Как да конфигурираме Site-to-site RED тунел

Тази статия описва как да конфигурирате Site-to-site RED тунел между две защитни стени Sophos XG, без да е необходимо отделно RED устройство.


Отнася се за следните продукти и версии на Sophos:
Защитна стена Sophos v16 и по-нови версии.

 

Как да създадем RED тунел

За да настроите RED тунел от XG до XG , изберете една XG защитна стена, която да бъде сървърът. Устройството, избрано за сървър, слуша за входящи връзки, а клиентското устройство инициира изходящата връзка. Всеки NAT нагоре по течението може да пречи на входящите връзки, така че е най-добре устройството, което не е NATED, да действа като сървър.

Моля, вижте инструкции описани тук за настройка на тунела, конфигуриране на интерфейсите, конфигуриране на маршрутите и след това конфигуриране на защитната стена.

 

Конфигурация на защитна стена - сървър

  1. Отворете секция System Services → RED и привключете RED status към позиция ON.

  2. Попълнете опциите по-доли и изберете Apply, за да активирате RED функцията.

    • Organization name (име на организацията)

    • City (Град)

    • Country (Държава)

    • Email (Валиден и актуален имейл адрес)

  3. Отворете секция Network → Interfaces и изберете Add interface в горната дясна част.

  4. Изберете Add RED от падащият списък.

  5. Въведете RED settings от защитната стена- сървър и изберете Save.

    (кликнете тук,за да видите изображението в пълен размер)


    • Branch name:  Въведете името на отдалечената локация към която RED трябва да бъде конфигурирано.

    • Type: Firewall RED Server

    • Tunnel ID: Automatic

    • RED IP: IP адресът от страната на сърврана на RED тунела.

    • RED netmask: Subnet маската от цялата мрежа използвана за RED устройството. Мрежата трябва да има най-малко два налични свободни адреса.

    • Zone: LAN

    • Tunnel compression: Компресира трафика да бъде по-малък, но може да използва повече системни ресурси.

  6. Генерира се файл за резервиране за отдалечената защитна стена XG Server.
    Кликнете върху този бутон:

     След това изтеглете наличния файл за предоставяне на услуги и го запазете във формат .red

    (кликнете тук, за да видите изображението в пълен размер)

 

Конфигурация на защитна стена - клиент

Повторете стъпките от 1 до 5, както са описани по-горе и попълнете детайлите, показани по-долу като добавите RED интерфейс и изберете Save.

(кликнете тук,за да видите изображението в пълен размер)

  • Branch name: Въведете името на отдалечената локация към която RED трябва да бъде конфигурирано.

  • Type: Firewall RED Client

  • Firewall IP/hostname: Публичният IP на защитна стена RED Server.

  • Provisioning file: Кликнете тук, за да прикачите файла за предоставяне не услуги, който свалихте при конфигуриране на RED Server.

  • RED IP: IP адресът от страната на клиента на RED тунела.

  • RED netmask: Subnet маската от цялата мрежа използвана за RED устройството. Мрежата трябва да има най-малко два налични свободни адреса.

  • Zone: LAN


Статични маршрути

  1. При Site-to-site RED тунелите, статичното маршрутизиране трябва да бъде конфигуриран ръчно. Отворете секция Routing → Static routing.

  2. Изберете Add, за да създадете IPv4 unicast route.     

  3. В този прозорец попълнете следната информация:

    (кликнете тук, за да видите изображението в пълен размер)

  4. Създайте статични маршрути и на двете защитни стени XG, така че вътрешните мрежи да имат маршрут през RED тунел.

 

Правила на защитната стена

За да преминава трафикът между двете защитни стени, трябва да се създаде LAN към LAN или подобно правило на всяка защитна стена.

  1. Отворете секция Firewall

  2. Изберете Add, за да създадете правило на защитната стена.

  3. Създайте правило, позволяващо трафика между зоните, към които принадлежи RED устройството и други зони използвани от статичните маршрути.

Това изображение показва пример за стандарнo LAN to LAN правило, така че целият трафик да може да преминава между мрежите в LAN зоните.

(кликнете тук,за да видите изображението в пълен размер)

Бележка:

Note:

  • Методът за защитна стена XG до тунел Sophos UTM е подобен, но трябва да изберете Firewall RED Client Legacy или Firewall RED Server Legacy при създаване на интерфейсите на XG.

  • Ако защитната стена RED сървър има повече от един WAN интерфейс, е необходимо sys-traffic-nat правило, за да се наложи правилна NAT за защитната стена RED сървър. Това може да бъде направено в конзолата на защитна стена XG.

(кликнете тук,за да видите изображението в пълен размер)

 


Ръководство на анлгийски език: Sophos XG Firewall: How to configure site-to-site RED tunnels

Свързани материали