こんにちは、みんな! この記事では、Sophos XG Firewall 製品の VPN 機能について説明します。 前回では このホーム ネットワーク保護ソリューションをフル ライセンスで無料で入手する方法を検討しました。 今日は、Sophos XG に組み込まれている VPN 機能について説明します。 この製品で何ができるかを説明し、IPSec サイト間 VPN とカスタム SSL VPN のセットアップ例も示します。 それではレビューを始めましょう。
まず最初に、ライセンス表を見てみましょう。
Sophos XG Firewall のライセンス付与の詳細については、こちらをご覧ください。
ただし、この記事では、赤で強調表示されている項目のみに注目します。
主要な VPN 機能は基本ライセンスに含まれており、購入は XNUMX 回だけです。 これは永久ライセンスであり、更新の必要はありません。 基本 VPN オプション モジュールには次のものが含まれます。
サイト間:
- SSL-VPN
- IPSec VPN
リモート アクセス (クライアント VPN):
- SSL-VPN
- IPsec クライアントレス VPN (無料のカスタム アプリ付き)
- L2TP
- PPTP
ご覧のとおり、一般的なプロトコルと VPN 接続の種類はすべてサポートされています。
また、Sophos XG Firewall には、基本サブスクリプションには含まれていないさらに 5 種類の VPN 接続があります。 これらは、RED VPN と HTMLXNUMX VPN です。 これらの VPN 接続は、ネットワーク保護サブスクリプションに含まれています。つまり、これらのタイプを使用するには、ネットワーク保護機能 (IPS および ATP モジュール) も含まれるアクティブなサブスクリプションが必要です。
RED VPN は、ソフォス独自の L2 VPN です。 このタイプの VPN 接続には、XNUMX つの XG 間に VPN を設定する場合、サイト間 SSL または IPSec よりも多くの利点があります。 IPSec とは異なり、RED トンネルはトンネルの両端に仮想インターフェイスを作成します。これは問題のトラブルシューティングに役立ちます。また、SSL とは異なり、この仮想インターフェイスは完全にカスタマイズ可能です。 管理者は RED トンネル内のサブネットを完全に制御できるため、ルーティングの問題やサブネットの競合を簡単に解決できます。
HTML5 VPN またはクライアントレス VPN – ブラウザ内で直接 HTML5 経由でサービスを転送できる特定のタイプの VPN。 設定できるサービスの種類:
- RDP
- テルネット
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
ただし、このタイプの VPN は特殊な場合にのみ使用されることを考慮する価値があり、可能であれば上記のリストの VPN タイプを使用することをお勧めします。
練習
これらのタイプのトンネルのいくつか、つまりサイト間 IPSec と SSL VPN リモート アクセスの構成方法を実際に見てみましょう。
サイト間 IPSec VPN
まずは、XNUMX つの Sophos XG Firewall 間にサイト間 IPSec VPN トンネルを設定する方法から始めましょう。 内部では、IPSec 対応ルーターに接続できる StrongSwan を使用します。
便利で迅速なセットアップ ウィザードを使用することもできますが、ここでは一般的な手順に従って、これらの手順に基づいて IPSec を使用して Sophos XG を任意の機器と組み合わせることができます。
ポリシー設定ウィンドウを開いてみましょう。
ご覧のとおり、すでにプリセット設定がありますが、独自の設定を作成します。
最初と XNUMX 番目のフェーズの暗号化パラメーターを構成し、ポリシーを保存しましょう。 類推して、XNUMX 台目の Sophos XG でも同じ手順を実行し、IPSec トンネル自体の設定に進みます。
名前、動作モードを入力し、暗号化パラメータを構成します。 たとえば、事前共有キーを使用します。
はローカルおよびリモートのサブネットを示します。
私たちのつながりが生まれました
同様に、動作モードを除いて XNUMX 台目の Sophos XG で同じ設定を行い、そこで接続の開始を設定します。
これで XNUMX つのトンネルが構成されました。 次に、それらをアクティブにして実行する必要があります。 これは非常に簡単に行うことができ、アクティブ化するには「アクティブ」という単語の下にある赤い丸をクリックし、接続を開始するには「接続」の下にある赤い丸をクリックする必要があります。
この写真を見ると:
これは、トンネルが正しく機能していることを意味します。 XNUMX 番目のインジケーターが赤または黄色の場合は、暗号化ポリシーまたはローカルおよびリモートのサブネットで何かが正しく構成されていません。 設定をミラーリングする必要があることを思い出させてください。
これとは別に、フォールト トレランスのために IPSec トンネルからフェールオーバー グループを作成できることを強調したいと思います。
リモートアクセスSSL VPN
ユーザー向けのリモート アクセス SSL VPN に移りましょう。 内部には標準の OpenVPN があります。 これにより、ユーザーは .ovpn 構成ファイルをサポートする任意のクライアント (標準接続クライアントなど) を介して接続できるようになります。
まず、OpenVPN サーバー ポリシーを構成する必要があります。
接続用のトランスポートを指定し、リモート ユーザーを接続するためのポートと IP アドレスの範囲を構成します。
暗号化設定を指定することもできます。
サーバーをセットアップしたら、クライアント接続のセットアップに進みます。
各 SSL VPN 接続ルールは、グループまたは個々のユーザーに対して作成されます。 各ユーザーは接続ポリシーを XNUMX つだけ持つことができます。 設定によると、興味深いのは、そのようなルールごとに、この設定を使用する個々のユーザーまたは AD のグループを指定でき、チェックボックスを有効にしてすべてのトラフィックが VPN トンネルにラップされるか、IP アドレスを指定できることです。ユーザーが使用できるサブネットまたは FQDN 名。 これらのポリシーに基づいて、クライアントの設定を含む .ovpn プロファイルが自動的に作成されます。
ユーザー ポータルを使用すると、ユーザーは VPN クライアントの設定を含む .ovpn ファイルと、組み込みの接続設定ファイルを含む VPN クライアント インストール ファイルの両方をダウンロードできます。
まとめ
この記事では、Sophos XG Firewall 製品の VPN 機能について簡単に説明しました。 IPSec VPN と SSL VPN を構成する方法を説明しました。 これは、このソリューションでできることの完全なリストではありません。 次の記事では、RED VPN をレビューし、ソリューション自体がどのようなものかを示します。
お時間をいただきありがとうございます。
XG Firewall の商用バージョンについてご質問がある場合は、弊社までお問い合わせください。 、ソフォスの販売代理店。 あなたがしなければならないのは、自由形式で書くことだけです。 .
出所: habr.com