Halo semua! Artikel ini akan mengulas fungsionalitas VPN pada produk Sophos XG Firewall. Di sebelumnya Kami melihat cara mendapatkan solusi perlindungan jaringan rumah ini secara gratis dengan lisensi penuh. Hari ini kita akan berbicara tentang fungsionalitas VPN yang ada di Sophos XG. Saya akan mencoba memberi tahu Anda apa yang dapat dilakukan produk ini, dan juga memberikan contoh pengaturan VPN Situs-ke-Situs IPSec dan VPN SSL khusus. Jadi mari kita mulai dengan ulasannya.
Pertama-tama, mari kita lihat tabel lisensinya:
Anda dapat membaca selengkapnya tentang bagaimana Sophos XG Firewall dilisensikan di sini:
Namun dalam artikel ini kami hanya akan tertarik pada item yang disorot dengan warna merah.
Fungsionalitas VPN utama disertakan dalam lisensi dasar dan hanya dibeli satu kali. Ini adalah lisensi seumur hidup dan tidak memerlukan perpanjangan. Modul Opsi VPN Dasar mencakup:
Situs-ke-Situs:
- SSL VPN
- VPN IPSec
Akses Jarak Jauh (VPN klien):
- SSL VPN
- VPN Tanpa Klien IPsec (dengan aplikasi khusus gratis)
- L2TP
- PPTP
Seperti yang Anda lihat, semua protokol populer dan jenis koneksi VPN didukung.
Selain itu, Sophos XG Firewall memiliki dua jenis koneksi VPN lagi yang tidak termasuk dalam langganan dasar. Ini adalah VPN MERAH dan VPN HTML5. Koneksi VPN ini termasuk dalam langganan Perlindungan Jaringan, yang berarti bahwa untuk menggunakan jenis ini Anda harus memiliki langganan aktif, yang juga mencakup fungsionalitas perlindungan jaringan - modul IPS dan ATP.
RED VPN adalah VPN L2 milik Sophos. Jenis koneksi VPN ini memiliki sejumlah keunggulan dibandingkan SSL Situs-ke-situs atau IPSec saat menyiapkan VPN antara dua XG. Tidak seperti IPSec, terowongan RED menciptakan antarmuka virtual di kedua ujung terowongan, yang membantu pemecahan masalah, dan tidak seperti SSL, antarmuka virtual ini sepenuhnya dapat disesuaikan. Administrator memiliki kendali penuh atas subnet dalam terowongan RED, yang membuatnya lebih mudah untuk menyelesaikan masalah perutean dan konflik subnet.
VPN HTML5 atau VPN Tanpa Klien – Jenis VPN khusus yang memungkinkan Anda meneruskan layanan melalui HTML5 langsung di browser. Jenis layanan yang dapat dikonfigurasi:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Namun perlu diingat bahwa jenis VPN ini hanya digunakan dalam kasus-kasus khusus dan disarankan, jika memungkinkan, untuk menggunakan jenis VPN dari daftar di atas.
Praktek
Mari kita lihat secara praktis cara mengkonfigurasi beberapa jenis terowongan ini, yaitu: IPSec Site-to-Site dan SSL VPN Remote Access.
VPN IPSec Situs-ke-Situs
Mari kita mulai dengan cara menyiapkan terowongan VPN IPSec Situs-ke-Situs antara dua Firewall Sophos XG. Di bawah tenda ia menggunakan strongSwan, yang memungkinkan Anda terhubung ke router apa pun yang mendukung IPSec.
Anda dapat menggunakan wizard pengaturan yang mudah dan cepat, tetapi kami akan mengikuti jalur umum sehingga, berdasarkan petunjuk ini, Anda dapat menggabungkan Sophos XG dengan peralatan apa pun menggunakan IPSec.
Mari kita buka jendela pengaturan kebijakan:
Seperti yang bisa kita lihat, sudah ada pengaturan preset, tapi kita akan membuatnya sendiri.
