Как да установите Site-to-Site IPsec VPN връзка с помощта на дигитални сертификати?
- Desislava Zlaticheva
Тази статия описва нужните стъпки, за добавяне на дигитални сертификати в защитна стена Sophos и да как да бъде направена конфигурация на Site-to-Site IPsec VPN връзка, използвайки тези сертификати като метод за автентикация на VPN peers.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
(кликнете върху изображението за пълен размер)
Добавяне на дигитален сертификат
Добавяне на сертификата по подразбиране (CA) на защитна стена Sophos 1 към защитна стена Sophos 2
От защитна стена Sophos 1 отворете секцията Certificates → Certificate Authorities и изберете Default.
Въведете детайлите на CA, както е показано тук.
(кликнете върху изображението за пълен размер)
Изберете Save, за да генерирате сертификата. След като е успешно генериран, свалете CA към вашия локален компютър като натиснете download иконката до него.
(кликнете върху изображението за пълен размер)
Ще бъде свален файл с името local_certificate_authority.tar.gz. Запазете го и го разархивирайте.
Файлът ще съдържа CA root сертификат в две различни форми:
Default.pem (PEM File)
Default.der (Security Certificate)
Преименувайте Default.pem в Head_office_Default.pem, за да може лесно да го различавате.
От защитна стена Sophos 2 отворете секцията Certificates → Certificates Authorities и изберете Add, за да добавите CA root сертификата, генериран от защитна стена Sophos 1. Може да използвате избран от вас формат - PEM или DER.
(кликнете върху изображението за пълен размер)
Добавяне на сертификата по подразбиране (CA) на защитна стена Sophos 2 към защитна стена Sophos 1
От защитна стена Sophos 2 отворете секцията Certificates → Certificate Authorities и изберете Default.
Въведете детайлите на CA, както е показано тук.
(кликнете върху изображението за пълен размер)
Изберете Save, за да генерирате сертификата. След като е успешно генериран, свалете CA към вашия локален компютър като натиснете download иконката до него.
(кликнете върху изображението за пълен размер)
Ще бъде свален файл с името local_certificate_authority.tar.gz. Запазете го и го разархивирайте.
Файлът ще съдържа CA root сертификат в две различни форми:
Default.pem (PEM File)
Default.der (Security Certificate)
Преименувайте Default.pem в Branch_office_Default.pem, за да може лесно да го различавате.
От защитна стена Sophos 1, отворете секцията Certificates → Certificates Authorities и изберете Add, за да добавите CA root сертификата, генериран от защитна стена Sophos 2. Може да използвате избран от вас формат - PEM или DER.
(кликнете върху изображението за пълен размер)
Добавяне на дигитален сертификат от защитна стена Sophos 1 към защитна стена Sophos 2
От защитна стена Sophos 1, отворете секцията Certificates → Certificates и изберете Add, за да създадете нов серификат. Изберете Generate Self Signed Certificate и въведете детайлите, както е показано тук.
(кликнете върху изображението за пълен размер)
След като е успешно генериран, свалете CA към вашият локален компютър, като изберете иконата download в дясно.
(кликнете върху изображението за пълен размер)
Ще бъде свален файл с името SF_Certificate.tar.gz. Разархивирайте го и проверете дали съдържа следните файлове:
UserPrivateKey.key (KEY File)
UserCertificate.pem (PEM File)
RootCertificate (PEM File)
Password.txt (Passphrase if Key Encryption is enabled)
SF1_Certificate.p12 (Personal Information Exchange)
От защитна стена Sophos 2, отворете секцията Certificates → Certificates и изберте Add, за да добавите сертификата, свален от защитна стена Sophos 1.
(кликнете върху изображението за пълен размер)
Добавяне на дигитален сертификат от защитна стена Sophos 2 към защитна стена Sophos 1
От защитна стена Sophos 2, отворете секцията Certificates → Certificates и изберете Add, за да създадете нов серификат. Изберете Generate Self Signed Certificate и въведете детайлите, както е показано тук.
(кликнете върху изображението за пълен размер)
След като е успешно генериран, свалете CA към вашият локален компютър, като изберете иконата download в дясно.
