Hola a tots! En aquest article es revisarà la funcionalitat VPN del producte Sophos XG Firewall. En l'anterior Hem estudiat com obtenir aquesta solució de protecció de la xarxa domèstica gratuïtament amb una llicència completa. Avui parlarem de la funcionalitat VPN integrada a Sophos XG. Intentaré dir-vos què pot fer aquest producte i també donaré exemples de configuració d'una VPN de lloc a lloc IPSec i una VPN SSL personalitzada. Així que comencem amb la revisió.
Primer de tot, mirem la taula de llicències:
Podeu obtenir més informació sobre com té la llicència de Sophos XG Firewall aquí:
Però en aquest article només ens interessarà aquells elements que es destaquen en vermell.
La principal funcionalitat VPN s'inclou a la llicència bàsica i només es compra una vegada. Aquesta és una llicència de per vida i no requereix renovació. El mòdul d'Opcions de VPN base inclou:
Lloc a lloc:
- VPN SSL
- VPN IPSec
Accés remot (VPN client):
- VPN SSL
- VPN sense client IPsec (amb aplicació personalitzada gratuïta)
- L2TP
- PPTP
Com podeu veure, s'admeten tots els protocols i tipus de connexions VPN populars.
A més, Sophos XG Firewall té dos tipus més de connexions VPN que no s'inclouen a la subscripció bàsica. Aquests són RED VPN i HTML5 VPN. Aquestes connexions VPN s'inclouen a la subscripció de Protecció de xarxa, la qual cosa significa que per utilitzar aquests tipus cal tenir una subscripció activa, que també inclou la funcionalitat de protecció de xarxa: mòduls IPS i ATP.
RED VPN és una VPN L2 propietària de Sophos. Aquest tipus de connexió VPN té una sèrie d'avantatges respecte a SSL o IPSec de lloc a lloc quan es configura una VPN entre dos XG. A diferència d'IPSec, el túnel RED crea una interfície virtual als dos extrems del túnel, que ajuda a resoldre problemes i, a diferència de SSL, aquesta interfície virtual és completament personalitzable. L'administrador té un control total sobre la subxarxa dins del túnel RED, cosa que facilita la resolució de problemes d'encaminament i conflictes de subxarxes.
VPN HTML5 o VPN sense client: un tipus específic de VPN que us permet reenviar serveis mitjançant HTML5 directament al navegador. Tipus de serveis que es poden configurar:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Però val la pena tenir en compte que aquest tipus de VPN només s'utilitza en casos especials i es recomana, si és possible, utilitzar els tipus de VPN de les llistes anteriors.
Pràctica
Fem una ullada pràctica a com configurar diversos d'aquests tipus de túnels, a saber: IPSec de lloc a lloc i accés remot VPN SSL.
VPN IPSec de lloc a lloc
Comencem amb com configurar un túnel VPN IPSec de lloc a lloc entre dos tallafocs Sophos XG. Sota el capó utilitza strongSwan, que us permet connectar-vos a qualsevol encaminador habilitat per IPSec.
Podeu utilitzar un assistent de configuració còmode i ràpid, però seguirem el camí general perquè, a partir d'aquestes instruccions, pugueu combinar Sophos XG amb qualsevol equip que faci servir IPSec.
Obrim la finestra de configuració de la política:
Com podem veure, ja hi ha configuracions preestablertes, però crearem la nostra.
Configurem els paràmetres de xifratge per a la primera i la segona fase i desem la política. Per analogia, fem els mateixos passos al segon Sophos XG i passem a configurar el propi túnel IPSec
Introduïu el nom, el mode de funcionament i configureu els paràmetres de xifratge. Per exemple, utilitzarem la clau precompartida
i indica les subxarxes locals i remotes.
La nostra connexió s'ha creat
Per analogia, fem els mateixos paràmetres al segon Sophos XG, amb l'excepció del mode de funcionament, allà establirem Inicia la connexió
Ara tenim dos túnels configurats. A continuació, hem d'activar-los i executar-los. Això es fa de manera molt senzilla, cal que feu clic al cercle vermell sota la paraula Active per activar-lo i al cercle vermell sota Connexió per iniciar la connexió.
Si veiem aquesta imatge:
Això vol dir que el nostre túnel funciona correctament. Si el segon indicador és vermell o groc, hi ha alguna cosa configurada incorrectament a les polítiques de xifratge o a les subxarxes locals i remotes. Permeteu-me que us recordi que la configuració s'ha de reflectir.
Per separat, m'agradaria destacar que podeu crear grups de failover a partir de túnels IPSec per a la tolerància a errors:
VPN SSL d'accés remot
Passem a la VPN SSL d'accés remot per als usuaris. Sota el capó hi ha un OpenVPN estàndard. Això permet als usuaris connectar-se a través de qualsevol client que admeti fitxers de configuració .ovpn (per exemple, un client de connexió estàndard).
Primer, heu de configurar les polítiques del servidor OpenVPN:
Especifiqueu el transport per a la connexió, configureu el port i el rang d'adreces IP per connectar usuaris remots
També podeu especificar la configuració de xifratge.
Després de configurar el servidor, procedim a configurar les connexions del client.
Cada regla de connexió VPN SSL es crea per a un grup o per a un usuari individual. Cada usuari només pot tenir una política de connexió. Segons la configuració, el que és interessant és que per a cada regla podeu especificar usuaris individuals que utilitzaran aquesta configuració o un grup d'AD, podeu activar la casella de selecció perquè tot el trànsit s'embolica en un túnel VPN o especificar les adreces IP, subxarxes o noms de FQDN disponibles per als usuaris. En funció d'aquestes polítiques, es crearà automàticament un perfil .ovpn amb la configuració del client.
Mitjançant el portal d'usuaris, l'usuari pot descarregar un fitxer .ovpn amb la configuració del client VPN i un fitxer d'instal·lació del client VPN amb un fitxer de configuració de connexió integrat.
Conclusió
En aquest article, vam repassar breument la funcionalitat VPN del producte Sophos XG Firewall. Hem vist com podeu configurar VPN IPSec i VPN SSL. Aquesta no és una llista completa del que pot fer aquesta solució. En els articles següents, intentaré revisar la VPN RED i mostrar com es veu a la solució en si.
Gràcies pel teu temps.
Si teniu cap pregunta sobre la versió comercial de XG Firewall, podeu contactar amb nosaltres, l'empresa , distribuïdor de Sophos. Tot el que has de fer és escriure en forma lliure a .
Font: www.habr.com