Sveiki visiem! Šajā rakstā tiks apskatīta VPN funkcionalitāte produktā Sophos XG Firewall. Iepriekšējā raksts Mēs apskatījām, kā bez maksas iegūt šo mājas tīkla aizsardzības risinājumu ar pilnu licenci. Šodien mēs runāsim par VPN funkcionalitāti, kas ir iebūvēta Sophos XG. Mēģināšu pastāstīt, ko var darīt šis produkts, kā arī sniegšu piemērus IPSec vietņu VPN un pielāgota SSL VPN iestatīšanai. Tātad, sāksim ar pārskatīšanu.

Vispirms apskatīsim licencēšanas tabulu:

Vairāk par Sophos XG Firewall licencēšanu varat lasīt šeit:
Saite
Bet šajā rakstā mūs interesēs tikai tie vienumi, kas ir iezīmēti sarkanā krāsā.

Galvenā VPN funkcionalitāte ir iekļauta pamata licencē un tiek iegādāta tikai vienu reizi. Šī ir mūža licence un nav jāatjauno. Pamata VPN opciju modulis ietver:

Vietne uz vietni:

• SSL VPN
• IPSec VPN

Attālā piekļuve (klienta VPN):

• SSL VPN
• IPsec bezklienta VPN (ar bezmaksas pielāgotu lietotni)
• L2TP
• PPTP

Kā redzat, tiek atbalstīti visi populārie protokoli un VPN savienojumu veidi.

Turklāt Sophos XG Firewall ir vēl divi VPN savienojumu veidi, kas nav iekļauti pamata abonementā. Tie ir RED VPN un HTML5 VPN. Šie VPN savienojumi ir iekļauti Tīkla aizsardzības abonementā, kas nozīmē, ka, lai izmantotu šos veidus, ir jābūt aktīvam abonementam, kas ietver arī tīkla aizsardzības funkcionalitāti - IPS un ATP moduļus.

RED VPN ir patentēts L2 VPN no Sophos. Šim VPN savienojuma veidam ir vairākas priekšrocības salīdzinājumā ar vietņu SSL vai IPSec, iestatot VPN starp diviem XG. Atšķirībā no IPSec, RED tunelis izveido virtuālu saskarni abos tuneļa galos, kas palīdz novērst problēmas, un atšķirībā no SSL šī virtuālā saskarne ir pilnībā pielāgojama. Administrators pilnībā kontrolē apakštīklu RED tunelī, kas atvieglo maršrutēšanas problēmu un apakštīkla konfliktu risināšanu.

HTML5 VPN vai bezklienta VPN — īpašs VPN veids, kas ļauj pārsūtīt pakalpojumus, izmantojot HTML5 tieši pārlūkprogrammā. Pakalpojumu veidi, kurus var konfigurēt:

• LAP
• telnet
• SSH
• VNC
• ftp
• FTPS
• SFTP
• SMB

Bet ir vērts padomāt, ka šāda veida VPN tiek izmantots tikai īpašos gadījumos un, ja iespējams, ieteicams izmantot VPN veidus no iepriekš minētajiem sarakstiem.

Prakse

Praktiski apskatīsim, kā konfigurēt vairākus šāda veida tuneļus, proti: vietņu IPSec un SSL VPN attālo piekļuvi.

Vietņu uz vietni IPSec VPN

Sāksim ar to, kā iestatīt vietņu IPSec VPN tuneli starp diviem Sophos XG ugunsmūriem. Zem pārsega tas izmanto strongSwan, kas ļauj izveidot savienojumu ar jebkuru IPSec iespējotu maršrutētāju.

Varat izmantot ērtu un ātru iestatīšanas vedni, taču mēs sekosim vispārīgajam ceļam, lai, pamatojoties uz šiem norādījumiem, jūs varētu apvienot Sophos XG ar jebkuru aprīkojumu, izmantojot IPSec.

Atvērsim politikas iestatījumu logu:

Kā redzam, jau ir iepriekš iestatīti iestatījumi, bet mēs izveidosim paši.

