Tường lửa Sophos XG: Cấu hình SSL VPN remote access
03/07/2019 22:22 8480 lần Chuyên mục: Bài viết kỹ thuật
1. Cấu hình Sophos Firewall
1.1 Tạo Group và users
Truy cập Authentication > Group và tạo group cho users remote SSL VPN.
Truy cập Authentication > Users và tạo users remote SSL VPN.
1.2 Tạo local subnet và remote SSL VPN range
Truy cập Hosts and Services > IP Host và định nghĩa local subnet bên dưới Sophos Firewall.
Truy cập Hosts and Services > IP Host và định nghĩa remote SSL VPN range.
1.3 Định nghĩa policy remote SSL VPN
Truy cập VPN > SSL VPN (Remote Access) và chọn Add để tạo mới policy.
– Policy Member: Group hoặc users mới tạo ở trên.
– Tunnel Access: chọn local subnet vừa tạo ở trên.
1.4 Kiểm tra phương thức chứng thực cho SSL VPN
Truy cập Authentication > Services chọn Set Authentication Method for SSL VPN và kiểm tra là Local đang được chọn tại phần Authentication Server.
Ghi chú: Nêu chọn Local tại phần Firewall Authentication Methods. Vì sẽ cần chứng thực User khi đăng nhập vào User Portal để tải gói cài đặt SSL VPN.
1.5 Kiểm tra SSL VPN trên các Zones
Truy cập Administrator > Device Access và cho phép các zones WAN và LAN tại phần Local Service ACL. Có thể thêm các zones khác khi trên hệ thống có các zones mà người quản trị tự tạo.
1.6 Cấu hình nâng cao cho SSL VPN
Truy cập VPN và chọn Show VPN Settings
Tại tab SSL VPN kiểm tra IPv4 Lease Range
Ghi chú: Nếu Sophos XG firewall không có IP Public tại WAN mà đứng phía sau thiết bị NAT, hãy đặt IP public tại Overwrite Hostname. Điều này cho phép máy client có thể sử dụng IP Public khi thiết lập kết nối. Thiết bị NAT phải cấu hình forward SSL VPN đến XG Firewall.
1.7 Tạo Firewall rule
Truy cập Firewall chọn +Add Firewall Rule và chọn User/Netword Rule
Ghi chú:
– Lưu ý nếu có nhiều rules VPN tới các vùng LAN thì chú ý đến thứ tự các rules, và nên đặt phía trên các rule này.
– Nếu máy client muốn truy cập internet thông qua XG Firewall thì cần tạo rule với VPN là source zone và WAN là destination zone.
2. Cấu hình SSL VPN Client
2.1 Tải phần mềm SSL VPN Client
Truy cập vào User Portal với đường dẫn https://IP Public hoặc https://IP Firewall
nếu có thay đổi về port User Portal thì gắn thêm port phía sau đường dẫn
ví dụ: https://IP Public:4443
Ghi chú: Có thể thay đổi port tại Administrator > Admin Settings tại Port Settings for Admin Console
Sau khi đăng nhập thành công thì tải gói cài đặt và config SSL VPN.
2.2 Cài đặt gói cài đặt SSL trên Windows
Chạy file download SSL VPN Client
Chọn Next và làm theo hướng dẫn
Chấp nhận license agreement.
Chọn thư mục lưu và click Install
Theo dõi quá trình cài đặt
Chọn Finish sau khi hoàn thành cài đặt
Sau khi cài đặt chạy SSL VPN bằng cách chọn icon VPN trên thanh taskbar
Đăng nhập user VPN
Khi đèn báo trên ứng dụng chuyển từ đỏ sang xanh lá thì kết nối thành công sẽ có thông báo như bên hình
3. Kết quả
Kiểm tra trên máy nhận được IP của SSL VPN range
Tham khảo thêm: Hướng dẫn cấu hình SSL VPN cho MAC OS X
Fan page: Công ty Cổ Phần DASS