Salutare tuturor! Acest articol va analiza funcționalitatea VPN din produsul Sophos XG Firewall. În anteriorul Am analizat cum să obținem această soluție de protecție a rețelei de acasă gratuit cu o licență completă. Astăzi vom vorbi despre funcționalitatea VPN care este încorporată în Sophos XG. Voi încerca să vă spun ce poate face acest produs și, de asemenea, să dau exemple de configurare a unui VPN IPSec Site-to-Site și a unui VPN SSL personalizat. Deci, să începem cu recenzia.
În primul rând, să ne uităm la tabelul de licențiere:
Puteți citi mai multe despre cum este licențiat Sophos XG Firewall aici:
Dar în acest articol ne vor interesa doar acele elemente care sunt evidențiate cu roșu.
Funcționalitatea principală VPN este inclusă în licența de bază și este achiziționată o singură dată. Aceasta este o licență pe viață și nu necesită reînnoire. Modulul Opțiuni VPN de bază include:
De la site la site:
- SSL VPN
- VPN IPSec
Acces de la distanță (VPN client):
- SSL VPN
- VPN fără client IPsec (cu aplicație personalizată gratuită)
- L2TP
- PPTP
După cum puteți vedea, sunt acceptate toate protocoalele și tipurile populare de conexiuni VPN.
De asemenea, Sophos XG Firewall are încă două tipuri de conexiuni VPN care nu sunt incluse în abonamentul de bază. Acestea sunt RED VPN și HTML5 VPN. Aceste conexiuni VPN sunt incluse în abonamentul Network Protection, ceea ce înseamnă că pentru a utiliza aceste tipuri trebuie să aveți un abonament activ, care include și funcționalitatea de protecție a rețelei - module IPS și ATP.
RED VPN este un VPN proprietar L2 de la Sophos. Acest tip de conexiune VPN are o serie de avantaje față de SSL sau IPSec Site-to-site la configurarea unui VPN între două XG. Spre deosebire de IPSec, tunelul RED creează o interfață virtuală la ambele capete ale tunelului, care ajută la depanarea problemelor și, spre deosebire de SSL, această interfață virtuală este complet personalizabilă. Administratorul are control deplin asupra subrețelei din tunelul RED, ceea ce facilitează rezolvarea problemelor de rutare și a conflictelor de subrețea.
VPN HTML5 sau VPN fără client – Un tip specific de VPN care vă permite să redirecționați servicii prin HTML5 direct în browser. Tipuri de servicii care pot fi configurate:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Dar merită luat în considerare că acest tip de VPN este folosit doar în cazuri speciale și este recomandat, dacă este posibil, să folosiți tipuri de VPN din listele de mai sus.
Practică
Să aruncăm o privire practică asupra modului de configurare a mai multor dintre aceste tipuri de tuneluri, și anume: Site-to-Site IPSec și SSL VPN Remote Access.
VPN IPSec de la site la site
Să începem cu cum să configurați un tunel VPN IPSec Site-to-Site între două firewall-uri Sophos XG. Sub capotă folosește strongSwan, care vă permite să vă conectați la orice router IPSec activat.
Puteți folosi un expert de configurare convenabil și rapid, dar vom urma calea generală, astfel încât, pe baza acestor instrucțiuni, să puteți combina Sophos XG cu orice echipament care utilizează IPSec.
Să deschidem fereastra cu setările politicii:
După cum putem vedea, există deja setări prestabilite, dar le vom crea pe ale noastre.
Să configuram parametrii de criptare pentru prima și a doua fază și să salvăm politica. Prin analogie, facem aceiași pași pe al doilea Sophos XG și trecem la configurarea tunelului IPSec în sine
Introduceți numele, modul de operare și configurați parametrii de criptare. De exemplu, vom folosi cheia predistribuită
și indica subrețele locale și la distanță.
Conexiunea noastră a fost creată
Prin analogie, facem aceleași setări pe al doilea Sophos XG, cu excepția modului de operare, acolo vom seta Inițierea conexiunii
Acum avem două tuneluri configurate. Apoi, trebuie să le activăm și să le rulăm. Acest lucru se face foarte simplu, trebuie să faceți clic pe cercul roșu de sub cuvântul Activ pentru a activa și pe cercul roșu de sub Conexiune pentru a începe conexiunea.
Dacă vedem această imagine:
Aceasta înseamnă că tunelul nostru funcționează corect. Dacă al doilea indicator este roșu sau galben, atunci ceva este configurat incorect în politicile de criptare sau subrețelele locale și la distanță. Permiteți-mi să vă reamintesc că setările trebuie să fie oglindite.
Separat, aș dori să subliniez faptul că puteți crea grupuri de failover din tunelurile IPSec pentru toleranță la erori:
Acces la distanță SSL VPN
Să trecem la Remote Access SSL VPN pentru utilizatori. Sub capotă există un OpenVPN standard. Acest lucru permite utilizatorilor să se conecteze prin orice client care acceptă fișiere de configurare .ovpn (de exemplu, un client de conexiune standard).
Mai întâi, trebuie să configurați politicile serverului OpenVPN:
Specificați transportul pentru conectare, configurați portul, intervalul de adrese IP pentru conectarea utilizatorilor la distanță
De asemenea, puteți specifica setările de criptare.
După configurarea serverului, trecem la configurarea conexiunilor client.
Fiecare regulă de conexiune VPN SSL este creată pentru un grup sau pentru un utilizator individual. Fiecare utilizator poate avea o singură politică de conectare. Conform setărilor, ceea ce este interesant este că pentru fiecare astfel de regulă puteți specifica utilizatorii individuali care vor folosi această setare sau un grup de la AD, puteți activa caseta de selectare astfel încât tot traficul să fie învelit într-un tunel VPN sau să specificați adresele IP, subrețele sau nume FQDN disponibile utilizatorilor. Pe baza acestor politici, va fi creat automat un profil .ovpn cu setări pentru client.
Folosind portalul utilizatorului, utilizatorul poate descărca atât un fișier .ovpn cu setări pentru clientul VPN, cât și un fișier de instalare a clientului VPN cu un fișier de setări de conexiune încorporat.
Concluzie
În acest articol, am analizat pe scurt funcționalitatea VPN din produsul Sophos XG Firewall. Am analizat cum puteți configura VPN IPSec și VPN SSL. Aceasta nu este o listă completă a ceea ce poate face această soluție. În următoarele articole voi încerca să revizuiesc RED VPN și să arăt cum arată în soluția în sine.
Multumesc pentru timpul acordat.
Dacă aveți întrebări despre versiunea comercială a XG Firewall, ne puteți contacta pe noi, compania , distribuitor Sophos. Tot ce trebuie să faci este să scrii în formă liberă la .
Sursa: www.habr.com