Ola a todos! Neste artigo revisarase a funcionalidade VPN do produto Sophos XG Firewall. No anterior Miramos como obter esta solución de protección de rede doméstica de balde cunha licenza completa. Hoxe falaremos sobre a funcionalidade VPN integrada en Sophos XG. Tentarei dicirche o que pode facer este produto e tamén dar exemplos de configuración dunha VPN de sitio a sitio IPSec e dunha VPN SSL personalizada. Entón, imos comezar coa revisión.
Primeiro de todo, vexamos a táboa de licenzas:
Podes ler máis sobre a licenza de Sophos XG Firewall aquí:
Pero neste artigo estaremos interesados só nos elementos que están destacados en vermello.
A principal funcionalidade VPN inclúese na licenza básica e só se compra unha vez. Esta é unha licenza de por vida e non require renovación. O módulo Base de opcións VPN inclúe:
Sitio a sitio:
- VPN SSL
- VPN IPSec
Acceso remoto (VPN cliente):
- VPN SSL
- VPN sen cliente IPsec (con aplicación personalizada gratuíta)
- L2TP
- PPTP
Como podes ver, son compatibles todos os protocolos e tipos de conexións VPN populares.
Ademais, Sophos XG Firewall ten dous tipos máis de conexións VPN que non están incluídos na subscrición básica. Estes son RED VPN e HTML5 VPN. Estas conexións VPN están incluídas na subscrición de Protección de rede, o que significa que para usar estes tipos debes ter unha subscrición activa, que tamén inclúe a funcionalidade de protección de rede: módulos IPS e ATP.
RED VPN é unha VPN L2 propietaria de Sophos. Este tipo de conexión VPN ten unha serie de vantaxes sobre SSL ou IPSec de sitio a sitio ao configurar unha VPN entre dous XG. A diferenza de IPSec, o túnel RED crea unha interface virtual nos dous extremos do túnel, o que axuda a solucionar problemas e, a diferenza de SSL, esta interface virtual é completamente personalizable. O administrador ten control total sobre a subrede dentro do túnel RED, o que facilita a resolución de problemas de enrutamento e conflitos de subrede.
VPN HTML5 ou VPN sen cliente: un tipo específico de VPN que che permite reenviar servizos a través de HTML5 directamente no navegador. Tipos de servizos que se poden configurar:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Pero convén ter en conta que este tipo de VPN só se usa en casos especiais e recoméndase, se é posible, utilizar tipos de VPN das listas anteriores.
Práctica
Imos dar unha ollada práctica a como configurar varios destes tipos de túneles, a saber: Acceso remoto IPSec de sitio a sitio e VPN SSL.
VPN IPSec de sitio a sitio
Comecemos por como configurar un túnel VPN IPSec de sitio a sitio entre dous firewalls de Sophos XG. Baixo o capó usa strongSwan, que lle permite conectarse a calquera enrutador habilitado para IPSec.
Podes usar un asistente de configuración cómodo e rápido, pero seguiremos o camiño xeral para que, en función destas instrucións, poidas combinar Sophos XG con calquera equipo que utilice IPSec.
Abramos a xanela de configuración da política:
Como podemos ver, xa hai configuracións preestablecidas, pero crearemos a nosa.
Configuremos os parámetros de cifrado para a primeira e a segunda fase e gardemos a política. Por analoxía, facemos os mesmos pasos no segundo Sophos XG e pasamos á configuración do propio túnel IPSec
Introduza o nome, o modo de funcionamento e configure os parámetros de cifrado. Por exemplo, utilizaremos a chave precompartida
e indicar subredes locais e remotas.
Creouse a nosa conexión
Por analoxía, realizamos os mesmos axustes no segundo Sophos XG, coa excepción do modo operativo, alí estableceremos Iniciar a conexión
Agora temos dous túneles configurados. A continuación, temos que activalos e executalos. Isto faise de xeito moi sinxelo, cómpre facer clic no círculo vermello baixo a palabra Activo para activar e no círculo vermello baixo Conexión para iniciar a conexión.
Se vemos esta imaxe:
Isto significa que o noso túnel funciona correctamente. Se o segundo indicador é vermello ou amarelo, algo está configurado incorrectamente nas políticas de cifrado ou nas subredes locais e remotas. Permíteme lembrarche que a configuración debe ser reflectida.
Por separado, gustaríame destacar que pode crear grupos de Failover a partir de túneles IPSec para tolerancia a fallos:
VPN SSL de acceso remoto
Pasemos a VPN SSL de acceso remoto para usuarios. Baixo o capó hai un OpenVPN estándar. Isto permite aos usuarios conectarse a través de calquera cliente que admita ficheiros de configuración .ovpn (por exemplo, un cliente de conexión estándar).
Primeiro, cómpre configurar as políticas do servidor OpenVPN:
Especifique o transporte para a conexión, configure o porto, rango de enderezos IP para conectar usuarios remotos
Tamén pode especificar a configuración de cifrado.
Despois de configurar o servidor, procedemos a configurar as conexións do cliente.
Cada regra de conexión VPN SSL créase para un grupo ou para un usuario individual. Cada usuario só pode ter unha política de conexión. Segundo a configuración, o interesante é que para cada regra deste tipo podes especificar usuarios individuais que usarán esta configuración ou un grupo de AD, podes activar a caixa de verificación para que todo o tráfico estea envolto nun túnel VPN ou especificar os enderezos IP. subredes ou nomes de FQDN dispoñibles para os usuarios. En función destas políticas, crearase automaticamente un perfil .ovpn con configuración para o cliente.
Usando o portal do usuario, o usuario pode descargar un ficheiro .ovpn con configuración para o cliente VPN e un ficheiro de instalación do cliente VPN cun ficheiro de configuración de conexión incorporado.
Conclusión
Neste artigo, repasamos brevemente a funcionalidade VPN do produto Sophos XG Firewall. Observamos como pode configurar VPN IPSec e VPN SSL. Esta non é unha lista completa do que pode facer esta solución. Nos seguintes artigos tentarei revisar a VPN RED e mostrar o que parece na propia solución.
Grazas polo teu tempo.
Se tes algunha dúbida sobre a versión comercial de XG Firewall, podes contactar connosco, a empresa , distribuidor de Sophos. Todo o que tes que facer é escribir en formato libre en .
Fonte: www.habr.com