Clever Geek Handbook

Trabajo remoto o revisión de VPN en Sophos XG Firewall





¡Hola! Este artículo estará dedicado a una descripción general de la funcionalidad de VPN en el producto Sophos XG Firewall. En el artículo anterior , discutimos cómo obtener esta solución para proteger su red doméstica de forma gratuita con una licencia completa. Hoy vamos a hablar sobre la funcionalidad VPN integrada en Sophos XG. Intentaré explicarle lo que puede hacer este producto, así como dar ejemplos de configuración de una VPN IPSec de sitio a sitio y una VPN SSL personalizada. Así que vayamos a la revisión.



En primer lugar, echemos un vistazo a la tabla de licencias:







puede leer más sobre cómo se licencia Sophos XG Firewall aquí:

Enlace

.



La funcionalidad principal de VPN está incluida en la licencia básica y se compra solo una vez. Esta es una licencia de por vida y no requiere renovación. El módulo de Opciones de VPN base incluye:



Sitio a sitio:



  • VPN SSL
  • VPN IPSec


Acceso remoto (cliente VPN):



  • VPN SSL
  • VPN sin cliente IPsec (con aplicación personalizada gratuita)
  • L2TP
  • PPTP


Como puede ver, todos los protocolos y tipos de conexiones VPN populares son compatibles.



Además, Sophos XG Firewall tiene otros dos tipos de conexiones VPN que no están incluidas en la suscripción básica. Son RED VPN y HTML5 VPN. Estas conexiones VPN están incluidas en la suscripción de Protección de red, lo que significa que para usar estos tipos, debe tener una suscripción activa, que también incluye la funcionalidad de protección de red: módulos IPS y ATP.



RED VPN es una VPN L2 patentada de Sophos. Este tipo de conexión VPN tiene varias ventajas sobre SSL de sitio a sitio o IPSec al configurar una VPN entre dos XG. A diferencia de IPSec, el túnel RED crea una interfaz virtual en ambos extremos del túnel, lo que ayuda a solucionar problemas y, a diferencia de SSL, esta interfaz virtual es completamente personalizable. El administrador tiene control total sobre la subred dentro del túnel RED, lo que facilita la resolución de problemas de enrutamiento y conflictos de subredes.



VPN HTML5 o VPN sin cliente: un tipo específico de VPN que permite que los servicios se pasen a través de HTML5 directamente en el navegador. Los tipos de servicios que se pueden configurar:



  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • SMB


Pero vale la pena considerar que este tipo de VPN se usa solo en casos especiales y se recomienda, si es posible, usar los tipos de VPN de las listas anteriores.



Práctica



Echemos un vistazo a cómo configurar varios de estos tipos de túneles, a saber, IPSec de sitio a sitio y acceso remoto VPN SSL.



VPN IPSec de sitio a sitio



Comencemos con cómo configurar un túnel VPN IPSec de sitio a sitio entre dos firewalls Sophos XG. StrongSwan se usa bajo el capó, lo que le permite conectarse a cualquier enrutador habilitado para IPSec.



Puede utilizar un asistente de configuración rápido y conveniente, pero seguiremos la ruta general para que, según estas instrucciones, pueda combinar Sophos XG con cualquier equipo a través de IPSec.



Abramos la ventana de configuración de políticas:







Como podemos ver, ya hay configuraciones predefinidas, pero crearemos las nuestras.











Configuremos los ajustes de cifrado para la primera y la segunda fase y guardemos la política. Por analogía, hacemos lo mismo en el segundo Sophos XG y procedemos a configurar el túnel IPSec.







Introduzca el nombre, el modo de funcionamiento y configure los parámetros de cifrado. Por ejemplo, usaremos la clave previamente compartida







e indicaremos subredes locales y remotas.







Nuestra conexión se ha creado







Por analogía, hacemos los mismos ajustes en el segundo Sophos XG, excepto el modo de funcionamiento, allí ponemos Iniciar la conexión,







ahora tenemos dos túneles configurados. A continuación, debemos activarlos y ejecutarlos. Esto se hace de manera muy simple, debe hacer clic en el círculo rojo debajo de la palabra Activo para activar y en el círculo rojo debajo de Conexión para iniciar la conexión.

Si vemos una imagen como esta:





Esto significa que nuestro túnel está funcionando correctamente. Si el segundo indicador es rojo o ámbar, significa que algo se configuró incorrectamente en las políticas de cifrado o en las subredes locales y remotas. Permítame recordarle que la configuración debe reflejarse.



Por separado, quiero destacar que puede crear grupos de conmutación por error a partir de túneles IPSec para tolerancia a fallas:







VPN SSL de acceso remoto



Pasemos a la VPN SSL de acceso remoto para usuarios. OpenVPN estándar se ejecuta bajo el capó. Esto permite a los usuarios conectarse a través de cualquier cliente que admita archivos de configuración .ovpn (como el cliente de conexión estándar).



Primero, debe configurar las políticas del servidor OpenVPN:







especificar el transporte para la conexión, configurar el puerto, el rango de direcciones IP para conectar usuarios remotos







, además, puede especificar la configuración de cifrado.



Después de configurar el servidor, comencemos a configurar las conexiones del cliente.







Cada regla de conexión SSL VPN se crea para un grupo o para un usuario individual. Cada usuario puede tener solo una política de conexión. De acuerdo con la configuración, desde un punto interesante, para cada una de estas reglas, puede especificar cómo los usuarios individuales, quién usará esta configuración o un grupo de AD, puede habilitar una casilla de verificación para que todo el tráfico esté envuelto en un túnel VPN o especificar las direcciones IP, subredes o FQDN disponibles para los usuarios. ... Según estas políticas, se creará automáticamente un perfil .ovpn con configuraciones para el cliente.







Mediante el portal de usuarios, el usuario puede descargar tanto el archivo .ovpn con la configuración del cliente VPN como el archivo de instalación del cliente VPN con el archivo de configuración de conexión incorporado.







Conclusión



En este artículo, echamos un vistazo rápido a la funcionalidad de VPN en el producto Sophos XG Firewall. Analizamos cómo puede configurar IPSec VPN y SSL VPN. Esta no es una lista completa de lo que puede hacer esta solución. En los próximos artículos intentaré revisar RED VPN y mostrar cómo se ve en la propia solución.



Gracias por tu tiempo.



Si tiene alguna pregunta sobre la versión comercial de XG Firewall, puede contactarnos - Factor Group , un distribuidor de Sophos. Basta con escribir en forma gratuita a sophos@fgts.ru .


More articles:


All Articles