Chào các bác, hôm nay mình xin phép chia sẻ lại quá trình thực hành bài lab cấu hình VPN Site-to-Site bằng IPsec của Check Point trên môi trường PNETLab.
Điểm nhấn của bài lab này là mình không xài máy chủ quản lý tập trung, mà triển khai theo mô hình 2 node Standalone (mỗi Firewall tự làm Security Management cho chính nó). Cách này rất sát với thực tế khi chúng ta cần dựng hầm VPN kết nối với hạ tầng mạng của một đối tác bên ngoài.
Mục lục
I. Tổng quan mô hình
II. Mục tiêu bài Lab
III. Các bước tiến hành
IV. Kiểm tra kết quả (Verify)
Hệ thống lab của mình bao gồm:
Khi chạy First Time Configuration Wizard, các bác nhớ tích chọn cả 2 ô là Security Gateway và Security Management để biến nó thành một node Standalone.
2. Tạo Network Objects
Để trị vụ "đi net thì phải NAT, chui hầm VPN thì giữ nguyên IP", mình sẽ chia làm 4 objects:
3. Khai báo VPN Domain
Nhấn đúp chuột vào CP-1, ở phần General Properties chọn IPSec VPN
Sau đó tìm đến mục Network Management -> VPN Domain. Tại đây, các bác chọn "Manually defined" và trỏ thẳng vào cái Object mạng LAN KHÔNG NAT của site đó
4. Khai báo thiết bị đối tác (Interoperable Device)
Đây là bước cực kỳ quan trọng. Vì CP-1 hoạt động độc lập, nó không tự nhìn thấy CP-2. Trên SmartConsole của CP-1, các bác phải tạo một object đại diện cho đầu bên kia.Ở menu bên phải, chọn New -> More object types -> Network Object -> Gateways and Servers -> Interoperable Device.
Tại bảng này:
Tiếp theo, nhìn sang menu bên trái của bảng này, chọn Topology -> Tích vào User defined và trỏ về Object dải LAN KHÔNG NAT của Site 2 (LAN_192.168.20.0). Xong thì bấm OK.
5. Thiết lập VPN Community
Tạo một cộng đồng New Meshed Community tên là Site-2-Site. Bỏ cả 2 con CP-1 và CP-2 vào nhóm Participating Gateways.
Chuyển xuống mục Shared Secret, tích chọn dùng chung một pass cho các node bên ngoài và nhập mật khẩu vào (lát qua CP-2 nhớ nhập y chang nhé).
Đặc biệt chú ý phần Advanced, các bác phải tích vào ô "Disable NAT inside the VPN community" để Firewall không mang các gói tin VPN đi NAT.
6. Viết Security Policies
Mở bảng Access Control Policy và tạo 2 rule cơ bản (nhớ chuột phải lên thanh tiêu đề để show cột Source ra nhé):
Xong xuôi thì bấm Publish và Install Policy. Chờ hệ thống chạy báo Succeeded (icon Gateway lên màu xanh lá) là ấm rồi!
Đối với Gateway CP-2, các bác lặp lại i như CP-1.
Cảm ơn anh em đã theo dõi. Quá trình làm nếu có kẹt ở đâu mọi người cứ cmt bên dưới nhé!
Điểm nhấn của bài lab này là mình không xài máy chủ quản lý tập trung, mà triển khai theo mô hình 2 node Standalone (mỗi Firewall tự làm Security Management cho chính nó). Cách này rất sát với thực tế khi chúng ta cần dựng hầm VPN kết nối với hạ tầng mạng của một đối tác bên ngoài.
Mục lục
I. Tổng quan mô hình
II. Mục tiêu bài Lab
III. Các bước tiến hành
IV. Kiểm tra kết quả (Verify)
I. Tổng quan mô hình
Hệ thống lab của mình bao gồm:
- Đám mây Internet (Net) cấp dải IP WAN: 10.120.170.0/24.
- Chi nhánh 1: Sử dụng Firewall CP-1 quản lý lớp mạng LAN 192.168.10.0/24 (VPC5).
- Chi nhánh 2: Sử dụng Firewall CP-2 quản lý lớp mạng LAN 192.168.20.0/24 (VPC6).
