Cấu hình VPN site to site Sophos Firewall với AWS

Chuẩn bị:

AWS:

• Máy ảo trên AWS (Ubuntu)
• Tạo AWS Customer Gateway
• Tạo Virtual Private Gateway (VPG)
• Tạo VPN connection
• Tải file cấu hình VPN connection để lấy thông tin cần thiết

Sophos Firewall:

• Tạo profile IP cho local và remote subnet
• Tạo IPsec policy
• Tạo IPsec connection
• Tạo firewall rule cho 2 zone LAN và VPN
• Tạo cổng xfrm tunnel interface
• Tạo route

Hướng dẫn cấu hình:

AWS

1/ Máy ảo Ubuntu trên AWS

• Ipv4: 172.31.24.127/20
• Trong khoảng 172.31.16.0 – 172.31.31.255 netmask /20

2/ Tạo Customer Gateway

• Vào service > chọn VPC hoặc search VPC
• Ở cột bên trái mục Virtual private network > Chọn Customer Gateway.

• Chọn Create Customer gateway. Điền thông tin

+ Name: Sophos Firewall

+ IP address: nhập IP WAN của Sophos

• Điền xong nhấn Create.

3/ Tạo Virtual Private Gateway (VPG)

• Ở mục Virtual private network bên trái > Chọn Virtual private gateways

• Chọn Create virtual private gateway
• Điền Name và Nhấn Create.

• Tiếp tục add VPG vừa tạo vào VPC

• Chọn xong VPC > nhấn Attach to VPC.
• Khi Attach thành công thì ở phần State sẽ như hình

4/ Tạo VPN Connection

• Ở muc Virtual private network, chọn site-to-site VPN connections.
• Chọn Create VPN Connection.
• Điền thông tin:

+ Name: S2S-VPN-SophostoAWS

+ Target gateway type: chọn Virtual private gateway

+ Virtual private gateway: chọn cái đã tạo ở bước 3

+ Customer gateway ID: chọn đã tạo ở bước 2

• Ở mục Routing: chọn Static
• Static IP prefixes: nhập mạng local bên phía Sophos 192.168.1.0/24
• Local IPv4: nhập mạng local bên phía Sophos 192.168.1.0/24
• Remote IPv4: nhập mạng local của AWS ở bước 1, 172.31.16.0/20

• Điền xong nhấn Create eVPN connection.

5/ Tải file VPN connection configuration

• Tích chọn Connection mới tạo ở trên > nhấn Download configuration

• Chọn các thông tin như hình và nhấn Download

• Mở file txt vừa mới tải về và lấy các thông tin cần thiết.

Trong file sẽ có 2 IPsec Tunnel, tương đương với 2 tunnel trong VPN connection. Ở đây chúng ta sẽ làm mẫu 1 tunnel

Phase 1:

Phase 2

• IP public của 2 site:

• IP tunnel

• MTU và MSS cho tunnel

Sophos Firewall

1/ Tạo profile IP cho local và remote subnet

• Vào System > Host and services > IP host > Add

Remote:

Local:

2/ Tạo IPsec policy

Ở mục Configure > IPsec policies > Add

Dùng các thông tin thu thập được ở file configuration đã download phía trên và điền vào

• Name: AWS.
• Key Exchange: IKEv2.

Phase 1:

• Key life: 28800.
• DH group: 2 [DH1024].
• Encryption: AES128.
• Authentication: SHA1

Phase 2:

• PFS group [DH group]: Same as phase-I.
• Key life: 3600.
• Encryption: AES128.
• Authentication: SHA1.

Xong nhấn SAVE.

3/ Tạo IPsec connection

Ở mục Configure > IPsec connections > Add

• Xong nhấn Save.
• Sau khi tạo xong sẽ có connection như hình

• Ở mục Active, tích chấm tròn đỏ để turn on.
• Sophos sẽ tạo tạo kết nối đến AWS, nếu cột Connection chuyển thành màu xanh là kết nối đã thiết lập thành công.

4/ Tạo firewall rule cho 2 zone LAN và VPN

• Tạo firewall rule để 2 zone có thể connect tới nhau.
• Tạo như hình. Xong nhấn Save

5/ Cấu hình cổng xfrm tunnel interface

• Ở mục Configure > Network > Ở port WAN của IP public sẽ có tunnel interface đã được tạo sẵn.
• Cấu hình IP cho tunnel interface đó.

• Ở mục Advance settings, điền thông số MTU và MSS đã có ở file configuration tải về

• Xong nhấn Save.

6/ Tạo route

Tiếp theo ta tạo static route để lớp mạng ở AWS đi thông qua tunnel interface.

Kết quả:

• Kiểm tra tunnel 1 status của AWS, vào VPN Connections > Tích chọn Connection muốn xem > Chọn mục Tunnel details.
• Ta sẽ thấy Status UP là đang kết nối.

• Test ping từ AWS tới máy local trong Sophos Firewall.

Fan page: Công ty Cổ Phần DASS