Есть 2 локальные сети, которые нужно соединить между собой посредством VPN канала. Что есть в наличии:
- Город Москва. Локальная сеть 192.168.0.0/24. Шлюз Sophos UTM 9.3 с статическим белым IP 85.85.85.100
- Город Тула. Локальная сеть 192.168.20.0/24. Шлюз Sophos UTM 9.3 c статическим IP 86.86.86.100
Какие настройки требуется произвести на шлюзах чтобы поднять VPN?
И так, чтобы поднять Site-to-site VPN между делаем следующие:
1)Заходим в консоль управления шлюзом Sophos UTM в городе Москва по адресу https:// 85.85.85.100:4444,
2)Переходим в раздел «Definitions & Users» >> «Network Definitions», 3)Нажимаем «New Network Definition…»,
4)И добавляем сначала удаленный шлюз Тулы:
a)Name: Произвольное имя удаленного шлюза,
b)Type: Выбираем Host,
c)IPv4 Address: сюда вбиваем статический IP шлюза Тулы 86.86.86.100, d)Все остальные настройки оставляем по умолчанию,
e)Нажимаем «Save»,
5)Опять нажимаем «New Network Definition…»,
6)И добавляем удаленную подсеть: a)Name: произвольное имя удаленной сети,
b)Type: выбираем Network,
c)IPv4 Address: вбиваем адрес удалённой сети Тулы (192.168.20.0), d)Netmask: выбираем маску если по умолчанию то /24 (255.255.255.0) доступна будет вся подсеть,
e)Comment: по желанию,
f)Advanced-Interface: оставляем по умолчанию,
g)Нажимаем «Save»,
7)Переходи в раздел «Site-to-site VPN» >> «IPsec» >> «Remote Gateways», 8)Нажимаем «New Remote Gateway…»,
9)И создаем удаленный шлюз Тулы,
a)Name: Произвольное имя удаленного шлюза,
b)Gateway type: —Initiate Connection – в случае если соединяемые шлюзы имеют статические IP адреса (по умолчанию), —Respond Only – в случае если у удаленного шлюза нет статического IP и нет возможности подключиться к одной из служб DynDNS (полный список служб можно посмотреть в «Network Services» >> «DNS» >> «DynDNS») и сетевой экран не может инициировать подключение самостоятельно,
c)Gateway: если выбрали режим «Initiate Connection» то выбираем ранее созданный «Gate_Tula»,
d)Authentication type: выбираем тип аунтификации подключения их всего 4: —Preshared key – Общий секретный ключ должен совпадать при создании подключения на 2 шлюзах (используется по умолчанию как самый простой способ), —RSA key – аунтификации с помощью RSA ключа с каждой стороны используется 2 ключа открытых и 1 общий закрытый, —Local X509 Certificate – так же используются открытые и закрытые ключи. Сертификат X.509 содержит открытый ключ и данные, которые идентифицируют владельца ключа. Такие сертификаты подписываются и выдаются доверенным центром сертификации (ЦС). В ходе обмена ключами происходит обмен сертификатами, а затем их подлинность проверяется с помощью локально хранимого сертификата ЦС. Выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза локально хранится на узле, —Remote X509 Certificate — выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза не хранится локально на узле. Необходимо указать метод идентификации VPN и идентификатор VPN для сертификата, используемого на удаленном компоненте, т. е. для сертификата, который выбран в области Локальный сертификат X.509 (Local X.509 Certificate) на вкладке «Site-to-site VPN» >> «IPsec» >> «Advanced», e)Key: вбиваем сюда заранее придуманный секретный ключ, f)Repeat: повторно вносим его сюда еще раз,
g)VPN ID type: Тип индификации VPN сети (не обязательно, только для усиления безопасности): — IP address, — Hostname, — Email address, h)VPN ID (optional): Тут вбиваем или ip адрес или имя хоста ну или емаил, смотря что выбрали выше,
i)Remote Networks: выбираем заранее созданную удаленную локальную сеть «Site_Tula»,
j)Comment: по желанию,
k)Чекбокс Support Path MTU discovery: включения поддержки обнаружения MTU пути,
l)Чекбокс Support congestion signaling (ECN): включить сигнализацию о перегрузке (ECN),
m)Чекбокс Enable XAUTH client mode: Включить режим клиента XAUTH (требуется ввод логина и пароля),
n)Нажимаем «Save»,
10)Переходим в вкладку «Connections»,
11)Нажимаем «New IPsec Connection…» и создаем vpn соединение:
a)Name: произвольное имя нашего VPN соединения,
b)Remote Gateway: выбираем заранее созданный Remote Gateway, в нашем случае это «Tula-UTM»,
