Moien alleguer! Dësen Artikel wäert d'VPN Funktionalitéit am Sophos XG Firewall Produkt iwwerpréiwen. An der viregter Mir hu gekuckt wéi Dir dës Heemnetzschutzléisung gratis mat enger voller Lizenz kritt. Haut wäerte mir iwwer d'VPN Funktionalitéit schwätzen, déi a Sophos XG agebaut ass. Ech probéieren Iech ze soen wat dëst Produkt ka maachen, an och Beispiller ginn fir en IPSec Site-to-Site VPN an e personaliséierte SSL VPN opzestellen. Also loosst eis mat der Iwwerpréiwung ufänken.
Als éischt, loosst eis d'Lizenztabell kucken:
Dir kënnt méi iwwer liesen wéi Sophos XG Firewall hei lizenzéiert ass:
Awer an dësem Artikel wäerte mir nëmmen un deenen Elementer interesséiert sinn, déi a rout markéiert sinn.
D'Haapt VPN Funktionalitéit ass an der Basis Lizenz abegraff a gëtt nëmmen eemol kaaft. Dëst ass eng Liewensdauer Lizenz a erfuerdert keng Erneierung. De Basis VPN Optiounsmodul enthält:
Site-zu-Site:
- SSL VPN
- IPSec VPN
Remote Access (Client VPN):
- SSL VPN
- IPsec Clientless VPN (mat gratis personaliséierter App)
- L2TP
- PPTP
Wéi Dir kënnt gesinn, ginn all populär Protokoller an Aarte vu VPN Verbindungen ënnerstëtzt.
Och Sophos XG Firewall huet zwou méi Aarte vu VPN Verbindungen déi net am Basisabonnement abegraff sinn. Dëst sinn RED VPN an HTML5 VPN. Dës VPN Verbindunge sinn am Network Protection Abonnement abegraff, dat heescht datt fir dës Zorte ze benotzen musst Dir en aktiven Abonnement hunn, deen och Netzwierkschutzfunktionalitéit enthält - IPS an ATP Moduler.
RED VPN ass e propriétaire L2 VPN vu Sophos. Dës Zort vu VPN Verbindung huet eng Rei Virdeeler iwwer Site-to-Site SSL oder IPSec wann Dir e VPN tëscht zwee XGs opstellt. Am Géigesaz zu IPSec erstellt de RED Tunnel eng virtuell Interface op béide Enn vum Tunnel, wat hëlleft mat Probleemer ze léisen, an am Géigesaz zu SSL ass dës virtuell Interface komplett personaliséierbar. Den Administrator huet voll Kontroll iwwer de Subnet am RED Tunnel, wat et méi einfach mécht Routingproblemer a Subnetkonflikter ze léisen.
HTML5 VPN oder Clientless VPN - Eng spezifesch Aart vu VPN déi Iech erlaabt Servicer iwwer HTML5 direkt am Browser weiderzebréngen. Aarte vu Servicer déi konfiguréiert kënne ginn:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Awer et ass derwäert ze berécksiichtegen datt dës Aart vu VPN nëmmen a spezielle Fäll benotzt gëtt an et ass recommandéiert, wa méiglech, VPN Typen aus de Lëschten hei uewen ze benotzen.
Praxis
Loosst eis e praktesche Bléck op d'Konfiguratioun vun e puer vun dësen Aarte vun Tunnelen huelen, nämlech: Site-to-Site IPSec an SSL VPN Remote Access.
Site-zu-Site IPSec VPN
Loosst eis ufänken mat wéi Dir e Site-to-Site IPSec VPN Tunnel tëscht zwee Sophos XG Firewalls opstellt. Ënnert der Hood benotzt et strongSwan, wat Iech erlaabt Iech mat engem IPSec-aktivéierten Router ze verbannen.
Dir kënnt e prakteschen a schnelle Setup-Wizard benotzen, awer mir verfollegen den allgemenge Wee sou datt Dir, baséiert op dësen Instruktiounen, Sophos XG mat all Ausrüstung mat IPSec kombinéiere kënnt.
Loosst eis d'Politik Astellungsfenster opmaachen:
Wéi mir kënne gesinn, ginn et scho virgeschriwwe Astellungen, awer mir erstellen eis eegen.
