Как да настроите Site-to-Site IPsec VPN връзка между защитни стени Cyberoam и Sophos използвайки на предварително зададен ключ?
Тази статия описва стъпките за конфигуриране на Site-to-Site IPsec VPN връзка между защитна стена Sophos XG и защитна стена Cyberoam, използвайки предварителнo зададен (споделен) ключ, като метод за удостоверяване за VPN връзки.
Отнася се за следните продукти и версии на Sophos
Sophos Firewall
(кликнете върху изображението за пълен размер)
Конфигурация на защитна стена Sophos XG
Създайте локална и отдалечена LAN мрежа
Отворете секцията Hosts and Services> IP Host и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображението за пълен размер)
Отворете секцията Host and Services> IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображението за пълен размер)
Създаване на IPsec VPN връзка
Отворете секцията VPN>IPsec Connections и изберете Wizard. Добавете има и изберете Start, след което следвайте стъпките.
Изберете Site To Site като тип връзка и изберете Head Office
(кликнете върху изображението за пълен размер)
За Authentication Type изберете Preshared Key (предварително споделен ключ)
(кликнете върху изображението за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
В полето Remote Subnet, изберете отдалечената LAN мрежа, създадена по-рано
(кликнете върху изображението за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish
(кликнете върху изображението за пълен размер)
След като изберете Finish, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображението за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображението за пълен размер)
Добавяне на две правила на защитната стена, позволяващи VPN трафик
Отворете секцията Firewall и изберете +Add Firewall Rule. Създайте две потребителски/мрежови правила както е показано по-долу
(кликнете върху изображениятa за пълен размер)
Конфигурация на защитна стена Cyberoam
Създайте локална и отдалечена LAN мрежа
Отворете секцията OBJECTS → Hosts и изберете Add, за да създадете локална LAN мрежа
(кликнете върху изображениeто за пълен размер)
Отворете секцията OBJECTS → IP Host и изберете Add, за да създадете отдалечена LAN мрежа
(кликнете върху изображениeто за пълен размер)
Съдаване на IPsec VPN връзка
Отворете секцията VPN>IPsec Connections и изберете Wizard. Дайте му име и изберете Start.
Изберете Site To Site като вид на връзката и изберете Branch Office
(кликнете върху изображениeто за пълен размер)
За Authentication Type изберете Preshared Key (предварително споделен ключ)
Уверете се,че използвате същия споделен ключ, като в защитна стена Sophos XG
(кликнете върху изображениeто за пълен размер)
В полето Local Subnet, изберете локалната LAN мрежа, създадена по-рано
(кликнете върху изображениeто за пълен размер)
В полето Remote Subnet, изберете отдалечената LAN мрежа, създадена по-рано
(кликнете върху изображениeто за пълен размер)
Прегледайте обобщението на IPsec връзката и изберете Finish
(кликнете върху изображениeто за пълен размер)
След като изберете Finish, ще се появи прозорец, показващ създадената връзка
(кликнете върху изображениeто за пълен размер)
Кликнете върху червената точка под Status (Active), за да активирате връзката.
(кликнете върху изображениeто за пълен размер)
Добавете две правила на защитната стена, позволяващи VPN трафик
Отворете секцията Firewall → Rule → IPv4 Rule и изберете Add.
Създайте две потребителски/мрежови правила както е показано тук.
(кликнете върху изображенията за пълен размер)
Установяване на IPsec връзка
След като успешно са конфигурирани двете защитни стени (Sophos и Cyberoam), установете IPsec връзката между тях. Тъй като защитната стена от клон-офиса (Cyberoam) е инициатор на връзката, от защитна стена Cyberoam отворете секцията VPN → IPsec Connections и изберете червената точка под Status (Connection)
(кликнете върху изображенията за пълен размер)
От защитна стена Sophos XG, отворете секцията VPN → IPSec → Connections и потвърдете, че връзката е установена
(кликнете върху изображенията за пълен размер)
Резултати
Ping тест от машината зад защитна стена Sophos XG към машината зад защитна стена Cyberoam и обратно трябва да работи.
От защитна стена Sophos XG oтворете секцията Firewall и проверете дали VPN правилата пропускат входящ и изходящ трафик.
(кликнете върху изображениeтo за пълен размер)
Отворете секцията Reports > VPN и потвърдете че IPsec връзката се ползва
(кликнете върху изображението за пълен размер)
Кликнете върху името на връзката за повече детайли
(кликнете върху изображението за пълен размер)
От защитна стена Cyberoam отворете секцията FIREWALL → Rule → IPv4 Rule и се уверете, че VPN правилата позволяват сваляне и качване на информация.
Бележка:
Уверете се,че VPN правилата на защитната стена са в горната част на списъка с правила на защитната стена (Firewall Rule list)
В конфигурациите на главния офис и клон-офиса, защитната стена Cyberoam в клон-офиса обикновено действа като инциатор на тунела, а защитната стена Sophos в главния офис като отговорник поради следните причини:
Когато устройството в клон офиса е конфигурирано с динамичен IP адрес, устройството на главния офис не може да инициира връзката.
Тъй като броя на клон-офисите варира, препоръчително е всеки клон отново да се опита да се свърже с главния офис, вместо той да прави опити, пробвайки всички връзки към клон-офисите.
Видео: How to setup a Site to Site IPsec VPN
Ръководство на английски език: Sophos Firewall: How to establish a Site-to-Site IPsec VPN connection between Cyberoam and Sophos Firewalls using a preshared key