Bài viết này hướng dẫn cấu hình IPsec Remote Access VPN trên Sophos Firewall thông qua Sophos Connect Client, giúp người dùng từ xa có thể truy cập an toàn vào hệ thống mạng nội bộ của doanh nghiệp.

Bên cạnh đó, bài viết cũng phân tích sự khác biệt giữa hai mô hình triển khai phổ biến:

• Firewall quay PPPoE trực tiếp (khuyến nghị – đảm bảo IPsec hoạt động ổn định)
• Firewall đặt sau modem NAT (dễ phát sinh lỗi kết nối IPsec)

Qua đó, giúp người đọc hiểu rõ nguyên nhân và lựa chọn mô hình triển khai phù hợp trong thực tế.

Trong thực tế, doanh nghiệp thường có nhu cầu cho phép nhân viên truy cập vào hệ thống nội bộ khi làm việc từ xa (tại nhà, quán cà phê hoặc khi đi công tác). Tuy nhiên, việc mở trực tiếp các dịch vụ nội bộ ra Internet tiềm ẩn nhiều rủi ro về bảo mật.

Vì vậy, giải pháp được đặt ra là triển khai VPN để tạo một kênh kết nối an toàn giữa người dùng bên ngoài và hệ thống mạng nội bộ.

Yêu cầu:

• Triển khai IPsec Remote Access VPN trên Sophos Firewall sử dụng Sophos Connect Client
• Đảm bảo dữ liệu trao đổi được mã hóa, an toàn khi đi qua Internet
• Người dùng sau khi kết nối VPN có thể truy cập vào các tài nguyên nội bộ như:
  • Server nội bộ
  • File chia sẻ (SMB)
  • Remote Desktop (RDP)
• Hạn chế truy cập, chỉ cho phép vào các mạng cần thiết (ví dụ: VLAN quản trị)

1. Tạo user VPN
2. Tạo IPsec Profile
3. Cấu hình IPsec Remote Access
4. Tạo Firewall Rule cho VPN
5. Cài Sophos Connect và export file cấu hình để kết nối

Authentication → Users → Add

Profiles → IPsec profiles → Add

IPsec Profile dùng để định nghĩa các thông số bảo mật và cách thức thiết lập kết nối VPN giữa client và firewall. Để đảm bảo tương thích với Sophos Connect, profile nên cấu hình tương tự profile mặc định DefaultRemoteAccess.

Thông tin chung

• Name: IPsec VPN Remote Access.
• Description: Description.
• Key exchange: IKEv1 – Chuẩn kết nối cũ.
• Authentication mode: Main mode – đảm bảo quá trình xác thực an toàn hơn.
• Key negotiation tries: 0 – cho phép thử kết nối không giới hạn nếu lần đầu thất bại.
• Re-key connection: Enable  – tự động gia hạn kết nối khi sắp hết hạn.
• Use strict profile: Disable – cho phép linh hoạt khi thương lượng thuật toán giữa client và firewall.
• Pass data in compressed format: Disable – không cần thiết trong hầu hết trường hợp
• SHA2 with 96-bit truncation: Disable – giữ nguyên độ bảo mật đầy đủ của SHA2.

Đây là giai đoạn hai bên tạo kênh bảo mật để trao đổi khóa và xác thực lẫn nhau.

• Key life: 18000 seconds (thời gian tồn tại của phiên kết nối ban đầu)
• DH group: (giữ mặc định hệ thống – đảm bảo tương thích)
• Re-key margin: 360 seconds (bắt đầu gia hạn trước khi hết hạn)
• Randomize re-keying margin: 100% (tránh nhiều kết nối gia hạn cùng lúc)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Việc cấu hình nhiều thuật toán giúp firewall và client có thể “thương lượng” và chọn ra thuật toán phù hợp nhất để kết nối thành công.

Sau khi Phase 1 thành công, Phase 2 sẽ tạo kênh để truyền dữ liệu thực tế.

• PFS group: Same as Phase 1 (tăng cường bảo mật cho mỗi phiên dữ liệu)
• Key life: 3600 seconds (thời gian sử dụng khóa cho việc truyền dữ liệu)

Thuật toán:

• Encryption: AES256, AES256, AES128
• Authentication: SHA2-256, SHA1, SHA1

Dead Peer Detection (DPD)

DPD giúp firewall kiểm tra xem client còn kết nối hay không.

• Dead Peer Detection: Enable.
• Check peer after every: 60 seconds – kiểm tra định kỳ.
• Wait for response up to: 240 seconds  – thời gian chờ phản hồi.
• When peer unreachable: Disconnect – ngắt kết nối nếu không phản hồi.

Nhấn Save để lưu cấu hình

Truy cập:

Remote Access VPN → IPsec

Đây là bước cấu hình để bật tính năng IPsec Remote Access trên firewall và liên kết với profile đã tạo ở bước trước.

