Cześć wszystkim! W tym artykule omówiono funkcjonalność VPN w produkcie Sophos XG Firewall. W poprzednim Przyjrzeliśmy się, jak uzyskać to rozwiązanie do ochrony sieci domowej za darmo z pełną licencją. Dzisiaj porozmawiamy o funkcjonalności VPN wbudowanej w Sophos XG. Postaram się opowiedzieć Ci, co potrafi ten produkt, a także podać przykłady konfiguracji VPN typu Site-to-Site IPSec i niestandardowego VPN SSL. Zacznijmy zatem od recenzji.
Przede wszystkim spójrzmy na tabelę licencji:
Więcej informacji na temat licencji Sophos XG Firewall można przeczytać tutaj:
Ale w tym artykule będziemy zainteresowani tylko tymi elementami, które są zaznaczone na czerwono.
Główna funkcjonalność VPN zawarta jest w licencji podstawowej i jest kupowana tylko raz. Jest to licencja dożywotnia i nie wymaga odnowienia. Moduł podstawowych opcji VPN zawiera:
Site-to-Site:
- SSL VPN
- VPN IPSec
Dostęp zdalny (klient VPN):
- SSL VPN
- Bezkliencka sieć VPN IPsec (z bezpłatną aplikacją niestandardową)
- L2TP
- PPTP
Jak widać, obsługiwane są wszystkie popularne protokoły i typy połączeń VPN.
Ponadto Sophos XG Firewall oferuje jeszcze dwa typy połączeń VPN, które nie są objęte subskrypcją podstawową. Są to RED VPN i HTML5 VPN. Te połączenia VPN są zawarte w abonamencie Network Protection, co oznacza, że aby móc korzystać z tych typów musisz posiadać aktywną subskrypcję, która obejmuje również funkcjonalność ochrony sieci - moduły IPS i ATP.
RED VPN to zastrzeżona sieć VPN L2 firmy Sophos. Ten typ połączenia VPN ma wiele zalet w porównaniu z SSL typu site-to-site lub IPSec podczas konfigurowania VPN między dwoma urządzeniami XG. W przeciwieństwie do IPSec, tunel RED tworzy wirtualny interfejs na obu końcach tunelu, co pomaga w rozwiązywaniu problemów, a w przeciwieństwie do SSL, ten wirtualny interfejs można w pełni dostosować. Administrator ma pełną kontrolę nad podsiecią w tunelu RED, co ułatwia rozwiązywanie problemów z routingiem i konfliktów podsieci.
HTML5 VPN lub Clientless VPN – specyficzny typ VPN, który umożliwia przekazywanie usług poprzez HTML5 bezpośrednio w przeglądarce. Rodzaje usług, które można skonfigurować:
- PROW
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Warto jednak wziąć pod uwagę, że ten typ VPN jest używany tylko w szczególnych przypadkach i zaleca się, jeśli to możliwe, korzystanie z typów VPN z powyższych list.
Praktyka
Przyjrzyjmy się w praktyce, jak skonfigurować kilka tego typu tuneli, a mianowicie: Zdalny dostęp typu site-to-site IPSec i SSL VPN.
VPN typu lokacja-lokacja IPSec VPN
Zacznijmy od konfiguracji tunelu VPN typu site-to-site IPSec pomiędzy dwoma zaporami sieciowymi Sophos XG. Pod maską wykorzystuje strongSwan, który umożliwia połączenie z dowolnym routerem obsługującym IPSec.
Można skorzystać z wygodnego i szybkiego kreatora konfiguracji, jednak my będziemy podążać ogólną ścieżką, aby w oparciu o tę instrukcję połączyć Sophos XG z dowolnym sprzętem korzystającym z protokołu IPSec.
Otwórzmy okno ustawień profilu:
Jak widzimy, istnieją już gotowe ustawienia, ale stworzymy własne.
Skonfigurujmy parametry szyfrowania dla pierwszej i drugiej fazy i zapiszmy politykę. Analogicznie te same kroki wykonujemy na drugim Sophosie XG i przechodzimy do konfiguracji samego tunelu IPSec
Wprowadź nazwę, tryb pracy i skonfiguruj parametry szyfrowania. Na przykład użyjemy klucza wstępnego
i wskazać podsieci lokalne i zdalne.
Nasze połączenie zostało utworzone
Analogicznie te same ustawienia wykonujemy na drugim Sophosie XG, z wyjątkiem trybu pracy, tam ustawimy Zainicjuj połączenie
Teraz mamy skonfigurowane dwa tunele. Następnie musimy je aktywować i uruchomić. Odbywa się to bardzo prosto, musisz kliknąć czerwone kółko pod słowem Aktywny, aby aktywować i czerwone kółko pod Połączenie, aby rozpocząć połączenie.
Jeśli zobaczymy ten obrazek:
Oznacza to, że nasz tunel działa poprawnie. Jeśli drugi wskaźnik jest czerwony lub żółty, oznacza to, że coś jest nieprawidłowo skonfigurowane w zasadach szyfrowania lub podsieciach lokalnych i zdalnych. Przypominam, że ustawienia muszą być odzwierciedlone.
Osobno chciałbym podkreślić, że możesz tworzyć grupy przełączania awaryjnego z tuneli IPSec w celu zapewnienia odporności na awarie:
Zdalny dostęp SSL VPN
Przejdźmy do Remote Access SSL VPN dla użytkowników. Pod maską kryje się standardowy OpenVPN. Dzięki temu użytkownicy mogą łączyć się za pośrednictwem dowolnego klienta obsługującego pliki konfiguracyjne .ovpn (na przykład standardowego klienta połączenia).
Najpierw musisz skonfigurować zasady serwera OpenVPN:
Określ transport połączenia, skonfiguruj port, zakres adresów IP do łączenia użytkowników zdalnych
Można także określić ustawienia szyfrowania.
Po skonfigurowaniu serwera przystępujemy do konfiguracji połączeń klienckich.
Każda reguła połączenia SSL VPN jest tworzona dla grupy lub dla pojedynczego użytkownika. Każdy użytkownik może mieć tylko jedną politykę połączeń. Zgodnie z ustawieniami, co ciekawe, dla każdej takiej reguły możesz określić indywidualnych użytkowników, którzy będą korzystać z tego ustawienia lub grupę z AD, możesz zaznaczyć checkbox, aby cały ruch był owijany tunelem VPN lub określić adresy IP, podsieci lub nazwy FQDN dostępne dla użytkowników. Na podstawie tych polityk automatycznie zostanie utworzony profil .ovpn z ustawieniami dla klienta.
Korzystając z portalu użytkownika, użytkownik może pobrać zarówno plik .ovpn z ustawieniami dla klienta VPN, jak i plik instalacyjny klienta VPN z wbudowanym plikiem ustawień połączenia.
wniosek
W tym artykule pokrótce omówiliśmy funkcjonalność VPN w produkcie Sophos XG Firewall. Przyjrzeliśmy się, jak skonfigurować IPSec VPN i SSL VPN. To nie jest pełna lista możliwości tego rozwiązania. W kolejnych artykułach postaram się zrecenzować RED VPN i pokazać jak to wygląda w samym rozwiązaniu.
Dziękuję za Twój czas.
Jeśli masz jakiekolwiek pytania dotyczące komercyjnej wersji XG Firewall, możesz skontaktować się z nami, firmą , dystrybutor Sophos. Wystarczy, że napiszesz w bezpłatnej formie na stronie .
Źródło: www.habr.com