Kamusta kayong lahat! Susuriin ng artikulong ito ang pag-andar ng VPN sa produkto ng Sophos XG Firewall. Sa nakaraang Tiningnan namin kung paano makukuha ang solusyon sa proteksyon ng home network na ito nang libre nang may buong lisensya. Ngayon ay pag-uusapan natin ang tungkol sa pag-andar ng VPN na binuo sa Sophos XG. Susubukan kong sabihin sa iyo kung ano ang magagawa ng produktong ito, at magbibigay din ng mga halimbawa ng pag-set up ng isang IPSec Site-to-Site VPN at isang custom na SSL VPN. Kaya magsimula tayo sa pagsusuri.
Una sa lahat, tingnan natin ang talahanayan ng paglilisensya:
Maaari kang magbasa nang higit pa tungkol sa kung paano lisensyado ang Sophos XG Firewall dito:
Ngunit sa artikulong ito kami ay magiging interesado lamang sa mga item na naka-highlight sa pula.
Ang pangunahing pag-andar ng VPN ay kasama sa pangunahing lisensya at binili nang isang beses lamang. Ito ay panghabambuhay na lisensya at hindi nangangailangan ng pag-renew. Kasama sa module ng Base VPN Options ang:
Site-to-Site:
- ssl vpn
- IPSec VPN
Remote Access (VPN ng kliyente):
- ssl vpn
- IPsec Clientless VPN (na may libreng custom na app)
- L2TP
- PPTP
Tulad ng nakikita mo, lahat ng mga sikat na protocol at uri ng mga koneksyon sa VPN ay suportado.
Gayundin, ang Sophos XG Firewall ay may dalawa pang uri ng mga koneksyon sa VPN na hindi kasama sa pangunahing subscription. Ito ay RED VPN at HTML5 VPN. Ang mga koneksyon sa VPN na ito ay kasama sa subscription sa Network Protection, na nangangahulugan na upang magamit ang mga uri na ito dapat kang magkaroon ng aktibong subscription, na kinabibilangan din ng pag-andar ng proteksyon ng network - mga module ng IPS at ATP.
Ang RED VPN ay isang proprietary L2 VPN mula sa Sophos. Ang ganitong uri ng koneksyon sa VPN ay may ilang mga pakinabang sa Site-to-site na SSL o IPSec kapag nagse-set up ng VPN sa pagitan ng dalawang XG. Hindi tulad ng IPSec, ang RED tunnel ay lumilikha ng isang virtual na interface sa magkabilang dulo ng tunnel, na tumutulong sa mga problema sa pag-troubleshoot, at hindi tulad ng SSL, ang virtual na interface na ito ay ganap na nako-customize. Ang administrator ay may ganap na kontrol sa subnet sa loob ng RED tunnel, na nagpapadali sa paglutas ng mga problema sa pagruruta at mga salungatan sa subnet.
HTML5 VPN o Clientless VPN β Isang partikular na uri ng VPN na nagbibigay-daan sa iyong ipasa ang mga serbisyo sa pamamagitan ng HTML5 nang direkta sa browser. Mga uri ng serbisyo na maaaring i-configure:
- RDP
- telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ngunit ito ay nagkakahalaga ng pagsasaalang-alang na ang ganitong uri ng VPN ay ginagamit lamang sa mga espesyal na kaso at inirerekomenda, kung maaari, na gumamit ng mga uri ng VPN mula sa mga listahan sa itaas.
Pagsasanay
Tingnan natin ang praktikal na pagtingin sa kung paano i-configure ang ilan sa mga ganitong uri ng tunnel, katulad ng: Site-to-Site IPSec at SSL VPN Remote Access.
Site-to-Site IPSec VPN
Magsimula tayo sa kung paano mag-set up ng Site-to-Site IPSec VPN tunnel sa pagitan ng dalawang Sophos XG Firewalls. Sa ilalim ng hood ay gumagamit ito ng strongSwan, na nagpapahintulot sa iyo na kumonekta sa anumang router na pinagana ng IPSec.
Maaari kang gumamit ng maginhawa at mabilis na setup wizard, ngunit susundin namin ang pangkalahatang landas upang, batay sa mga tagubiling ito, maaari mong pagsamahin ang Sophos XG sa anumang kagamitan gamit ang IPSec.
Buksan natin ang window ng mga setting ng patakaran:
Tulad ng nakikita natin, mayroon nang mga preset na setting, ngunit gagawa tayo ng sarili natin.