Loosst eis d'Verschlësselungsparameter fir déi éischt an zweet Phase konfiguréieren an d'Politik späicheren. Par Analogie maache mir déiselwecht Schrëtt op der zweeter Sophos XG a fuere weider fir den IPSec Tunnel selwer opzestellen
Gitt den Numm, de Betribsmodus a konfiguréieren d'Verschlësselungsparameter. Zum Beispill wäerte mir Preshared Key benotzen
an uginn lokal a Fern-Subnets.
Eis Verbindung ass erstallt
Par Analogie maache mir déiselwecht Astellungen op der zweeter Sophos XG, mat Ausnam vum Betribsmodus, do setzen mir d'Verbindung initiéieren
Elo hu mir zwee Tunnel konfiguréiert. Als nächst musse mir se aktivéieren a lafen. Dëst gëtt ganz einfach gemaach, Dir musst op de roude Krees ënner dem Wuert Aktiv klickt fir ze aktivéieren an op de roude Krees ënner Connection fir d'Verbindung ze starten.
Wa mir dëst Bild gesinn:
Dëst bedeit datt eisen Tunnel richteg funktionnéiert. Wann den zweeten Indikator rout oder giel ass, dann ass eppes falsch konfiguréiert an Verschlësselungspolitiken oder lokalen a Fern-Subnets. Loosst mech Iech drun erënneren datt d'Astellunge musse gespigelt ginn.
Separat wëll ech ervirhiewen datt Dir Failover Gruppen aus IPSec Tunnel fir Feeler Toleranz erstellen kënnt:
Remote Access SSL VPN
Loosst eis weider op Remote Access SSL VPN fir Benotzer. Ënnert der Hood gëtt et e Standard OpenVPN. Dëst erlaabt d'Benotzer duerch all Client ze konnektéieren deen .ovpn Konfiguratiounsdateien ënnerstëtzt (zum Beispill e Standardverbindungsclient).
Als éischt musst Dir d'OpenVPN Server Politik konfiguréieren:
Spezifizéiert den Transport fir d'Verbindung, konfiguréieren den Hafen, Gamme vun IP Adressen fir d'Verbindung vu Fernbenotzer
Dir kënnt och Verschlësselungsastellungen uginn.
Nodeems mir de Server opgeriicht hunn, gi mir weider fir Clientverbindungen opzestellen.
All SSL VPN Verbindungsregel gëtt fir eng Grupp oder fir en individuellen Benotzer erstallt. All Benotzer kann nëmmen eng Verbindung Politik hunn. No den Astellungen, wat interessant ass, ass datt Dir fir all esou Regel individuell Benotzer spezifizéiere kënnt, déi dës Astellung oder e Grupp vun AD benotzen, Dir kënnt d'Checkbox aktivéieren sou datt all Traffic an engem VPN-Tunnel gewéckelt ass oder d'IP Adressen spezifizéieren, Subnets oder FQDN Nimm verfügbar fir Benotzer. Baséierend op dës Politik gëtt automatesch en .ovpn Profil mat Astellunge fir de Client erstallt.
Mat dem Benotzerportal kann de Benotzer souwuel eng .ovpn-Datei mat Astellunge fir den VPN-Client eroflueden, an eng VPN-Client-Installatiounsdatei mat enger agebauter Verbindungs-Astellungsdatei.
Konklusioun
An dësem Artikel hu mir kuerz iwwer d'VPN Funktionalitéit am Sophos XG Firewall Produkt gaangen. Mir hu gekuckt wéi Dir IPSec VPN an SSL VPN konfiguréiere kënnt. Dëst ass net eng komplett Lëscht vu wat dës Léisung maache kann. An de folgenden Artikelen probéieren ech RED VPN ze iwwerpréiwen a weisen wéi et an der Léisung selwer ausgesäit.
Merci fir deng Zäit.
Wann Dir Froen iwwer déi kommerziell Versioun vun XG Firewall hutt, kënnt Dir eis kontaktéieren, d'Firma , Sophos Distributeur. Alles wat Dir maache musst ass a gratis Form ze schreiwen um .
Source: will.com