Здраво на сите! Оваа статија ќе ја разгледа функционалноста на VPN во производот Sophos XG Firewall. Во претходниот Член Разгледавме како да го добиете ова решение за заштита на домашната мрежа бесплатно со целосна лиценца. Денес ќе зборуваме за функционалноста VPN што е вградена во Sophos XG. Ќе се обидам да ви кажам што може да направи овој производ, а исто така ќе дадам примери за поставување VPN од локација до локација IPSec и прилагоден SSL VPN. Значи, да започнеме со прегледот.

Пред сè, да ја погледнеме табелата за лиценцирање:

Можете да прочитате повеќе за тоа како Sophos XG Firewall е лиценциран овде:
Линк
Но, во оваа статија ќе нè интересираат само оние ставки што се означени со црвено.

Главната VPN функционалност е вклучена во основната лиценца и се купува само еднаш. Ова е доживотна лиценца и не бара обновување. Модулот Base VPN Options вклучува:

Од локација до локација:

• SSL VPN
• IPSec VPN

Далечински пристап (ВПН на клиентот):

• SSL VPN
• IPsec Clientless VPN (со бесплатна сопствена апликација)
• L2TP
• PPTP

Како што можете да видите, поддржани се сите популарни протоколи и типови VPN конекции.

Исто така, Sophos XG Firewall има уште два вида VPN конекции кои не се вклучени во основната претплата. Тоа се RED VPN и HTML5 VPN. Овие VPN конекции се вклучени во претплатата за заштита на мрежата, што значи дека за да ги користите овие типови мора да имате активна претплата, која вклучува и функционалност за заштита на мрежата - IPS и ATP модули.

RED VPN е комерцијален L2 VPN од Sophos. Овој тип на VPN конекција има голем број на предности во однос на SSL-до-локација SSL или IPSec кога се поставува VPN помеѓу два XG. За разлика од IPSec, RED тунелот создава виртуелен интерфејс на двата краја на тунелот, кој помага при решавање проблеми, а за разлика од SSL, овој виртуелен интерфејс е целосно приспособлив. Администраторот има целосна контрола врз подмрежата во рамките на RED тунелот, што го олеснува решавањето на проблемите со рутирање и конфликтите на подмрежата.

HTML5 VPN или VPN без клиент – Специфичен тип на VPN што ви овозможува да препраќате услуги преку HTML5 директно во прелистувачот. Видови услуги што може да се конфигурираат:

• RDP
• Telnet
• SSH
• VNC
• FTP
• FTPS
• SFTP
• SMB

Но, вреди да се земе предвид дека овој тип на VPN се користи само во посебни случаи и се препорачува, доколку е можно, да се користат типови VPN од горните списоци.

Пракса

Ајде да погледнеме практично како да конфигурираме неколку од овие типови тунели, имено: IPSec од локација до локација и далечински пристап SSL VPN.

IPSec VPN од локација до локација

Да почнеме со тоа како да поставите тунел IPSec VPN од сајт до локација помеѓу два огнени ѕидови на Sophos XG. Под хаубата користи strongSwan, кој ви овозможува да се поврзете со кој било рутер со вклучен IPSec.

Можете да користите удобен и брз волшебник за поставување, но ние ќе ја следиме општата патека за, врз основа на овие упатства, да можете да го комбинирате Sophos XG со која било опрема користејќи IPSec.

Ајде да го отвориме прозорецот за поставки за политика:

Како што можеме да видиме, веќе има претходно поставени поставки, но ние ќе создадеме свои.

Ајде да ги конфигурираме параметрите за шифрирање за првата и втората фаза и да ја зачуваме политиката. По аналогија, ги правиме истите чекори на вториот Sophos XG и продолжуваме кон поставување на самиот IPSec тунел

Внесете го името, режимот на работа и конфигурирајте ги параметрите за шифрирање. На пример, ќе користиме претходно споделен клуч

и означете локални и оддалечени подмрежи.

Нашата врска е создадена

По аналогија, ги правиме истите поставки на вториот Sophos XG, со исклучок на режимот на работа, таму ќе поставиме Иницирање на врската

Сега имаме конфигурирани два тунели. Следно, треба да ги активираме и да ги извршиме. Ова се прави многу едноставно, треба да кликнете на црвениот круг под зборот Active за да се активира и на црвениот круг под Connection за да започне врската.
Ако ја видиме оваа слика:

Ова значи дека нашиот тунел работи правилно. Ако вториот индикатор е црвен или жолт, тогаш нешто е неправилно конфигурирано во политиките за шифрирање или локалните и оддалечените подмрежи. Дозволете ми да ве потсетам дека поставките мора да бидат пресликани.

Одделно, би сакал да истакнам дека можете да креирате Failover групи од IPSec тунели за толеранција на грешки:

Далечински пристап SSL VPN

Ајде да преминеме на далечински пристап SSL VPN за корисници. Под хаубата има стандарден OpenVPN. Ова им овозможува на корисниците да се поврзат преку кој било клиент што поддржува конфигурациски датотеки .ovpn (на пример, стандарден клиент за поврзување).

Прво, треба да ги конфигурирате политиките на серверот OpenVPN:

Наведете го транспортот за поврзување, конфигурирајте ја портата, опсегот на IP адреси за поврзување оддалечени корисници

Можете исто така да наведете поставки за шифрирање.

По поставувањето на серверот, продолжуваме со поставување на врски со клиентот.

Секое правило за поврзување SSL VPN е креирано за група или за индивидуален корисник. Секој корисник може да има само една политика за поврзување. Според поставките, она што е интересно е што за секое такво правило можете да наведете поединечни корисници кои ќе ја користат оваа поставка или група од АД, можете да го овозможите полето за избор, така што целиот сообраќај да биде завиткан во VPN тунел или да ги наведете IP адресите. подмрежи или имиња на FQDN достапни за корисниците. Врз основа на овие политики, автоматски ќе се креира профил .ovpn со поставки за клиентот.

Користејќи го корисничкиот портал, корисникот може да преземе и датотека .ovpn со поставки за VPN клиентот и датотека за инсталација на VPN клиент со вградена датотека за поставки за поврзување.

Заклучок

Во оваа статија, накратко ја разгледавме функционалноста на VPN во производот Sophos XG Firewall. Разгледавме како можете да конфигурирате IPSec VPN и SSL VPN. Ова не е комплетна листа на тоа што може да направи ова решение. Во следните написи ќе се обидам да го прегледам RED VPN и да покажам како изгледа во самото решение.

Ви благодарам за вашето време.

Ако имате какви било прашања во врска со комерцијалната верзија на XG Firewall, можете да контактирате со нас, компанијата Факторска група, дистрибутер на Sophos. Сè што треба да направите е да напишете во слободна форма на [заштитена по е-пошта].

Извор: www.habr.com