Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Cấu hình VPN Failover MPLS là giải pháp đảm bảo kết nối liên tục giữa các chi nhánh và trung tâm dữ liệu thông qua cả đường truyền MPLS và VPN (Internet). Khi đường MPLS gặp sự cố, VPN sẽ tự động kích hoạt để duy trì kết nối.

• Primary Link (MPLS): Kết nối chính giữa các chi nhánh với trung tâm dữ liệu thông qua MPLS.
• Backup Link (VPN – Internet): Khi đường MPLS bị lỗi, VPN Site-to-Site qua Internet sẽ tự động thay thế.
• Failover Detection: Sử dụng tính năng theo dõi (health check) để giám sát trạng thái đường truyền, nếu phát hiện mất kết nối, tự động chuyển sang VPN.
• Load Balancing: Một số giải pháp có thể triển khai cả hai đường truyền cùng lúc để cân bằng tải.

Link tham khảo: https://thegioifirewall.com/huong-dan-cau-hinh-ipsec-vpn-site-to-site-giua-sophos-va-fortinet-voi-ip-wan-la-ip-tinh/

• Chạy câu lệnh để xét đường IPSec backup cho đường MPLS.
• SYNTAX: system link_failover add primarylink <MPLSPort> backuplink vpn tunnel <VPNLink> monitor PING host <RemoteIP>
• Dưới dây là hình ảnh show kết quả cấu hình đường link Failover của MPLS.

• Đăng nhập vào sophos web admin.

• Đi tới Routing > Static routes và add unicast routes IPv4.

• Đăng nhập vào console sophos CLI.Chọn option 4. Device Console.
• Chạy câu lệnh để xét đường ưu tiên đường static route.

• SYNTAX: system route_precedence set static sdwan_policyroute vpn

• Cấu hình Failover: Chuyển đổi tự động giữa MPLS và VPN khi có sự cố.Đăng nhập vào sophos web admin.Đi tới Routing > SD_WAN profiles và add SD_WAN profiles mới.

• Chuyển sang tab SD_WAN routes, tạo 1 SD_WAN route và chọn SD_WAN profiles vừa mới tạo.

• Kiểm tra kết quả.
• Ở đây mình đang có 2 đường WAN, 1 là đường MPLS và đường còn lại là đường viettel.

• Ở tab SD_WAN profiles ta thấy đang chạy link MPLS

• Kết quả ping/tracert cho thấy rằng traffic đang đi qua đường MPLS.

• Tiến hành off link MPLS.

• Sẽ tự động chuyển qua đường viettel.

• Kết quả ping thấy rằng traffic đang đi qua đường VPN.

Cấu hình VPN Failover MPLS giúp:

• Đảm bảo kết nối liên tục giữa các chi nhánh và trung tâm dữ liệu
• Giảm thiểu gián đoạn dịch vụ khi MPLS gặp sự cố.
• Tối ưu chi phí khi kết hợp MPLS và Internet thay vì chỉ sử dụng MPLS.