Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Bài viết này sẽ hướng dẫn cấu hình tính năng L2TP VPN trên thiết bị tường lửa Sophos XGS để truy cập từ xa vào mạng nội bộ. Giao thức Layer Two Tunneling Protocol (L2TP) cho phép bạn cung cấp kết nối đến mạng của mình thông qua các đường hầm riêng trên Internet.

2.Chi tiết cấu hình

Đầu tiên ta sẽ tạo group VPN, bằng cách đi đến mục Authentication > Groups, chọn Add để tạo 1 group mới.

Group name*: tiến hành đặt tên

Group type*: chọn Normal

Surfing quota*: chọn Unlimited Internet Access

Access time*: chọn Allowed all the time

Các thông khác vẫn giữ nguyên mặc định.

Sau đó ấn Save để lưu lại.

Sau khi tạo group vpn xong, ta sẽ tiến hành tạo user vpn để thêm vào group. Bằng cách chọn Authentication > Users, chọn Add để tạo user mới.

Username*: tiến hành đặt username để đăng nhập

Name*: đặt tên

User type*: chọn User

Password*: Đặt mật khẩu cho tài khoản user

Email*: nhập email của bạn

Group*: Chọn group đã tạo trước đó

Các thông số khác giữ nguyên mặc định, sau đó nhấn Save.

Bây giờ ta sẽ vào Remote access VPN > L2TP > sau đó chọn L2TP global settings.

Tích chọn Enable L2TP

Assign IP from*:  điền range DHCP sẽ cấp khi user thực hiện VPN 

Primary DNS server*:  điền thông tin DNS chính

Secondary DNS server: điền thông tin DNS phụ

Sau đó ấn Add member để tiến hành add group VPN hoặc user VPN

Chọn group VPN đã tạo trước đó, sau đó ấn Add.

Ấn Ok.

Ấn Close để thoát.

Sau đó ấn Apply.

Vẫn ở mục Remote access VPN, tab L2TP, ấn Add.

Name*: đặt tên

Profile*: chọn DefaultL2TP

Gateway type*: chọn Respond only (giữ kết nối luôn sẵn sàng để phản hồi mọi yêu cầu tới)

Authentication type*: chọn Preshared key (xác thực điểm cuối bằng cách sử dụng khóa bí mật mà cả 2 điểm cuối đều biết)

Preshared key*: điền mật khẩu 

Local WAN port*: chọn port WAN đóng vai trò tunnel

Remote host*: địa chỉ IP hoặc hostname của endpoint từ xa. Để chỉ định bất kỳ địa chỉ IP nào, bạn có thể nhập địa chỉ ký tự đại diện (*).

Allow NAT traversal: bật NAT traversal nếu có thiết bị NAT giữa các endpoint của bạn

Remote subnet*: để Any (mạng từ xa mà bạn muốn cấp quyền truy cập)

Các thông số giữ nguyên mặc định, sau đó ấn Save.

Nhấp vào biểu tượng màu đỏ bên dưới cột Active để bắt đầu kết nối. Sau khi kết nối, nó sẽ hiển thị màu xanh lá cây.

Tiếp theo ta sẽ thiết lập độ ưu tiên route, thứ tự ưu tiên mặc định là Static routes, SD-WAN policy routes, VPN routes. Để thiết lập kết nối L2TP, VPN routes phải đến trước, tiếp theo là Static routes và SD-WAN policy routes theo bất kỳ thứ tự nào.

Đầu tiên cần đăng nhập vào CLI của tường lửa. Ở giao diện web admin truy cập vào dấu mũi tên như hình chọn Console.

Tiến hành nhập password tường lửa.

Chọn mục số 4.

Ở đây mình ta thiết lập độ ưu tiên rồi. Nếu chưa hãy dùng lệnh sau: 

system route_precedence set vpn static sdwan_policyroute 

Sau đó dùng lệnh này để kiểm tra lại:

system route_precedence show

Tiếp theo ta sẽ tạo Firewall rule để cho phép kết nối từ VPN vào mạng nội bộ. Ngoài ra ta cũng có thể viết thêm rule để cho phép theo chiều ngược lại.

Đi tới Rules and policies > Firewall rules, chọn Add firewall rule rồi chọn tiếp New firewall rule.

Rule name*: đặt tên

Action: chọn Accept

Tích chọn Log firewall traffic

Rule possition: chọn Top

Rule group: chọn None

Source zones*: chọn zone VPN

Source network and devices*: chọn Any (có thể giới hạn lại thành subnet mình muốn)

During scheduled time: chọn All the time

Destination zone*: chọn zone LAN

Destination network*: chọn Any (có thể giới hạn lại thành subnet mình muốn)

Services: chọn Any

Sau đó ấn Save để lưu

Lưu ý: Nếu bạn muốn lớp mạng người dùng VPN có thể truy cập Internet thông qua thiết bị Firewall thì tạo 1 Firewall rule với Source zones* là VPN và Destination zone* là WAN. 

