こんにちは!この記事では、Sophos XGFirewall製品のVPN機能の概要について説明します。前回の記事では、フルライセンスでホームネットワークを無料で保護するためのこのソリューションを入手する方法について説明しました。今日は、SophosXGに組み込まれているVPN機能について説明します。この製品で何ができるかを説明し、IPSecサイト間VPNとカスタムSSLVPNの構成例を示します。それでは、レビューに取り掛かりましょう。
まず、ライセンス表を見てみましょう。SophosXGFirewallのライセンス
方法について詳しくは、こちらをご覧ください:
リンク
ただし、この記事では、赤で強調表示されている項目のみに関心があります。
主なVPN機能は基本ライセンスに含まれており、一度だけ購入します。これは生涯ライセンスであり、更新は必要ありません。ベースVPNオプションモジュールには、次のものが含まれます。
サイト間:
- SSL VPN
- IPSec VPN
リモートアクセス(クライアントVPN):
- SSL VPN
- IPsecクライアントレスVPN(無料のカスタムアプリ付き)
- L2TP
- PPTP
ご覧のとおり、一般的なプロトコルとVPN接続の種類はすべてサポートされています。
また、Sophos XG Firewallには、基本サブスクリプションに含まれていない他の2つのタイプのVPN接続があります。それらはREDVPNとHTML5VPNです。これらのVPN接続はネットワーク保護サブスクリプションに含まれています。つまり、これらのタイプを使用するには、アクティブなサブスクリプションが必要です。これには、ネットワーク保護機能(IPSおよびATPモジュール)も含まれています。
RED VPNは、Sophos独自のL2VPNです。このタイプのVPN接続には、2つのXG間にVPNを設定するときに、サイト間SSLまたはIPSecに比べていくつかの利点があります。IPSecとは異なり、REDトンネルはトンネルの両端に仮想インターフェイスを作成します。これは問題のトラブルシューティングに役立ちます。SSLとは異なり、この仮想インターフェイスは完全にカスタマイズ可能です。管理者はREDトンネル内のサブネットを完全に制御できるため、ルーティングの問題やサブネットの競合を簡単に解決できます。
HTML5VPNまたはクライアントレスVPN-サービスがブラウザで直接HTML5を通過できるようにする特定のタイプのVPN。構成できるサービスの種類:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
ただし、このタイプのVPNは特別な場合にのみ使用されることを考慮する価値があり、可能であれば、上記のリストのVPNタイプを使用することをお勧めします。
練習
これらのトンネルタイプのいくつか、つまりサイト間IPCSおよびSSLVPNリモートアクセスを構成する方法を見てみましょう。
サイト間IPSecVPN
2つのSophosXGファイアウォール間にサイト間IPSecVPNトンネルを設定する方法から始めましょう。 StrongSwanは内部で使用され、IPSec対応のルーターに接続できます。
便利で迅速なセットアップウィザードを使用できますが、このマニュアルに基づいて、IPSecを介してSophos XGを任意の機器と組み合わせることができるように、一般的なパスに従います。
ポリシー設定ウィンドウを開きましょう。
ご覧のとおり、事前定義された設定がすでにありますが、独自の設定を作成します。
第1フェーズと第2フェーズの暗号化設定を構成し、ポリシーを保存しましょう。同様に、2番目のSophos XGでも同じことを行い、IPSecトンネル自体のセットアップに進みます。
名前、動作モードを入力し、暗号化パラメーターを構成します。たとえば、事前共有キーを使用して、
ローカルサブネットとリモートサブネットを示します。
接続が作成されます
。類推により、2番目のSophos XGで同じ設定を行いますが、動作モードを除いて、そこに[接続の開始]を配置します。
これで、2つのトンネルが構成されました。次に、それらをアクティブ化して実行する必要があります。これは非常に簡単に実行できます。アクティブ化するには[アクティブ]という単語の下にある赤い円をクリックし、接続を開始するには[接続]の下にある赤い円をクリックする必要があります。
このような写真が表示された場合:
これは、トンネルが正しく機能していることを意味します。2番目のインジケーターが赤または黄色の場合は、暗号化ポリシーまたはローカルサブネットとリモートサブネットで何かが正しく構成されていません。設定をミラーリングする必要があることを思い出させてください。
これとは別に、障害耐性のために、IPSecトンネルからフェイルオーバーグループを作成できることを強調したいと思います。
リモートアクセスSSLVPN
ユーザー向けのリモートアクセスSSLVPNに移りましょう。標準のOpenVPNは内部で実行されています。これにより、ユーザーは.ovpn構成ファイルをサポートする任意のクライアント(標準接続クライアントなど)を介して接続できます。
まず、OpenVPNサーバーポリシーを構成する必要があります。
接続のトランスポートを指定し、ポートを構成し、リモートユーザーを接続するためのIPアドレスの範囲を構成します。
また、暗号化設定を指定することもできます。
サーバーを構成したら、クライアント接続の構成を開始しましょう。
各SSLVPN接続ルールは、グループまたは個々のユーザー用に作成されます。各ユーザーは、1つの接続ポリシーのみを持つことができます。設定に応じて、興味深い点から、このようなルールごとに、この設定を使用する個々のユーザーまたはADのグループを指定して、すべてのトラフィックをVPNトンネルにラップするようにチェックボックスを有効にするか、ユーザーが使用できるIPアドレス、サブネット、またはFQDNを指定できます。 ..。これらのポリシーに基づいて、クライアントの設定を含む.ovpnプロファイルが自動的に作成されます。
ユーザーは、ユーザーポータルを使用して、VPNクライアントの設定を含む.ovpnファイルと、組み込みの接続設定ファイルを含むVPNクライアントインストールファイルの両方をダウンロードできます。
結論
この記事では、Sophos XGFirewall製品のVPN機能について簡単に説明しました。IPSecVPNとSSLVPNを構成する方法を確認しました。これは、このソリューションで実行できることの完全なリストではありません。次の記事では、RED VPNを確認し、ソリューション自体でどのように見えるかを示します。
お時間をいただきありがとうございます。
あなたはXGファイアウォールの商用版について質問がある場合は、ご連絡することができます-ファクターグループ、ソフォスの販売代理店を。sophos@fgts.ruに自由形式で書くだけで十分です。