Как сделать Site-to-Site VPN между шлюзами Sophos UTM?

Есть 2 локальные сети, которые нужно соединить между собой посредством VPN канала. Что есть в наличии:

  • Город Москва. Локальная сеть 192.168.0.0/24. Шлюз Sophos UTM 9.3 с статическим белым IP 85.85.85.100
  • Город Тула. Локальная сеть 192.168.20.0/24. Шлюз Sophos UTM 9.3 c статическим IP 86.86.86.100

Какие настройки требуется произвести на шлюзах чтобы поднять VPN?

Как сделать Site-to-Site VPN между шлюзами Sophos UTM?

И так, чтобы поднять Site-to-site VPN между делаем следующие:

1)Заходим в консоль управления шлюзом Sophos UTM в городе Москва по адресу https:// 85.85.85.100:4444,

2)Переходим в раздел «Definitions & Users» >> «Network Definitions», 3)Нажимаем «New Network Definition…»,

4)И добавляем сначала удаленный шлюз Тулы: Site-to-site-vpn-sophos-utm-1

a)Name: Произвольное имя удаленного шлюза,

b)Type: Выбираем Host,

c)IPv4 Address: сюда вбиваем статический IP шлюза Тулы 86.86.86.100, d)Все остальные настройки оставляем по умолчанию,

e)Нажимаем «Save»,

5)Опять нажимаем «New Network Definition…»,

6)И добавляем удаленную подсеть: Site-to-site-vpn-sophos-utm-2 a)Name: произвольное имя удаленной сети,

b)Type: выбираем Network,

c)IPv4 Address: вбиваем адрес удалённой сети Тулы (192.168.20.0), d)Netmask: выбираем маску если по умолчанию то /24 (255.255.255.0) доступна будет вся подсеть,

e)Comment: по желанию,

f)Advanced-Interface: оставляем по умолчанию,

g)Нажимаем «Save»,

7)Переходи в раздел «Site-to-site VPN» >> «IPsec» >> «Remote Gateways», 8)Нажимаем «New Remote Gateway…»,

9)И создаем удаленный шлюз Тулы, Site-to-site-vpn-sophos-utm-3

a)Name: Произвольное имя удаленного шлюза,

b)Gateway type: –Initiate Connection – в случае если соединяемые шлюзы имеют статические IP адреса (по умолчанию), –Respond Only – в случае если у удаленного шлюза нет статического IP и нет возможности подключиться к одной из служб DynDNS (полный список служб можно посмотреть в «Network Services» >> «DNS» >> «DynDNS») и сетевой экран не может инициировать подключение самостоятельно,

c)Gateway: если выбрали режим «Initiate Connection» то выбираем ранее созданный «Gate_Tula»,

d)Authentication type: выбираем тип аунтификации подключения их всего 4: –Preshared key – Общий секретный ключ должен совпадать при создании подключения на 2 шлюзах (используется по умолчанию как самый простой способ), –RSA key – аунтификации с помощью RSA ключа с каждой стороны используется 2 ключа открытых и 1 общий закрытый, –Local X509 Certificate – так же используются открытые и закрытые ключи. Сертификат X.509 содержит открытый ключ и данные, которые идентифицируют владельца ключа. Такие сертификаты подписываются и выдаются доверенным центром сертификации (ЦС). В ходе обмена ключами происходит обмен сертификатами, а затем их подлинность проверяется с помощью локально хранимого сертификата ЦС. Выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза локально хранится на узле, –Remote X509 Certificate – выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза не хранится локально на узле. Необходимо указать метод идентификации VPN и идентификатор VPN для сертификата, используемого на удаленном компоненте, т. е. для сертификата, который выбран в области Локальный сертификат X.509 (Local X.509 Certificate) на вкладке «Site-to-site VPN»  >> «IPsec» >> «Advanced», e)Key: вбиваем сюда заранее придуманный секретный ключ, f)Repeat: повторно вносим его сюда еще раз,

g)VPN ID type: Тип индификации VPN сети (не обязательно, только для усиления безопасности): – IP address, – Hostname, – Email address, h)VPN ID (optional): Тут вбиваем или ip адрес или имя хоста ну или емаил, смотря что выбрали выше,

i)Remote Networks: выбираем заранее созданную удаленную локальную сеть «Site_Tula»,

j)Comment: по желанию,

k)Чекбокс Support Path MTU discovery: включения поддержки обнаружения MTU пути,

l)Чекбокс Support congestion signaling (ECN): включить сигнализацию о перегрузке (ECN),

m)Чекбокс Enable XAUTH client mode: Включить режим клиента XAUTH (требуется ввод логина и пароля),

n)Нажимаем «Save»,

10)Переходим в вкладку «Connections»,

11)Нажимаем «New IPsec Connection…» и создаем vpn соединение: Site-to-site-vpn-sophos-utm-4

