Saluton al ĉiuj! Ĉi tiu artikolo revizios la VPN-funkciecon en la produkto Sophos XG Firewall. En la antaŭa Ni rigardis kiel akiri ĉi tiun hejman retan protektan solvon senpage kun plena permesilo. Hodiaŭ ni parolos pri la VPN-funkcio enkonstruita en Sophos XG. Mi provos diri al vi, kion ĉi tiu produkto povas fari, kaj ankaŭ donos ekzemplojn pri agordo de IPSec Site-to-Site VPN kaj kutima SSL VPN. Do ni komencu kun la recenzo.
Antaŭ ĉio, ni rigardu la licencadtabelon:
Vi povas legi pli pri kiel Sophos XG Firewall estas licencita ĉi tie:
Sed en ĉi tiu artikolo ni interesiĝos nur pri tiuj aĵoj kiuj estas elstarigitaj ruĝe.
La ĉefa VPN-funkcio estas inkluzivita en la baza permesilo kaj estas aĉetita nur unufoje. Ĉi tio estas dumviva permesilo kaj ne postulas renovigon. La modulo de Bazaj VPN-Ebloj inkluzivas:
De retejo al retejo:
- ssl VPN
- IPSec VPN
Fora Aliro (klienta VPN):
- ssl VPN
- IPsec Sen Klienta VPN (kun senpaga kutima aplikaĵo)
- L2TP
- PPTP
Kiel vi povas vidi, ĉiuj popularaj protokoloj kaj specoj de VPN-konektoj estas subtenataj.
Ankaŭ, Sophos XG Firewall havas du pliajn specojn de VPN-konektoj, kiuj ne estas inkluzivitaj en la baza abono. Ĉi tiuj estas RED VPN kaj HTML5 VPN. Ĉi tiuj VPN-konektoj estas inkluzivitaj en la abono pri Reto-Protekto, kio signifas, ke por uzi ĉi tiujn tipojn, vi devas havi aktivan abonon, kiu ankaŭ inkluzivas retan protekton - IPS kaj ATP-moduloj.
RED VPN estas propra L2 VPN de Sophos. Ĉi tiu speco de VPN-konekto havas kelkajn avantaĝojn super Site-al-site SSL aŭ IPSec dum agordado de VPN inter du XG-oj. Male al IPSec, la RUĜA tunelo kreas virtualan interfacon ĉe ambaŭ finoj de la tunelo, kiu helpas kun problemoj pri solvo de problemoj, kaj male al SSL, ĉi tiu virtuala interfaco estas tute agordebla. La administranto havas plenan kontrolon de la subreto ene de la RUĜA tunelo, kio faciligas solvi problemojn pri vojigo kaj subretajn konfliktojn.
HTML5 VPN aŭ Clientless VPN - Specifa speco de VPN, kiu permesas vin plusendi servojn per HTML5 rekte en la retumilo. Tipoj de servoj agordeblaj:
- RDP
- telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Sed indas konsideri, ke ĉi tiu tipo de VPN estas uzata nur en specialaj kazoj kaj rekomendas, se eble, uzi VPN-tipojn el la supraj listoj.
Praktiko
Ni rigardu praktikan kiel agordi plurajn el ĉi tiuj specoj de tuneloj, nome: Retejo-al-Eja IPSec kaj SSL VPN Remote Access.
Reteja IPSec VPN
Ni komencu per kiel agordi Tunelon IPSec VPN inter du Sophos XG Firewalls. Sub la kapuĉo ĝi uzas strongSwan, kiu permesas vin konekti al iu ajn IPSec-ebligita enkursigilo.
Vi povas uzi oportunan kaj rapidan instalinstruiston, sed ni sekvos la ĝeneralan vojon por ke, surbaze de ĉi tiuj instrukcioj, vi povu kombini Sophos XG kun ajna ekipaĵo uzante IPSec.
