Kumusta tanan! Kini nga artikulo magrepaso sa VPN functionality sa Sophos XG Firewall nga produkto. Sa miaging Gitan-aw namon kung giunsa makuha kini nga solusyon sa pagpanalipod sa home network nga libre nga adunay bug-os nga lisensya. Karon maghisgot kami bahin sa pag-andar sa VPN nga gitukod sa Sophos XG. Akong sulayan nga isulti kanimo kung unsa ang mahimo sa kini nga produkto, ug maghatag usab mga pananglitan sa pag-set up sa usa ka IPSec Site-to-Site VPN ug usa ka naandan nga SSL VPN. Busa magsugod kita sa pagrepaso.
Una sa tanan, atong tan-awon ang licensing table:
Mahimo nimong mabasa ang dugang bahin sa kung giunsa ang lisensyado sa Sophos XG Firewall dinhi:
Apan niining artikuloha kita interesado lamang sa mga butang nga gipasiugda sa pula.
Ang panguna nga pag-andar sa VPN gilakip sa sukaranan nga lisensya ug gipalit kausa ra. Kini usa ka tibuok kinabuhi nga lisensya ug wala magkinahanglan og pagbag-o. Ang Base VPN Options module naglakip sa:
Site-to-Site:
- SSL VPN
- IPSec VPN
Remote Access (kliyente VPN):
- SSL VPN
- IPsec Clientless VPN (nga adunay libre nga custom app)
- L2TP
- PPTP
Sama sa imong nakita, gisuportahan ang tanan nga sikat nga protocol ug tipo sa koneksyon sa VPN.
Usab, ang Sophos XG Firewall adunay duha pa nga mga lahi sa mga koneksyon sa VPN nga wala gilakip sa sukaranan nga suskrisyon. Kini ang RED VPN ug HTML5 VPN. Kini nga mga koneksyon sa VPN gilakip sa suskrisyon sa Proteksyon sa Network, nga nagpasabut nga aron magamit kini nga mga tipo kinahanglan nimo nga adunay usa ka aktibo nga suskrisyon, nga naglakip usab sa pag-andar sa pagpanalipod sa network - mga module sa IPS ug ATP.
Ang RED VPN usa ka proprietary L2 VPN gikan sa Sophos. Kini nga matang sa koneksyon sa VPN adunay daghang mga bentaha sa Site-to-site SSL o IPSec sa dihang mag-set up og VPN tali sa duha ka XGs. Dili sama sa IPSec, ang RED tunnel nagmugna og virtual interface sa duha ka tumoy sa tunnel, nga makatabang sa pag-troubleshoot sa mga problema, ug dili sama sa SSL, kining virtual interface hingpit nga napasadya. Ang tagdumala adunay bug-os nga kontrol sa subnet sulod sa RED tunnel, nga nagpasayon ββsa pagsulbad sa mga problema sa routing ug subnet conflicts.
HTML5 VPN o Clientless VPN β Usa ka piho nga matang sa VPN nga nagtugot kanimo sa pagpasa sa mga serbisyo pinaagi sa HTML5 direkta sa browser. Mga tipo sa serbisyo nga mahimong ma-configure:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Apan angay nga hunahunaon nga kini nga matang sa VPN gigamit lamang sa mga espesyal nga kaso ug girekomenda, kung mahimo, nga gamiton ang mga tipo sa VPN gikan sa mga lista sa ibabaw.
Pagpraktis
Atong tan-awon ang praktikal nga pagtan-aw kung giunsa ang pag-configure sa pipila niini nga mga klase sa tunnel, nga mao ang: Site-to-Site IPSec ug SSL VPN Remote Access.
Site-to-Site IPSec VPN
Magsugod kita kung giunsa ang pag-set up sa usa ka Site-to-Site IPSec VPN tunnel tali sa duha ka Sophos XG Firewalls. Ubos sa hood kini naggamit strongSwan, nga nagtugot kanimo sa pagkonektar sa bisan unsang IPSec-enabled router.
Mahimo nimong gamiton ang usa ka kombenyente ug paspas nga wizard sa pag-setup, apan sundon namon ang kinatibuk-ang agianan aron, base sa kini nga mga panudlo, mahimo nimong ikombinar ang Sophos XG sa bisan unsang kagamitan gamit ang IPSec.
Atong ablihan ang window sa mga setting sa palisiya:
Sama sa atong makita, aduna nay mga preset nga mga setting, apan kita maghimo sa atong kaugalingon.