Konfigurēsim šifrēšanas parametrus pirmajai un otrajai fāzei un saglabāsim politiku. Pēc analoģijas mēs veicam tās pašas darbības ar otro Sophos XG un pārejam pie paša IPSec tuneļa iestatīšanas.

Ievadiet nosaukumu, darbības režīmu un konfigurējiet šifrēšanas parametrus. Piemēram, mēs izmantosim iepriekš kopīgoto atslēgu

un norāda vietējos un attālos apakštīklus.

Mūsu savienojums ir izveidots

Pēc analoģijas mēs veicam tādus pašus iestatījumus otrajā Sophos XG, izņemot darbības režīmu, tur mēs iestatīsim Uzsākt savienojumu

Tagad mums ir konfigurēti divi tuneļi. Tālāk mums tie jāaktivizē un jāpalaiž. Tas tiek darīts ļoti vienkārši, jums ir jānoklikšķina uz sarkanā apļa zem vārda Active, lai aktivizētu, un uz sarkanā apļa zem Connection, lai sāktu savienojumu.
Ja mēs redzam šo attēlu:

Tas nozīmē, ka mūsu tunelis darbojas pareizi. Ja otrais indikators ir sarkans vai dzeltens, tad šifrēšanas politikās vai lokālajos un attālajos apakštīklos kaut kas ir nepareizi konfigurēts. Atgādināšu, ka iestatījumiem ir jābūt atspoguļotiem.

Atsevišķi es vēlos uzsvērt, ka kļūdu pielaidei varat izveidot kļūmjpārlēces grupas no IPSec tuneļiem:

Attālās piekļuves SSL VPN

Pāriesim pie attālās piekļuves SSL VPN lietotājiem. Zem pārsega ir standarta OpenVPN. Tas ļauj lietotājiem izveidot savienojumu, izmantojot jebkuru klientu, kas atbalsta .ovpn konfigurācijas failus (piemēram, standarta savienojuma klientu).

Pirmkārt, jums ir jākonfigurē OpenVPN servera politikas:

Norādiet savienojuma transportu, konfigurējiet portu, IP adrešu diapazonu attālo lietotāju savienošanai

Varat arī norādīt šifrēšanas iestatījumus.

Pēc servera iestatīšanas mēs pārejam pie klientu savienojumu iestatīšanas.

Katrs SSL VPN savienojuma noteikums tiek izveidots grupai vai atsevišķam lietotājam. Katram lietotājam var būt tikai viena savienojuma politika. Atbilstoši iestatījumiem interesanti ir tas, ka katram šādam noteikumam varat norādīt atsevišķus lietotājus, kuri izmantos šo iestatījumu vai grupu no AD, varat iespējot izvēles rūtiņu, lai visa trafika tiktu ietīta VPN tunelī, vai norādīt IP adreses, lietotājiem pieejamie apakštīkli vai FQDN nosaukumi. Pamatojoties uz šīm politikām, automātiski tiks izveidots .ovpn profils ar klienta iestatījumiem.

Izmantojot lietotāju portālu, lietotājs var lejupielādēt gan .ovpn failu ar VPN klienta iestatījumiem, gan VPN klienta instalācijas failu ar iebūvētu savienojuma iestatījumu failu.

Secinājums

Šajā rakstā mēs īsi apskatījām VPN funkcionalitāti produktā Sophos XG Firewall. Mēs apskatījām, kā varat konfigurēt IPSec VPN un SSL VPN. Šis nav pilnīgs saraksts ar šī risinājuma iespējām. Nākamajos rakstos es mēģināšu pārskatīt RED VPN un parādīt, kā tas izskatās pašā risinājumā.

Paldies par jūsu laiku.

Ja jums ir kādi jautājumi par XG Firewall komerciālo versiju, varat sazināties ar mums, uzņēmumu Faktoru grupa, Sophos izplatītājs. Atliek tikai rakstīt brīvā formā plkst [e-pasts aizsargāts].

Avots: www.habr.com