Vào Administration > Device access, tích chọn IPsec ở Zone WAN.

Trong bài viết này mình sẽ hướng dẫn cấu hình tự động kết nối VPN sau khi khởi động máy tính.

2. Yêu cầu:

• Cấu hình SSL VPN.
• Cài đặt VPN Client.

3. Các bước thực hiện.

Bước 1. Tạo file provisioning.

Mở soạn văn bản với nội dung dưới đây:

[

    {

        “display_name”: “Sophos_auto_connect”, 

        “gateway”: “[IP WAN cấu hình SSL VPN]”,

        “vpn_portal_port”: [port VPN Portal],

        “otp”: false,

        “auto_connect_host”: “[IP nội bộ đang chạy]”,

        “can_save_credentials”: true, #user có thể save username/password

        “check_remote_availability”: false,

        “run_logon_script”: false

    }

]

Sau đó Lưu file với đuôi .pro

Bước 2: Import file vào sophos connect client.

Mở Sophos connect client -> Nhấn vào dấu 3 chấm và chọn Import connection.

Chọn Connect.

Nhập username/password của người dùng và chọn Save user name and password -> Nhấn sign in.

Cách tận dụng tối đa các tính năng mới trong Sophos Firewall v21.

Được viết bởi Chris McCormack

Ngày 23 tháng 9 năm 2024

Sophos Firewall v21 mang đến những cải tiến mới thú vị cho chức năng VPN, xác thực và định tuyến.

Cải tiến VPN

• Tùy chọn kích hoạt và hủy kích hoạt hàng loạt hiện khả dụng cho các kết nối (xem ảnh chụp màn hình bên dưới)
• Tính năng lọc nâng cao trên trang quản lý VPN hiện hợp nhất thông tin trên nhiều trang
• Tìm kiếm dựa trên giá trị và văn bản miễn phí hiện được hỗ trợ trong cấu hình VPN cho mạng, mạng con, người dùng truy cập từ xa và VPN site-to-site
• Đã thêm chế độ xem giao diện XFRM cụ thể vào trang Giao diện để dễ dàng lọc các giao diện RBVPN

Cải tiến VPN Site to Site

• Các cổng từ xa dựa trên FQDN đã được tối ưu hóa để cải thiện khả năng mở rộng cho các triển khai phân tán
• Chuyển tiếp DHCP qua giao diện XFRM hiện được hỗ trợ cho lưu lượng đến máy chủ DHCP được triển khai phía sau tường lửa từ xa (xem hình minh họa bên dưới)
• Việc triển khai RBVPN có thể tăng thời gian hoạt động của giao diện XFRM lên tới 20 lần, giảm thiểu đáng kể sự gián đoạn trong quá trình chuyển đổi đường hầm, chuyển đổi dự phòng HA hoặc khởi động lại

Cải tiến xác thực

• Tích hợp Google Workspace thông qua máy khách LDAP và khả năng tương thích SSO của Google Chromebook với các loại máy chủ LDAP cho phép chức năng SSO cho môi trường Google LDAP dành cho Chromebook
• Hiệu suất xử lý đăng nhập hàng loạt được cải thiện tới 4 lần đối với Radius SSO, STAS và Synchronized User ID để có thể xử lý hàng nghìn yêu cầu đăng nhập đồng thời ngay cả trong nhiều môi trường SSO (kết hợp STAS, Radius SSO và Synchronized User ID)
• Ngoài ra, hỗ trợ đã được thêm vào cho trải nghiệm AD SSO minh bạch khi HSTS được thực thi, cho phép bắt tay Kerberos và NTLM qua HTTP hoặc HTTPS

Quản lý tuyến đường tĩnh và động

• Người dùng có thể sao chép các tuyến tĩnh, bật hoặc tắt chúng và thêm mô tả thông qua tùy chọn Quản lý mới cho mỗi tuyến tĩnh trong bảng (xem ảnh chụp màn hình bên dưới)
• Hiện tại có tùy chọn tuyến đường blackhole và hỗ trợ đa đường dẫn chi phí bằng nhau (ECMP) để cân bằng tải
• Định tuyến động có tùy chọn mới để phân phối lại các tuyến BGP vào OSPFv3
• Định tuyến động hiện không có tác động nào trong các tình huống chuyển đổi dự phòng HA

Hãy xem video demo ngắn này để biết cách thức hoạt động và cách thiết lập

Bắt đầu tận dụng khả năng mới tuyệt vời này trong Sophos Firewall v21 bằng cách tham gia chương trình truy cập sớm (https://events.sophos.com/events/9496899a-0e84-4fa3-9d8a-07f23841dc1c) . Chỉ cần đăng ký chương trình, nhấp vào liên kết trong email của bạn để tải xuống gói cập nhật chương trình cơ sở và cài đặt nó trên Sophos Firewall của bạn.