Atong i-configure ang mga parameter sa pag-encrypt alang sa una ug ikaduha nga hugna ug i-save ang palisiya. Pinaagi sa analohiya, gibuhat namon ang parehas nga mga lakang sa ikaduha nga Sophos XG ug nagpadayon sa pag-set up sa tunel sa IPSec mismo
Pagsulod sa ngalan, operating mode ug i-configure ang mga parameter sa pag-encrypt. Pananglitan, atong gamiton ang Preshared Key
ug ipakita ang lokal ug hilit nga mga subnet.
Ang among koneksyon nahimo
Pinaagi sa analohiya, gihimo namon ang parehas nga mga setting sa ikaduha nga Sophos XG, gawas sa operating mode, didto namon ibutang ang Pagsugod sa koneksyon
Karon kami adunay duha ka tunnel nga gi-configure. Sunod, kinahanglan naton nga i-aktibo kini ug ipadagan kini. Gihimo kini nga yano ra, kinahanglan nimo nga i-klik ang pula nga lingin sa ilawom sa pulong Aktibo aron ma-aktibo ug sa pula nga lingin sa ilawom sa Koneksyon aron masugdan ang koneksyon.
Kung atong makita kini nga litrato:
Kini nagpasabot nga ang atong tunnel nagtrabaho sa husto. Kung ang ikaduha nga timailhan pula o dalag, nan adunay usa ka butang nga dili husto nga gi-configure sa mga palisiya sa pag-encrypt o lokal ug hilit nga mga subnet. Pahinumdumi ko nimo nga ang mga setting kinahanglan nga salamin.
Tagsa-tagsa, gusto nakong i-highlight nga makahimo ka og Failover nga mga grupo gikan sa IPSec tunnels alang sa fault tolerance:
Remote Access SSL VPN
Mopadayon kita sa Remote Access SSL VPN para sa mga tiggamit. Ubos sa tabon adunay usa ka standard nga OpenVPN. Gitugotan niini ang mga tiggamit sa pagkonektar pinaagi sa bisan unsang kliyente nga nagsuporta sa mga file sa pag-configure sa .ovpn (pananglitan, usa ka sagad nga kliyente sa koneksyon).
Una, kinahanglan nimo nga i-configure ang mga palisiya sa OpenVPN server:
Ipiho ang transportasyon alang sa koneksyon, i-configure ang pantalan, hanay sa mga adres sa IP alang sa pagkonektar sa mga hilit nga tiggamit
Mahimo usab nimo ipiho ang mga setting sa pag-encrypt.
Pagkahuman sa pag-set up sa server, nagpadayon kami sa pag-set up sa mga koneksyon sa kliyente.
Ang matag lagda sa koneksyon sa SSL VPN gihimo alang sa usa ka grupo o alang sa usa ka indibidwal nga tiggamit. Ang matag tiggamit adunay usa lamang ka polisiya sa koneksyon. Sumala sa mga setting, unsa ang makapaikag mao nga alang sa matag ingon nga lagda mahimo nimong ipiho ang mga indibidwal nga tiggamit nga mogamit niini nga setting o usa ka grupo gikan sa AD, mahimo nimong mapalihok ang checkbox aron ang tanan nga trapiko maputos sa usa ka tunel sa VPN o ipiho ang mga adres sa IP, mga subnet o FQDN nga mga ngalan nga magamit sa mga tiggamit. Base sa kini nga mga palisiya, usa ka .ovpn nga profile nga adunay mga setting alang sa kliyente awtomatik nga mabuhat.
Gamit ang user portal, ang user maka-download sa duha ka .ovpn file nga adunay mga setting para sa VPN client, ug usa ka VPN client installation file nga adunay built-in connection settings file.
konklusyon
Sa kini nga artikulo, gisusi namon sa kadali ang pag-andar sa VPN sa produkto sa Sophos XG Firewall. Gitan-aw namon kung giunsa nimo ma-configure ang IPSec VPN ug SSL VPN. Dili kini usa ka kompleto nga lista kung unsa ang mahimo sa kini nga solusyon. Sa mosunod nga mga artikulo sulayan nako nga repasohon ang RED VPN ug ipakita kung unsa ang hitsura sa solusyon mismo.
Salamat sa imong oras.
Kung naa kay pangutana bahin sa komersyal nga bersyon sa XG Firewall, mahimo nimong kontakon kami, ang kompanya , distributor sa Sophos. Ang kinahanglan nimong buhaton mao ang pagsulat sa libre nga porma sa .
Source: www.habr.com