Với sự phát triển nhanh chóng của internet, nhiều công ty đã dần chuyển sang hướng từ thuê đường lease line sang dùng VPN mà vẫn đảm bảo độ tin cậy, bảo mật dữ liệu với chi phí thấp hơn nhiều so với lease line. VPN cho phép người dùng bên ngoài internet như các chi nhánh của công ty, người dùng lưu động, các đối tác kinh doanh…..kết nối tới hệ thống mạng bên trong của công ty.DU-series hỗ trợ IPSec site-2-site và remote-2-site:
Site-2-site: SifoWorks được triển khai như 1 firewall dùng để bảo vệ hệ thống mạng của công ty và kiểm soát traffic ra vào mạng. Giả sử công ty bạn là công ty chính (HQ) và có nhiều công ty con (Branches) nằm rải rác khắp nơi. Kết nối site-2-site tạo nên một tunnel kết nối các văn phòng lại với nhau như một mạng cục bộ.
Remote-2-site: Công ty bạn có người phải ra ngoài làm việc, họ muốn truy cập vào mạng nội bộ của công ty từ mạng công cộng bên ngoài. Remote-2-site giúp làm được điều đó như thể user đó đang ở bên trọng mạng của công ty.
Đồng thời, SifoWorks còn hỗ trợ khả năng dự phòng cho các tunnel, đảm bảo VPN diễn ra liên tục , Khi đường tunnel chính bị mất kết nối, SifoWorks sẽ tự ông khởi tạo lại VPN đó qua đường dự phòng.
Hướng dẫn sau tạo kết nối VPN theo sơ đồ:
Bước 1:Cấu hình các interface như hình vẽ, SifoWorks kết nối internet thông qua PPPoE.
Vào Network > Interface > Physical Interface.
Cấu hình tại HQ:
Cấu hình interface Ge0/1 kết nối tới subnet 192.168.1.0/24 với Work Mode là Route và Address Mode là Manual.
Kết nối internet qua Ge0/2 dùng PPPoE: với Work Mode là Route và Address Mode là PPPoE (ADSL).
Cấu hình tại Branch: tương tự như HQ.
Cấu hình interface Ge0/1 kết nối tới subnet 192.168.2.0/24 với Work Mode là Route và Address Mode là Manual.
Kết nối internet qua Ge0/2 dùng PPPoE: với Work Mode là Route và Address Mode là PPPoE (ADSL).
Bước 2: Tạo kết nối VPN site-2-site giữa 2 office thông qua chức năng Remote Gateway
vào VPN > Remote Gateway
Cấu hình tại HQ:
Các thông số cần quan tâm:
- Name: tên của tunnel, bất kỳ nhưng tránh dùng các ký tự đặt biệt.
- Description: Bất kỳ
- Status: trạng thái cho tunnel (bật/tắt)
- Local Interface: chọn interface trên SifoWorks thực hiện VPN. Nếu interface có nhiều IP thì nên chọc đúng IP tham gia thực hiện tạo tunnel.
- Remote Gateway:
- Static: IP hay Domain của gateway.
- Dynamic IP: thiết bị sẽ chờ khởi tạo từ thiết bị khác, trong kết nối VPN cả 2 thiết bị không thể đồng thời là dynamic IP.
- Authenticate Method: chọn kểu chứng thực là Presharekey hay certificate. Chú ý rằng cả 2 peer phải giống nhau.
- IKE ID: là tùy chọn.
- Protected Networks: chỉ định subnet nào tham gia vào kết nối VPN.
- Local: mạng cục bộ tại HQ
- Remote: mạng cục bộ tại branch
- Address Object : các subnet đã được nhận định nghĩa sẵn tại Object > IPv4 Object.
Chú ý : 2 subnet tham gia vào VPN phải khác nhau nhằm tránh sự nhập nhằng cho thiết bị
Cấu hình advance cho tunnel:
Các thông số cần quan tâm:
- Xauth: lựa chọn kiểu chứng thực giữa 2 peer cho gateway:
- Server Mode: nếu muốn thiết bị này làm server. Khi đó định nghĩa một user cho peer kia chứng thực, cấu hình user trong Auth > Auth User
- Client Mode: điền thông số username/password để chứng thực với thiết bị làm server.
- None: nếu không muốn sử dụng Xauth.
- IKE Proposal: Cấu hình các tham số cần thiết cho 2 pha của quá trình trao đổi IKE. Chú ý: các tham số cả 2 peer phải giống nhau.
- Redundant Tunnel: Chọn đường tunnel nếu muốn tunnel này làm đường dự phòng trong trường hợp tunnel được lựa chọn mất kết nối, tunnel này tự động khởi tạo kết nối, đảm bảo VPN được liên tục.
- Start Negotiation Immediately: khởi tạo kết nối ngay sau khi tạo tunnel
Cấu hình tại Branch
Bước 3: tạo rule cho kết nối VPN: vào Firewall > IPv4 Access List > Add Group
Bước 3.1 Tạo rule kiểm soát traffic từ mạng cục bộ ra ngoài.
Cấu hình tại HQ:
Tạo group:
Các tham số cần quan tâm:
- Group Name: Tên bất kỳ như cần tránh ký tự đặt biệt.
- Enable: bật hay tắt rule này
- Source zone/ interface: nguồn của các traffic đi vào zone/interface muốn soát bởi rule này.
- Source Address: địa chỉ cụ giới hạn muốn kiểm soát bởi rule này
- Destination zone/interface: Đích đến của traffic qua zone/interface nào
- Destination Address: địa chỉ đích đến muốn kiểm soát bởi rule này.
- Service: dịch vụ muốn kiểm soát.
Tạo access list: trong group vừa tạo, thêm một access list bên trong group này.
Cấu hình tại Branch:
Tạo group:
Tạo access list trong group:
Bước 3.2: tạo rule kiểm soát traffic từ ngoài vào bên trong mạng cục bộ:
Cấu hình tại HQ:
Tạo group:
Tạo access list bên trong rule này:
Cấu hình tại Branch:
Tạo group
Tạo access list:
Sau khi kết nối thành công, mạng 192.168.1.0 và 192.168.2.0 có thể nhìn thấy nhau.