Clever Geek Handbook

Remote-Arbeit oder VPN-Überprüfung in der Sophos XG Firewall





Hallo! Dieser Artikel widmet sich einem Überblick über die VPN-Funktionalität des Sophos XG Firewall-Produkts. Im vorherigen Artikel haben wir erläutert, wie Sie diese Lösung zum kostenlosen Schutz Ihres Heimnetzwerks mit einer vollständigen Lizenz erhalten. Heute werden wir über die in Sophos XG integrierte VPN-Funktionalität sprechen. Ich werde versuchen, Ihnen zu erklären, was dieses Produkt kann, und Beispiele für die Konfiguration eines IPSec Site-to-Site-VPN und eines benutzerdefinierten SSL-VPN geben. Kommen wir also zur Überprüfung.



Schauen wir uns zunächst die Lizenzierungstabelle an:







Weitere Informationen zur Lizenzierung der Sophos XG Firewall finden Sie hier:

Link

In diesem Artikel interessieren uns jedoch nur die rot hervorgehobenen Elemente.



Die Haupt-VPN-Funktionalität ist in der Basislizenz enthalten und wird nur einmal erworben. Dies ist eine lebenslange Lizenz und erfordert keine Verlängerung. Das Basis-VPN-Optionsmodul enthält:



Site-to-Site:



  • SSL VPN
  • IPSec VPN


Fernzugriff (Client-VPN):



  • SSL VPN
  • IPsec Clientless VPN (mit kostenloser benutzerdefinierter App)
  • L2TP
  • PPTP


Wie Sie sehen, werden alle gängigen Protokolle und Arten von VPN-Verbindungen unterstützt.



Die Sophos XG Firewall verfügt außerdem über zwei andere Arten von VPN-Verbindungen, die nicht im Basisabonnement enthalten sind. Sie sind RED VPN und HTML5 VPN. Diese VPN-Verbindungen sind im Network Protection-Abonnement enthalten. Um diese Typen verwenden zu können, müssen Sie über ein aktives Abonnement verfügen, das auch die Netzwerkschutzfunktionen IPS- und ATP-Module enthält.



RED VPN ist ein proprietäres L2-VPN von Sophos. Diese Art der VPN-Verbindung bietet gegenüber Site-to-Site-SSL oder IPSec mehrere Vorteile, wenn ein VPN zwischen zwei XGs eingerichtet wird. Im Gegensatz zu IPSec erstellt der ROTE Tunnel an beiden Enden des Tunnels eine virtuelle Schnittstelle, die bei der Fehlerbehebung hilft. Im Gegensatz zu SSL ist diese virtuelle Schnittstelle vollständig anpassbar. Der Administrator hat die vollständige Kontrolle über das Subnetz innerhalb des ROTEN Tunnels, wodurch Routingprobleme und Subnetzkonflikte einfacher gelöst werden können.



HTML5-VPN oder clientloses VPN - Ein bestimmter VPN-Typ, mit dem Dienste direkt im Browser über HTML5 übertragen werden können. Die Arten von Diensten, die konfiguriert werden können:



  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • SMB


Es ist jedoch zu beachten, dass dieser VPN-Typ nur in besonderen Fällen verwendet wird und es nach Möglichkeit empfohlen wird, die VPN-Typen aus den obigen Listen zu verwenden.



Trainieren



Lassen Sie uns einen Blick darauf werfen, wie mehrere dieser Tunneltypen eingerichtet werden, nämlich Site-to-Site-IPSec und SSL-VPN-Remotezugriff.



Site-to-Site-IPSec-VPN



Beginnen wir mit dem Einrichten eines Site-to-Site-IPSec-VPN-Tunnels zwischen zwei Sophos XG-Firewalls. StrongSwan wird unter der Haube verwendet, sodass Sie eine Verbindung zu jedem IPSec-fähigen Router herstellen können.



Sie können einen praktischen und schnellen Einrichtungsassistenten verwenden. Wir folgen jedoch dem allgemeinen Pfad, damit Sie Sophos XG basierend auf diesem Handbuch über IPSec mit jedem Gerät kombinieren können.



Öffnen







wir das Fenster mit den Richtlinieneinstellungen: Wie wir sehen können, gibt es bereits vordefinierte Einstellungen, aber wir werden unsere eigenen erstellen.











Lassen Sie uns die Verschlüsselungseinstellungen für die erste und zweite Phase konfigurieren und die Richtlinie speichern. Analog machen wir dasselbe mit dem zweiten Sophos XG und richten den IPSec-Tunnel selbst ein







Geben Sie den Namen und die Betriebsart ein und konfigurieren Sie die Verschlüsselungsparameter. Zum Beispiel werden wir Preshared Key verwenden







und lokale und entfernte Subnetze angeben.







Unsere Verbindung wurde hergestellt.







Analog nehmen wir beim zweiten Sophos XG die gleichen Einstellungen vor, außer dass wir dort die Verbindung initiieren.







Jetzt haben wir zwei konfigurierte Tunnel. Als nächstes müssen wir sie aktivieren und ausführen. Dies geschieht ganz einfach. Sie müssen auf den roten Kreis unter dem Wort Aktiv klicken, um ihn zu aktivieren, und auf den roten Kreis unter Verbindung, um die Verbindung herzustellen.

Wenn wir ein Bild wie dieses sehen:





Dies bedeutet, dass unser Tunnel ordnungsgemäß funktioniert. Wenn die zweite Anzeige rot oder gelb ist, wurde in den Verschlüsselungsrichtlinien oder lokalen und Remote-Subnetzen etwas falsch konfiguriert. Ich möchte Sie daran erinnern, dass die Einstellungen gespiegelt werden müssen.



Separat möchte ich hervorheben, dass Sie Failover-Gruppen aus IPSec-Tunneln für Fehlertoleranz erstellen können:







RAS-SSL-VPN



Fahren wir mit Remote Access SSL VPN für Benutzer fort. Standard OpenVPN läuft unter der Haube. Auf diese Weise können Benutzer über jeden Client eine Verbindung herstellen, der .ovpn-Konfigurationsdateien unterstützt (z. B. den Standardverbindungsclient).



Zunächst müssen Sie die OpenVPN-







Serverrichtlinien konfigurieren: Geben Sie den Transport für die Verbindung an, konfigurieren Sie den Port und den Bereich der IP-Adressen für die Verbindung von Remotebenutzern.







Außerdem können Sie die Verschlüsselungseinstellungen festlegen.



Beginnen wir nach der Konfiguration des Servers mit der Konfiguration der Clientverbindungen.







Jede SSL-VPN-Verbindungsregel wird für eine Gruppe oder für einen einzelnen Benutzer erstellt. Jeder Benutzer kann nur eine Verbindungsrichtlinie haben. Entsprechend den Einstellungen können Sie von einem interessanten Punkt aus für jede dieser Regeln angeben, wie einzelne Benutzer, die diese Einstellung oder eine Gruppe von AD verwenden, ein Kontrollkästchen aktivieren, damit der gesamte Datenverkehr in einen VPN-Tunnel eingeschlossen wird, oder die IP-Adressen, Subnetze oder FQDN-Namen angeben, die Benutzern zur Verfügung stehen ... Basierend auf diesen Richtlinien wird automatisch ein .ovpn-Profil mit Einstellungen für den Client erstellt.







Über das Benutzerportal kann der Benutzer sowohl die .ovpn-Datei mit den Einstellungen für den VPN-Client als auch die Installationsdatei für den VPN-Client mit der integrierten Verbindungseinstellungsdatei herunterladen.







Fazit



In diesem Artikel haben wir kurz auf die VPN-Funktionalität im Sophos XG Firewall-Produkt eingegangen. Wir haben uns angesehen, wie Sie IPSec VPN und SSL VPN konfigurieren können. Dies ist keine vollständige Liste der Funktionen dieser Lösung. In den nächsten Artikeln werde ich versuchen, RED VPN zu überprüfen und zu zeigen, wie es in der Lösung selbst aussieht.



Vielen Dank für Ihre Zeit.



Wenn Sie Fragen zur kommerziellen Version von XG Firewall haben, können Sie sich an uns wenden - Factor Group , einen Distributor von Sophos. Es reicht aus, in freier Form an sophos@fgts.ru zu schreiben .


More articles:


All Articles