Pekerjaan jarak jauh atau ulasan VPN di Sophos XG Firewall





Halo! Artikel ini akan membahas gambaran umum tentang fungsionalitas VPN di produk Firewall Sophos XG. Pada artikel sebelumnya , kami melihat cara mendapatkan solusi perlindungan jaringan rumah ini secara gratis dengan lisensi penuh. Hari ini kita akan berbicara tentang fungsionalitas VPN yang dibangun ke dalam Sophos XG. Saya akan mencoba memberi tahu Anda apa yang dapat dilakukan produk ini, serta memberikan contoh konfigurasi IPSec Site-to-Site VPN dan custom SSL VPN. Jadi mari kita turun ke ulasannya.



Pertama-tama, mari kita lihat tabel lisensi: Anda







dapat membaca lebih lanjut tentang bagaimana Firewall Sophos XG dilisensikan di sini:

Tautan

Namun dalam artikel ini kami hanya akan tertarik pada item yang disorot dengan warna merah.



Fungsionalitas VPN utama termasuk dalam lisensi dasar dan hanya dibeli sekali. Ini adalah lisensi seumur hidup dan tidak memerlukan pembaruan. Modul Opsi VPN Dasar mencakup:



Situs-ke-Situs:



  • VPN SSL
  • IPSec VPN


Akses Jarak Jauh (VPN klien):



  • VPN SSL
  • VPN Tanpa Klien IPsec (dengan aplikasi kustom gratis)
  • L2TP
  • PPTP


Seperti yang Anda lihat, semua protokol populer dan jenis koneksi VPN didukung.



Selain itu, ada dua jenis koneksi VPN di Sophos XG Firewall yang tidak termasuk dalam langganan dasar. Mereka adalah RED VPN dan HTML5 VPN. Koneksi VPN ini termasuk dalam langganan Perlindungan Jaringan, yang berarti bahwa untuk menggunakan jenis ini, Anda harus memiliki langganan aktif, yang juga mencakup fungsionalitas perlindungan jaringan - modul IPS dan ATP.



RED VPN adalah L2 VPN milik Sophos. Jenis koneksi VPN ini memiliki beberapa keunggulan dibandingkan SSL Situs-ke-situs atau IPSec saat mengatur VPN di antara dua XG. Tidak seperti IPSec, RED tunnel membuat antarmuka virtual di kedua ujung tunnel, yang membantu memecahkan masalah, dan tidak seperti SSL, antarmuka virtual ini sepenuhnya dapat disesuaikan. Administrator memiliki kendali penuh atas subnet di dalam terowongan RED, membuatnya lebih mudah untuk menyelesaikan masalah perutean dan konflik subnet.



HTML5 VPN atau Clientless VPN - Jenis VPN tertentu yang memungkinkan layanan diteruskan melalui HTML5 langsung di browser. Jenis layanan yang dapat dikonfigurasi:



  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • SMB


Tetapi perlu dipertimbangkan bahwa jenis VPN ini hanya digunakan dalam kasus-kasus khusus dan disarankan, jika memungkinkan, untuk menggunakan jenis VPN dari daftar di atas.



Praktek



Mari kita lihat cara mengkonfigurasi beberapa tipe tunnel ini, yaitu Site-to-Site IPSec dan SSL VPN Remote Access.



VPN IPSec Situs-ke-Situs



Mari kita mulai dengan cara mengatur terowongan VPN IPSec Situs-ke-Situs antara dua Firewall Sophos XG. StrongSwan digunakan di bawah kap, yang memungkinkan Anda terhubung ke router berkemampuan IPSec.



Anda dapat menggunakan wizard pengaturan yang mudah dan cepat, tetapi kami akan mengikuti jalur umum sehingga, berdasarkan manual ini, Anda dapat menggabungkan Sophos XG dengan peralatan apa pun melalui IPSec.



Mari kita buka jendela pengaturan kebijakan:







Seperti yang bisa kita lihat, sudah ada pengaturan yang ditentukan sebelumnya, tetapi kita akan membuatnya sendiri.