General settings:

• IPsec remote access: Enable – Bật tính năng IPsec Remote Access trên firewall
• Interface: Port2 – 115.70.xxx.xxx – Cổng WAN nhận kết nối từ Internet
• IPsec profile: IPsec VPN Remote Access – Sử dụng profile đã tạo ở bước 1

Authentication:

• Authentication type: Preshared key – Xác thực bằng khóa bí mật dùng chung giữa client và firewall
• Preshared key: Client phải nhập đúng key này mới kết nối được

Identification:

• Local ID: Default
• Remote ID: Default

Dùng để định danh 2 đầu VPN, trong lab có thể để mặc định

Allowed users and groups:

• Allowed users and groups: it  – Chỉ user thuộc group it mới được phép kết nối VPN

Client information:

• Name: it – Tên cấu hình VPN (hiển thị khi export file cho client)
• Assign IP from: 11.11.11.1 – 11.11.11.10 -> Dải IP cấp cho user khi kết nối VPN
• DNS server 1 / 2: Có thể thêm DNS nội bộ nếu cần resolve domain nội bộ

Idle timeout:

• Disconnect when tunnel is idle: Tự ngắt VPN nếu không có hoạt động
• Idle session time interval: (120–21600s) – Thời gian chờ trước khi ngắt

Advanced settings:

• Use as default gateway:
  • Nếu bật: toàn bộ traffic client đi qua VPN
  • Nếu tắt: chỉ đi các mạng nội bộ (split tunnel)
• Permitted network resources (IPv4): VLAN_10_MGMT – Chỉ cho phép truy cập vào mạng nội bộ VLAN_10_MGMT
• Send Security Heartbeat through tunnel: Dùng cho Sophos endpoint
• Allow users to save username and password: Enable – Cho phép client lưu thông tin đăng nhập
• Prompt users for 2FA token: Dùng nếu có xác thực 2 lớp
• Run AD logon script after connecting: Tùy chọn
• Hostname or DNS suffix to monitor: Tùy chọn
• Connect tunnel automatically: Dùng để auto connect VPN khi truy cập domain
• DNS suffix: Dùng cho môi trường domain nội bộ

Nhấn Apply để lưu cấu hình và nhấn Export Connection để lấy file đăng nhập.

Truy cập:

Rules and Policies → Firewall Rules → Add

Firewall Rule dùng để cho phép traffic từ VPN đi vào mạng nội bộ và ngược lại. Nếu không có rule này, dù VPN kết nối thành công thì user vẫn không truy cập được tài nguyên bên trong.

Thông tin chung:

• Rule name: IPsec VPN Remote Access
• Action: Accept – cho phép lưu lượng đi qua
• Log firewall traffic: Enable – ghi log để dễ kiểm tra khi cần
• Description: (tùy chọn)
• Rule group: None

Source zones:

• LAN
• VPN

Cho phép traffic từ cả mạng nội bộ và user VPN

Source networks and devices:

• 11 (dải IP VPN: 11.11.11.1 – 11.11.11.10) là IP được cấp cho client VPN
• VLAN_10_MGMT là mạng nội bộ

Destination zones:

• LAN
• VPN

Cho phép truy cập hai chiều

Destination networks:

• 11 – cho phép chiều ngược lại (LAN có thể phản hồi lại VPN client)
• VLAN_10_MGMT  – là mạng nội bộ mà user VPN được phép truy cập

Nhấn Save / Apply để lưu rule

Sau khi hoàn tất cấu hình trên firewall, cần export file cấu hình VPN và cài đặt Sophos Connect trên máy người dùng để thực hiện kết nối.

Khi export cấu hình IPsec VPN từ Sophos Firewall, hệ thống có thể cung cấp hai loại file với mục đích sử dụng khác nhau:

• File .scx: Đây là file cấu hình dành cho người dùng cuối, được sử dụng để import vào Sophos Connect Client nhằm thiết lập kết nối VPN. File này chứa đầy đủ thông tin cần thiết như địa chỉ gateway, cấu hình IPsec và các tham số kết nối.
• File .tgb: Đây là file backup cấu hình, được sử dụng cho mục đích sao lưu và khôi phục trên firewall. File này không dùng cho client và không thể import vào Sophos Connect.

Ngoài ra, bạn có thể truy cập mục Current Activities để theo dõi các phiên VPN đang hoạt động, bao gồm thông tin người dùng đang đăng nhập và loại client đang sử dụng.

Bài viết này hướng dẫn cấu hình SSL VPN Client-to-Site trên Sophos Firewall firmware v22, cho phép người dùng từ xa (remote user) sử dụng máy Windows kết nối an toàn vào mạng nội bộ doanh nghiệp thông qua Internet.

