Всім привіт! Ця стаття буде присвячена огляду функціонала VPN у продукті Sophos XG Firewall. У попередній
Насамперед подивимося на таблицю ліцензування:
Докладніше про те, як ліцензується Sophos XG Firewall можна прочитати тут:
Але в цій статті нас цікавитимуть лише ті пункти, що виділені червоним.
Основний функціонал VPN входить до базової ліцензії і купується лише один раз. Це довічна ліцензія і не вимагає продовження. У модуль Base VPN Options входить:
Site-to-Site:
- SSL VPN
- IPSec VPN
Remote Access (клієнтський VPN):
- SSL VPN
- IPsec Clientless VPN (з безкоштовним додатком користувача)
- L2TP
- PPTP
Як бачимо, підтримуються всі популярні протоколи та типи VPN з'єднань.
Також, у Sophos XG Firewall є ще два типи VPN з'єднань, які не включені до базової передплати. Це RED VPN та HTML5 VPN. Дані VPN з'єднання входять до підписки Network Protection, а це означає, щоб використовувати дані типи необхідно мати активну підписку, в яку також входить і функціонал захисту мережі - IPS і ATP модулі.
RED VPN – це пропрієтарний L2 VPN від компанії Sophos. Даний тип VPN з'єднання має ряд переваг у порівнянні з Site-to-site SSL або IPSec при налаштуванні VPN між двома XG. На відміну від IPSec, RED тунель створює віртуальний інтерфейс на обох кінцях тунелю, що допомагає при траблшут проблем, і на відміну від SSL, даний віртуальний інтерфейс повністю настроюється. Адміністратор має повний контроль над підмережею всередині RED тунелю, що дозволяє простіше вирішувати проблеми маршрутизації та конфлікти підмереж.
HTML5 VPN або Clientless VPN – Специфічний тип VPN, що дозволяє прокидати послуги через HTML5 прямо в браузері. Типи сервісів, які можна налаштувати:
- RDP
- Telnet
- SSH
- VNC
- Ftp
- FTPS
- SFTP
- SMB
Але варто врахувати, що даний тип VPN застосовується тільки в особливих випадках і рекомендується, якщо є можливість, використовувати типи VPN зі списків вище.
Практика
Розберемо на практиці, як налаштувати декілька з цих типів тунелів, а саме: Site-to-Site IPSec та SSL VPN Remote Access.
Site-to-Site IPSec VPN
Почнемо з того, як налаштувати Site-to-Site IPSec VPN тунель між двома Sophos XG Firewall. Під капотом використовується strongSwan, що дозволяє підключитись до будь-якого маршрутизатора з підтримкою IPSec.
Можна використовувати зручний та швидкий wizard налаштування, але ми підемо спільним шляхом, щоб на основі даної інструкції можна було поєднати Sophos XG з будь-яким обладнанням IPSec.
Відкриємо вікно налаштувань політик:
Як ми бачимо, існують уже встановлені налаштування, але ми створюватимемо свою.
Налаштуємо параметри шифрування для першої та другої фази та збережемо політику. За аналогією, робимо такі ж дії на другому Sophos XG і переходимо до налаштування самого IPSec тунелю
Вводимо назву, режим роботи та налаштовуємо параметри шифрування. Для прикладу використовуватимемо Preshared Key
і вкажемо локальні та віддалені підмережі.
Наше з'єднання створено
За аналогією, робимо такі ж налаштування на другому Sophos XG, за винятком режиму роботи, там поставимо Initiate the connection
Тепер у нас є два налаштовані тунелі. Далі, нам треба їх активувати та запустити. Робиться це дуже просто, треба натиснути на червоний кружок під словом Active щоб активувати і на червоний кружок під Connection, щоб запустити коннект.
Якщо ми бачимо таку картинку:
Значить, наш тунель працює коректно. Якщо другий індикатор горить червоним або жовтим, то щось неправильно налаштували в політиках шифрування або локальних та віддалених підмережах. Нагадаю, що налаштування мають бути дзеркальними.
Окремо хочу виділити, що можна з IPSec тунелів створювати Failover групи для стійкості до відмови:
Remote Access SSL VPN
Перейдемо до Remote Access SSL VPN для користувачів. Під капотом крутиться стандартний OpenVPN. Це дозволяє користувачам підключатися через будь-який клієнт, який підтримує .ovpn файли конфігурації (наприклад, стандартний клієнт підключення).
Для початку потрібно налаштувати політики OpenVPN сервера:
Вказати транспорт для підключення, налаштувати порт, діапазон ip адрес для підключення віддалених користувачів
Також можна вказати параметри шифрування.
Після налаштування сервера приступаємо до налаштування клієнтських підключень.
Кожне правило підключення до SSL VPN створюється для групи або окремого користувача. Кожен користувач може мати лише одну політику підключення. За налаштуваннями, з цікавого, для кожного такого правила можна вказати, як окремих користувачів, хто використовуватиме налаштування або групу з AD, можна включити галочку, щоб весь трафік загортався в VPN тунель або вказати доступні для користувачів ip адреси, підмережі або FQDN імена . На основі даних політик буде автоматично створено .ovpn профайл з налаштуваннями для клієнта.
Використовуючи портал користувача, користувач може завантажити як .ovpn файл з налаштуваннями для VPN клієнта, так і інсталяційний файл VPN клієнта з вбудованим файлом налаштувань підключення.
Висновок
У цій статті ми коротко пробіглися функціоналом VPN у продукті Sophos XG Firewall. Подивилися, як можна налаштувати IPSec VPN та SSL VPN. Це далеко не повний перелік того, що вміє це рішення. У наступних статтях постараюся зробити огляд на RED VPN і показати, як це виглядає у самому рішенні.
Дякую за приділений час.
Якщо у Вас будуть питання щодо комерційної версії XG Firewall, Ви можете звертатися до нас — компанію
Джерело: habr.com