Здраво свима! Овај чланак ће прегледати ВПН функционалност у Сопхос КСГ Фиревалл производу. У претходном Погледали смо како да добијете ово решење за заштиту кућне мреже бесплатно са пуном лиценцом. Данас ћемо говорити о ВПН функционалности која је уграђена у Сопхос КСГ. Покушаћу да вам кажем шта овај производ може да уради, а такође да дам примере подешавања ИПСец Сите-то-Сите ВПН-а и прилагођеног ССЛ ВПН-а. Дакле, хајде да почнемо са прегледом.
Пре свега, погледајмо табелу лиценцирања:
Више о томе како је Сопхос КСГ Фиревалл лиценциран можете прочитати овде:
Али у овом чланку ће нас занимати само оне ставке које су означене црвеном бојом.
Главна ВПН функционалност је укључена у основну лиценцу и купује се само једном. Ово је доживотна лиценца и не захтева је обнављање. Модул Басе ВПН Оптионс укључује:
Сите-то-Сите:
- ССЛ ВПН
- ИПСец ВПН
Даљински приступ (клијентски ВПН):
- ССЛ ВПН
- ИПсец ВПН без клијента (са бесплатном прилагођеном апликацијом)
- ЛКСНУМКСТП
- ППТП
Као што видите, подржани су сви популарни протоколи и типови ВПН веза.
Такође, Сопхос КСГ Фиревалл има још два типа ВПН веза које нису укључене у основну претплату. Ово су РЕД ВПН и ХТМЛ5 ВПН. Ове ВПН везе су укључене у претплату Мрежна заштита, што значи да за коришћење ових типова морате имати активну претплату, која такође укључује функционалност мрежне заштите - ИПС и АТП модуле.
РЕД ВПН је власнички Л2 ВПН из Сопхоса. Ова врста ВПН везе има бројне предности у односу на ССЛ или ИПСец од локације до локације када се поставља ВПН између два КСГ-а. За разлику од ИПСец-а, РЕД тунел ствара виртуелни интерфејс на оба краја тунела, што помаже у решавању проблема, а за разлику од ССЛ-а, овај виртуелни интерфејс је потпуно прилагодљив. Администратор има потпуну контролу над подмрежом унутар РЕД тунела, што олакшава решавање проблема рутирања и сукоба подмреже.
ХТМЛ5 ВПН или ВПН без клијента – Специфичан тип ВПН-а који вам омогућава да проследите услуге путем ХТМЛ5 директно у прегледачу. Врсте услуга које се могу конфигурисати:
- РДП
- Телнет
- ССХ
- ВНЦ
- ФТП
- ФТПС
- СФТП
- СМБ
Али вреди узети у обзир да се ова врста ВПН-а користи само у посебним случајевима и препоручује се, ако је могуће, да се користе ВПН типови са горе наведених листа.
Пракса
Хајде да практично погледамо како да конфигуришемо неколико ових типова тунела, и то: Сите-то-Сите ИПСец и ССЛ ВПН Ремоте Аццесс.
Сите-то-Сите ИПСец ВПН
Почнимо од тога како да подесите Сите-то-Сите ИПСец ВПН тунел између два Сопхос КСГ заштитна зида. Испод хаубе користи стронгСван, који вам омогућава да се повежете на било који рутер који подржава ИПСец.
Можете да користите згодан и брз чаробњак за подешавање, али ми ћемо следити општи пут тако да, на основу ових упутстава, можете комбиновати Сопхос КСГ са било којом опремом која користи ИПСец.
Хајде да отворимо прозор подешавања политике:
Као што видимо, већ постоје унапред подешена подешавања, али ми ћемо креирати сопствена.
Хајде да конфигуришемо параметре шифровања за прву и другу фазу и сачувамо политику. По аналогији, радимо исте кораке на другом Сопхос КСГ и прелазимо на подешавање самог ИПСец тунела
Унесите назив, режим рада и конфигуришите параметре шифровања. На пример, користићемо унапред дељени кључ
и означавају локалне и удаљене подмреже.
Наша веза је створена
По аналогији, вршимо иста подешавања на другом Сопхос КСГ, са изузетком режима рада, тамо ћемо подесити Покрени везу
Сада имамо два конфигурисана тунела. Затим морамо да их активирамо и покренемо. Ово се ради врло једноставно, потребно је да кликнете на црвени круг испод речи Активно да бисте активирали и на црвени круг испод Цоннецтион да бисте започели везу.
Ако видимо ову слику:
То значи да наш тунел ради исправно. Ако је други индикатор црвен или жут, онда је нешто погрешно конфигурисано у смерницама шифровања или локалним и удаљеним подмрежама. Дозволите ми да вас подсетим да подешавања морају бити пресликана.
Одвојено, желео бих да истакнем да можете креирати групе за престанак грешке из ИПСец тунела за толеранцију грешака:
ССЛ ВПН за даљински приступ
Пређимо на ССЛ ВПН за даљински приступ за кориснике. Испод хаубе се налази стандардни ОпенВПН. Ово омогућава корисницима да се повежу преко било ког клијента који подржава .овпн конфигурационе датотеке (на пример, стандардни клијент за повезивање).
Прво, морате да конфигуришете смернице ОпенВПН сервера:
Одредите транспорт за повезивање, конфигуришите порт, опсег ИП адреса за повезивање удаљених корисника
Такође можете одредити подешавања шифровања.
Након подешавања сервера, прелазимо на подешавање клијентских веза.
Свако правило ССЛ ВПН везе креира се за групу или за појединачног корисника. Сваки корисник може имати само једну политику везе. Према подешавањима, интересантно је да за свако такво правило можете да наведете појединачне кориснике који ће користити ову поставку или групу из АД, можете да омогућите цхецкбок тако да сав саобраћај буде умотан у ВПН тунел или да одредите ИП адресе, подмреже или ФКДН имена доступна корисницима. На основу ових смерница, аутоматски ће бити креиран .овпн профил са подешавањима за клијента.
Користећи кориснички портал, корисник може преузети и .овпн датотеку са подешавањима за ВПН клијент, и датотеку за инсталацију ВПН клијента са уграђеном датотеком поставки везе.
Закључак
У овом чланку смо укратко прегледали ВПН функционалност у Сопхос КСГ Фиревалл производу. Погледали смо како можете да конфигуришете ИПСец ВПН и ССЛ ВПН. Ово није потпуна листа онога што ово решење може да уради. У следећим чланцима покушаћу да прегледам РЕД ВПН и покажем како то изгледа у самом решењу.
Хвала на времену.
Ако имате било каквих питања о комерцијалној верзији КСГ Фиревалл-а, можете контактирати нас, компанију , Сопхос дистрибутер. Све што треба да урадите је да пишете у слободној форми на .
Извор: ввв.хабр.цом