Bonjou tout moun! Atik sa a pral revize fonksyonalite VPN nan pwodwi Sophos XG Firewall la. Nan anvan an Nou te gade kijan pou jwenn solisyon pwoteksyon rezo lakay sa a gratis ak yon lisans konplè. Jodi a nou pral pale sou fonksyonalite VPN ki bati nan Sophos XG. Mwen pral eseye di ou sa pwodwi sa a ka fè, epi tou bay egzanp sou mete kanpe yon VPN IPSec Sit-a-Site ak yon VPN SSL koutim. Se konsa, ann kòmanse ak revizyon an.
Premye a tout, ann gade nan tablo lisans lan:
Ou ka li plis sou fason Sophos XG Firewall gen lisans isit la:
Men, nan atik sa a nou pral enterese sèlman nan atik sa yo ki make an wouj.
Fonksyonalite VPN prensipal la enkli nan lisans debaz la epi li achte yon sèl fwa. Sa a se yon lisans pou tout lavi epi li pa mande pou renouvèlman. Modil Opsyon VPN debaz la gen ladann:
Sit-a-Site:
- SSL VPN
- IPSec vpn
Aksè Remote (vpn kliyan):
- SSL VPN
- IPsec Clientless VPN (ak aplikasyon koutim gratis)
- L2TP
- PPTP
Kòm ou ka wè, tout pwotokòl popilè ak kalite koneksyon VPN yo sipòte.
Epitou, Sophos XG Firewall gen de lòt kalite koneksyon VPN ki pa enkli nan abònman debaz la. Sa yo se RED VPN ak HTML5 VPN. Koneksyon VPN sa yo enkli nan abònman Pwoteksyon Rezo a, ki vle di ke yo nan lòd yo sèvi ak kalite sa yo ou dwe gen yon abònman aktif, ki gen ladan tou fonksyonalite pwoteksyon rezo - IPS ak modil ATP.
RED VPN se yon VPN propriétaire L2 soti nan Sophos. Kalite koneksyon VPN sa a gen yon kantite avantaj sou SSL Sit-a-site oswa IPSec lè w ap mete yon VPN ant de XG. Kontrèman ak IPSec, tinèl RED la kreye yon koòdone vityèl nan tou de bout tinèl la, ki ede ak depanaj pwoblèm, ak kontrèman ak SSL, koòdone vityèl sa a se konplètman customizable. Administratè a gen tout kontwòl sou sous-rezo ki nan tinèl RED la, sa ki fè li pi fasil pou rezoud pwoblèm routage ak konfli sou-rezo.
HTML5 VPN oswa Clientless VPN - Yon kalite espesifik VPN ki pèmèt ou voye sèvis atravè HTML5 dirèkteman nan navigatè a. Kalite sèvis ki ka konfigirasyon:
- RDP
- Telnet
- Sch
- VNC
- Ftp
- FTPS
- SFTP
- SMB
Men, li vo konsidere ke sa a ki kalite VPN yo itilize sèlman nan ka espesyal epi li rekòmande, si sa posib, yo sèvi ak kalite VPN nan lis ki anwo yo.
Pratike
Ann pran yon gade pratik nan ki jan yo konfigirasyon plizyè nan sa yo kalite tinèl, sètadi: Sit-a-Site IPSec ak SSL VPN Remote Access.
Sit-a-Site IPSec VPN
Ann kòmanse ak ki jan yo mete kanpe yon tinèl IPSec VPN Sit-a-Site ant de Sophos XG Firewall. Anba kapo a li itilize strongSwan, ki pèmèt ou konekte ak nenpòt routeur IPSec ki pèmèt.
Ou ka sèvi ak yon sòsye konfigirasyon pratik ak rapid, men nou pral swiv chemen jeneral la pou, dapre enstriksyon sa yo, ou ka konbine Sophos XG ak nenpòt ekipman lè l sèvi avèk IPSec.
