Hallo zusammen! In diesem Artikel wird die VPN-Funktionalität im Produkt Sophos XG Firewall besprochen. Im Vorherigen
Schauen wir uns zunächst die Lizenztabelle an:
Weitere Informationen zur Lizenzierung der Sophos XG Firewall finden Sie hier:
In diesem Artikel interessieren wir uns jedoch nur für die rot hervorgehobenen Elemente.
Die Hauptfunktionalität des VPN ist in der Basislizenz enthalten und wird nur einmal erworben. Dies ist eine lebenslange Lizenz und erfordert keine Verlängerung. Das Modul „Basis-VPN-Optionen“ umfasst:
Seite zu Seite:
- SSL VPN
- IPSec-VPN
Fernzugriff (Client-VPN):
- SSL VPN
- Clientloses IPsec-VPN (mit kostenloser benutzerdefinierter App)
- L2TP
- PPTP
Wie Sie sehen, werden alle gängigen Protokolle und Arten von VPN-Verbindungen unterstützt.
Außerdem verfügt die Sophos XG Firewall über zwei weitere Arten von VPN-Verbindungen, die nicht im Basisabonnement enthalten sind. Dies sind RED VPN und HTML5 VPN. Diese VPN-Verbindungen sind im Netzwerkschutz-Abonnement enthalten. Das bedeutet, dass Sie zur Nutzung dieser Typen über ein aktives Abonnement verfügen müssen, das auch Netzwerkschutzfunktionen umfasst – IPS- und ATP-Module.
RED VPN ist ein proprietäres L2 VPN von Sophos. Diese Art der VPN-Verbindung bietet beim Aufbau eines VPN zwischen zwei XGs eine Reihe von Vorteilen gegenüber Site-to-Site-SSL oder IPSec. Im Gegensatz zu IPSec erstellt der RED-Tunnel eine virtuelle Schnittstelle an beiden Enden des Tunnels, was bei der Fehlerbehebung hilft, und im Gegensatz zu SSL ist diese virtuelle Schnittstelle vollständig anpassbar. Der Administrator hat die volle Kontrolle über das Subnetz innerhalb des RED-Tunnels, was die Lösung von Routing-Problemen und Subnetzkonflikten erleichtert.
HTML5 VPN oder Clientless VPN – Eine spezielle Art von VPN, die es Ihnen ermöglicht, Dienste über HTML5 direkt im Browser weiterzuleiten. Arten von Diensten, die konfiguriert werden können:
- RDP
- Telnet
- SSH
- VNC
- fTP
- FTPS
- SFTP
- SMB
Es ist jedoch zu bedenken, dass dieser VPN-Typ nur in besonderen Fällen verwendet wird und es empfohlen wird, wenn möglich VPN-Typen aus den oben genannten Listen zu verwenden.
Praxis
Werfen wir einen praktischen Blick auf die Konfiguration mehrerer dieser Tunneltypen, nämlich Site-to-Site-IPSec und SSL-VPN-Remotezugriff.
Site-to-Site-IPSec-VPN
Beginnen wir mit der Einrichtung eines Site-to-Site-IPSec-VPN-Tunnels zwischen zwei Sophos XG Firewalls. Unter der Haube kommt StrongSwan zum Einsatz, mit dem Sie eine Verbindung zu jedem IPSec-fähigen Router herstellen können.
Sie können einen bequemen und schnellen Einrichtungsassistenten verwenden, wir folgen jedoch dem allgemeinen Weg, sodass Sie Sophos XG basierend auf dieser Anleitung mit jedem Gerät kombinieren können, das IPSec verwendet.
Öffnen wir das Fenster mit den Richtlinieneinstellungen:
Wie wir sehen, gibt es bereits voreingestellte Einstellungen, wir werden jedoch unsere eigenen erstellen.
