Ahoj všichni! Tento článek se zabývá funkcemi VPN v produktu Sophos XG Firewall. V předchozím
Nejprve se podívejme na licenční tabulku:
Více o tom, jak je Sophos XG Firewall licencován, si můžete přečíst zde:
Ale v tomto článku nás budou zajímat pouze ty položky, které jsou zvýrazněny červeně.
Hlavní funkcionalita VPN je součástí základní licence a kupuje se pouze jednou. Toto je doživotní licence a nevyžaduje obnovení. Modul Base VPN Options obsahuje:
Site-to-Site:
- SSL VPN
- IPSec VPN
Vzdálený přístup (klientská VPN):
- SSL VPN
- IPsec Clientless VPN (s bezplatnou vlastní aplikací)
- L2TP
- PPTP
Jak vidíte, jsou podporovány všechny populární protokoly a typy připojení VPN.
Sophos XG Firewall má také další dva typy připojení VPN, které nejsou součástí základního předplatného. Jedná se o RED VPN a HTML5 VPN. Tato připojení VPN jsou zahrnuta v předplatném Network Protection, což znamená, že pro použití těchto typů musíte mít aktivní předplatné, které zahrnuje také funkce ochrany sítě – moduly IPS a ATP.
RED VPN je proprietární L2 VPN od Sophos. Tento typ připojení VPN má při nastavování VPN mezi dvěma XG řadu výhod oproti Site-to-site SSL nebo IPSec. Na rozdíl od IPSec, RED tunel vytváří virtuální rozhraní na obou koncích tunelu, což pomáhá s řešením problémů a na rozdíl od SSL je toto virtuální rozhraní zcela přizpůsobitelné. Administrátor má plnou kontrolu nad podsítí v rámci RED tunelu, což usnadňuje řešení problémů se směrováním a konfliktů podsítí.
HTML5 VPN nebo Clientless VPN – Specifický typ VPN, který umožňuje předávat služby přes HTML5 přímo v prohlížeči. Typy služeb, které lze konfigurovat:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Stojí však za zvážení, že tento typ VPN se používá pouze ve zvláštních případech a doporučuje se, pokud je to možné, používat typy VPN z výše uvedených seznamů.
Praxe
Pojďme se v praxi podívat na to, jak nakonfigurovat několik těchto typů tunelů, jmenovitě: Site-to-Site IPSec a SSL VPN Remote Access.
Site-to-Site IPSec VPN
Začněme tím, jak nastavit Site-to-Site IPSec VPN tunel mezi dvěma Sophos XG Firewally. Pod kapotou používá strongSwan, který vám umožní připojit se k libovolnému routeru s podporou IPSec.
Můžete použít pohodlného a rychlého průvodce nastavením, ale my se budeme držet obecné cesty, abyste na základě těchto pokynů mohli Sophos XG kombinovat s jakýmkoli zařízením využívajícím IPSec.
Otevřeme okno nastavení zásad:
Jak vidíme, jsou zde již přednastavená nastavení, ale my si vytvoříme vlastní.
Nakonfigurujeme parametry šifrování pro první a druhou fázi a uložíme politiku. Analogicky provedeme stejné kroky na druhém Sophos XG a přejdeme k nastavení samotného IPSec tunelu
Zadejte název, provozní režim a nakonfigurujte parametry šifrování. Použijeme například předsdílený klíč
a označují místní a vzdálené podsítě.
Naše spojení bylo vytvořeno
Analogicky provedeme stejné nastavení na druhém Sophos XG, s výjimkou provozního režimu, tam nastavíme Zahájit připojení
Nyní máme nakonfigurované dva tunely. Dále je musíme aktivovat a spustit. To se provádí velmi jednoduše, pro aktivaci je třeba kliknout na červený kroužek pod slovem Aktivní a na červený kroužek pod Připojení ke spuštění připojení.
Pokud uvidíme tento obrázek:
To znamená, že náš tunel funguje správně. Pokud je druhý indikátor červený nebo žlutý, pak je něco nesprávně nakonfigurováno v zásadách šifrování nebo v místních a vzdálených podsítích. Připomínám, že nastavení musí být zrcadleno.
Samostatně bych rád zdůraznil, že můžete vytvořit skupiny převzetí služeb při selhání z tunelů IPSec pro odolnost proti chybám:
Vzdálený přístup SSL VPN
Pojďme k Remote Access SSL VPN pro uživatele. Pod kapotou je standardní OpenVPN. To umožňuje uživatelům připojit se prostřednictvím libovolného klienta, který podporuje konfigurační soubory .ovpn (například standardní klient pro připojení).
Nejprve musíte nakonfigurovat zásady serveru OpenVPN:
Zadejte transport pro připojení, nakonfigurujte port, rozsah IP adres pro připojení vzdálených uživatelů
Můžete také zadat nastavení šifrování.
Po nastavení serveru přistoupíme k nastavení klientských připojení.
Každé pravidlo připojení SSL VPN je vytvořeno pro skupinu nebo pro jednotlivého uživatele. Každý uživatel může mít pouze jednu zásadu připojení. Podle nastavení je zajímavé, že pro každé takové pravidlo můžete určit jednotlivé uživatele, kteří toto nastavení budou používat nebo skupinu z AD, můžete zaškrtnout políčko, aby byl veškerý provoz zabalen do VPN tunelu nebo zadat IP adresy, podsítě nebo názvy FQDN dostupné uživatelům . Na základě těchto zásad bude automaticky vytvořen profil .ovpn s nastavením pro klienta.
Pomocí uživatelského portálu si uživatel může stáhnout jak soubor .ovpn s nastavením pro klienta VPN, tak instalační soubor klienta VPN s vestavěným souborem nastavení připojení.
Závěr
V tomto článku jsme krátce prošli funkčností VPN v produktu Sophos XG Firewall. Podívali jsme se, jak můžete nakonfigurovat IPSec VPN a SSL VPN. Toto není úplný seznam toho, co toto řešení umí. V následujících článcích se pokusím RED VPN zrecenzovat a ukázat, jak to vypadá v samotném řešení.
Děkuji vám za Váš čas.
Máte-li jakékoli dotazy ohledně komerční verze XG Firewallu, můžete nás, společnost, kontaktovat
Zdroj: www.habr.com