VPN (mạng riêng ảo) là gì? Và làm cách nào mà VPN có thể giúp thời gian trực tuyến của bạn an toàn hơn và cũng riêng tư hơn? Sau đây chúng ta sẽ xem VPN là gì, nó cung cấp những gì và điều đó mang lại lợi ích gì cho bạn.

VPN là gì và nó bảo vệ tôi như thế nào?

VPN là một ứng dụng mà bạn cài đặt trên thiết bị của mình để giúp giữ an toàn cho dữ liệu của bạn khi bạn duyệt internet. Khi bạn bật ứng dụng VPN, thiết bị của bạn sẽ tạo kết nối an toàn với máy chủ VPN để định tuyến lưu lượng truy cập internet. An toàn. Điều này giúp hoạt động trực tuyến của bạn được riêng tư trên bất kỳ mạng nào, bảo vệ hoạt động đó khỏi những con mắt tò mò. Vì vậy, khi sử dụng VPN, bạn có thể duyệt web và giao dịch ngân hàng với sự tự tin rằng mật khẩu, thông tin đăng nhập và thông tin tài chính của bạn được bảo mật. Nếu bất kỳ tác nhân độc hại nào cố gắng chặn lưu lượng truy cập web của bạn, họ sẽ chỉ thấy nội dung bị cắt xén nhờ chức năng mã hóa VPN của bạn.

VPN có thay đổi địa chỉ IP của tôi không?

Mỗi kết nối internet được chỉ định một bộ số duy nhất gọi là địa chỉ IP, gắn liền với thông tin như vị trí địa lý hoặc Nhà cung cấp dịch vụ Internet (ISP). VPN thay thế địa chỉ IP thực của bạn để làm cho có vẻ như bạn đã kết nối với Internet từ vị trí thực của máy chủ VPN chứ không phải từ vị trí thực của bạn. Đây chỉ là một lý do tại sao rất nhiều người sử dụng VPN.

Làm cách nào tôi có thể sử dụng VPN để thay đổi địa chỉ IP của mình?

Để thay đổi địa chỉ IP, bạn chỉ cần mở ứng dụng VPN, chọn vị trí máy chủ mà bạn muốn kết nối và thế là xong. Bây giờ bạn đang duyệt bằng địa chỉ IP mới. Nếu bạn muốn đảm bảo rằng IP của mình đã thay đổi, hãy mở trình duyệt và tìm kiếm “What’s my IP address” rồi chọn một trong các kết quả.

Khi nào tôi nên sử dụng VPN?

Trường hợp lý tưởng để sử dụng VPN là khi bạn đang sử dụng Wifi công cộng tại sân bay, quán cà phê, khách sạn hoặc bất kỳ nơi nào cung cấp “Wifi miễn phí”. Lý do là vì đây là những mạng mở và bất kỳ tội phạm mạng nào táo bạo đều có thể truy cập vào các mạng này và thu thập thông tin nhạy cảm. Một cuộc khảo sát cho thấy 39% người dùng Internet trên toàn thế giới hiểu Wifi công cộng là không an toàn, tuy nhiên một số người dùng vẫn giao dịch ngân hàng, mua sắm và làm những việc nhạy cảm khác trên Wifi công cộng bất chấp những rủi ro đã được hiểu rõ.

Hơn nữa, bạn có quyền riêng tư của mình để xem xét. Bạn có thể sử dụng VPN để ngăn các nhà quảng cáo theo dõi bạn. Các tìm kiếm bạn thực hiện và các trang web bạn truy cập sẽ không được truy ngược về bạn, điều này có thể ngăn các nhà quảng cáo thu thập thông tin về bạn và thói quen trực tuyến của bạn nói chung. Hơn nữa, một số ISP thu thập lịch sử duyệt web của người dùng và chia sẻ nó với các nhà quảng cáo và các bên thứ ba khác. VPN cũng có thể ngăn chặn kiểu thu thập này.

VPN có thể bảo vệ lịch sử tìm kiếm của tôi không?

VPN bảo vệ lịch sử tìm kiếm của bạn thông qua kết nối an toàn mà bạn chia sẻ. Khi bạn tìm kiếm một trang web hoặc nhập URL vào thanh điều hướng, thiết bị của bạn sẽ gửi một thứ gọi là yêu cầu DNS, dịch trang web này sang địa chỉ IP của máy chủ web. Đây là cách trình duyệt của bạn có thể tìm thấy trang web và cung cấp nội dung của nó cho bạn. Bằng cách mã hóa các yêu cầu DNS của bạn, VPN có thể ẩn thói quen và lịch sử tìm kiếm của bạn khỏi những người có thể sử dụng thông tin đó như một phần của việc xây dựng hồ sơ về bạn. Loại thông tin này có thể được sử dụng theo nhiều cách khác nhau, từ việc phân phối hợp pháp các quảng cáo được nhắm mục tiêu cho đến kỹ thuật xã hội phức tạp.