I-configure natin ang mga parameter ng pag-encrypt para sa una at pangalawang yugto at i-save ang patakaran. Sa pamamagitan ng pagkakatulad, ginagawa namin ang parehong mga hakbang sa pangalawang Sophos XG at magpatuloy sa pag-set up ng IPSec tunnel mismo
Ipasok ang pangalan, operating mode at i-configure ang mga parameter ng pag-encrypt. Halimbawa, gagamitin namin ang Preshared Key
at ipahiwatig ang mga lokal at malalayong subnet.
Ang aming koneksyon ay nilikha
Sa pamamagitan ng pagkakatulad, ginagawa namin ang parehong mga setting sa pangalawang Sophos XG, maliban sa operating mode, doon namin itatakda ang Simulan ang koneksyon
Ngayon mayroon kaming dalawang tunnel na na-configure. Susunod, kailangan nating i-activate ang mga ito at patakbuhin ang mga ito. Ginagawa ito nang napakasimple, kailangan mong mag-click sa pulang bilog sa ilalim ng salitang Aktibo upang i-activate at sa pulang bilog sa ilalim ng Koneksyon upang simulan ang koneksyon.
Kung makikita natin ang larawang ito:
Ibig sabihin, gumagana nang tama ang ating tunnel. Kung ang pangalawang tagapagpahiwatig ay pula o dilaw, kung gayon ang isang bagay ay hindi wastong na-configure sa mga patakaran sa pag-encrypt o mga lokal at malalayong subnet. Hayaan akong ipaalala sa iyo na ang mga setting ay dapat na naka-mirror.
Hiwalay, nais kong i-highlight na maaari kang lumikha ng mga grupo ng Failover mula sa mga tunnel ng IPSec para sa pagpapahintulot sa kasalanan:
Remote Access SSL VPN
Lumipat tayo sa Remote Access SSL VPN para sa mga user. Sa ilalim ng talukbong mayroong isang karaniwang OpenVPN. Nagbibigay-daan ito sa mga user na kumonekta sa pamamagitan ng anumang client na sumusuporta sa .ovpn configuration file (halimbawa, isang karaniwang client ng koneksyon).
Una, kailangan mong i-configure ang mga patakaran ng OpenVPN server:
Tukuyin ang transportasyon para sa koneksyon, i-configure ang port, hanay ng mga IP address para sa pagkonekta ng mga malalayong user
Maaari mo ring tukuyin ang mga setting ng pag-encrypt.
Pagkatapos i-set up ang server, magpapatuloy kami sa pag-set up ng mga koneksyon ng kliyente.
Ang bawat panuntunan sa koneksyon ng SSL VPN ay nilikha para sa isang grupo o para sa isang indibidwal na user. Ang bawat user ay maaari lamang magkaroon ng isang patakaran sa koneksyon. Ayon sa mga setting, ang kawili-wili ay para sa bawat ganoong panuntunan maaari mong tukuyin ang mga indibidwal na user na gagamit ng setting na ito o isang pangkat mula sa AD, maaari mong paganahin ang checkbox upang ang lahat ng trapiko ay balot sa isang VPN tunnel o tukuyin ang mga IP address, mga subnet o FQDN na pangalan na available sa mga user . Batay sa mga patakarang ito, awtomatikong gagawa ng isang .ovpn profile na may mga setting para sa kliyente.
Gamit ang portal ng user, maaaring mag-download ang user ng parehong .ovpn file na may mga setting para sa VPN client, at isang file ng pag-install ng VPN client na may built-in na file ng mga setting ng koneksyon.
Konklusyon
Sa artikulong ito, saglit naming tinalakay ang pag-andar ng VPN sa produkto ng Sophos XG Firewall. Tiningnan namin kung paano mo mako-configure ang IPSec VPN at SSL VPN. Ito ay hindi isang kumpletong listahan ng kung ano ang magagawa ng solusyon na ito. Sa mga sumusunod na artikulo susubukan kong suriin ang RED VPN at ipakita kung ano ang hitsura nito sa solusyon mismo.
Salamat sa iyong oras.
Kung mayroon kang anumang mga katanungan tungkol sa komersyal na bersyon ng XG Firewall, maaari kang makipag-ugnayan sa amin, ang kumpanya , distributor ng Sophos. Ang kailangan mo lang gawin ay magsulat sa libreng anyo sa .
Pinagmulan: www.habr.com