Този статия описва последвоателни стъпки, за конфигуриране на Hub и spoke IPsec VPN използвайки защитна стена Sophos. В илюстрацията тук е изобразена Hub и spoke IPsec VPN връзка между главният офис в Ню Йорк и клон-офиси в Хюстън и Далас.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
(кликнете върху изображението за пълен размер)
Конфигурация на клон офис (spoke)
За да конфигурирате Site-to-site IPsec VPN връзка между Хюстън / Далас (spoke) и Ню Йорк (hub), администраторът трябва да влезе в административната конзола (Admin console) с разрешения за Read-Write, за съответната функция/функции. За създаване на VPN вързка е необходимо да се използват следните настройки
(кликнете върху изображението за пълен размер)
Създаване на IPsec връзка
Отворете секцията VPN → IPsec Connections и изберете Add. Създайте нова връзка със следните параметри:
(кликнете върху изображението за пълен размер)
Изберете Save, за да създадате IPsec връзка
Добавяне на две правила на защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте потребителскo/мрежовo правилo, както е показано по-долу
(кликнете върху изображението за пълен размер)
Изберете Save, за да създадете новото правило
(кликнете върху изображението за пълен размер)
Изберете Save, за да създадете новото правило
Активирайте връзката
След като изберете Save, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката
(кликнете върху изображението за пълен размер)
Бележка: Ако има повече от една връзка между 2 шлюза (gateways) и в случай , че всяка връзка използва различен метод за удостоверяване, само една от тях може да остане активна.
Конфигурация на главният офис (hub)
Конфигурирайте Site-toSite IPsec VPN връзка между Ню Йорк (hub) и Далас (spoke),както и между Ню Йорк (hub) и Хюстън (spoke), като следвате следните стъпки:
Създайте IPsec VPN връзка с Хюстън
Отворете секцията VPN → IPsec Connections и изберете Add. Създайте нова връзка със следните параметри:
(кликнете върху изображенията за пълен размер)
Изберете Save, за да създадате IPsec връзка
Активирайте връзката
След като изберете Save, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображенията за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката
(кликнете върху изображенията за пълен размер)
Създаване на IPsec VPN връзка с Далас
Отворете секцията VPN → IPsec Connections и изберете Add. Създайте нова връзка със следните параметри:
(кликнете върху изображенията за пълен размер)
Изберете Save, за да създадате IPsec връзка
Активирайте връзката
След като изберете Save, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображенията за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката
(кликнете върху изображенията за пълен размер)
Добавяне на правило на защитната стена, позволяващо VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте потребителскo/мрежовo правилo, както е показано по-долу
(кликнете върху изображенията за пълен размер)
Изберете Save, за да създадете новото правило
Установяване на IPsec връзка
След като успешно са конфигурирани всички устройства (защитни стени Sophos в главния офис и Sophos в клон-офисите) , установете IPsec връзката между тях. Отидете на VPN>IPsec Connections и изберете червената точка под Status (Connection)
Ръководство на английски език: Sophos XG Firewall: How to create a hub and spoke IPsec VPN