Ni malfermu la fenestron de politikaj agordoj:
Kiel ni povas vidi, jam ekzistas antaŭdifinitaj agordoj, sed ni kreos nian propran.
Ni agordu la ĉifradajn parametrojn por la unua kaj dua fazoj kaj konservu la politikon. Analogie, ni faras la samajn paŝojn sur la dua Sophos XG kaj pluiras al agordo de la tunelo IPSec mem
Enigu la nomon, operaciumon kaj agordu la ĉifradajn parametrojn. Ekzemple, ni uzos Antaŭdividitan Ŝlosilon
kaj indiku lokajn kaj forajn subretojn.
Nia konekto estas kreita
Analogie, ni faras la samajn agordojn sur la dua Sophos XG, escepte de la mastruma reĝimo, tie ni starigos Komenci la konekton.
Nun ni havas du tunelojn agordis. Poste, ni devas aktivigi ilin kaj ruli ilin. Ĉi tio estas farita tre simple, vi devas alklaki la ruĝan rondon sub la vorto Aktiva por aktivigi kaj sur la ruĝan rondon sub Konekto por komenci la konekton.
Se ni vidas ĉi tiun bildon:
Ĉi tio signifas, ke nia tunelo funkcias ĝuste. Se la dua indikilo estas ruĝa aŭ flava, tiam io estas malĝuste agordita en ĉifradaj politikoj aŭ lokaj kaj foraj subretoj. Mi memorigu vin, ke la agordoj devas esti spegulitaj.
Aparte, mi ŝatus reliefigi, ke vi povas krei failover-grupojn el IPSec-tuneloj por misfunkciado:
Fora Aliro SSL VPN
Ni pluiru al Remote Access SSL VPN por uzantoj. Sub la kapuĉo estas norma OpenVPN. Ĉi tio permesas al uzantoj konekti per iu ajn kliento kiu subtenas .ovpn-agordodosierojn (ekzemple, norma konektokliento).
Unue, vi devas agordi la politikojn de la servilo OpenVPN:
Specifu la transporton por konekto, agordu la havenon, gamon da IP-adresoj por konekti forajn uzantojn
Vi ankaŭ povas specifi ĉifrajn agordojn.
Post agordo de la servilo, ni daŭrigas agordi klientajn konektojn.
Ĉiu regulo pri konekto de SSL VPN estas kreita por grupo aŭ por individua uzanto. Ĉiu uzanto povas havi nur unu konektan politikon. Laŭ la agordoj, kio estas interesa estas, ke por ĉiu tia regulo vi povas specifi individuajn uzantojn, kiuj uzos ĉi tiun agordon aŭ grupon de AD, vi povas ebligi la markobutonon por ke la tuta trafiko estu envolvita en VPN-tunelo aŭ specifi la IP-adresojn, subretoj aŭ FQDN-nomoj disponeblaj por uzantoj. Surbaze de ĉi tiuj politikoj, .ovpn-profilo kun agordoj por la kliento estos aŭtomate kreita.
Uzante la uzantportalon, la uzanto povas elŝuti ambaŭ .ovpn-dosieron kun agordoj por la VPN-kliento, kaj VPN-klienta instaldosiero kun enkonstruita dosiero de konekto-agordoj.
konkludo
En ĉi tiu artikolo, ni mallonge trarigardis la VPN-funkciecon en la produkto Sophos XG Firewall. Ni rigardis kiel vi povas agordi IPSec VPN kaj SSL VPN. Ĉi tio ne estas kompleta listo de tio, kion ĉi tiu solvo povas fari. En la sekvaj artikoloj mi provos revizii RED VPN kaj montri kiel ĝi aspektas en la solvo mem.
Dankon pro via tempo.
Se vi havas demandojn pri la komerca versio de XG Firewall, vi povas kontakti nin, la kompanio , Sophos-distribuisto. Vi nur devas skribi en libera formo ĉe .
fonto: www.habr.com