c)Local Interface: выбираем интерфейс через который будет идти VPN канал,
d)Policy: выбираем политику шифрования трафика по VPN каналу,
e)Local Networks: выбираем локальную сеть которую будем расширять VPN каналом (192.168.0.0/24),
f)Чекбокс Automatic Firewall Rules: автоматическое создание правил для Firewall (не ставим, правила создадим вручную),
g)Чекбокс Strict Routing: строгая маршрутизация, включать по желанию, h)Чекбокс Bind Tunnel to Local Interface: Привязать туннель к локальному интерфейсу, включать по желанию,
i)Нажимаем «Save»,
12)Включить соединение: 13)Переходи в раздел «Network Protection» >> «Firewall» >> «Rules», 14)Нажимаем «New Rule…»,
15)И создаем правило для нашего исходящего трафика VPN соединения:
a)Group: или оставляем по умолчанию, или создаем,
b)Position: Можно оставить по умолчанию,
c)Sources: Выбираем откуда будет идти трафик ( в нашем случае это Internal (Network) 192.168.0.0/24),
d)Services: на время создания сети выбираем «Any»,
e)Destinations: выбираем куда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Tula»),
f)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), g)Comment: по желанию,
h)Time Period: Период времени (оставляем «Always»),
i)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,
j)Source MAC Addresses: оставляем как есть (тут без выбора),
k)Нажимаем «Save»,
16)Нажимаем «New Rule…»,
17)И создаем правило для нашего входящего трафика VPN соединения:
a)Group: или оставляем по умолчанию, или создаем,
b)Position: Можно оставить по умолчанию,
c)Sources: Выбираем откуда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Tula»),
d)Services: на время создания сети выбираем «Any»,
e)Destinations: выбираем куда будет идти трафик (в нашем случае это Internal (Network) 192.168.0.0/24),
f)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), g)Comment: по желанию,
h)Time Period: Период времени (оставляем «Always»),
i)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,
j)Source MAC Addresses: оставляем как есть (тут без выбора),
k)Нажимаем «Save»,
18)Включаем правила: 19)Заходим в консоль управления шлюзом Sophos UTM в городе Москва по адресу https:// 86.86.86.100:4444,
20)Переходим в раздел «Definitions & Users» >> «Network Definitions», 21)Нажимаем «New Network Definition…»,
22)И добавляем сначала удаленный шлюз Тулы:
f)Name: Произвольное имя удаленного шлюза,
g)Type: Выбираем Host,
h)IPv4 Address: сюда вбиваем статический IP шлюза Тулы 86.86.86.100, i)Все остальные настройки оставляем по умолчанию,
j)Нажимаем «Save»,
23)Опять нажимаем «New Network Definition…»,
24)И добавляем удаленную подсеть:
h)Name: произвольное имя удаленной сети,
i)Type: выбираем Network,
j)IPv4 Address: вбиваем адрес удалённой сети Москвы (192.168.0.0), k)Netmask: выбираем маску если по умолчанию то /24 (255.255.255.0) доступна будет вся подсеть,
l)Comment: по желанию, m)Advanced-Interface: оставляем по умолчанию, n)Нажимаем «Save»,
25)Переходи в раздел «Site-to-site VPN» >> «IPsec» >> «Remote Gateways»,
26)Нажимаем «New Remote Gateway…»,
27)И создаем удаленный шлюз Москвы:
o)Name: Произвольное имя удаленного шлюза,
p)Gateway type: —Initiate Connection – в случае если соединяемые шлюзы имеют статические IP адреса (по умолчанию), —Respond Only – в случае если у удаленного шлюза нет статического IP и нет возможности подключиться к одной из служб DynDNS (полный список служб можно посмотреть в «Network Services» >> «DNS» >> «DynDNS») и сетевой экран не может инициировать подключение самостоятельно,
q)Gateway: если выбрали режим «Initiate Connection» то выбираем ранее созданный «Gate_Moscow»,