II. Mục tiêu bài Lab
- Dựng thành công hầm IPsec VPN để hai máy VPC5 và VPC6 có thể ping thông nhau bằng IP nội bộ.
- Xử lý xung đột NAT: Đảm bảo các máy trạm vẫn lướt web (ra Internet) bình thường mà không làm gãy đường truyền VPN.
III. Các bước tiến hành
1. Khởi tạo thiết bịKhi chạy First Time Configuration Wizard, các bác nhớ tích chọn cả 2 ô là Security Gateway và Security Management để biến nó thành một node Standalone.
2. Tạo Network Objects
Để trị vụ "đi net thì phải NAT, chui hầm VPN thì giữ nguyên IP", mình sẽ chia làm 4 objects:
- Hai dải LAN 10.0 và 20.0 cấu hình Hide NAT (Dùng cho rule ra Internet).
- Hai dải LAN 10.0 và 20.0 KHÔNG cấu hình NAT (Dùng cho rule VPN).
3. Khai báo VPN Domain
Nhấn đúp chuột vào CP-1, ở phần General Properties chọn IPSec VPN
Sau đó tìm đến mục Network Management -> VPN Domain. Tại đây, các bác chọn "Manually defined" và trỏ thẳng vào cái Object mạng LAN KHÔNG NAT của site đó
4. Khai báo thiết bị đối tác (Interoperable Device)
Đây là bước cực kỳ quan trọng. Vì CP-1 hoạt động độc lập, nó không tự nhìn thấy CP-2. Trên SmartConsole của CP-1, các bác phải tạo một object đại diện cho đầu bên kia.Ở menu bên phải, chọn New -> More object types -> Network Object -> Gateways and Servers -> Interoperable Device.
Tại bảng này:
- Name: Đặt tên là CP-2 (hoặc tên tùy ý).
- IPv4 Address: Nhập địa chỉ IP WAN của con CP-2 (VD: 10.120.170.202).
Tiếp theo, nhìn sang menu bên trái của bảng này, chọn Topology -> Tích vào User defined và trỏ về Object dải LAN KHÔNG NAT của Site 2 (LAN_192.168.20.0). Xong thì bấm OK.
5. Thiết lập VPN Community
Tạo một cộng đồng New Meshed Community tên là Site-2-Site. Bỏ cả 2 con CP-1 và CP-2 vào nhóm Participating Gateways.
Chuyển xuống mục Shared Secret, tích chọn dùng chung một pass cho các node bên ngoài và nhập mật khẩu vào (lát qua CP-2 nhớ nhập y chang nhé).
Đặc biệt chú ý phần Advanced, các bác phải tích vào ô "Disable NAT inside the VPN community" để Firewall không mang các gói tin VPN đi NAT.
6. Viết Security Policies
Mở bảng Access Control Policy và tạo 2 rule cơ bản (nhớ chuột phải lên thanh tiêu đề để show cột Source ra nhé):
- Rule Internet: Kéo object Có NAT vào Source, Destination để Any.
- Rule VPN: Kéo object KHÔNG NAT vào Source/Destination, cột VPN chọn đúng cộng đồng Site-2-Site vừa tạo. Bật Track Log lên để dễ dò lỗi.
Xong xuôi thì bấm Publish và Install Policy. Chờ hệ thống chạy báo Succeeded (icon Gateway lên màu xanh lá) là ấm rồi!
Đối với Gateway CP-2, các bác lặp lại i như CP-1.
IV. Kiểm tra kết quả (Verify)
Giờ là lúc hưởng thành quả. Mở console của con VPC5 lên test thử:- Ping ra ngoài (8.8.8.8): Reply mượt mà, NAT trơn tru.
- Ping chéo sang chi nhánh 2 (192.168.20.10): Reply thành công! Gói đầu tiên sẽ hơi delay một chút (như trong hình là ~250ms) do hai tường lửa bận "bắt tay" tạo hầm, từ gói thứ hai trở đi là ổn định ở mức 4-5ms.
Cảm ơn anh em đã theo dõi. Quá trình làm nếu có kẹt ở đâu mọi người cứ cmt bên dưới nhé!
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới