¡Hola a todos! Este artículo revisará la funcionalidad VPN en el producto Sophos XG Firewall. En el anterior Analizamos cómo obtener esta solución de protección de red doméstica de forma gratuita con una licencia completa. Hoy hablaremos sobre la funcionalidad VPN integrada en Sophos XG. Intentaré decirle lo que puede hacer este producto y también le daré ejemplos de cómo configurar una VPN de sitio a sitio IPSec y una VPN SSL personalizada. Así que comencemos con la revisión.
En primer lugar, veamos la tabla de licencias:
Puede leer más sobre las licencias de Sophos XG Firewall aquí:
Pero en este artículo solo nos interesarán aquellos elementos resaltados en rojo.
La funcionalidad principal de VPN está incluida en la licencia básica y se compra solo una vez. Esta es una licencia de por vida y no requiere renovación. El módulo de Opciones VPN Base incluye:
Sitio a Sitio:
- SSL VPN
- VPN IPSec
Acceso remoto (VPN de cliente):
- SSL VPN
- VPN sin cliente IPsec (con aplicación personalizada gratuita)
- L2TP
- PPTP
Como puede ver, se admiten todos los protocolos y tipos de conexiones VPN populares.
Además, Sophos XG Firewall tiene dos tipos más de conexiones VPN que no están incluidas en la suscripción básica. Estas son RED VPN y HTML5 VPN. Estas conexiones VPN están incluidas en la suscripción de Protección de red, lo que significa que para utilizar estos tipos debe tener una suscripción activa, que también incluye la funcionalidad de protección de red: módulos IPS y ATP.
RED VPN es una VPN L2 patentada de Sophos. Este tipo de conexión VPN tiene una serie de ventajas sobre SSL de sitio a sitio o IPSec al configurar una VPN entre dos XG. A diferencia de IPSec, el túnel RED crea una interfaz virtual en ambos extremos del túnel, lo que ayuda a solucionar problemas y, a diferencia de SSL, esta interfaz virtual es completamente personalizable. El administrador tiene control total sobre la subred dentro del túnel RED, lo que facilita la resolución de problemas de enrutamiento y conflictos de subred.
VPN HTML5 o VPN sin cliente: un tipo específico de VPN que le permite reenviar servicios a través de HTML5 directamente en el navegador. Tipos de servicios que se pueden configurar:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- PYME
Pero vale la pena considerar que este tipo de VPN se usa solo en casos especiales y se recomienda, si es posible, usar tipos de VPN de las listas anteriores.
Práctica
Echemos un vistazo práctico a cómo configurar varios de estos tipos de túneles, a saber: IPSec de sitio a sitio y acceso remoto VPN SSL.
VPN IPSec de sitio a sitio
Comencemos con cómo configurar un túnel VPN IPSec de sitio a sitio entre dos Sophos XG Firewalls. Debajo del capó utiliza strongSwan, que le permite conectarse a cualquier enrutador habilitado para IPSec.
Puedes utilizar un cómodo y rápido asistente de configuración, pero seguiremos el camino general para que, en base a estas instrucciones, puedas combinar Sophos XG con cualquier equipo que utilice IPSec.
Abramos la ventana de configuración de políticas:
Como vemos, ya existen configuraciones preestablecidas, pero crearemos las nuestras propias.
Configuremos los parámetros de cifrado para la primera y segunda fase y guardemos la política. Por analogía, hacemos los mismos pasos en el segundo Sophos XG y pasamos a configurar el propio túnel IPSec.
Ingrese el nombre, modo de funcionamiento y configure los parámetros de cifrado. Por ejemplo, usaremos la clave previamente compartida
e indicar subredes locales y remotas.
Nuestra conexión ha sido creada.
Por analogía, realizamos los mismos ajustes en el segundo Sophos XG, a excepción del modo de funcionamiento, allí configuraremos Iniciar la conexión.
Ahora tenemos dos túneles configurados. A continuación, debemos activarlos y ejecutarlos. Esto se hace de manera muy simple: debe hacer clic en el círculo rojo debajo de la palabra Activo para activar y en el círculo rojo debajo de Conexión para iniciar la conexión.
Si vemos esta imagen:
Esto significa que nuestro túnel está funcionando correctamente. Si el segundo indicador es rojo o amarillo, entonces algo está configurado incorrectamente en las políticas de cifrado o en las subredes locales y remotas. Permítanme recordarles que la configuración debe reflejarse.
Por separado, me gustaría resaltar que puedes crear grupos de conmutación por error desde túneles IPSec para tolerancia a fallas:
VPN SSL de acceso remoto
Pasemos a VPN SSL de acceso remoto para usuarios. Debajo del capó hay un OpenVPN estándar. Esto permite a los usuarios conectarse a través de cualquier cliente que admita archivos de configuración .ovpn (por ejemplo, un cliente de conexión estándar).
Primero, necesitas configurar las políticas del servidor OpenVPN:
Especifique el transporte para la conexión, configure el puerto y el rango de direcciones IP para conectar usuarios remotos
También puede especificar la configuración de cifrado.
Después de configurar el servidor, procedemos a configurar las conexiones del cliente.
Cada regla de conexión SSL VPN se crea para un grupo o para un usuario individual. Cada usuario puede tener sólo una política de conexión. De acuerdo con la configuración, lo interesante es que para cada regla de este tipo puede especificar usuarios individuales que usarán esta configuración o un grupo de AD, puede habilitar la casilla de verificación para que todo el tráfico esté envuelto en un túnel VPN o especificar las direcciones IP. subredes o nombres FQDN disponibles para los usuarios. Según estas políticas, se creará automáticamente un perfil .ovpn con configuraciones para el cliente.
Al utilizar el portal de usuario, el usuario puede descargar un archivo .ovpn con configuraciones para el cliente VPN y un archivo de instalación del cliente VPN con un archivo de configuración de conexión integrado.
Conclusión
En este artículo, repasamos brevemente la funcionalidad VPN del producto Sophos XG Firewall. Vimos cómo se puede configurar IPSec VPN y SSL VPN. Esta no es una lista completa de lo que puede hacer esta solución. En los siguientes artículos intentaré revisar RED VPN y mostrar cómo se ve en la solución misma.
Gracias por su tiempo
Si tienes alguna duda sobre la versión comercial de XG Firewall, puedes contactar con nosotros, la empresa , distribuidor de Sophos. Todo lo que tienes que hacer es escribir de forma libre en .
Fuente: habr.com