Тази статия описва стъпките за конфигуриране на Site-to-Site IPsec VPN с помощта на предварителнo зададен (споделен) ключ, като метод за удостоверяване за VPN връзки.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos 1
Създайте локална и отдалечена LAN мрежа
Отворете секцията Hosts and Services> IP Host и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services> IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Съдаване на IPsec VPN връзка
Отворете секцията VPN>IPsec Connections и изберете Wizard. Добавете има и изберете Start, след което следвайте стъпките.
Изберете Site To Site като тип връзка и изберете Head Office
(кликнете върху изображението за пълен размер)
За Authentication Type изберете Preshared Key (предварително споделен ключ)
(кликнете върху изображението за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, изберете отдалечената LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
В полето User Authentication Mode, изберете Disabled
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish
(кликнете върху изображението за пълен размер)
След като изберете Finish, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила на защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила както е показано по-долу
(кликнете върху изображението за пълен размер)
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos 2
Създайте локална и отдалечена LAN мрежа
Отворете секцията Host and Services>IP Host и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services>IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Съдаване на IPsec VPN връзка
Отворете секцията VPN>IPsec Connections и изберете Wizard. Дайте му име и изберете Start.
Изберете Site To Site като вид на връзката и изберете Branch Office
(кликнете върху изображението за пълен размер)
За Authentication Type изберете Preshared Key (предварително споделен ключ)
Уверете се,че използвате същия споделен ключ, като в защитна стена Sophos 1.
(кликнете върху изображението за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, изберете отдалечената LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
В полето User Authentication Mode, изберете Disabled
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish
(кликнете върху изображението за пълен размер)
След като изберете Finish, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавете две правила на защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила както е показано тук.
(кликнете върху изображението за пълен размер)
(кликнете върху изображението за пълен размер)
Установяване на IPsec връзка
След като успешно са конфигурирани двете устройства (защитни стени Sophos 1 и Sophos 2) в централния офис и клон-офиса, установете IPsec връзката между тях. Отидете на VPN>IPsec Connections и изберете червената точка под Status (Connection)
(кликнете върху изображенията за пълен размер)
Резултати
Ping тест от машината зад защитна стена Sophos 1 към машината зад защитна стена Sophos 2 и обратно трябва да работи.
(кликнете върху изображенията за пълен размер)
Отворете секцията Firewall и проверете дали VPN правилата пропускат входящ и изходящ трафик.
(кликнете върху изображението за пълен размер)
Отворете секцията Reports > VPN и потвърдете че IPsec връзката се ползва
(кликнете върху изображението за пълен размер)
Кликнете върху името на връзката за повече детайли
(кликнете върху изображението за пълен размер)
Бележка:
Уверете се,че VPN правилата на защитната стена са в горната част на списъка с правила на защитната стена (Firewall Rule list)
В конфигурациите на главния офис и клон-офиса, защитната стена Sophos в клон-офиса обикновено действа като инциатор на тунела, а защитната стена Sophos в главния офис като отговорник поради следните причини:
Когато устройството в клон офиса е конфигурирано с динамичен IP адрес, устройството на главния офис не може да инициира връзката.
Тъй като броя на клон-офисите варира, препоръчително е всеки клон отново да се опита да се свърже с главния офис, вместо той да прави опити, пробвайки всички връзки към клон-офисите.
Ръководство на английски език: How to set a Site-to-Site IPsec VPN connection using a preshared key
Свързани материали
| Filter by label (Content by label) | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| Page Properties | ||
|---|---|---|
| ||
|