Cấu hình VPN site to site Sophos Firewall với AWS
16/04/2024 15:03 241 lần Chuyên mục: Bài viết kỹ thuật
Chuẩn bị:
AWS:
- Máy ảo trên AWS (Ubuntu)
- Tạo AWS Customer Gateway
- Tạo Virtual Private Gateway (VPG)
- Tạo VPN connection
- Tải file cấu hình VPN connection để lấy thông tin cần thiết
Sophos Firewall:
- Tạo profile IP cho local và remote subnet
- Tạo IPsec policy
- Tạo IPsec connection
- Tạo firewall rule cho 2 zone LAN và VPN
- Tạo cổng xfrm tunnel interface
- Tạo route
Hướng dẫn cấu hình:
AWS
1/ Máy ảo Ubuntu trên AWS
- Ipv4: 172.31.24.127/20
- Trong khoảng 172.31.16.0 – 172.31.31.255 netmask /20
2/ Tạo Customer Gateway
- Vào service > chọn VPC hoặc search VPC
- Ở cột bên trái mục Virtual private network > Chọn Customer Gateway.
- Chọn Create Customer gateway. Điền thông tin
+ Name: Sophos Firewall
+ IP address: nhập IP WAN của Sophos
- Điền xong nhấn Create.
3/ Tạo Virtual Private Gateway (VPG)
- Ở mục Virtual private network bên trái > Chọn Virtual private gateways
- Chọn Create virtual private gateway
- Điền Name và Nhấn Create.
- Tiếp tục add VPG vừa tạo vào VPC
- Chọn xong VPC > nhấn Attach to VPC.
- Khi Attach thành công thì ở phần State sẽ như hình
4/ Tạo VPN Connection
- Ở muc Virtual private network, chọn site-to-site VPN connections.
- Chọn Create VPN Connection.
- Điền thông tin:
+ Name: S2S-VPN-SophostoAWS
+ Target gateway type: chọn Virtual private gateway
+ Virtual private gateway: chọn cái đã tạo ở bước 3
+ Customer gateway ID: chọn đã tạo ở bước 2
- Ở mục Routing: chọn Static
- Static IP prefixes: nhập mạng local bên phía Sophos 192.168.1.0/24
- Local IPv4: nhập mạng local bên phía Sophos 192.168.1.0/24
- Remote IPv4: nhập mạng local của AWS ở bước 1, 172.31.16.0/20
- Điền xong nhấn Create eVPN connection.
5/ Tải file VPN connection configuration
- Tích chọn Connection mới tạo ở trên > nhấn Download configuration
- Chọn các thông tin như hình và nhấn Download
- Mở file txt vừa mới tải về và lấy các thông tin cần thiết.
Trong file sẽ có 2 IPsec Tunnel, tương đương với 2 tunnel trong VPN connection. Ở đây chúng ta sẽ làm mẫu 1 tunnel
Phase 1:
Phase 2
- IP public của 2 site:
- IP tunnel
- MTU và MSS cho tunnel
Sophos Firewall
1/ Tạo profile IP cho local và remote subnet
- Vào System > Host and services > IP host > Add
Remote:
Local:
2/ Tạo IPsec policy
Ở mục Configure > IPsec policies > Add
Dùng các thông tin thu thập được ở file configuration đã download phía trên và điền vào
- Name: AWS.
- Key Exchange: IKEv2.
Phase 1:
- Key life: 28800.
- DH group: 2 [DH1024].
- Encryption: AES128.
- Authentication: SHA1
Phase 2:
- PFS group [DH group]: Same as phase-I.
- Key life: 3600.
- Encryption: AES128.
- Authentication: SHA1.
Xong nhấn SAVE.
3/ Tạo IPsec connection
Ở mục Configure > IPsec connections > Add
- Xong nhấn Save.
- Sau khi tạo xong sẽ có connection như hình
- Ở mục Active, tích chấm tròn đỏ để turn on.
- Sophos sẽ tạo tạo kết nối đến AWS, nếu cột Connection chuyển thành màu xanh là kết nối đã thiết lập thành công.
4/ Tạo firewall rule cho 2 zone LAN và VPN
- Tạo firewall rule để 2 zone có thể connect tới nhau.
- Tạo như hình. Xong nhấn Save
5/ Cấu hình cổng xfrm tunnel interface
- Ở mục Configure > Network > Ở port WAN của IP public sẽ có tunnel interface đã được tạo sẵn.
- Cấu hình IP cho tunnel interface đó.
- Ở mục Advance settings, điền thông số MTU và MSS đã có ở file configuration tải về
- Xong nhấn Save.
6/ Tạo route
Tiếp theo ta tạo static route để lớp mạng ở AWS đi thông qua tunnel interface.
Kết quả:
- Kiểm tra tunnel 1 status của AWS, vào VPN Connections > Tích chọn Connection muốn xem > Chọn mục Tunnel details.
- Ta sẽ thấy Status UP là đang kết nối.
- Test ping từ AWS tới máy local trong Sophos Firewall.
CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS
♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM
♦ 028 2055 2868
♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội
♦ 024 3555 3030
♦ Email: info@dass.vn
♦ Fanpage: DASS – Sophos Việt Nam