Как да установите Site-to-Site IPsec VPN връзка с помощта на RSA ключове?
Тази статия описва стъпките, който са нужни за конфигуриране на Site-to-Site IPsec VPN връзка използвайки RSA Keys като метод за автентикация.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos 1
Добавяне на локална и дистанционна LAN мрежа
Отворете секцията Hosts and Services> IP Host и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services> IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Създаване на IPsec VPN връзка
Отворете секцията VPN > IPsec Connections и изберете Wizard. Дайте му име и натиснете Start.
Изберете Site To Site като вид на връзката и изберете Head Office.
(кликнете върху изображението за пълен размер)
За Authentication Type изберете RSA key
(кликнете върху изображението за пълен размер)
Локалният RSA ключ се зарежда автоматично.
Трябва да се копира и постави Remote RSA key от защитна стена Sophos 2.
Бележка: По подразбиране RSA ключ се генерира с 2048 бита.
В полето Local Subnet, изберете локалната LAN мрежата, създадена по-рано.
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, използвайте LAN мрежата, създадена по-рано
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и натиснете Finish.
(кликнете върху изображението за пълен размер)
След като изберете Finish ще се появи прозорец, показващ създадената връзка.
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила към защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две правила за потребители/мрежи както е показано тук.
(кликнете върху изображението за пълен размер)
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos 2
Добавяне на локална и дистанционна LAN мрежа.
Отворете секцията Hosts and Services > IP Host и изберете Add, за да създадете локална LAN мрежа.
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services> IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Създаване на IPsec VPN връзка.
Отворете секцията VPN > IPsec Connections и изберете Wizard. Дайте му име и натиснете Start.
Изберете Site To Site като вид на връзката и изберете Branch Office.
(кликнете върху изображението за пълен размер)
За Authentication Type изберете RSA ключ.
(кликнете върху изображението за пълен размер)
Локалният RSA ключ се зарежда автоматично.
Трябва да се копира Remote RSA key от защитна стена Sophos 1.
Бележка: По подразбиране RSA ключ се генерира с 2048 бита.
В полето Local Subnet , изберете локалната LAN мрежата, създадена по-рано.
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, използвайте отдалечената LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish.
(кликнете върху изображението за пълен размер)
След като изберете Finish, ще се появи прозорец, показващ създадената връзка.
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила към защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила, както е показано тук.
(кликнете върху изображението за пълен размер)
(кликнете върху изображението за пълен размер)
Установяване на IPsec връзката
След като успешно са конфигурирани двете устройства (защитни стени Sophos 1 и Sophos 2) в централния офис и клон-офиса, установете IPsec връзката между тях.
Отидете на VPN>IPsec Connections и изберете червената точка под Status (Connection)
(кликнете върху изображенията за пълен размер)
Резултати
Ping тест от машината зад защитна стена Sophos 1 към машината зад защитна стена Sophos 2 и обратно трябва да работи.
(кликнете върху изображенията за пълен размер)
Отворете секцията Firewall и проверете дали VPN правилата пропускат входящ и изходящ трафик.
(кликнете върху изображенията за пълен размер)
Отворете секцията Reports > VPN и потвърдете че IPsec връзката се ползва
(кликнете върху изображенията за пълен размер)
Кликнете върху името на връзката за повече детайли
(кликнете върху изображенията за пълен размер)
Бележка:
Уверете се,че VPN правилата на защитната стена са в горната част на списъка с правила на защитната стена (Firewall Rule list)
В конфигурациите на главния офис и клон-офиса, защитната стена Sophos в клон-офиса обикновено действа като инциатор на тунела, а защитната стена Sophos в главния офис като отговорник поради следните причини:
Когато устройството в клон офиса е конфигурирано с динамичен IP адрес, устройството на главния офис не може да инициира връзката.
Тъй като броя на клон-офисите варира, препоръчително е всеки клон отново да се опита да се свърже с главния офис, вместо той да прави опити, пробвайки всички връзки към клон-офисите.
Ръководство на англиски език: How to establish a Site-to-Site IPsec VPN connection using RSA Keys