Hei alle sammen! Denne artikkelen vil gjennomgå VPN-funksjonaliteten i Sophos XG Firewall-produktet. I forrige Vi så på hvordan du får denne løsningen for beskyttelse av hjemmenettverk gratis med full lisens. I dag skal vi snakke om VPN-funksjonaliteten som er innebygd i Sophos XG. Jeg vil prøve å fortelle deg hva dette produktet kan gjøre, og også gi eksempler på å sette opp en IPSec Site-to-Site VPN og en tilpasset SSL VPN. Så la oss komme i gang med anmeldelsen.
Først av alt, la oss se på lisensieringstabellen:
Du kan lese mer om hvordan Sophos XG Firewall er lisensiert her:
Men i denne artikkelen vil vi bare være interessert i de elementene som er uthevet i rødt.
Hoved-VPN-funksjonaliteten er inkludert i grunnlisensen og kjøpes kun én gang. Dette er en livstidslisens og krever ikke fornyelse. Base VPN Options-modulen inkluderer:
Nettsted-til-nettsted:
- SSL VPN
- IPSec VPN
Fjerntilgang (klient-VPN):
- SSL VPN
- IPsec klientløs VPN (med gratis tilpasset app)
- L2TP
- PPTP
Som du kan se, støttes alle populære protokoller og typer VPN-tilkoblinger.
Dessuten har Sophos XG Firewall ytterligere to typer VPN-tilkoblinger som ikke er inkludert i grunnabonnementet. Disse er RED VPN og HTML5 VPN. Disse VPN-tilkoblingene er inkludert i Nettverksbeskyttelse-abonnementet, noe som betyr at for å bruke disse typene må du ha et aktivt abonnement, som også inkluderer nettverksbeskyttelsesfunksjonalitet - IPS- og ATP-moduler.
RED VPN er en proprietær L2 VPN fra Sophos. Denne typen VPN-tilkobling har en rekke fordeler fremfor Site-to-site SSL eller IPSec når du setter opp en VPN mellom to XG-er. I motsetning til IPSec, skaper den RØDE tunnelen et virtuelt grensesnitt i begge ender av tunnelen, som hjelper med feilsøking av problemer, og i motsetning til SSL er dette virtuelle grensesnittet fullstendig tilpassbart. Administratoren har full kontroll over undernettet i den RØDE tunnelen, noe som gjør det lettere å løse rutingproblemer og undernettkonflikter.
HTML5 VPN eller Clientless VPN – En spesifikk type VPN som lar deg videresende tjenester via HTML5 direkte i nettleseren. Typer tjenester som kan konfigureres:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Men det er verdt å vurdere at denne typen VPN kun brukes i spesielle tilfeller, og det anbefales, hvis mulig, å bruke VPN-typer fra listene ovenfor.
Praksis
La oss ta en praktisk titt på hvordan du konfigurerer flere av disse typene tunneler, nemlig: Site-to-Site IPSec og SSL VPN Remote Access.
Nettsted-til-side IPSec VPN
La oss starte med hvordan du setter opp en Site-to-Site IPSec VPN-tunnel mellom to Sophos XG-brannmurer. Under panseret bruker den strongSwan, som lar deg koble til en hvilken som helst IPSec-aktivert ruter.
Du kan bruke en praktisk og rask oppsettveiviser, men vi følger den generelle veien slik at du, basert på disse instruksjonene, kan kombinere Sophos XG med alt utstyr som bruker IPSec.
La oss åpne vinduet med policyinnstillinger:
Som vi kan se, er det allerede forhåndsinnstilte innstillinger, men vi vil lage våre egne.
La oss konfigurere krypteringsparametrene for den første og andre fasen og lagre policyen. I analogi gjør vi de samme trinnene på den andre Sophos XG og går videre til å sette opp selve IPSec-tunnelen
Skriv inn navn, driftsmodus og konfigurer krypteringsparametrene. For eksempel vil vi bruke forhåndsdelt nøkkel
og angi lokale og eksterne undernett.
Vår forbindelse er opprettet
I analogi gjør vi de samme innstillingene på den andre Sophos XG, med unntak av driftsmodusen, der vil vi sette Initier tilkoblingen
Nå har vi konfigurert to tunneler. Deretter må vi aktivere dem og kjøre dem. Dette gjøres veldig enkelt, du må klikke på den røde sirkelen under ordet Aktiv for å aktivere og på den røde sirkelen under Tilkobling for å starte forbindelsen.
Hvis vi ser dette bildet:
Dette betyr at tunnelen vår fungerer som den skal. Hvis den andre indikatoren er rød eller gul, er noe feil konfigurert i krypteringspolicyer eller lokale og eksterne undernett. La meg minne deg på at innstillingene må speiles.
Separat vil jeg fremheve at du kan opprette Failover-grupper fra IPSec-tunneler for feiltoleranse:
Fjerntilgang SSL VPN
La oss gå videre til Remote Access SSL VPN for brukere. Under panseret er det en standard OpenVPN. Dette lar brukere koble seg til gjennom en hvilken som helst klient som støtter .ovpn-konfigurasjonsfiler (for eksempel en standard tilkoblingsklient).
Først må du konfigurere OpenVPN-serverpolicyene:
Spesifiser transporten for tilkobling, konfigurer porten, rekkevidde av IP-adresser for tilkobling av eksterne brukere
Du kan også angi krypteringsinnstillinger.
Etter å ha satt opp serveren, fortsetter vi med å sette opp klientforbindelser.
Hver SSL VPN-tilkoblingsregel opprettes for en gruppe eller for en individuell bruker. Hver bruker kan bare ha én tilkoblingspolicy. I henhold til innstillingene, det som er interessant er at for hver slik regel kan du spesifisere individuelle brukere som vil bruke denne innstillingen eller en gruppe fra AD, du kan aktivere avmerkingsboksen slik at all trafikk er pakket inn i en VPN-tunnel eller spesifisere IP-adressene, subnett eller FQDN-navn tilgjengelig for brukere. Basert på disse retningslinjene vil det automatisk opprettes en .ovpn-profil med innstillinger for klienten.
Ved hjelp av brukerportalen kan brukeren laste ned både en .ovpn-fil med innstillinger for VPN-klienten, og en VPN-klientinstallasjonsfil med en innebygd fil for tilkoblingsinnstillinger.
Konklusjon
I denne artikkelen gikk vi kort over VPN-funksjonaliteten i Sophos XG Firewall-produktet. Vi så på hvordan du kan konfigurere IPSec VPN og SSL VPN. Dette er ikke en fullstendig liste over hva denne løsningen kan gjøre. I de følgende artiklene vil jeg prøve å gjennomgå RED VPN og vise hvordan det ser ut i selve løsningen.
Takk for tiden din.
Hvis du har spørsmål om den kommersielle versjonen av XG Firewall, kan du kontakte oss, selskapet , Sophos-distributør. Alt du trenger å gjøre er å skrive i fri form på .
Kilde: www.habr.com