Mari konfigurasikan pengaturan enkripsi untuk fase pertama dan kedua dan simpan kebijakannya. Dengan analogi, kami melakukan hal yang sama pada Sophos XG kedua dan melanjutkan untuk menyiapkan terowongan IPSec itu sendiri







Masukkan nama, mode operasi, dan konfigurasikan parameter enkripsi. Misalnya, kami akan menggunakan Kunci Preshared







dan menunjukkan subnet lokal dan jarak jauh.







Koneksi kami telah dibuat







Dengan analogi, kami membuat pengaturan yang sama pada Sophos XG kedua, kecuali untuk mode operasi, kami menempatkan Inisiasi koneksi di







sana.Sekarang kami memiliki dua terowongan yang dikonfigurasi. Selanjutnya, kita perlu mengaktifkan dan menjalankannya. Ini dilakukan dengan sangat sederhana, Anda perlu mengklik lingkaran merah di bawah kata Aktif untuk mengaktifkan dan pada lingkaran merah di bawah Koneksi untuk memulai koneksi.

Jika kita melihat gambar seperti ini:





Jadi terowongan kami berfungsi dengan benar. Jika indikator kedua berwarna merah atau kuning, berarti ada sesuatu yang salah dikonfigurasi dalam kebijakan enkripsi atau subnet lokal dan jarak jauh. Izinkan saya mengingatkan Anda bahwa pengaturan harus dicerminkan.



Secara terpisah, saya ingin menyoroti bahwa Anda dapat membuat grup Failover dari terowongan IPSec untuk toleransi kesalahan:







Akses Jarak Jauh SSL VPN



Mari beralih ke Remote Access SSL VPN untuk Pengguna. OpenVPN standar berjalan di bawah tenda. Hal ini memungkinkan pengguna untuk terhubung melalui klien apa pun yang mendukung file konfigurasi .ovpn (seperti klien koneksi standar).



Pertama, Anda perlu mengkonfigurasi kebijakan server OpenVPN:







Tentukan pengangkutan untuk koneksi, konfigurasi port, kisaran alamat ip untuk menghubungkan pengguna jarak jauh.







Selain itu, Anda dapat menentukan pengaturan enkripsi.



Setelah mengkonfigurasi server, mari mulai mengkonfigurasi koneksi klien.







Setiap aturan koneksi VPN SSL dibuat untuk grup atau untuk pengguna individu. Setiap pengguna hanya dapat memiliki satu kebijakan koneksi. Menurut pengaturan, dari poin yang menarik, untuk setiap aturan tersebut, Anda dapat menentukan bagaimana pengguna individu, yang akan menggunakan pengaturan ini atau grup dari AD, Anda dapat mengaktifkan kotak centang sehingga semua lalu lintas dibungkus dalam terowongan VPN atau menentukan alamat ip, subnet atau FQDN yang tersedia untuk pengguna ... Berdasarkan kebijakan ini, profil .ovpn dengan pengaturan untuk klien akan dibuat secara otomatis.







Dengan menggunakan portal pengguna, pengguna dapat mengunduh file .ovpn dengan pengaturan untuk klien VPN dan file instalasi klien VPN dengan file pengaturan koneksi bawaan.







Kesimpulan



Pada artikel ini, kami melihat sekilas fungsionalitas VPN di produk Firewall Sophos XG. Kami melihat bagaimana Anda dapat mengkonfigurasi IPSec VPN dan SSL VPN. Ini bukan daftar lengkap tentang apa yang dapat dilakukan solusi ini. Di artikel selanjutnya saya akan mencoba mengulas RED VPN dan menunjukkan tampilannya dalam solusi itu sendiri.



Terima kasih atas waktu Anda.



Jika Anda memiliki pertanyaan tentang versi komersial XG Firewall, Anda dapat menghubungi kami - Factor Group , distributor Sophos. Cukup menulis dalam bentuk gratis ke sophos@fgts.ru .



All Articles