurirajte parametre šifriranja. Na primjer, koristit ćemo unaprijed podijeljeni ključ
i označavaju lokalne i udaljene podmreže.
Naša veza je stvorena
Po analogiji, na drugom Sophosu XG pravimo ista podešavanja, sa izuzetkom režima rada, tamo ćemo postaviti Pokreni vezu
Sada imamo konfigurisana dva tunela. Zatim ih trebamo aktivirati i pokrenuti. Ovo se radi vrlo jednostavno, potrebno je da kliknete na crveni kružić ispod riječi Aktivno da aktivirate i na crveni krug ispod Connection da započnete vezu.
Ako vidimo ovu sliku:
To znači da naš tunel radi ispravno. Ako je drugi indikator crven ili žut, onda je nešto pogrešno konfigurirano u pravilima šifriranja ili lokalnim i udaljenim podmrežama. Dozvolite mi da vas podsjetim da postavke moraju biti preslikane.
Odvojeno, želio bih naglasiti da možete kreirati Failover grupe iz IPSec tunela za toleranciju grešaka:
SSL VPN za daljinski pristup
Prijeđimo na SSL VPN za daljinski pristup za korisnike. Ispod haube se nalazi standardni OpenVPN. Ovo omogućava korisnicima da se povežu preko bilo kojeg klijenta koji podržava .ovpn konfiguracijske datoteke (na primjer, standardni klijent za povezivanje).
Prvo, morate konfigurirati politike OpenVPN servera:
Odredite transport za povezivanje, konfigurišite port, opseg IP adresa za povezivanje udaljenih korisnika
Također možete odrediti postavke šifriranja.
Nakon postavljanja servera, prelazimo na postavljanje klijentskih veza.
Svako pravilo SSL VPN veze kreira se za grupu ili za pojedinačnog korisnika. Svaki korisnik može imati samo jednu politiku povezivanja. Prema postavkama, zanimljivo je da za svako takvo pravilo možete odrediti pojedinačne korisnike koji će koristiti ovu postavku ili grupu iz AD, možete omogućiti checkbox da sav promet bude umotan u VPN tunel ili specificirati IP adrese, podmreže ili FQDN imena dostupna korisnicima. Na osnovu ovih pravila, automatski će se kreirati .ovpn profil sa postavkama za klijenta.
Koristeći korisnički portal, korisnik može preuzeti i .ovpn datoteku s postavkama za VPN klijenta i instalacijsku datoteku VPN klijenta sa ugrađenom datotekom postavki veze.
zaključak
U ovom članku ukratko smo pregledali VPN funkcionalnost u Sophos XG Firewall proizvodu. Pogledali smo kako možete konfigurirati IPSec VPN i SSL VPN. Ovo nije potpuna lista onoga što ovo rješenje može učiniti. U sljedećim člancima pokušat ću pregledati RED VPN i pokazati kako to izgleda u samom rješenju.
Hvala vam na izdvojenom vremenu.
Ako imate bilo kakvih pitanja o komercijalnoj verziji XG Firewall-a, možete nas kontaktirati, kompaniju
izvor: www.habr.com