Ann louvri fenèt anviwònman politik la:
Kòm nou ka wè, gen deja anviwònman prereglaj, men nou pral kreye pwòp pa nou yo.
Ann konfigirasyon paramèt chifreman yo pou premye ak dezyèm faz yo epi sove politik la. Pa analoji, nou fè menm etap sa yo sou dezyèm Sophos XG la epi kontinye nan mete kanpe tinèl la IPSec tèt li.
Antre non an, mòd opere ak konfigirasyon paramèt chifreman yo. Pou egzanp, nou pral itilize Kle Pre-partaje
epi endike subnet lokal ak aleka.
Koneksyon nou an te kreye
Pa analoji, nou fè menm paramèt yo sou dezyèm Sophos XG la, eksepte nan mòd nan fonksyone, se la nou pral mete Inisye koneksyon an.
Koulye a, nou gen de tinèl configuré. Apre sa, nou bezwen aktive yo epi kouri yo. Sa a se fè trè tou senpleman, ou bezwen klike sou sèk wouj la anba mo aktif pou aktive ak sou sèk wouj la anba Koneksyon pou kòmanse koneksyon an.
Si nou wè foto sa a:
Sa vle di tinèl nou an ap travay kòrèkteman. Si dezyèm endikatè a wouj oswa jòn, Lè sa a, yon bagay se mal configuré nan règleman chifreman oswa subnet lokal ak aleka. Kite m fè w sonje ke paramèt yo dwe reflete.
Separeman, mwen ta renmen mete aksan sou ke ou ka kreye gwoup Failover nan tinèl IPSec pou tolerans fay:
Aksè Remote SSL VPN
Ann ale nan Remote Access SSL VPN pou itilizatè yo. Anba kapo a gen yon OpenVPN estanda. Sa a pèmèt itilizatè yo konekte atravè nenpòt kliyan ki sipòte fichye konfigirasyon .ovpn (pa egzanp, yon kliyan koneksyon estanda).
Premyèman, ou bezwen konfigirasyon règleman sèvè OpenVPN yo:
Espesifye transpò a pou koneksyon, konfigirasyon pò a, seri adrès IP pou konekte itilizatè aleka
Ou kapab tou presize anviwònman chifreman.
Apre yo fin mete sèvè a, nou kontinye nan mete kanpe koneksyon kliyan.
Chak règ koneksyon SSL VPN kreye pou yon gwoup oswa pou yon itilizatè endividyèl. Chak itilizatè ka gen yon sèl règleman koneksyon. Dapre anviwònman yo, sa ki enteresan se ke pou chak règ sa yo ou ka presize itilizatè endividyèl ki pral sèvi ak anviwònman sa a oswa yon gwoup ki soti nan AD, ou ka aktive kaz la tcheke pou ke tout trafik vlope nan yon tinèl VPN oswa presize adrès IP yo, sous-rezo oswa non FQDN ki disponib pou itilizatè yo. Dapre règleman sa yo, yo pral otomatikman kreye yon pwofil .ovpn ak paramèt pou kliyan an.
Sèvi ak pòtal itilizatè a, itilizatè a ka telechaje tou de yon fichye .ovpn ak paramèt pou kliyan VPN la, ak yon fichye enstalasyon kliyan VPN ak yon dosye anviwònman koneksyon entegre.
Konklizyon
Nan atik sa a, nou te ale yon ti tan sou fonksyonalite VPN nan pwodwi Sophos XG Firewall la. Nou te gade ki jan ou ka configured IPSec VPN ak SSL VPN. Sa a se pa yon lis konplè sou sa solisyon sa a ka fè. Nan atik sa yo mwen pral eseye revize RED VPN epi montre sa li sanble nan solisyon an tèt li.
Mèsi pou tan ou.
Si w gen nenpòt kesyon sou vèsyon komèsyal XG Firewall, ou ka kontakte nou, konpayi an , Sophos distribitè. Tout sa ou dwe fè se ekri nan fòm gratis nan .
Sous: www.habr.com