Mari konfigurasikan parameter enkripsi untuk fase pertama dan kedua dan simpan kebijakannya. Dengan analogi, kami melakukan langkah yang sama pada Sophos XG kedua dan melanjutkan ke pengaturan terowongan IPSec itu sendiri
Masukkan nama, mode operasi dan konfigurasikan parameter enkripsi. Misalnya, kita akan menggunakan Kunci Preshared
dan menunjukkan subnet lokal dan jarak jauh.
Koneksi kita telah tercipta
Dengan analogi, kita melakukan pengaturan yang sama pada Sophos XG kedua, kecuali mode operasi, di sana kita akan mengatur Initiate the connection
Sekarang kami memiliki dua terowongan yang dikonfigurasi. Selanjutnya, kita perlu mengaktifkan dan menjalankannya. Ini dilakukan dengan sangat sederhana, Anda perlu mengklik lingkaran merah di bawah kata Aktif untuk mengaktifkan dan pada lingkaran merah di bawah Koneksi untuk memulai koneksi.
Jika kita melihat gambar ini:
Ini berarti terowongan kami berfungsi dengan benar. Jika indikator kedua berwarna merah atau kuning, maka ada sesuatu yang salah dikonfigurasi dalam kebijakan enkripsi atau subnet lokal dan jarak jauh. Izinkan saya mengingatkan Anda bahwa pengaturannya harus dicerminkan.
Secara terpisah, saya ingin menyoroti bahwa Anda dapat membuat grup Failover dari terowongan IPSec untuk toleransi kesalahan:
Akses Jarak Jauh SSL VPN
Mari beralih ke VPN SSL Akses Jarak Jauh untuk pengguna. Di bawah tenda ada OpenVPN standar. Hal ini memungkinkan pengguna untuk terhubung melalui klien mana pun yang mendukung file konfigurasi .ovpn (misalnya, klien koneksi standar).
Pertama, Anda perlu mengonfigurasi kebijakan server OpenVPN:
Tentukan transportasi untuk koneksi, konfigurasikan port, rentang alamat IP untuk menghubungkan pengguna jarak jauh
Anda juga dapat menentukan pengaturan enkripsi.
Setelah menyiapkan server, kami melanjutkan ke pengaturan koneksi klien.
Setiap aturan koneksi SSL VPN dibuat untuk grup atau untuk pengguna individu. Setiap pengguna hanya dapat memiliki satu kebijakan koneksi. Menurut pengaturannya, yang menarik adalah untuk setiap aturan tersebut Anda dapat menentukan pengguna individu yang akan menggunakan pengaturan ini atau grup dari AD, Anda dapat mengaktifkan kotak centang sehingga semua lalu lintas dibungkus dalam terowongan VPN atau menentukan alamat IP, subnet atau nama FQDN tersedia untuk pengguna. Berdasarkan kebijakan ini, profil .ovpn dengan pengaturan untuk klien akan dibuat secara otomatis.
Dengan menggunakan portal pengguna, pengguna dapat mengunduh file .ovpn dengan pengaturan untuk klien VPN, dan file instalasi klien VPN dengan file pengaturan koneksi bawaan.
Kesimpulan
Pada artikel ini, kami membahas secara singkat fungsionalitas VPN di produk Sophos XG Firewall. Kami melihat bagaimana Anda dapat mengkonfigurasi IPSec VPN dan SSL VPN. Ini bukanlah daftar lengkap tentang apa yang dapat dilakukan oleh solusi ini. Pada artikel berikut saya akan mencoba mengulas RED VPN dan menunjukkan seperti apa solusinya sendiri.
Terima kasih atas waktu Anda.
Jika Anda memiliki pertanyaan tentang versi komersial XG Firewall, Anda dapat menghubungi kami, perusahaan , distributor Sophos. Yang harus Anda lakukan adalah menulis dalam bentuk bebas di .
Sumber: www.habr.com