
Olá! Este artigo será dedicado a uma visão geral da funcionalidade VPN no produto de firewall Sophos XG. No artigo anterior , vimos como obter essa solução de proteção de rede doméstica gratuitamente com uma licença completa. Hoje vamos falar sobre a funcionalidade VPN integrada no Sophos XG. Vou tentar dizer o que este produto pode fazer e também dar exemplos de configuração de uma VPN IPSec Site a Site e uma VPN SSL personalizada. Então, vamos começar a revisão.
Em primeiro lugar, vamos dar uma olhada na tabela de licenciamento: Você

pode ler mais sobre como o Firewall Sophos XG é licenciado aqui:
Link
Mas neste artigo estaremos interessados apenas nos itens destacados em vermelho.
A principal funcionalidade VPN está incluída na licença básica e é adquirida apenas uma vez. Esta é uma licença vitalícia e não requer renovação. O módulo Base VPN Options inclui:
Site a Site:
- VPN SSL
- VPN IPSec
Acesso remoto (VPN cliente):
- VPN SSL
- VPN IPsec sem cliente (com aplicativo personalizado gratuito)
- L2TP
- PPTP
Como você pode ver, todos os protocolos e tipos populares de conexões VPN são suportados.
Além disso, o Sophos XG Firewall tem dois outros tipos de conexões VPN que não estão incluídos na assinatura básica. Eles são RED VPN e HTML5 VPN. Essas conexões VPN estão incluídas na assinatura de Proteção de Rede, o que significa que, para usar esses tipos, você deve ter uma assinatura ativa, que também inclui a funcionalidade de proteção de rede - módulos IPS e ATP.
RED VPN é uma VPN L2 proprietária da Sophos. Esse tipo de conexão VPN tem várias vantagens em relação ao SSL ou IPSec Site a site ao configurar uma VPN entre dois XGs. Ao contrário do IPSec, o túnel RED cria uma interface virtual em ambas as extremidades do túnel, o que ajuda a solucionar problemas e, ao contrário do SSL, essa interface virtual é totalmente personalizável. O administrador tem controle total sobre a sub-rede dentro do túnel RED, tornando mais fácil resolver problemas de roteamento e conflitos de sub-rede.
VPN HTML5 ou VPN sem cliente - Um tipo específico de VPN que permite que os serviços sejam passados por HTML5 direto no navegador. Os tipos de serviços que podem ser configurados:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Mas vale a pena considerar que este tipo de VPN é usado apenas em casos especiais e é recomendado, se possível, usar os tipos de VPN das listas acima.
Prática
Vamos dar uma olhada em como configurar vários desses tipos de túnel, ou seja, IPSec Site a Site e Acesso Remoto SSL VPN.
VPN IPSec Site a Site
Vamos começar explicando como configurar um túnel VPN IPSec Site-to-Site entre dois Firewalls Sophos XG. StrongSwan é usado sob o capô, o que permite que você se conecte a qualquer roteador habilitado para IPSec.
Pode utilizar um prático e rápido assistente de configuração, mas seguiremos o caminho geral para que, com base neste manual, possa combinar o Sophos XG com qualquer equipamento via IPSec.
Vamos abrir a janela de configurações de política:

Como podemos ver, já existem configurações predefinidas, mas criaremos as nossas próprias.


Vamos definir as configurações de criptografia para a primeira e segunda fases e salvar a política. Por analogia, fazemos o mesmo no segundo Sophos XG e procedemos à configuração do próprio túnel IPSec

Insira o nome, modo de operação e configure os parâmetros de criptografia. Por exemplo, usaremos chave pré-compartilhada

e indicaremos sub-redes locais e remotas.

Nossa conexão foi criada

Por analogia, fazemos as mesmas configurações no segundo Sophos XG, exceto pelo modo de operação, colocamos Iniciar a conexão lá,

agora temos dois túneis configurados. Em seguida, precisamos ativá-los e executá-los. Isso é feito de forma muito simples, você precisa clicar no círculo vermelho sob a palavra Ativo para ativar e no círculo vermelho sob Conexão para iniciar a conexão.
Se virmos uma imagem como esta:

Isso significa que nosso túnel está funcionando corretamente. Se o segundo indicador estiver vermelho ou âmbar, algo foi configurado incorretamente nas políticas de criptografia ou nas sub-redes locais e remotas. Deixe-me lembrá-lo de que as configurações devem ser espelhadas.
Separadamente, quero destacar que você pode criar grupos de failover de túneis IPSec para tolerância a falhas:

VPN SSL de acesso remoto
Vamos passar para a VPN SSL de acesso remoto para usuários. OpenVPN padrão está sendo executado sob o capô. Isso permite que os usuários se conectem por meio de qualquer cliente que suporte arquivos de configuração .ovpn (como o cliente de conexão padrão).
Primeiro, você precisa configurar as políticas do servidor OpenVPN:

Especifique o transporte para conexão, configure a porta, o intervalo de endereços IP para conectar usuários remotos.Além

disso, você pode especificar as configurações de criptografia.
Depois de configurar o servidor, vamos começar a configurar as conexões do cliente.

Cada regra de conexão SSL VPN é criada para um grupo ou para um usuário individual. Cada usuário pode ter apenas uma política de conexão. De acordo com as configurações, a partir de um ponto interessante, para cada regra, você pode especificar como usuários individuais, que usarão esta configuração ou um grupo do AD, você pode habilitar uma caixa de seleção para que todo o tráfego seja envolvido em um túnel VPN ou especificar os endereços IP, sub-redes ou nomes FQDN disponíveis para os usuários ... Com base nessas políticas, um perfil .ovpn com configurações para o cliente será criado automaticamente.

Usando o portal do usuário, o usuário pode baixar o arquivo .ovpn com as configurações do cliente VPN e o arquivo de instalação do cliente VPN com o arquivo de configurações de conexão integrado.

Conclusão
Neste artigo, demos uma olhada rápida na funcionalidade VPN no produto de firewall Sophos XG. Vimos como você pode configurar IPSec VPN e SSL VPN. Esta não é uma lista completa do que esta solução pode fazer. Nos próximos artigos, tentarei revisar o RED VPN e mostrar como ele se parece na própria solução.
Obrigado pelo seu tempo.
Se você tiver alguma dúvida sobre a versão comercial do Firewall XG, pode entrar em contato conosco - Factor Group , distribuidor da Sophos. Basta escrever em formato livre para sophos@fgts.ru .