Bok svima! Ovaj članak će pregledati VPN funkcionalnost u Sophos XG Firewall proizvodu. U prethodnom Pogledali smo kako besplatno dobiti ovo rješenje za zaštitu kućne mreže uz punu licencu. Danas ćemo govoriti o VPN funkcionalnosti koja je ugrađena u Sophos XG. Pokušat ću vam reći što ovaj proizvod može učiniti, a također ću dati primjere postavljanja IPSec Site-to-Site VPN-a i prilagođenog SSL VPN-a. Pa krenimo s recenzijom.
Prije svega, pogledajmo tablicu licenciranja:
Ovdje možete pročitati više o tome kako je Sophos XG Firewall licenciran:
Ali u ovom članku zanimat će nas samo one stavke koje su označene crvenom bojom.
Glavna VPN funkcionalnost uključena je u osnovnu licencu i kupuje se samo jednom. Ovo je doživotna licenca i ne zahtijeva obnavljanje. Modul Base VPN Options uključuje:
Site-to-Site:
- SSL VPN
- IPSec VPN
Daljinski pristup (klijent VPN):
- SSL VPN
- IPsec VPN bez klijenta (s besplatnom prilagođenom aplikacijom)
- L2TP
- PPTP
Kao što vidite, podržani su svi popularni protokoli i vrste VPN veza.
Također, Sophos XG Firewall ima još dvije vrste VPN veza koje nisu uključene u osnovnu pretplatu. To su RED VPN i HTML5 VPN. Ove VPN veze uključene su u pretplatu Network Protection, što znači da za korištenje ovih vrsta morate imati aktivnu pretplatu, koja također uključuje funkcionalnost zaštite mreže - IPS i ATP module.
RED VPN je vlasnički L2 VPN tvrtke Sophos. Ova vrsta VPN veze ima brojne prednosti u odnosu na SSL ili IPSec Site-to-site pri postavljanju VPN-a između dva XG-a. Za razliku od IPSec-a, RED tunel stvara virtualno sučelje na oba kraja tunela, što pomaže u rješavanju problema, a za razliku od SSL-a, ovo virtualno sučelje je potpuno prilagodljivo. Administrator ima punu kontrolu nad podmrežom unutar RED tunela, što olakšava rješavanje problema s usmjeravanjem i sukoba podmreže.
HTML5 VPN ili VPN bez klijenta – Posebna vrsta VPN-a koja vam omogućuje prosljeđivanje usluga putem HTML5 izravno u pregledniku. Vrste usluga koje se mogu konfigurirati:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ali vrijedi uzeti u obzir da se ova vrsta VPN-a koristi samo u posebnim slučajevima i preporuča se, ako je moguće, koristiti vrste VPN-a s gornjih popisa.
Praksa
Pogledajmo praktično kako konfigurirati nekoliko ovih vrsta tunela, naime: Site-to-Site IPSec i SSL VPN udaljeni pristup.
Site-to-Site IPSec VPN
Počnimo s time kako postaviti Site-to-Site IPSec VPN tunel između dva Sophos XG Firewalla. Ispod haube koristi strongSwan, koji vam omogućuje povezivanje s bilo kojim IPSec-omogućenim usmjerivačem.
Možete koristiti praktičan i brz čarobnjak za postavljanje, ali mi ćemo slijediti opći put kako biste, na temelju ovih uputa, mogli kombinirati Sophos XG s bilo kojom opremom koja koristi IPSec.
Otvorimo prozor postavki pravila:
Kao što vidimo, već postoje unaprijed postavljene postavke, ali mi ćemo napraviti vlastite.
Konfigurirajmo parametre enkripcije za prvu i drugu fazu i spremimo politiku. Po analogiji, radimo iste korake na drugom Sophosu XG i prelazimo na postavljanje samog IPSec tunela
Unesite naziv, način rada i konfigurirajte parametre šifriranja. Na primjer, koristit ćemo unaprijed dijeljeni ključ
i označavaju lokalne i udaljene podmreže.
Naša veza je stvorena
Po analogiji, postavljamo iste postavke na drugom Sophosu XG, s izuzetkom načina rada, tamo ćemo postaviti Pokreni vezu
Sada imamo konfigurirana dva tunela. Zatim ih moramo aktivirati i pokrenuti. To se radi vrlo jednostavno, potrebno je kliknuti na crveni krug ispod riječi Active za aktivaciju i na crveni krug ispod Connection za pokretanje veze.
Ako vidimo ovu sliku:
To znači da naš tunel radi ispravno. Ako je drugi indikator crven ili žut, onda je nešto pogrešno konfigurirano u pravilima šifriranja ili lokalnim i udaljenim podmrežama. Podsjećam vas da se postavke moraju zrcaliti.
Zasebno bih želio naglasiti da možete kreirati grupe za nadogradnju iz IPSec tunela za toleranciju grešaka:
SSL VPN za udaljeni pristup
Prijeđimo na SSL VPN za udaljeni pristup za korisnike. Ispod haube nalazi se standardni OpenVPN. To korisnicima omogućuje povezivanje putem bilo kojeg klijenta koji podržava .ovpn konfiguracijske datoteke (na primjer, standardni klijent za povezivanje).
Prvo morate konfigurirati pravila OpenVPN poslužitelja:
Odredite prijenos za povezivanje, konfigurirajte port, raspon IP adresa za povezivanje udaljenih korisnika
Također možete odrediti postavke šifriranja.
Nakon postavljanja poslužitelja, nastavljamo s postavljanjem klijentskih veza.
Svako pravilo SSL VPN veze kreira se za grupu ili za pojedinačnog korisnika. Svaki korisnik može imati samo jednu politiku povezivanja. Prema postavkama, ono što je zanimljivo je da za svako takvo pravilo možete odrediti pojedinačne korisnike koji će koristiti ovu postavku ili grupu iz AD-a, možete uključiti checkbox tako da sav promet bude omotan u VPN tunelu ili odrediti IP adrese, podmreže ili FQDN imena dostupna korisnicima. Na temelju tih pravila automatski će se stvoriti .ovpn profil s postavkama za klijenta.
Korištenjem korisničkog portala korisnik može preuzeti i .ovpn datoteku s postavkama za VPN klijent i instalacijsku datoteku VPN klijenta s ugrađenom datotekom postavki veze.
Zaključak
U ovom smo članku ukratko pregledali VPN funkcionalnost u proizvodu Sophos XG Firewall. Pogledali smo kako možete konfigurirati IPSec VPN i SSL VPN. Ovo nije potpuni popis onoga što ovo rješenje može učiniti. U sljedećim člancima pokušat ću dati recenziju RED VPN-a i pokazati kako to izgleda u samom rješenju.
Hvala na vašem vremenu.
Ako imate pitanja o komercijalnoj verziji XG Firewall-a, možete se obratiti nama, tvrtki , Sophos distributer. Sve što trebate učiniti je pisati u slobodnom obliku na .
Izvor: www.habr.com