Sau khi hoàn thành, người dùng có thể:

• Truy cập tài nguyên nội bộ (Server, NAS, RDP, Web nội bộ…)
• Mã hóa kết nối đảm bảo an toàn dữ liệu
• Xác thực bằng tài khoản người dùng trên Sophos Firewall

Doanh nghiệp cần:

• Nhân viên truy cập từ xa (WFH)
• Kết nối vào LAN nội bộ
• Đảm bảo bảo mật và kiểm soát truy cập

Yêu cầu:

• Chỉ user hợp lệ mới được VPN
• Truy cập server nội bộ (RDP, File Server)
• Có thể mở rộng MFA sau này

Tổng quan các bước:

1. Tạo User và Group
2. Cấu hình SSL VPN Profile
3. Cấu hình SSL VPN Global Settings
4. Tạo Firewall Rule cho phép truy cập từ VPN vào vùng LAN
5. Tải VPN Client và file cấu hình
6. Cài đặt phần mềm Sophos Connect
7. Import cấu hình VPN vào Sophos Connect
8. Test kết nối SSL VPN

Authentication → Groups → Add

• Group Name: VACIF GROUP
• Surfing quota: Unlimited Internet Access
• Access time: Allowed all the time

Authentication → Users → Add

• Username: VACIF
• Password: ****
• Group: VACIF GROUP

VPN → Remote Access VPN → SSL VPN → Add → Configure manually

Thực hiện cấu hình các thông số sau:

• Name: Đặt tên cho cấu hình SSL VPN (ví dụ: SSLVPN-IT)
• Policy members: Chọn user hoặc group đã tạo trước đó (ví dụ: vpnuser01 hoặc SSLVPN-Users)
• Use as default gateway:
  • Bật khi muốn toàn bộ lưu lượng của VPN Client đi qua Sophos Firewall (Full Tunnel)
  • Không bật khi chỉ định tuyến lưu lượng truy cập vào mạng nội bộ qua VPN (Split Tunnel)
• Permitted network resources (IPv4): Chọn các dải mạng nội bộ (LAN) mà người dùng VPN được phép truy cập (ví dụ: 10.10.10.0/24)
• Disconnect idle clients: Tự động ngắt kết nối VPN khi người dùng không có hoạt động trong một khoảng thời gian nhất định

→ Nhấn Apply để lưu cấu hình

VPN → Remote Access VPN → SSL VPN → Global Settings

• Protocol: Chọn UDP để tối ưu hiệu suất và giảm độ trễ khi kết nối VPN
• SSL server certificate: Giữ nguyên ApplianceCertificate (chứng chỉ mặc định của thiết bị)
• Override hostname: Nhập địa chỉ IP WAN hoặc tên miền mà người dùng VPN sẽ sử dụng để kết nối (ví dụ: 123.20.173.178 hoặc vpn.company.com)
• Port: Giữ mặc định 8443 hoặc thay đổi nếu có yêu cầu riêng (Ở đây mình đặt 10443)
• Assign IPv4 addresses: Khai báo dải IP cấp phát cho VPN Client (ví dụ: 10.121.10.0/24)
• IPv4 DNS: Cấu hình DNS để client có thể phân giải tên miền khi kết nối VPN (ví dụ: 8.8.8.8, 1.1.1.1 hoặc DNS nội bộ)
• Disconnect dead peer after: Thiết lập thời gian (giây) để tự động ngắt kết nối khi client không phản hồi
• Disconnect idle peer after: Thiết lập thời gian ngắt kết nối khi người dùng không có hoạt động Có thể để trống – nên để trống nếu không giới hạn

→ Nhấn Apply để lưu cấu hình

Rules and Policies → Firewall Rules

Thực hiện cấu hình các thông số sau:

→ Nhấn Save để lưu cấu hình

Để biết được port VPN là bao nhiêu thì bạn cần phải vào:

Administrator → Admin and user settings

• Tiếp theo, truy cập VPN Portal bằng trình duyệt: https://<WAN-IP hoặc tên miền>:8443
• Đăng nhập bằng tài khoản VPN mà bạn đã tạo trước đó.

Tại giao diện Portal:

• Nhấn Download for Windows trong mục Sophos Connect client để tải phần mềm
• Nhấn Download for Windows, macOS, Linux trong mục VPN configuration để tải file cấu hình SSL VPN (.ovpn)

• Chạy file cài đặt: SophosConnect_<version>.exe
• Tại màn hình cài đặt: Tick chọn “I accept the Sophos End User License Agreement and acknowledge the Sophos Privacy Policy”

• Mở phần mềm Sophos Connect
• Tại giao diện chính: Nhấn Import connection
• Chọn file cấu hình đã tải: sslvpn-vacif-client-config.ovpn
• Sau khi import thành công: Kết nối VPN sẽ hiển thị trong danh sách

Lúc này bạn có thể truy cập vào trong lớp mạng LAN nội bộ đã cấu hình. Ngoài ra bạn có thể vào mục Current activities để kiểm tra xem user nào đang đăng nhập SSL VPN.

Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.