Sophos [LAB 4] Cấu Hình Remote Access VPN Trên SophosXG (SSL VPN)

phile

Moderator
CẤU HÌNH REMOTE ACCESS VPN TRÊN SOPHOSXG (SSL VPN)
Tài liệu này sẽ hướng dẫn cấu hình Remote Access VPN (SSL VPN) trên SophosXG v18.5
1. Mô hình và yêu cầu của bài lab
a. Mô hình bài lab
1629604451495.png

b. Yêu cầu bài lab
Cấu hình Remote Access VPN sử dụng SSL VPN trên firewall SophosXG để người dùng có thể truy cập vào các resource bên trong SophosXG.
2. Thực hiện cấu hình
a. Cấu hình Remote Access VPN trên SophosXG
Đầu tiên ta sẽ kết nối AD server với SophosXG để lấy thông tin user cho việc xác thực khi xử dụng SSL VPN, để kết nối với AD server trước tiên ta phải cấu hình thông tin DNS ta vào phần Network->DNS
1629605724225.png

Sau đó ta sẽ Add AD server mới bằng cách vào Authentication->Servers->Add. Trong bài làm này ta sẽ dùng AD nên trong phần Server Type ta sẽ chọn Active Directory, sau đó ta sẽ điền các thông tin để kết nối với AD server như: IP NETBIOS name, account để kết nối với AD server(nên dùng account có quyền domain admin),...Khi đã điền đầy đủ thông tin ta sẽ nhấn Test Connection để kiểm tra kết nối từ SophosXG tới AD server:
1629605605426.png

Sau đó ta sẽ lấy users từ AD server bằng cách vào Authentication->Servers chọn AD mới tạo sau đó nhấn import và chọn thông tin như hình
1629606326256.png

1629606405496.png
1629606524702.png

1629606697407.png
1629606761025.png

Sau đó bạn có thể kiểm tra Group đã được thêm vào SophosXG bằng cách vào Authentication->Groups ở đây bạn có thể thấy đã có group đã chọn trong phần trên
1629607028954.png

Tiếp theo ta phải định nghĩa phương thức identity khi sử dụng SSL VPN trong phần Authentication->Services->SSL VPN authentication methods ta sẽ chọn AD server đã cấu hình fall back bằng user local đồng thời cũng define trong phần User portal authentication methods để user có thể dùng để download VPN client
1629607699807.png
1629607731382.png

Sau đó ta sẽ vào phần cấu hình SSL VPN policy bằng cách vào phần VPN->SSL VPN(remote access)->Add tại đây ta sẽ điền thông tin Identity là Group user đã lấy được từ AD server ở trên sau đó ở phần Tunnel access sẽ có 2 lựa chọn: đẩy tất cả traffic về SophosXG(Use as default gateway) hoặc define ra các subnet đẩy về SophosXG còn lại sẽ dùng gateway của bản thân(Split tunnel). Ở bài lab này ta sẽ cấu hình split tunnel để truy cập vào 2 subnet là 172.16.198.0/24 và 172.16.199.0/24
1629608100753.png

Các bạn cũng có thể thay đổi các thông số của SSL VPN bằng cách vào phần VPN->Show VPN settings ở đây ta có thể thay đổi các thông số như: Protocol, Port, IP cấp cho user khi truy cập SSL VPN, cũng như thông tin DNS, Domain và các thuật toán để xác thực và mã hóa gói tin.
1629608815432.png
1629608988598.png

Cuối cùng ta sẽ tạo rule để cho phép user SSL VPN truy cập vào các resource mong muốn bằng cách vào Rules and policies->New firewall rule default khi sử dụng VPN nó sẽ thuộc vào zone VPN nên ta cấu hình Source zone sẽ là VPN tiếp theo phần Source networks and devices ta sẽ chọn subnet sẽ cấp cho user khi truy cập SSL VPN đã cấu hình trên phần Show VPN settings còn thông số destination ta sẽ cấu hình zone, subnet hoặc host và service mà ta cho phép user SSL VPN có thể truy cập
1629609420841.png

Lưu ý: Sau khi hoàn tất các bước trên đảm bảo 2 thông số SSL VPN và User Portal được chọn trong phần Administration->Device access->Zone WAN để cho phép user kết nối SSL VPN cũng như đăng nhập user portal để tải VPN client
1629609781591.png

b. Kiểm tra Remote Access VPN
Đấu tiên ta sẽ truy cập user portal để tải VPN client
1629610053821.png

Sau đó ta sẽ chọn phần Download client and configuration for Windows trong tab VPN
1629610115077.png

Sau khi cài đặt xong ta sẽ điền thông tin identity để xác thực SSL VPN ta thấy đã kết nối thành công
1629611875030.png
1629610319946.png

Ta kiểm tra route và ping tới resource bên trong SophosXG
1629610439688.png
1629611592438.png

Trên SophosXG ta cũng có thể thấy được user đang kết nối SSL VPN
1629611676431.png

Phi​
 

Attachments

Last edited:
Top