VPN và “Chế độ ẩn danh” và “Chế độ riêng tư” trong trình duyệt có giống nhau không?

Lưu ý rằng VPN khá khác biệt và toàn diện hơn nhiều so với việc sử dụng “Chế độ riêng tư” hoặc “Chế độ ẩn danh” trên trình duyệt của bạn. Các chế độ đó chỉ ẩn lịch sử tìm kiếm cục bộ trên thiết bị của bạn — không phải với những người khác trên internet, như ISP và nhà quảng cáo.

VPN có khiến tôi ẩn danh không?

Không, VPN không thể khiến bạn ẩn danh. Dù sao thì cũng không hoàn toàn. Chúng giúp bảo mật những gì bạn đang làm nhưng ISP của bạn vẫn biết khi nào bạn sử dụng Internet. Họ không thể biết bạn đang làm gì, bạn truy cập trang web nào hoặc bạn đã ở trên trang web đó bao lâu.

Còn các dịch vụ như Private Relay của Apple thì sao?

Private Relay của Apple tương tự như VPN ở chỗ nó thay đổi địa chỉ IP của bạn nên các trang web bạn truy cập không thể biết chính xác bạn đang ở đâu. Nó hoạt động trên iOS và Mac như một phần của đăng ký iCloud+. Tuy nhiên, có một điểm khác biệt quan trọng: nó chỉ bảo vệ quyền riêng tư của bạn khi lướt web bằng trình duyệt Safari.

Theo Apple, nó hoạt động như thế này:

Khi Private Relay được bật, yêu cầu của bạn sẽ được gửi qua hai chuyển tiếp internet an toàn, riêng biệt. Địa chỉ IP của bạn được hiển thị với nhà cung cấp mạng của bạn và với trạm chuyển tiếp đầu tiên do Apple vận hành. Bản ghi DNS của bạn được mã hóa nên không bên nào có thể thấy địa chỉ trang web mà bạn đang cố truy cập. Sự chuyển tiếp thứ hai, do nhà cung cấp nội dung bên thứ ba vận hành, tạo địa chỉ IP tạm thời, giải mã tên trang web bạn yêu cầu và kết nối bạn với trang web. Tất cả điều này được thực hiện bằng cách sử dụng các tiêu chuẩn internet mới nhất để duy trì trải nghiệm duyệt web hiệu suất cao đồng thời bảo vệ quyền riêng tư của bạn.

Lưu ý rằng tại thời điểm viết bài này, Apple Private Relay không khả dụng ở tất cả các quốc gia và khu vực. Nếu bạn đi du lịch đến nơi không có Private Relay, nó sẽ tự động tắt và sẽ thông báo cho bạn khi không có và một lần nữa khi nó hoạt động trở lại. Bạn có thể tìm hiểu thêm về nó tại đây và cách bạn có thể kích hoạt nó trên các thiết bị Apple của mình.

Tôi có cần VPN không nếu tôi có Private Relay của Apple?

Như đã đề cập ở trên, Private Relay chỉ hoạt động với Safari trên iOS và macOS như một phần của đăng ký iCloud+. Ngay cả khi bạn đang sử dụng thiết bị Apple, VPN vẫn là một ý tưởng hay vì nó sẽ bảo vệ thông tin mà thiết bị của bạn gửi bên ngoài Safari — chẳng hạn như mọi thông tin được truyền qua ứng dụng của bạn hoặc bất kỳ trình duyệt nào khác mà bạn có thể sử dụng.

Cách nhận VPN của riêng bạn.

VPN không giới hạn với mã hóa cấp ngân hàng là một phần trong đăng ký McAfee+ của bạn và cung cấp các lợi ích về bảo mật và quyền riêng tư ở trên với mã hóa cấp ngân hàng. Ngoài ra, nó sẽ tự động bật bất cứ khi nào bạn kết nối với mạng Wi-Fi không bảo mật, giúp bạn không phải phỏng đoán khi nào thực sự cần sử dụng nó.

Nói chung, VPN của chúng tôi thực tế khiến tội phạm mạng hoặc nhà quảng cáo không thể truy cập để những gì bạn thực hiện trực tuyến vẫn ở chế độ riêng tư và an toàn, để bạn có thể tự tin tận hưởng thời gian trực tuyến của mình.

Nguồn: https://s.net.vn/qs0I