Sophos NGFW [LAB 3-2] Triển khai và Cấu hình hệ thống VPN Remote Access (SSL VPN) trên tường lửa Sophos XG

Bài Lab này hướng dẫn cách triển khai hệ thống VPN Remote Access (SSL VPN) trên tường lửa Sophos XG. Mô hình này cho phép nhân viên (Client) ngồi tại nhà, quán cà phê hoặc đang đi công tác có thể kết nối an toàn từ môi trường Internet (WAN) vào thẳng mạng nội bộ của công ty (LAN) thông qua một đường hầm mã hóa.

Bước 1: Cấp quyền truy cập dịch vụ trên cổng WAN (Device Access)​

Để người dùng bên ngoài có thể nhìn thấy và tải file cấu hình VPN, bạn cần mở cửa dịch vụ trên cổng kết nối Internet.

1. Truy cập Web Admin, vào SYSTEM > Administration > Device Access.
2. Tại cột WAN, tích chọn 2 ô: SSL VPN và User Portal.
3. Cuộn xuống dưới cùng và bấm Apply.

Bước 2: Tạo Nhóm và Người dùng (Local User)

1. Vào CONFIGURE > Authentication > Groups > Bấm Add.
   • Group Name: Remote_VPN_Users
   • Surfing quota & Access time: Để mặc định (Unlimited).
   • Bấm Save.

2. Chuyển sang tab Users > Bấm Add.

• Username: nhanvien01
• Name: Nhan Vien 01
• Password: Đặt mật khẩu
• Group: Chọn cái nhóm Remote_VPN_Users vừa tạo ở trên.
• Bấm Save

Bước 3: Cấu hình thông số SSL VPN (Global Settings)

Đây là bước cốt lõi để quy định ai được phép vào, và vào được vùng nào.

1. Vào CONFIGURE > Remote access VPN > SSL VPN > Bấm Add.
   • Name: Policy_Remote_VPN
   • Policy members (Identity): Bấm Add new item, chọn nhóm Remote_VPN_Users (hoặc add thẳng user nhanvien01).
   • Permitted network resources: Chọn dải mạng LAN nội bộ mà bạn muốn cho người dùng từ xa truy cập vào (Ví dụ: cái dải LAN_Vung_Cam ở bài lab trước).
2. Bấm Save.

Bước 4: Tạo chính sách truy cập (SSL VPN Policy)​

Đây là bước quyết định ai được phép kết nối và được phép truy cập vào vùng mạng nào.

1. Quay lại tab SSL VPN, bấm Add để tạo Policy mới (hoặc Configure manually nếu hiện bảng hướng dẫn).
2. Name: Policy_Remote_VPN
3. Policy members (Identity): Bấm Add new item, tích chọn user nhanvien01 (hoặc nhóm Remote_VPN_Users).
4. Permitted network resources: Chọn dải mạng LAN nội bộ của công ty mà bạn muốn cho phép truy cập.
5. Bật công tắc kích hoạt (Active) cho Rule này và bấm Save.

Bước 5: Tạo luật tường lửa cho phép đi từ VPN vào LAN​

1. Vào PROTECT > Rules and policies > Firewall rules, bấm Add firewall rule > New firewall rule.
   
   
   
   
   
   
   
2. Thiết lập quy tắc như sau:
   • Rule name: Allow_VPN_to_LAN
   • Action: Accept
   • Source zones: VPN
   • Source networks: Any (Hoặc chọn chính xác dải IP VPN 10.81.0.0/16).
   • Destination zones: LAN
   • Destination networks: Chọn dải mạng LAN nội bộ tương ứng.
     
3. Cuộn xuống dưới cùng bấm Save và đảm bảo Rule đã được bật xanh

Bước 6: Tải cấu hình và Nghiệm thu kết nối VPN Remote Access

1. Mở quyền truy cập VPN Portal

• Vào Web Admin của Sophos, chọn SYSTEM > Administration > Device Access. Tại hàng WAN, tích xanh vào ô VPN Portal.

• Tiếp tục vào SYSTEM > Administration > Admin and user settings. Tại mục VPN portal HTTPS port, đổi cổng mặc định (443) sang 10443 để tránh xung đột cổng với các dịch vụ khác. Cuộn xuống bấm Apply.

- Đứng tại máy Winserver2 (đóng vai trò máy nhân viên ở ngoài Internet), mở trình duyệt web và truy cập địa chỉ: https://[IP_WAN_SOPHOS]:10443
(Ví dụm của mình đang là [https://10.0.137.99:10443]




Đăng nhập tài khoản nhanvien01 và password bạn đã tạo khi nãy






Tại giao diện Portal, bấm Download configuration để lấy file cấu hình định dạng .ovpn về máy



3. Cài đặt Client và Kết nối

Ghi chú: Nếu bạn đang dùng máy ảo hệ điều hành Windows Server để test lab, hãy sử dụng phần mềm OpenVPN Connect thay vì Sophos Connect (do bản chất nền tảng SSL VPN của Sophos sử dụng lõi OpenVPN, mà Sophos Client lại không hỗ trợ cài trên bản Server).

• Tải và cài đặt phần mềm OpenVPN Connect.

• Mở OpenVPN lên, chọn nút Upload File

• Trỏ đường dẫn đến file cấu hình .ovpn vừa tải về.

• Điền Username (nhanvien01) và Password, sau đó bật công tắc để Connect.

4. Kiểm tra thông tuyến (Ping test)​

Khi trạng thái VPN đã kết nối thành công (báo đèn xanh), tiến hành kiểm tra kết nối vào mạng nội bộ:

• Mở CMD trên máy Client.
• Gõ lệnh Ping thẳng vào IP của máy chủ nằm trong vùng LAN nội bộ: ping 172.16.16.17
• Nếu kết quả trả về Reply from 172.16.16.17... liên tục và ổn định, quá trình cấu hình VPN Remote Access đã hoàn tất 100%.

Triển khai thành công VPN Remote Access (SSL VPN) giúp giải quyết triệt để bài toán làm việc từ xa an toàn cho người dùng, đảm bảo dữ liệu truy cập vào mạng nội bộ (LAN) luôn được mã hóa và kiểm soát chặt chẽ. Qua bài thực hành này, chúng ta không chỉ nắm vững quy trình khởi tạo chính sách (SSL VPN Policy) và định tuyến tường lửa, mà còn làm chủ được cách xử lý linh hoạt các sự cố thực tế về cổng dịch vụ hay xung đột nền tảng Client.

Hẹn gặp lại anh em ở bài sau nháaa. Cảm ơn anh em đã xem, mong anh em làm theo được!