r)Authentication type: выбираем тип аунтификации подключения их всего 4: —Preshared key – Общий секретный ключ должен совпадать при создании подключения на 2 шлюзах (используется по умолчанию как самый простой способ), —RSA key – аунтификации с помощью RSA ключа с каждой стороны используется 2 ключа открытых и 1 общий закрытый, —Local X509 Certificate – так же используются открытые и закрытые ключи. Сертификат X.509 содержит открытый ключ и данные, которые идентифицируют владельца ключа. Такие сертификаты подписываются и выдаются доверенным центром сертификации (ЦС). В ходе обмена ключами происходит обмен сертификатами, а затем их подлинность проверяется с помощью локально хранимого сертификата ЦС. Выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза локально хранится на узле, —Remote X509 Certificate — выберите этот способ аутентификации, если сертификат X.509 для удаленного шлюза не хранится локально на узле. Необходимо указать метод идентификации VPN и идентификатор VPN для сертификата, используемого на удаленном компоненте, т. е. для сертификата, который выбран в области Локальный сертификат X.509 (Local X.509 Certificate) на вкладке «Site-to-site VPN» >> «IPsec» >> «Advanced», s)Key: вбиваем сюда заранее придуманный секретный ключ,
t)Repeat: повторно вносим его сюда еще раз,
u)VPN ID type: Тип индификации VPN сети (не обязательно, только для усиления безопасности): — IP address, — Hostname, — Email address,
v)VPN ID (optional): Тут вбиваем или ip адрес или имя хоста ну или емаил, смотря что выбрали выше,
w)Remote Networks: выбираем заранее созданную удаленную локальную сеть «Site_Tula»,
x)Comment: по желанию,
y)Чекбокс Support Path MTU discovery: включения поддержки обнаружения MTU пути,
z)Чекбокс Support congestion signaling (ECN): включить сигнализацию о перегрузке (ECN),
aa)Чекбокс Enable XAUTH client mode: Включить режим клиента XAUTH (требуется ввод логина и пароля),
bb)Нажимаем «Save», 28)Переходим в вкладку «Connections», 29)Нажимаем «New IPsec Connection…» и создаем vpn соединение:
j)Name: произвольное имя нашего VPN соединения,
k)Remote Gateway: выбираем заранее созданный Remote Gateway, в нашем случае это «UTM-Moscow»,
l)Local Interface: выбираем интерфейс через который будет идти VPN канал, m)Policy: выбираем политику шифрования трафика по VPN каналу,
n)Local Networks: выбираем локальную сеть которую будем расширять VPN каналом (192.168.20.0/24),
o)Чекбокс Automatic Firewall Rules: автоматическое создание правил для Firewall (не ставим, правила создадим вручную),
p)Чекбокс Strict Routing: строгая маршрутизация, включать по желанию, q)Чекбокс Bind Tunnel to Local Interface: Привязать туннель к локальному интерфейсу, включать по желанию,
r)Нажимаем «Save», 30)Включить соединение: 31)Переходи в раздел «Network Protection» >> «Firewall» >> «Rules», 32)Нажимаем «New Rule…»,
33)И создаем правило для нашего исходящего трафика VPN соединения:
l)Group: или оставляем по умолчанию, или создаем,
m)Position: Можно оставить по умолчанию,
n)Sources: Выбираем откуда будет идти трафик ( в нашем случае это Internal (Network) 192.168.20.0/24),
o)Services: на время создания сети выбираем «Any»,
p)Destinations: выбираем куда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Moscow»),
q)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), r)Comment: по желанию,
s)Time Period: Период времени (оставляем «Always»),
t)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу.
u)Source MAC Addresses: оставляем как есть (тут без выбора),
v)Нажимаем «Save»,
34)Нажимаем «New Rule…»,
35)И создаем правило для нашего входящего трафика VPN соединения:
l)Group: или оставляем по умолчанию, или создаем,
m)Position: Можно оставить по умолчанию,
n)Sources: Выбираем откуда будет идти трафик (в нашем случае это ранее созданная удаленная сеть «Site_Moscow»),
o)Services: на время создания сети выбираем «Any»,
p)Destinations: выбираем куда будет идти трафик (в нашем случае это Internal (Network) 192.168.20.0/24),
q)Action: выбираем «Allow» (мы же разрешаем, а не запрещаем), r)Comment: по желанию,
s)Time Period: Период времени (оставляем «Always»),
t)Чекбокс Log traffic: ставим если хотим логировать весь трафик, проходящий по этому правилу,
u)Source MAC Addresses: оставляем как есть (тут без выбора),
v)Нажимаем «Save»,
36)Включаем правила: 37)Возвращаемся в шлюз Sophos UTM в Москве,
38)Переходим в раздел «Site-to-site VPN» и смотрим статус подключения: 39)Возвращаемся в шлюз Sophos UTM в Туле,
40)Переходим в раздел «Site-to-site VPN» и смотрим статус подключения: 41)Отлично вот мы и настроили VPN. Теперь не забываем вернуть в раздел Firewall и настроить его под наши нужды.