Sophos NGFW [Lab 3-1] Hướng dẫn cấu hình VPN IPsec Site-to-Site

Chào anh em, để cấu hình được VPN IPsec Site-to-Site, mô hình của chúng ta cần có 2 mạng nội bộ cách biệt. Ở các bài lab trước, chúng ta đã xây dựng xong cụm HA đóng vai trò là Site A (Trụ sở chính). Phần này, mình sẽ hướng dẫn cách thiết lập thêm Site B (Chi nhánh) và hoàn tất các bước khởi tạo ban đầu cho thiết bị.

1. Quy hoạch IP cho Site B​

Để đường hầm VPN có thể định tuyến chính xác, dải mạng LAN của 2 Site tuyệt đối không được trùng nhau. Thông số mạng cho Site B được quy hoạch như sau:

• Firewall Site B: Kéo 1 node Sophos XG mới ra sơ đồ PNETLab.
• IP WAN (Port B): Cắm trực tiếp vào đám mây Internet, cấu hình nhận IP DHCP tự động (Ví dụ: 10.0.137.243).
• IP LAN (Port A): Truy cập vào màn hình CLI (Terminal) của Firewall, đổi IP mặc định thành 10.20.20.1/24.

Đây là ip của PortB


Lúc này mình chỉnh sơ đồ một xíu

BƯỚC 1: TẠM THỜI "ĐỔI CÁP" TRÊN SƠ ĐỒ PNETLAB​

1. Click chuột phải vào con Winserver, chọn Stop (phải tắt máy mới rút/cắm dây được).
2. Di chuột vào cọng dây nối giữa con Winserver và Switch_LAN (của Site A) -> Click vào biểu tượng cái kéo hoặc thùng rác để Xóa cọng dây này đi.
3. Di chuột vào cọng dây nối giữa con SophosXG_SiteB và con VPC -> Xóa luôn cọng dây này (để giải phóng cổng PortA của Site B).
4. Tiến hành nối dây mới: Chọn biểu tượng cắm dây từ cổng e0 của Winserver cắm thẳng vào cổng PortA (LAN) của con SophosXG_SiteB.

BƯỚC 2: CẤU HÌNH LẠI IP CHO WINSERVER​

1. Click chuột phải vào Winserver -> Chọn Start để bật máy lên lại.
2. Mở màn hình con Winserver lên, vào mục quản lý card mạng để đổi IP tĩnh cho nó theo dải mạng mới của Site B:
   • IP address: 10.20.20.99 (Số nào cũng được từ .2 đến .254)
   • Subnet Mask: 255.255.255.0
   • Default Gateway: 10.20.20.1 (Chính là IP PortA của con Site B)
3. Mở CMD trên Winserver lên, gõ thử lệnh: ping 10.20.20.1. Nếu thấy có Reply thông suốt là ngon lành!

3. Truy cập và hoàn tất Setup Wizard​

• Ngay bên trong máy ảo Winserver, mở trình duyệt web và truy cập vào địa chỉ Gateway:
  Đang tải…

  10.20.20.1
  .
• Lúc này bạn bấm advanced sẽ hiện ra trang SophosXG, thiết lập như cách mình hướng dẫn ở lab đầu là ok nhé

Mình đặt tên là SophosXG_SiteB

4. Cấu hình Local Service ACL (Mở khóa cổng WAN bằng Exception Rule)​

Sau khi vào được giao diện Control Center của Site B, anh em tuyệt đối khoan vội rút dây cáp LAN của con máy ảo cấu hình. Nếu vội rút ngay lúc này, anh em sẽ lập tức mất quyền điều khiển thiết bị vì Sophos mặc định chặn mọi truy cập Web Admin từ cổng mạng ngoài (WAN).

Đặc biệt lưu ý, trên các bản Firmware mới (như SFOS 22), hãng bảo mật rất gắt: Không cho phép tick mở port WAN đại trà cho tất cả các IP (Any) trong bảng Local Service ACL nữa để chống hacker rà quét. Anh em bắt buộc phải tạo một Rule ngoại lệ (Exception Rule) chỉ định rõ dải IP WAN nào mới được phép truy cập:

• Tại menu chính bên trái, vào nhóm SYSTEM > Administration > chọn tab Device access.
• Cuộn chuột xuống dưới cùng, tìm mục Local service ACL exception rule và bấm nút Add.
• Cấu hình Rule ngoại lệ với các thông số sau:
  • Rule name: Đặt tên gợi nhớ (VD: Allow_Admin_WAN).
  • Source zone: Chọn WAN.
  • Source Network / Host: Bấm vào Add new item -> Chọn loại là Network -> Điền thông tin dải mạng WAN của bài Lab (VD: IP 10.0.137.0 và Subnet mask /24) -> Nhấn Save để thêm dải IP.
  • Destination host: Chọn Any.
  • Services: Tích chọn 2 dịch vụ là HTTPS (để vào Web Admin) và Ping/Ping6 (để hỗ trợ test thông hầm VPN).
  • Action: Đảm bảo chọn Accept.
• Nhấn Save ở góc trái bên dưới để lưu lại. Lúc này, dòng chữ Accept màu xanh lá hiện lên báo hiệu cửa WAN đã được mở toang một cách an toàn!