(кликнете върху изображението за пълен размер)
Ще бъде свален файл с името SF2_Certificate.tar.gz. Разархивирайте го и проверете дали съдържа следните файлове:
UserPrivateKey.key (KEY File)
UserCertificate.pem (PEM File)
RootCertificate (PEM File)
Password.txt (Passphrase if Key Encryption is enabled)
SF2_Certificate.p12 (Personal Information Exchange)
От защитна стена Sophos 1, отворрете секцията Certificate → Cerifircates и изберете Add, за да добавите сертификата, свален от защитна стена Sophos 2
(кликнете върху изображението за пълен размер)
Уверете се, че и двата сертификата са добавени успешно.
От всяка защитна стена Sophos (1 и 2), отворете секцията Certificates → Certificates.
Трябва да видите зелено тикче под Authority.
(кликнете върху изображението за пълен размер)
Конфигурация на IPsec връзка
Конфигурация на защитна стена Sophos 1
Добавяне на локална и дистанционна LAN мрежа
Отворете секцията Hosts and Services> IP Host и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services> IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Създаване на IPsec VPN връзка.
Отворете секцията VPN > IPsec Connections и изберете Wizard. Дайте му име и натиснете Start.
Изберете Site To Site като вид на връзката и изберете Head Office.
(кликнете върху изображението за пълен размер)
За Authentication Type изберете Digital Certificate.
(кликнете върху изображението за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежата,създадена по-рано.
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, използвайте отдалечената LAN мрежа,създадена по-рано
(кликнете върху изображението за пълен размер)
В полето User Authentication Mode, изберете Disabled.
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish.
(кликнете върху изображението за пълен размер)
След като изберете Finish,ще се появи прозорец, показващ създадената връзка.
(кликнете върху изображението за пълен размер)
Натиснете под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила към защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила, както е показано тук.
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos 2
Добавяне на локална и дистанционна LAN мрежа.
Отидете в Hosts and Services > IP Host и изберете Add, за да създадете локална LAN мрежа.
(кликнете върху изображението за пълен размер)
Отидете в Hosts and Services > IP Host, изберете Add за да създадете дистанциона LAN мрежа.
(кликнете върху изображението за пълен размер)
Създаване на IPsec VPN връзка.
Отидете в VPN > IPsec Connections и изберете Wizard. Дайте му име и натиснете Start.
Като вид на връзката изберете Site To Site , след което изберете Branch Office.
(кликнете върху изображението за пълен размер)
За Authentication Type изберете Digital Certificate.
(кликнете върху изображението за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежа,създадена по-рано.
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, използвайте отдалечената LAN мрежа, създадена по-рано.
(кликнете върху изображението за пълен размер)
В полето User Authentication Mode, изберете Disabled.
(кликнете върху изображението за пълен размер)
Прегледайте IPsec връзката и изберете Finish.
(кликнете върху изображението за пълен размер)
След като натиснете Finish,ще се появи прозорец, показващ създадената връзка.
(кликнете върху изображението за пълен размер)
Натиснете под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила към защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила, както е показано тук.
(кликнете върху изображението за пълен размер)
Установяване на IPsec връзката.
След като успешно са конфигурирани двете устройства (защитни стени Sophos 1 и Sophos 2) , установете IPsec връзката между тях.
Отворете секцията VPN → IPsec Connections и кликнете под Status (Connection)
(кликнете върху изображенията за пълен размер)
Резултати
Ping тест от машината зад защитна стена Sophos 1 към машината зад защитна стена Sophos 2 и обратно трябва да работи.
(кликнете върху изображенията за пълен размер)
Отворете секцията Firewall и проверете дали VPN правилата пропускат входящ и изходящ трафик.
Отворете секцията Reports > VPN и потвърдете че IPsec връзката се ползва
(кликнете върху изображението за пълен размер)
Кликнете върху името на връзката за повече детайли
(кликнете върху изображението за пълен размер)
Бележка:
Уверете се,че VPN правилата на защитната стена са в горната част на списъка с правила на защитната стена (Firewall Rule list)
В конфигурациите на главния офис и клон-офиса, защитната стена Sophos в клон-офиса обикновено действа като инциатор на тунела, а защитната стена Sophos в главния офис като отговорник поради следните причини:
Когато устройството в клон офиса е конфигурирано с динамичен IP адрес, устройството на главния офис не може да инициира връзката.
Тъй като броя на клон-офисите варира, препоръчително е всеки клон отново да се опита да се свърже с главния офис, вместо той да прави опити, пробвайки всички връзки към клон-офисите.
Ръководство на англиски език: Sophos XG Firewall: How to establish a Site-to-Site IPsec VPN connection using digital certificates