Hướng Dẫn VPN Site-to-Site Sophos Firewall Và pfSense

Trong môi trường doanh nghiệp có nhiều chi nhánh sử dụng các thiết bị firewall khác nhau, việc thiết lập kết nối VPN Site-to-Site giúp truyền dữ liệu an toàn và liền mạch giữa các mạng nội bộ. Bài viết này sẽ hướng dẫn bạn cấu hình kết nối VPN Site-to-Site Sophos Firewall Và pfSense bằng IPSec VPN with Pre-Shared Key.

SFOS: v21.0

1. Sơ Đồ Mạng Mẫu

• Site A (Sophos Firewall):
  • WAN: 203.0.113.1
  • LAN: 192.168.10.0/24
• Site B (pfSense):
  • WAN: 198.51.100.1
  • LAN: 192.168.20.0/24

2. Cấu Hình Trên Sophos Firewall

Bước 1: Tạo IPSec profile

1. Vào menu Profiles > IPSec profile
2. Nhấn Add và nhập các thông số:
   • Name: PFSense_IKEv2
   • Key exchange: IKEv2
   • Phase 1:
     • DH group (key group): 14 (DH2048)
     • Encryption: AES128
     • Authentication: SHA2 256
   • Phase 2:
     • PFS group (DH group): Same as phase-1
     • Encryption: AES256
     • Authentication: SHA2 256
3. Nhấn Save để lưu.

Bước 2: Tạo kết nối IPSec

1. Vào menu Site-to-site VPN > IPSec
2. Nhấn Add và nhập các thông số:
   • Name: To_PFSense
   • Connection type: Site-to-site
   • Tick chọn Activate on save và Create firewall rule
   • Profile: Chọn PFSense_IKEv2
   • Authentication type: Preshared key
   • Preshared key: Nhập khóa dùng chung (ví dụ: dassvpn2025)
   • Local Gateway: WAN IP của Sophos (203.0.113.1)
   • Remote Gateway: WAN IP pfSense (198.51.100.1)
   • Local Subnet: 192.168.10.0/24
   • Remote Subnet: 192.168.20.0/24
3. Nhấn Save để lưu.

3. Cấu Hình Trên pfSense

Bước 1: Thêm Phase 1

1. Vào VPN > IPSec, tab Tunnels, nhấn Add P1
2. Nhập thông tin:
   • Remote Gateway: 203.0.113.1 (WAN IP Sophos)
   • Interface: WAN
   • Pre-Shared Key: dassvpn2025
   • Phase 1 Proposal (Authentication):
     • Authentication Method: Mutual PSK
     • My identifier: My IP address
     • Peer identifier: Peer IP address
   • Encryption: AES 128 bits, SHA256, DH Group 14 (2048 bit)
3. Nhấn Save

Bước 2: Thêm Phase 2

1. Nhấn Add P2 dưới Phase 1 vừa tạo
2. Thiết lập:
   • Local network: 192.168.20.0/24
   • Remote network: 192.168.10.0/24
   • Protocol: ESP
   • Encryption: AES 256 bits, SHA256
   • PFS key group: 14 (2048 bit)
3. Nhấn Save và Apply changes

4. Kiểm Tra Kết Nối VPN

• Vào VPN > IPSec trên pfSense, kiểm tra trạng thái Phase 1 và 2 phải là “Established”.
• Trên Sophos, vào Site-to-site VPN > IPsec, kiểm tra kết nối ở trạng thái “Active” và “Connection” đều “xanh”.

• Thử ping từ máy tính ở mạng 192.168.10.0/24 đến máy ở mạng 192.168.20.0/24 để xác minh.

5. Một Số Lưu Ý

• Kiểm tra các rule firewall cho phép traffic giữa hai subnet nội bộ ở cả Sophos và pfSense.
• Cả hai bên phải sử dụng chính sách mã hóa giống hệt nhau.
• Đảm bảo không NAT lưu lượng VPN.

6. Tổng Kết

Với các bước trên, bạn đã thiết lập thành công kết nối VPN IPSec Site-to-Site giữa Sophos Firewall và pfSense. Giải pháp này giúp kết nối bảo mật giữa hai mạng ở hai địa điểm khác nhau, phù hợp cho các tổ chức có chi nhánh hoặc làm việc từ xa.

Nếu bạn cần hỗ trợ triển khai thực tế hoặc cấu hình mở rộng (Failover, Route-based VPN…), hãy liên hệ DASS để được tư vấn và hỗ trợ nhanh chóng.

7. Tham khảo

Sophos Firewall XGS: Sophos Firewall (XGS Series) – DASS

Administrator help: Create a policy-based IPsec VPN using preshared key – Sophos Firewall

CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

♦ 028 2055 2868

♦ Hà Nội: Số 29, Lê Đại Hành, Phường Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội

♦ 024 3555 3030

♦ Email: info@dass.vn

♦ Fanpage: DASS – Sophos Việt Nam