5. Hoàn trả sơ đồ mạng về nguyên trạng​

Bây giờ thì anh em có thể tự tin rút dây LAN nội bộ để đưa sơ đồ về đúng chuẩn mô hình triển khai:

• Trả máy chủ về Trụ sở (Site A): Tắt máy ảo Winserver, xóa dây nối với Site B và cắm cáp trả lại vào Switch_LAN của cụm Site A. Đừng quên đổi lại IP tĩnh cho Winserver về dải cũ (Ví dụ: 172.16.16.17/24, Gateway trỏ về 172.16.16.16).
• Triển khai Client cho Chi nhánh (Site B): Kéo một node VPC (Virtual PC) cực nhẹ ra sơ đồ và cắm cáp thẳng vào cổng LAN (PortA) của Site B. Khởi động VPC lên. Nhờ đã bật tính năng DHCP ở bước Setup Wizard ban nãy, con VPC này sẽ tự động nhận ngay IP thuộc dải 10.20.20.x mà không cần phải gõ lệnh gán IP thủ công.

Đã ra được Dashboard của Sophos SiteB



Sau khi 2 Site đã hoàn thiện cấu hình ban đầu, anh em mở 2 tab trình duyệt Web Admin song song để bắt tay vào thiết lập đường hầm. Lưu ý: Ở các bản Firmware mới (như SFOS 22), giao diện IPsec đã được tối ưu rất gọn, tự động tạo Firewall Rule nên tiết kiệm được 50% công sức.

1. Cấu hình IPsec trên Site A (Trụ sở chính)​

Truy cập vào Site A, điều hướng tới Configure > Site-to-site VPN > IPsec connections và chọn Add.

• General Settings:
  • Name: VPN_to_SiteB
  • Connection type: Chọn Policy-based.
  • Gateway type: Chọn Initiate the connection (Để Site A chủ động gọi).
  • Lưu ý cực quan trọng: Đảm bảo TICK XANH vào 2 ô bên phải là Activate on save và Create firewall rule để hệ thống tự mở tường lửa.
• Encryption:
  • Authentication type: Chọn Preshared key.
  • Preshared key: Đặt mật khẩu mã hóa (VD: 12345678).
• Gateway Settings:
  • Listening interface: Chọn cổng WAN của Site A (PortB).
  • Gateway address (Remote): Nhập chính xác IP WAN của Site B (VD: 10.0.137.243).
  • Local subnet: Bấm Add new item > Tạo kiểu Network > Nhập dải LAN Site A (172.16.16.0/24).
  • Remote subnet: Bấm Add new item > Tạo kiểu Network > Nhập dải LAN Site B (10.20.20.0/24).
• Bấm Save để lưu.

2. Cấu hình IPsec trên Site B (Chi nhánh)​

Sang tab Site B, anh em làm tương tự nhưng đảo ngược thông số:

• Gateway type: Chọn Respond only (Chỉ đứng đợi kết nối tới).
• Preshared key: Nhập lại đúng mật khẩu 12345678.
• Listening interface: Chọn cổng WAN của Site B.
• Gateway address (Remote): Nhập IP WAN của Site A.
• Local subnet: Chọn dải LAN Site B (10.20.20.0/24).
• Remote subnet: Chọn dải LAN Site A (172.16.16.0/24).

SiteB

• Bấm Save. Lúc này, kiểm tra cột Status, nếu 2 đèn chuyển sang màu xanh lá là hầm đã thông!

Nhịp 2: Tuyệt chiêu "No-NAT" (Ép đi vào hầm)​

Để chắc chắn 1 tỷ phần trăm thằng WAN không cướp gói tin của VPN nữa, mình tạo một luật cấm dịch IP:

1. Vẫn ở Site A, bạn vào PROTECT > Rules and policies > chọn tab NAT rules (Cái tab nằm giữa ở phía trên).
2. Bấm Add NAT rule > New NAT rule.
3. Cấu hình bảng này cực nhanh như sau:
   
   • Name: NoNAT_VPN
   • Position: Chọn Top (Phải nằm trên cùng).
   • Original Source: Chọn dải mạng LAN_Vung_Cam.
   • Original Destination: Chọn dải mạng LAN_SiteB (hoặc 10.20.20.0/24).
   • Translated Source: Giữ nguyên chữ Original.
   • Translated Destination: Giữ nguyên chữ Original.

Lưu ý : Bạn phải tạo NAT Rule này thì mới ping được 10.20.20.2 nhaa






Nếu màn hình trả về các dòng Reply from 10.20.20.2: bytes=32... thì xin chúc mừng, hệ thống mạng mã hóa của chúng ta đã thông suốt 100%!

Kết luận​

Triển khai thành công đường hầm VPN IPsec Site-to-Site trên Sophos XG không chỉ đòi hỏi sự chính xác về các thông số mã hóa mà còn cần khả năng kiểm soát chặt chẽ luồng định tuyến (Routing) và chính sách dịch địa chỉ (NAT).

Chúc anh em thành công, hẹn anh em ở lab sau :3