VPN Site-to-Site SOPHOS XG (P1)
I. Lý thuyếtVPN Site-to-Site là giải pháp kết nối bảo mật giữa hai hoặc nhiều mạng nội bộ (LAN) ở các vị trí địa lý khác nhau. Nó sử dụng đường hầm (tunnel) mã hóa, phổ biến là IPsec, giúp các chi nhánh và trụ sở chia sẻ tài nguyên an toàn mà không cần đường truyền riêng.
Đặc điểm chính của VPN Site-to-Site:
- Kết nối toàn bộ mạng: Thay vì kết nối từng người dùng (client-to-site), loại VPN này kết nối toàn bộ mạng LAN của một chi nhánh với mạng của trụ sở chính.
- Mã hóa an toàn: Sử dụng các giao thức như IPsec để bảo mật dữ liệu truyền qua Internet, thường dùng mã hóa AES-256.
- Ứng dụng: Kết nối chi nhánh, văn phòng từ xa
- Thiết bị: Triển khai trên các thiết bị mạng chuyên dụng như router, tường lửa (firewall).
II. Mô hình
Mục đích: Thiết lập VPN site-to-site để các Site có thể truy cập được vào tài nguyên nội bộ của nhau
III. Thực hành
Trên máy DC có chia sẻ 1 file “Tai lieu noi bo”
Webserver có trang web nội bộ
Bật các Local server IPsec trên WAN
Nó cho phép các máy tính/thiết bị từ Internet (WAN) có thể khởi tạo và kết nối VPN IPsec đến thiết bị tường lửa.
Hoặc Hành động mở cổng IPsec (thường là UDP 500 và 4500) trên giao diện WAN của thiết bị để cho phép kết nối VPN đi vào.
Administration -> Device access -> WAN -> IPsec
Thiết lập kết nối VPN trên Sophos Site1
Site-to-site VPN -> IPsec -> Add
Name (VPNsite2): Đặt tên cho kết nối VPN, giúp quản lý và nhận dạng.
IP version (IPv4 được chọn): Chỉ định giao thức IP sẽ được sử dụng cho kết nối VPN.
Connection type (Route-based (Tunnel interface)):
Đây là một phương pháp triển khai VPN. Route-based VPN (VPN dựa trên định tuyến) tạo ra một giao diện ảo (tunnel interface) trên tường lửa.
Gateway type (Respond only):
Thiết lập này chỉ định vai trò của thiết bị Sophos này trong quá trình thiết lập kết nối VPN (IKE - Internet Key Exchange).
Respond only có nghĩa là thiết bị này sẽ chỉ chờ đợi thiết bị ở đầu bên kia (peer) gửi yêu cầu kết nối để phản hồi và thiết lập tunnel VPN. Nó sẽ không tự khởi tạo kết nối.
Profile (IKEv2): Thiết bị đang được cấu hình sử dụng giao thức Internet Key Exchange phiên bản 2 (IKEv2).
Ý nghĩa: IKEv2 là giao thức hiện đại hơn IKEv1, giúp thiết lập và duy trì các kết nối VPN an toàn, nhanh chóng và ổn định hơn, đặc biệt hữu ích khi có sự cố mạng.
Authentication type (Preshared key): Phương thức xác thực được chọn là Preshared key (PSK).
Ý nghĩa: Để hai thiết bị tường lửa có thể kết nối VPN với nhau, chúng phải sử dụng chung một "mật khẩu bí mật" (Preshared key) đã được nhập và xác nhận ở các ô bên dưới. Đây là phương pháp xác thực phổ biến và đơn giản nhất cho VPN Site-to-site.
Listening interface: Thiết bị Sophos (Site 2) sẽ lắng nghe và chấp nhận các yêu cầu kết nối VPN IPsec đến từ cổng giao tiếp này. Đây là địa chỉ IP Public của Sophos Site 2.
Gateway address: Đây là địa chỉ IP Public của thiết bị tường lửa đối tác (Site 1). Thiết bị Site 2 sẽ sử dụng địa chỉ này để gửi các gói tin VPN đến.
Cài đặt Nâng cao
User authentication mode (None):
Ý nghĩa: Vì đây là VPN Site-to-site (kết nối mạng với mạng), không yêu cầu xác thực người dùng cá nhân.
Disconnect when idle: Chọn nếu tắt khi không kết nối, ngược lại cho phép đường hầm VPN luôn duy trì kết nối, ngay cả khi không có lưu lượng truy cập trong khoảng thời gian Idle session time interval (120 giây), đảm bảo kết nối vĩnh viễn giữa hai mạng.
Tương tự, thực hiện tạo kết nối VPN trên Sophos Site1
Kiểm tra kết quả cấu hình, VPN site-to-site được thiết lập thành công giữa 2 Site
Đặt IP cho các interface tunnel
Network -> Interfaces -> xfrm2/xfrm1 -> Đặt IP cho Interface Tunnel trên Sophos 2 Site
Link xem cấu hình Phần 2: PHẦN 2
Sửa lần cuối: