Với sự phát triển nhanh chóng của internet, nhiều công ty đã dần chuyển sang hướng từ thuê đường lease line sang dùng VPN mà vẫn đảm bảo độ tin cậy, bảo mật dữ liệu với chi phí thấp hơn nhiều so với lease line. VPN cho phép người dùng bên ngoài internet như các chi nhánh của công ty, người dùng lưu động, các đối tác kinh doanh…..kết nối tới hệ thống mạng bên trong của công ty.DU-series hỗ trợ IPSec site-2-site và remote-2-site:
Site-2-site: SifoWorks được triển khai như 1 firewall dùng để bảo vệ hệ thống mạng của công ty và kiểm soát traffic ra vào mạng. Giả sử công ty bạn là công ty chính (HQ) và có nhiều công ty con (Branches) nằm rải rác khắp nơi. Kết nối site-2-site tạo nên một tunnel kết nối các văn phòng lại với nhau như một mạng cục bộ.
Remote-2-site: Công ty bạn có người phải ra ngoài làm việc, họ muốn truy cập vào mạng nội bộ của công ty từ mạng công cộng bên ngoài. Remote-2-site giúp làm được điều đó như thể user đó đang ở bên trọng mạng của công ty.
Đồng thời, SifoWorks còn hỗ trợ khả năng dự phòng cho các tunnel, đảm bảo VPN diễn ra liên tục , Khi đường tunnel chính bị mất kết nối, SifoWorks sẽ tự ông khởi tạo lại VPN đó qua đường dự phòng.
Hướng dẫn sau tạo kết nối VPN theo topology:
Yêu cầu:
- Công ty có user làm việc ngoài công ty, cấu hình VPN gateway cho kết nối giữ mạng nội bộ công ty với remote user.
- Trong cấu hình VPN remote-2-site sử dụng range IP từ 192.168.1.2/24 đến 192.168.1.10/24 cấp cho card ảo của remote user để kết nối với mạng cục bộ có range IP là 192.168.1.0/24 (từ 192.168.1.11/24 trở đi được cấp cho các PC trong mạng cục bộ của công ty).
- Sử dụng chứng thực Presharekey và Xauthen cho kết nối VPN này.
Các bước cấu hình VPN remote-2-site theo yêu cầu.
Bước 1:Cấu hình các interface như hình vẽ, SifoWorks kết nối internet thông qua PPPoE.
Vào Network > Interface > Physical Interface.
Cấu hình interface Ge0/1 kết nối tới subnet 192.168.1.0/24 với Work Mode là Route và Address Mode là Manual.
Kết nối internet qua Ge0/2 dùng PPPoE: với Work Mode là Route và Address Mode là PPPoE (ADSL).
Bước 2: cấu hình profile cho user sử dụng chứng thực Xauthen và range IP 192.168.1.2/24 đến 192.168.1.10/24.
Tạo profile định nghĩa range IP (range này ngoài range DHCP cấp cho các client trong mạng local). Khi VPN kết nối thành công gateway sẽ cấp cho card NIC ảo của remote client và xem như remote là một PC trong mạng cục bộ.
Cấu hình user profile: vào Auth >> user profile
Vào Auth >> Auth user chọn tab local thực hiện thêm 1 user thuộc server local (là server tích hợp trên DU-series) bạn cũng có thể sử dụng server bên ngoài cho remote user chứng thực khi thõa thuận kết nối VPN.
Bước 3: Tạo kết nối VPN remote-2-site thông qua chức năng Remote Access
vào VPN > Remote Access
Các thông số cần quan tâm:
- Name: tên của tunnel, bất kỳ nhưng tránh dùng các ký tự đặt biệt.
- Description: Bất kỳ
- Status: trạng thái cho tunnel (bật/tắt)
- Local Interface: chọn interface trên SifoWorks thực hiện VPN. Nếu interface có nhiều IP thì nên chọc đúng IP tham gia thực hiện tạo tunnel.
- Remote IKE ID: là option giúp VPN thêm bảo mật.
- Authenticate Method: chọn kểu chứng thực là Presharekey hay certificate. Chú ý rằng cả 2 gateway và remote user phải giống nhau.
- Xauth: chứng thực cho pha 1,5 trong quá trình trao đổi khóa.
- Local: mạng cục bộ tại gateway
- Address Object : các subnet đã được nhận định nghĩa sẵn tại Object > IPv4 Object.
Cấu hình advance cho tunnel:
Cấu hình các thuật toán sẽ được trao đổi trong 2 pha. Các thông số này phải trùng khớp hau trên gateway và remote user.
Bước 4: Tạo access list kiểm soát traffic VPN đi vào và đi ra gateway , Vào firewall >> IPv4 Access List
Kiểm soát outgoing traffic cho VPN
Tạo group
Tạo rule access list nằm bên trong group bên trên:
Kiểm soát incoming traffic cho VPN
Tạo group
Tạo rule access list nằm bên trong group bên trên:
Bước 5: tạo kết nối từ remote user lên gateway và theo dõi
Dùng phần mền safenet softremote để tạo kết nối lên gateway. Các thông số thiết lập trên softnet phải trùng trên gateway. Các bước thực hiện như hình bên dưới:
Tạo mới một kết nối đặt tên là remote-access
Thiết lập cho My Identity , chú ý đặt presharekey tại đây phải khớp với presharekey trên gateway
Thiết lập Security Policy:
Thiết lập các thông số của pha 1 giống với các thông số pha 1 trên gateway :
Tương tự làm với pha 2:
Sau khi hoàn tất, chuột phải vào taskbar góc phải, chọn connect > [tên của tunnel] để tiến hành bắt đầu kết nối tới gateway. Nếu pha 1 thành công, pha 1,5 gateway sẽ bắt remote user chứng thực user Xauth đã thiết lập trên gateway. Nếu thành công sẽ xuất hiện:
Theo dõi kết nối trong SoftNet như sau:
Trên DU-series vào VPN >> Monitor > Remote Access sẽ thấy kết nối đã thành công
Kiểm tra bằng công cụ ping:
Như vậy remote user trở thành một máy tính như mạng cục bộ.