Lassen Sie uns die Verschlüsselungsparameter für die erste und zweite Phase konfigurieren und die Richtlinie speichern. Analog führen wir die gleichen Schritte auf dem zweiten Sophos XG durch und fahren mit der Einrichtung des IPSec-Tunnels selbst fort
Geben Sie den Namen und den Betriebsmodus ein und konfigurieren Sie die Verschlüsselungsparameter. Beispielsweise verwenden wir Preshared Key
und geben Sie lokale und entfernte Subnetze an.
Unsere Verbindung ist entstanden
Analog dazu nehmen wir beim zweiten Sophos XG die gleichen Einstellungen vor, mit Ausnahme des Betriebsmodus, dort stellen wir die Verbindung ein
Jetzt haben wir zwei Tunnel konfiguriert. Als nächstes müssen wir sie aktivieren und ausführen. Dies geschieht ganz einfach: Sie müssen auf den roten Kreis unter dem Wort „Aktiv“ klicken, um ihn zu aktivieren, und auf den roten Kreis unter „Verbindung“, um die Verbindung zu starten.
Wenn wir dieses Bild sehen:
Das bedeutet, dass unser Tunnel ordnungsgemäß funktioniert. Wenn der zweite Indikator rot oder gelb ist, ist in den Verschlüsselungsrichtlinien oder in lokalen und Remote-Subnetzen etwas falsch konfiguriert. Ich möchte Sie daran erinnern, dass die Einstellungen gespiegelt werden müssen.
Unabhängig davon möchte ich hervorheben, dass Sie zur Fehlertoleranz Failover-Gruppen aus IPSec-Tunneln erstellen können:
Fernzugriff über SSL-VPN
Fahren wir mit Remote Access SSL VPN für Benutzer fort. Unter der Haube steckt ein Standard-OpenVPN. Dadurch können Benutzer eine Verbindung über jeden Client herstellen, der .ovpn-Konfigurationsdateien unterstützt (z. B. einen Standardverbindungsclient).
Zuerst müssen Sie die OpenVPN-Serverrichtlinien konfigurieren:
Geben Sie den Transport für die Verbindung an, konfigurieren Sie den Port und den IP-Adressbereich für die Verbindung von Remote-Benutzern
Sie können auch Verschlüsselungseinstellungen festlegen.
Nachdem wir den Server eingerichtet haben, fahren wir mit dem Einrichten von Client-Verbindungen fort.
Jede SSL-VPN-Verbindungsregel wird für eine Gruppe oder für einen einzelnen Benutzer erstellt. Jeder Benutzer kann nur eine Verbindungsrichtlinie haben. Das Interessante an den Einstellungen ist, dass Sie für jede dieser Regeln einzelne Benutzer angeben können, die diese Einstellung verwenden sollen, oder eine Gruppe aus AD. Sie können das Kontrollkästchen aktivieren, damit der gesamte Datenverkehr in einen VPN-Tunnel geleitet wird, oder Sie können die IP-Adressen angeben. Subnetze oder FQDN-Namen, die den Benutzern zur Verfügung stehen. Basierend auf diesen Richtlinien wird automatisch ein .ovpn-Profil mit Einstellungen für den Client erstellt.
Über das Benutzerportal kann der Benutzer sowohl eine .ovpn-Datei mit Einstellungen für den VPN-Client als auch eine VPN-Client-Installationsdatei mit einer integrierten Verbindungseinstellungsdatei herunterladen.
Abschluss
In diesem Artikel sind wir kurz auf die VPN-Funktionalität im Produkt Sophos XG Firewall eingegangen. Wir haben uns angeschaut, wie Sie IPSec VPN und SSL VPN konfigurieren können. Dies ist keine vollständige Liste der Möglichkeiten dieser Lösung. In den folgenden Artikeln werde ich versuchen, RED VPN zu überprüfen und zu zeigen, wie es in der Lösung selbst aussieht.
Danke für deine Zeit.
Wenn Sie Fragen zur kommerziellen Version der XG Firewall haben, können Sie uns – das Unternehmen – kontaktieren
Source: habr.com