HOTLINE Kỹ Thuật: 098.114.9449

Cấu hình VPN site to site Sophos Firewall với AWS

16/04/2024 15:03 241 lần Chuyên mục: Bài viết kỹ thuật

Chuẩn bị:

AWS:

  • Máy ảo trên AWS (Ubuntu)
  • Tạo AWS Customer Gateway
  • Tạo Virtual Private Gateway (VPG)
  • Tạo VPN connection
  • Tải file cấu hình VPN connection để lấy thông tin cần thiết

Sophos Firewall:

  • Tạo profile IP cho local và remote subnet
  • Tạo IPsec policy
  • Tạo IPsec connection
  • Tạo firewall rule cho 2 zone LAN và VPN
  • Tạo cổng xfrm tunnel interface
  • Tạo route

Hướng dẫn cấu hình:

AWS

1/ Máy ảo Ubuntu trên AWS

  • Ipv4: 172.31.24.127/20
  • Trong khoảng 172.31.16.0 – 172.31.31.255 netmask /20

ubuntu on AWS

2/ Tạo Customer Gateway

  • Vào service > chọn VPC hoặc search VPC
  • Ở cột bên trái mục Virtual private network > Chọn Customer Gateway.

2.CreateCustomerGateway

  • Chọn Create Customer gateway. Điền thông tin

+ Name: Sophos Firewall

+ IP address: nhập IP WAN của Sophos

  • Điền xong nhấn Create.

3.CreateCustomerGateway

3/ Tạo Virtual Private Gateway (VPG)

  • Ở mục Virtual private network bên trái > Chọn Virtual private gateways

4.VPG

  • Chọn Create virtual private gateway
  • Điền Name và Nhấn Create.

5.VPG

  • Tiếp tục add VPG vừa tạo vào VPC

5.5

7.attachtoVPC

  • Chọn xong VPC > nhấn Attach to VPC.
  • Khi Attach thành công thì ở phần State sẽ như hình

8.successattachtoVPC

4/ Tạo VPN Connection

  • Ở muc Virtual private network, chọn site-to-site VPN connections.
  • Chọn Create VPN Connection.
  • Điền thông tin:

+ Name: S2S-VPN-SophostoAWS

+ Target gateway type: chọn Virtual private gateway

+ Virtual private gateway: chọn cái đã tạo ở bước 3

+ Customer gateway ID: chọn đã tạo ở bước 2

9.createVPNconnection

  • Ở mục Routing: chọn Static
  • Static IP prefixes: nhập mạng local bên phía Sophos 192.168.1.0/24
  • Local IPv4: nhập mạng local bên phía Sophos 192.168.1.0/24
  • Remote IPv4: nhập mạng local của AWS ở bước 1, 172.31.16.0/20

10.RouteVPNconnection

  • Điền xong nhấn Create eVPN connection.

5/ Tải file VPN connection configuration

  • Tích chọn Connection mới tạo ở trên > nhấn Download configuration

11.downloadconfig

  • Chọn các thông tin như hình và nhấn Download

12.downloadconfig

  • Mở file txt vừa mới tải về và lấy các thông tin cần thiết.

Trong file sẽ có 2 IPsec Tunnel, tương đương với 2 tunnel trong VPN connection. Ở đây chúng ta sẽ làm mẫu 1 tunnel

Phase 1:

13.Phase1

Phase 2

14.Phase2

  • IP public của 2 site:

15.IPpublic

  • IP tunnel

16.IPtunnel

  • MTU và MSS cho tunnel

17.MTU

18.MSS

Sophos Firewall

1/ Tạo profile IP cho local và remote subnet

  • Vào System > Host and services > IP host > Add

Remote:

19.remote

Local:

20.local

2/ Tạo IPsec policy

Ở mục Configure > IPsec policies > Add

Dùng các thông tin thu thập được ở file configuration đã download phía trên và điền vào

  • Name: AWS.
  • Key Exchange: IKEv2.

21.ipsecpolicy

Phase 1:

  • Key life: 28800.
  • DH group: 2 [DH1024].
  • Encryption: AES128.
  • Authentication: SHA1

22.policyphase1

Phase 2:

  • PFS group [DH group]: Same as phase-I.
  • Key life: 3600.
  • Encryption: AES128.
  • Authentication: SHA1.

23.policyphase2

Xong nhấn SAVE.

3/ Tạo IPsec connection

Ở mục Configure > IPsec connections > Add

24.ipsecconnection

25.ipsecconnection

26.ipsecconnection

  • Xong nhấn Save.
  • Sau khi tạo xong sẽ có connection như hình

27.ipsecconnection

  • Ở mục Active, tích chấm tròn đỏ để turn on.
  • Sophos sẽ tạo tạo kết nối đến AWS, nếu cột Connection chuyển thành màu xanh là kết nối đã thiết lập thành công.

28.successfulconnection

4/ Tạo firewall rule cho 2 zone LAN và VPN

  • Tạo firewall rule để 2 zone có thể connect tới nhau.
  • Tạo như hình. Xong nhấn Save

29.firewallrule

5/ Cấu hình cổng xfrm tunnel interface

  • Ở mục Configure > Network > Ở port WAN của IP public sẽ có tunnel interface đã được tạo sẵn.
  • Cấu hình IP cho tunnel interface đó.

30.xfrmtunnel

31.settingtunnel

  • Ở mục Advance settings, điền thông số MTU và MSS đã có ở file configuration tải về

32.MTUtunnel

  • Xong nhấn Save.

6/ Tạo route

Tiếp theo ta tạo static route để lớp mạng ở AWS đi thông qua tunnel interface.

33.route

Kết quả:

  • Kiểm tra tunnel 1 status của AWS, vào VPN Connections > Tích chọn Connection muốn xem > Chọn mục Tunnel details.
  • Ta sẽ thấy Status UP là đang kết nối.

34.test

  • Test ping từ AWS tới máy local trong Sophos Firewall.

35.testping


CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

♦ 028 2055 2868

♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội

♦ 024 3555 3030

♦ Email: info@dass.vn

♦ Fanpage: DASS – Sophos Việt Nam