a)Name: произвольное имя нашего VPN соединения,

b)Remote Gateway: выбираем заранее созданный Remote Gateway, в нашем случае это «Tula-UTM»,

c)Local Interface: выбираем интерфейс через который будет идти VPN канал,

d)Policy: выбираем политику шифрования трафика по VPN каналу,

e)Local Networks: выбираем локальную сеть которую будем расширять VPN каналом (192.168.0.0/24),

f)Чекбокс Automatic Firewall Rules: автоматическое создание правил для Firewall (не ставим, правила создадим вручную),

g)Чекбокс Strict Routing: строгая маршрутизация, включать по желанию, h)Чекбокс Bind Tunnel to Local Interface: Привязать туннель к локальному интерфейсу, включать по желанию,

i)Нажимаем «Save»,

12)Включить соединение: Site-to-site-vpn-sophos-utm-15 13)Переходи в раздел «Network Protection» >> «Firewall» >> «Rules», 14)Нажимаем «New Rule…»,

15)И создаем правило для нашего исходящего трафика VPN соединения: Site-to-site-vpn-sophos-utm-5

a)Group: или оставляем по умолчанию, или создаем,

b)Position: Можно оставить по умолчанию,

c)Sources: Выбираем откуда будет идти трафик ( в нашем случае это Internal (Network) 192.168.0.0/24),

d)Services: на время создания сети выбираем «Any»,

e)Destinations: выбираем куда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Tula»),

f)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), g)Comment: по желанию,

h)Time Period: Период времени (оставляем «Always»),

i)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,

j)Source MAC Addresses: оставляем как есть (тут без выбора),

k)Нажимаем «Save»,

16)Нажимаем «New Rule…»,

17)И создаем правило для нашего входящего трафика VPN соединения: Site-to-site-vpn-sophos-utm-6

a)Group: или оставляем по умолчанию, или создаем,

b)Position: Можно оставить по умолчанию,

c)Sources: Выбираем откуда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Tula»),

d)Services: на время создания сети выбираем «Any»,

e)Destinations: выбираем куда будет идти трафик (в нашем случае это Internal (Network) 192.168.0.0/24),

f)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), g)Comment: по желанию,

h)Time Period: Период времени (оставляем «Always»),

i)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,

j)Source MAC Addresses: оставляем как есть (тут без выбора),

k)Нажимаем «Save»,

18)Включаем правила: Site-to-site-vpn-sophos-utm-7 19)Заходим в консоль управления шлюзом Sophos UTM в городе Москва по адресу https:// 86.86.86.100:4444,

20)Переходим в раздел «Definitions & Users» >> «Network Definitions», 21)Нажимаем «New Network Definition…»,

22)И добавляем сначала удаленный шлюз Тулы: Site-to-site-vpn-sophos-utm-8

f)Name: Произвольное имя удаленного шлюза,

g)Type: Выбираем Host,

h)IPv4 Address: сюда вбиваем статический IP шлюза Тулы 86.86.86.100, i)Все остальные настройки оставляем по умолчанию,

j)Нажимаем «Save»,

23)Опять нажимаем «New Network Definition…»,

24)И добавляем удаленную подсеть:

Site-to-site-vpn-sophos-utm-9

h)Name: произвольное имя удаленной сети,

i)Type: выбираем Network,

j)IPv4 Address: вбиваем адрес удалённой сети Москвы (192.168.0.0), k)Netmask: выбираем маску если по умолчанию то /24 (255.255.255.0) доступна будет вся подсеть,

l)Comment: по желанию, m)Advanced-Interface: оставляем по умолчанию, n)Нажимаем «Save»,

25)Переходи в раздел «Site-to-site VPN» >> «IPsec» >> «Remote Gateways»,

26)Нажимаем «New Remote Gateway…»,

27)И создаем удаленный шлюз Москвы: Site-to-site-vpn-sophos-utm-10

o)Name: Произвольное имя удаленного шлюза,

p)Gateway type: –Initiate Connection – в случае если соединяемые шлюзы имеют статические IP адреса (по умолчанию), –Respond Only – в случае если у удаленного шлюза нет статического IP и нет возможности подключиться к одной из служб DynDNS (полный список служб можно посмотреть в «Network Services» >> «DNS» >> «DynDNS») и сетевой экран не может инициировать подключение самостоятельно,

q)Gateway: если выбрали режим «Initiate Connection» то выбираем ранее созданный «Gate_Moscow»,

r)Authentication type: выбираем тип аунтификации подключения их всего 4: –Preshared key – Общий секретный ключ должен совпадать при создании подключения на 2 шлюзах (используется по умолчанию как самый простой способ), –RSA key – аунтификации с помощью RSA ключа с каждой стороны используется 2 ключа открытых и 1 общий закрытый, –Local X509 Certificate – так же используются открытые и закрытые ключи. Сертификат X.509 содержит открытый ключ и данные, которые идентифицируют владельца ключа. Такие сертификаты подписываются и выдаются доверенным центром сертификации (ЦС). В ходе обмена ключами происходит обмен сертификатами, а затем их подлинность проверяется с помощью локально хранимого сертификата ЦС. Выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза локально хранится на узле, –Remote X509 Certificate – выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза не хранится локально на узле. Необходимо указать метод идентификации VPN и идентификатор VPN для сертификата, используемого на удаленном компоненте, т. е. для сертификата, который выбран в области Локальный сертификат X.509 (Local X.509 Certificate) на вкладке «Site-to-site VPN»  >> «IPsec» >> «Advanced», s)Key: вбиваем сюда заранее придуманный секретный ключ,

t)Repeat: повторно вносим его сюда еще раз,

u)VPN ID type: Тип индификации VPN сети (не обязательно, только для усиления безопасности): – IP address, – Hostname, – Email address,

v)VPN ID (optional): Тут вбиваем или ip адрес или имя хоста ну или емаил, смотря что выбрали выше,

w)Remote Networks: выбираем заранее созданную удаленную локальную сеть «Site_Tula»,

x)Comment: по желанию,

y)Чекбокс Support Path MTU discovery: включения поддержки обнаружения MTU пути,

z)Чекбокс Support congestion signaling (ECN): включить сигнализацию о перегрузке (ECN),

aa)Чекбокс Enable XAUTH client mode: Включить режим клиента XAUTH (требуется ввод логина и пароля),

bb)Нажимаем «Save», 28)Переходим в вкладку «Connections», 29)Нажимаем «New IPsec Connection…» и создаем vpn соединение: Site-to-site-vpn-sophos-utm-11

j)Name: произвольное имя нашего VPN соединения,

k)Remote Gateway: выбираем заранее созданный Remote Gateway, в нашем случае это «UTM-Moscow»,

l)Local Interface: выбираем интерфейс через который будет идти VPN канал, m)Policy: выбираем политику шифрования трафика по VPN каналу,

n)Local Networks: выбираем локальную сеть которую будем расширять VPN каналом (192.168.20.0/24),

o)Чекбокс Automatic Firewall Rules: автоматическое создание правил для Firewall (не ставим, правила создадим вручную),

p)Чекбокс Strict Routing: строгая маршрутизация, включать по желанию, q)Чекбокс Bind Tunnel to Local Interface: Привязать туннель к локальному интерфейсу, включать по желанию,

r)Нажимаем «Save», 30)Включить соединение: Site-to-site-vpn-sophos-utm-16 31)Переходи в раздел «Network Protection» >> «Firewall» >> «Rules», 32)Нажимаем «New Rule…»,

33)И создаем правило для нашего исходящего трафика VPN соединения: Site-to-site-vpn-sophos-utm-12

l)Group: или оставляем по умолчанию, или создаем,

m)Position: Можно оставить по умолчанию,

n)Sources: Выбираем откуда будет идти трафик ( в нашем случае это Internal (Network) 192.168.20.0/24),

o)Services: на время создания сети выбираем «Any»,

p)Destinations: выбираем куда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Moscow»),

q)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), r)Comment: по желанию,

s)Time Period: Период времени (оставляем «Always»),

t)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу.

u)Source MAC Addresses: оставляем как есть (тут без выбора),

v)Нажимаем «Save»,

34)Нажимаем «New Rule…»,

35)И создаем правило для нашего входящего трафика VPN соединения: Site-to-site-vpn-sophos-utm-13

l)Group: или оставляем по умолчанию, или создаем,

m)Position: Можно оставить по умолчанию,

n)Sources: Выбираем откуда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Moscow»),

o)Services: на время создания сети выбираем «Any»,

p)Destinations: выбираем куда будет идти трафик (в нашем случае это Internal (Network) 192.168.20.0/24),

q)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), r)Comment: по желанию,

s)Time Period: Период времени (оставляем «Always»),

t)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,

u)Source MAC Addresses: оставляем как есть (тут без выбора),

v)Нажимаем «Save»,

36)Включаем правила: Site-to-site-vpn-sophos-utm-14 37)Возвращаемся в шлюз Sophos UTM в Москве,

38)Переходим в раздел «Site-to-site VPN» и смотрим статус подключения: Site-to-site-vpn-sophos-utm-17 39)Возвращаемся в шлюз Sophos UTM в Туле,

40)Переходим в раздел «Site-to-site VPN» и смотрим статус подключения: Site-to-site-vpn-sophos-utm-18 41)Отлично вот мы и настроили VPN. Теперь не забываем вернуть в раздел Firewall и настроить его под наши нужды.

Publisher
Оцените автора
AsaDagar
Добавить комментарий